Cómo evitar que Google utilice tu red WiFi en sus servicios de localización

Este no es un tema nuevo, pero he de reconocer que a mí, personalmente, me pasó desapercibido y quería compartirlo con vosotros. Se trata de "cómo evitar que Google utilice tu red WiFi en sus servicios de localización". Algo que no es nuevo, pero que en su momento tuvo su impacto en los medios de comunicación y que hoy en día, tras la aprobación del GDPR en Europa se ha quedado en una zona gris.

Figura 1: Cómo evitar que Google utilice tu red WiFi en sus servicios de localización

Para los que no conozcáis la historia, hay que volver atrás en el tiempo a cuando Google quería mejorar los servicios de localización de sus plataformas móviles. Es decir, cómo saber dónde se encuentra un teléfono Android con mucha más exactitud. Para ello, se decidió utilizar un sistema basado en las bases de datos de Wardriving.

Wardriving y el Google Street Car

Hace ya tiempo, el Wardriving se convirtió en una diversión de los hackers muy extendida. La idea era meter en un mapa todas las redes WiFi de la ciudad para que cualquiera que quisiera, pudiera conectarse a Internet.  Es decir, el concepto era geoposicionar redes WiFi por toda la ciudad. Eso se podía hacer andando, en coche o en bicicleta.

Figura 3: Iconografía para redes WiFi descubiertas

Se creó una iconografía completa que se ponía en forma de pegatinas, dibujos pintados en las paredes o apps que te decían en qué lugares de la ciudad podrías encontrar redes WiFi con las que te pudieras conectar a Intenet, ya fuera porque eran redes abiertas, o inseguras con WEP, o con contraseñas fáciles de WPA o WPA2. 

Figura 4: Iconografía de Wardriving por las ciudades

De hecho, la competición en muchos de los congresos y conferencias de hackers era conseguir el máximo posible de redes WiFi con la información de conexión a la red para la base de datos de Wardriving. Congresos tan importantes como DefCON o EkoParty, tenían sus secciones específicas dedicadas solo al Wardriving.  Debido a esto, yo os recomendaba hacer esto antes de ir a hacer un Ethical Hcking a una empresa porque los empleados suelen conectarse a muchas redes WiFi cercanas a sus oficinas.

Figura 5: Memes con el asunto de Google Steet Vier Car y el sniffig de redes WiFi

Siguiendo esta misma idea, Google comenzó en el año 2010 a hacer Wardriving geoposicionando todas las redes WiFi que veía con sus coches de Google Street View. Es decir, al mismo tiempo que pasaba el coche de Google Street View tomando fotos de las calles de la ciudad, iba capturando las redes WiFi que veía - e incluso datos en abierto -. Esto generó un gran escándalo, con denuncias en muchos países y un arduo debate.

Figura 6: Noticias del escándalo del escaneo de Google Street Car

Aquello se cerró, no sin que hubiera un lío en muchos países, e incluso Google tuvo que compartir los datos que había ido escaneando en cada uno de los países con los cuerpos de seguridad que tuvieron que revisar la información que había capturado de esas redes abiertas para ver, si en algún caso, habían capturado conexiones a Internet de los usuarios de la red sin cifrar que llevara información sensible y que, Google, hubiera almacenado sin conocimiento de los usuarios. Google borró los datos, y dijo que había sido culpa de una librería estándar mal usada.

Lo mismo, pero en Android

Por supuesto, la idea de copiar el concepto del Wardriving de la comunidad hacker para ir escaneando desde el Google Street Car todas las redes WiFi de la ciudad estaba bien, pero no era comparabale para nada si utilizaban los terminales smartphone con Android, que cada vez empezaban a tener más cuota de mercado frente a los líderes en el mundo móvil, donde iPhone, Motorola, Nokia o BlackBerry comenzaban a dejar paso a Android cada día más. En el libro de Hacking y Seguridad de Comunicaciones Móviles (2ª Edición) se hablan de estas técnicas para todo tipo de conexiones.

Figura 7: Libro de Hacking y Seguridad en comunicaciones móviles
GSM/GPRS/UMTS/LTE (2G,3G y 4) 2ª Edición

Así, los terminales Android (y también los terminales iPhone) utilizan un sistema de mantenimiento de los servicios de localización construido de la siguiente forma. Por un lado, aprovechándose los cada vez mejores servicios de GPS de los terminales reportan las potencias de señales capturadas  por cada terminal móvil de todos los elementos que emiten señales, ya sean BlueTooth, conexiones a redes de telefonía 2G, 3G y 4G, o redes WiFi. La idea es guardar de cada uno de ellos:

- El identificador físico que lo define de forma unívoca: BSSID, SSID, MACs, etc... 

- La potencia de la señal con que llega al terminal móvil. 

- La posición GPS que se puede obtener del servicio puro GPS. 

- Timestamp de cuándo se hace la captura de datos. 

- Información del terminal smartphone que hace la captura de datos.

Todos estos datos llegan a una base de datos donde se almacenan en Google. Con esos datos, utilizando algoritmos de triangulación y calibración,  permiten a Google saber:

- Dónde se encuentra realmente cada terminal móvil más allá de lo que marque el servicio GPS. 

- Saber dónde se encuentra cada terminal incluso si el sistema GPS falla. 

- Saber dónde se encuentra cada terminal con un servicio de menor latencia que el GPS. 

- Alimentar la base de datos con dónde se encuentra cada antena de telefonía exactamente. 

- Saber exactamente donde se encuentra cada red WiFi - incluida la tuya - del mundo.

Sin esta base de datos que da soporte a los servicios de localización de Google, aplicaciones tan populares como Waze o Google Maps funcionan regular. Puedes hacer la prueba tú mismo de forma sencilla. Basta con que pongas una ruta de tu casa a al trabajo en cualquiera de estas dos aplicaciones y quites la WiFi - la apagas en tu terminal iPhone o Android - y verás como, usando solo el GPS, los servicios de localización  funcionan regular y tienen márgenes de error muy altos.

Pero a muchas personas esto no les gusta, ya que también se guarda información de horarios de encendido y apagado del Access Point, de la seguridad de la red, de los fabricantes detrás de los dispositivos, y un buen número de insights que se podrían sacar.

Cómo sacar tu red WiFi de la bae de datos de Google Location Services

Esos datos también se utilizan para alimentar la ubicación en caso de anuncios mostrados por ubicaciones geográficas, o para otro tipo de servicios basados en ubicación. Es decir, gracias a la información que mantiene de las redes WiFi que captura usando los terminales Android como sensores, las conexiones a Internet de estos para enviarlos a sus servidores, y que tú tienes una red WiFi en tu casa, disfrutan de unos servicios de localización mejores que los que tuvo la industria de navegadores GPS para coches en su momento.

Figura 8: Gracias las bases de datos WiFi, Google Maps tiene
una precisión y velocidad mucho mayor que un GPS "tradicional"

Pero claro, Google (y Apple) no han pedido permiso a nadie para capturar esos datos tuyos. Supongamos que tú no quieres tener nada que ver con Google y no quieres que usen tu infraestructura tecnológica para hacer sus negocios. Pues entonces, tal y como está el panorama hoy en día, tienes que ser tú el que haga Opt-Out de su base de datos haciendo algo que no es muy sencillo para todos lo usuarios:

- Debes cambiar el nombre de tu red WiFi para que se den por enterados

Es decir, debes llamar a tu red WiFi de una forma especial, ya que Google se compromete a eliminar de sus bases de datos todos los datos asociados a redes WiFi cuyo nombre SSID acabe en _nomap. Es decir, debes entrar y cambiar tú el nombre de tu red WiFi si no quieres que Google lo utilice para sus servicio de localización con los que desarrolla su negocio en el mundo Android.

Figura 9: Página de ayuda en Google para explicar _nomap

No sé si este es el mecanismo más correcto o no. Y lo cierto es que si fuera un Opt-in, es decir, que Google indexara solo la información de las redes WiFi acabadas en _map, probablemente no tendría suficiente densidad de redes WiFi para construir unos servicios de localización potentes, pero lo cierto es que a día de hoy, Google y Apple se han construido la red de localización más potente del mundo gracias a que utilizan todos sus dispositivos, y cuando digo todos me refiero a todos - smartphone, SmartTVs, smartWatches, etc... -, en sensores para capturar información del espectro de señales a su alrededor y almacenan esa información para explotarla en su beneficio.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Viernes con "V" de Vídeos: Trucos para presentar, seguridad en 2G/3G, criptomonedas y más

Después de una semana intensa de trabajo, para hoy viernes he decidido dejaros en le blog algunos vídeos que tenía pendientes. No son nuevos, pero no os había avisado de ellos por el blog, así que os los dejo por si os apetece verlos.

Figura 1: Viernes con "V" de vídeos

El primero es  realmente un podcast. Es una charla que tuve con mi amigo Gonzalo Álvare Marañón de El Arte de Presentar sobre algunas de las cosas que uso yo para dar las charlas. A mucha gente hablar en público le resulta difícil - en mi caso concreto, yo sufría pánico al principio - pero todo el mundo puede hacerlo perfectamente.

Figura 2: Entrevista con El Arte de Presentar

Sobre este tema, Gonzalo y yo escribimos un pequeño artículo sobre las cosas que creemos que no se deben hacer en una presentación técnica, titulado: "17 errores y medio en una presentación técnica". Por cierto, esta charla la puedes escuchar y descargar también en formato podcast.

Figura 3: Podcast de entrevista en El Arte de Presentar

El segundo vídeo es de una presentación que dieron David y José de Layakk - entonces de Taddong - sobre la seguridad en las comunicaciones GSM/UMTS/GPRS/2G/3G, allá por el año 2010, más o menos.

Figura 4: Seguridad en comunicaciones móviles

Como sabéis, David y José son los autores del libro de 0xWord "Hacking y Seguridad en Comunicaciones Móviles", y en esta charla hablan de algunas cosas de las que se habla en el libro.

También, hace un par de semanas estuve en la radio de Onda Cero participando en una pequeña charla en la sección de Madrileños Ilustres. Dura media hora y la podéis escuchar en este vídeo.

Figura 5: Entrevista en Onda Cero

Y el último vídeo que os dejo es una ElevenPaths Talk hecha en formato conversación entre los CSA se ElevenPaths, donde Rames, Jorge Rivera, Felix y Yaiza hablan de Criptografía, Criptomonedas y otras hierbas.

Figura 6: Criptografía, Criptomonedas y otras hierbas

Y esto es todo, que la semana haya sido provechosa de trabajo y tengáis un buen viernes que os lleve a un mejor fin de semana.

Saludos Malignos!

Introspection: (@Snowden) Edward Snowden diseña un dispositivo de seguridad para saber si te espían el móvil

Así se llama el dispositivo que Andrew ‘bunnie’ Huang y Edward Snowden han presentado al mundo. Introspection. Un dispositivo de seguridad que se acopla a tu terminal móvil para monitorizar si en cualquier momento está emitiendo señales de comunicación a bajo nivel que no deberían estar realizándose. Es decir, para ver si tu terminal móvil está enviando información en contra de tu voluntad, y para evitar capas de software que pudieran estar controladas, y software corriendo en los chips que pudiera estar controlado - recordad el escándalo con los chips Intel que está bajo estudio ahora mismo - directamente monitoriza las señales en los buses a nivel físico.

Figura 1: Introspection. Edward Snowden diseña un dispositivo
de seguridad para saber si te espían el terminal móvil.

Como digo, el dispositivo se acopla a nivel físico para poder medir las señales de los buses de comunicación del hardware que son utilizados por los elementos de comunicación de un terminal, como son las conexiones WiFi, BlueTooth, las comunicaciones GSM, 2G, 3G, 4G, las conexiones RF o el mismo GPS. En esta imagen se ve cómo se conecta físicamente a la circuitería del terminal iPhone para monitorizar los buses con unos cables que salen debajo de la zona de la SIM.

Figura 2: Conexión cableada de Introspection en un iPhone

En cada terminal hay que hacer una serie de conexiones y debería hacerse por gente especializada. Monitorizar los buses es la única forma que es 100% de fiar, según explican, para poderse fiar de un terminal que ha sido puesto en modo avión y del que no se espera ninguna conexión. Para ello, miran los buses utilizados de todos los elementos de comunicación. La siguiente tabla recoge la lista de sistemas de comunicación y buses monitorizados por su sistema. Como curiosidad, la tabla publicada tiene las típicas marcas del corrector ortográfico de Microsoft Word (una de "metadata leakage" en el post).

Figura 3: Lista de señales monitorizadas

A partir de ese momento, Introspection auditará todas las señales para detectar tráfico en los buses de estas señales que se produzcan cuando no deberían producirse porque el terminal está en modo avión. Esto garantizaría que durante los instantes que el usuario quiera, el terminal no emite ninguna señal lo que evitaría que se pudiera localizar por medio de los múltiples caminos que existen: GPS, trilateración de antenas de comunicación, trilateración de redes WiFi, etcétera.

Figura 4: Señales de bus FE1 en modo avión y en modo comunicación.

En la figura superior se puede ver cómo los buses de comunicación dejan de emitir señales cuando están en modo avión, así que si están emitiendo significaría que no está en modo avión de verdad y alguien podría estar recibiendo la información del terminal, y por tanto la ubicación del mismo en el mundo.

Figura 5: Diseño de cómo sería el funcionamiento de Introspection

El objetivo es que fabricantes, operadores, o personal cualificado pueda inspeccionar el software que corre en Introspection, que puedan analizar el hardware con que se construye y que puedan instalarlo ellos sin necesidad de contar con los fabricantes que proveen los teléfonos. Para ello, el diseño se presenta como un recargador de batería extra, tal y como se ve en la fotografía.

Figura 6: Conexión externa e interna en un iPhone

La conexión se podrá hacer a través de un nexo entre las conexiones físicas que se hacen internamente en el dispositivo y los circuitos de Introspection. Aquí la conexión que es necesaria en un iPhone, que es uno de los dispositivos de los que Edward Snowden no se fía por haber aparecido también en el programa PRISM. Al final la propuesta que hace Introspection es meterse en las capas más bajas posibles para saber si te están monitorizando e ir a por las señales físicas parece que es lo más fiable a día de hoy, porque lo demás todo se puede troyanizar por una capa inferior.  Eso sí, esto no protegerá de todo el hacking de comunicaciones móviles que se produzca desde fuera.

Saludos Malignos!

Las escuchas telefónicas de la NSA a Angela Merkel, Helmut Kohl y Gerhard Schröder

Hace poco Wikileaks realizó la clasificación y publicación de documentos filtrados por Edward Snowden relativos al espionaje de la NSA a los presidentes de la República de Francia. Ahora ha realizado ese mismo trabajo relativo a los Primeros Ministros del gobierno de Alemania, clasificando y ordenando los documentos que detallan las escuchas a Angela Merkel, Helmut Kohl y Gerhard Schröder, además de todo los miembros de su oficina.

Figura 1: Las escuchas teléfonicas de la NSA a Angela Merkel, Helmut Kohl y Gerhard Schröder

Los documentos están filtrados desde el departamento de Global SIGINT de la NSA, que es el área dedicada a la Inteligencia de Señales del gobierno de los Estados Unidos de América, o lo que es lo mismo, a generar inteligencia a partir de escuchas de señales de comunicaciones.

Figura 2: NSA Signals Intelligence

En la filtración, se recogen datos como los selectores que utilizan para rastrear las llamadas de teléfono a través de Internet de todos y cada uno de los miembros del gobierno para poder capturar las llamadas telefónicas.

Figura 3: Números de teléfono usados como selectores de búsqueda

Esto ya se había filtrado con anterioridad y probablemente utilizaban el trabajo de interceptación de tráfico que habían implantado con el GCHQ británico y que se detallaba en el proyecto TEMPORA. o directamente con captura de señales móviles y hacking de estaciones base como se detallaba en el proyecto de AURARAGOLD. En la filtración, lo que aparece es una recolección de las transcripciones hechas por "agentes de inteligencia" que explican el contenido de la captura de teléfono hecha por la NSA.

Figura 4: Detalles de la filtración publicada por Wikileaks

Las llamadas que se han descrito tienen que ver con conversaciones privadas entre los presidentes alemanes con otros presidentes o dirigentes europeos hablando sobre diversos temas. Algunos tan actuales hoy en día como la Crisis de Grecia en el año 2011, donde Angela Merkel mostraba sus dudas sobre la solución.

Figura 5: Un documento filtrado por Wikileaks sobre el espionaje a Angela Merkel relativo a la crisis de Grecia

Esta clasificación de Wikileaks es un trabajo de ordenación y clarificación de informaciones que ya se sabían, y alargan ya las filtraciones de Edward Snowden por tres años. Todo el mundo ya sabe lo que ha estado haciendo la NSA durante la última década, todo el mundo se ha escandalizado, pero en los Estados Unidos, aprovechando la aparición de cualqueir Joker, y gestionando una campaña de comunicación adecuada a la población - declarando hasta el Estado de Emergencia -, consiguieron que el Patriot Act se les fuera aprobado otra vez durante este mes de Junio, así que todo sigue igual.

Saludos Malignos!

Estaciones base falsas espían las llamadas telefónicas

En las comunicaciones móviles entre el terminal móvil y la antena de telefonía existen una gran variedad de tegnologías. Son los famosos GSM, Edge, GPRS, UMTS, LTE, que agrupados por distintas generaciones dan lugar a los protocolos 2G, 3G, el actual 4G y la más nueva familia de protocolos 5G. Estos protocolos, como cualquier otro sistema de informático ha sido y es atacado de diferentes formas a lo largo de la historia.

En el caso de GSM, no hace demasiado tiempo os publicaba un caso sencillo de cómo se podría sniffar el tráfico GSM, descifrar el tráfico y acabar capturando los mensajes SMS que se utilizaran por ejemplo como OTP (One-Time Password) para validar una operación o como Segundo Factor de Autenticación del proceso de login de una cuenta.

El ataque con Estación Base Falsa 2G

En el caso de las comunicaciones 2G (GSM/GPRS/EDGE) hace mucho tiempo que se aprovecha una sencilla debilidad de estos protocolos, y es que la red puede autenticar al dispositivo pero el dispositivo no valida a la red, así que cualquier estación BTS puede - técnicamente hablando - suplantar a cualquier red de comunicaciones haciendo que los terminales que estén en su alcance acaben conectándose a ellas. Todo esto lo tienes explicado en detalle en el libro de Hacking de Comunicaciones Móviles GSM/GRPS/UMTS/LTE (2ª Edición). 

Figura 1: Escenario de pruebas de Estaciones Base Falsas en caja de Faraday

Estos ataques con Estación Falsa 2G son baratos y fáciles de realizar, ya que por algo menos de 300 USD puedes conseguir todo el material necesario. Eso sí, estos ataques están prohibidos y perseguidos en la mayoría de los países ya que para poder emitir en una frecuencia debes haber comprado el derecho de uso del espectro, por lo que hay que pagar una buena cantidad de dinero al estado.

Dejando a parte la legalidad, si un atacante decidiera poner una Estación Falsa 2G al alcance de unos terminales móviles, y alguien se conectara a ella, podría redirigir las llamadas, grabarlas, redirigir el tráfico de Internet, manipularlo en esquemas de man in the middle, etcétera. De esto, nuestros amigos de Layakk - entonces Taddong  y escritores del libro que os he citado antes -, dieron una charla en la Black Hat DC 2011.

Figura 2: Ejemplos de ataque a conexiones 2G con Estación Base Falsa en BlackHat DC 2011

Por supuesto, cuando se monta una Estación Base Falsa 2G con el objeto de interceptar las comunicaciones móviles, el cifrado es algo que se deja desactivado por la propia estación, para que sea todo mucho más rápido y sencillo a la hora de capturar las conversaciones y los datos.

Las Estaciones Base Falsas 2G y los terminales iPhone

Lo más curioso de todo es que los terminales más modernos, como iPhone o muchos Android no tienen en cuenta ninguna medida de seguridad para detectar este tipo de ataques y, mientas que iPhone tiene la posibilidad de deshabilitar 4G, no existe ninguna forma de deshabilitar 2G y forzar sólo conexiones 3G. 

Figura 3: El usuario puede activar o desactivar 4G en iOS, pero no 2G

Quitar 4G tiene sentido mientras que en algunos sitios está en "pruebas" o "implantación", pero quitar 2G puede ser una decisión de seguridad que tome un usuario para evitar estos ataques. No hay que olvidar que tanto en redes 3G como en redes 4G se autentica a la red, por lo que hacer un ataque de Estación Base Falsa no es trivial ni mucho menos.

Por otro lado, los terminales modernos tampoco muestran alertas cuando se ha deshabilitado el cifrado. Mientras que los viejos dumbphones te mostraban un iconito con el candadito abierto, los modernos iPhone no enseñan nada similar al usuario.

Figura 4: Nokia muestra que la conexión no está cifrada, iPhone no muestra nada

En el libro de Hacking iPhone se le dedicó un capítulo entero a cómo montar un escenario de ataque con Estación Base Falsa 2G, siendo posible hacer alguna cosa tan curiosa como sacar las fotos del carrete con el terminal bloqueado cambiando la hora del dispositivo desde la antena de telefonía.

Si a esto sumamos que en los terminales iPhone no se pueden instalar apps que controlen las antenas de telecomunicaciones y que para poder usar apps como Signal que ayuden a la detección de Estaciones Bases Falsas necesitas tener jailbreak en el terminal, hace que los dispositivos iPhone sean especialmente adecuados para este tipo de ataques.

Figura 5: Signal, una app para iPhone con Jailbreak
que informa de antenas usadas

Además, esto puede llegar a ser todo lo quirúrgico que se desee, ya que es posible, con cualquier IMSI Catcher extraer el IMSI del terminal objetivo y luego hacer un ataque dirigido con la Estación Base Falsa, dejando sin afectar al resto de los terminales, ya que sería como poner un filtro de conexión en la antena.

Detección de las antenas falsas

Detectar las antenas falsas no es una tarea imposible, sobre todo teniendo en cuenta que las capacidades y características que ponen las operadoras de telefonía son de unas características de potencia, configuración y seguridad distintas a las que se usan en ataques dirigidos o con Estaciones Base Falsa. Simplemente mirando características como el cifrado, la potencia de la antena o revisando toda la información que se ha configurado en ella es posible saber si se está ante una antena con alta probabilidad de ser falsa, si se está en una comunicación insegura sin cifrado, etcétera.

Figura 6: GSMK CryptoPhone

Esto lo detectan los famosos Cryptophones que se ponen en los terminales para monitorizar la seguridad de las llamadas y conexiones de datos, además de añadir capas de cifrado y seguridad adicionales. Por supuesto, esto también lo utilizan empresas y organizaciones de seguridad para monitorizar los entornos de sus instalaciones y evitar este tipo de ataques.

En Estados Unidos, la noticia ha saltado cuando Popular Science, en un recorrido por el país ha detectado varias Antenas de Comunicaciones con Estaciones Base Falsas que estaban funcionando sin cifrado, lo que hacía saltar las alertas en el software de protección de comunicaciones. Y estaban cerca de bases militares, lo que lleva a la pregunta. ¿Quién las puso y para qué?

Figura 7: Características detectadas de USA

Después de la publicación del artículo y el revuelo por todo el mundo, las antenas han sido eliminadas de sus ubicaciones, pero no se sabe exactamente cuántas habrá en Estados Unidos y el resto de los países, sobre todo teniendo en cuenta que está documentado cómo funcionan estos ataques y que el coste de montarlas no es muy caro.

Saludos Malignos!

Hacking de comunicaciones móviles GSM con RTL-SDR

Creo que a día de hoy a mucha gente ya le suena el nombre de Karsten Nohl, el investigador que presentó en el 27C3 (2010) su ponencia de "Wideband GSM Sniffing", donde demostró en público la gran vulnerabilidad de la red GSM, exponiendo las debilidades del algoritmo A5/1 y cómo crackear las ráfagas utilizando sus Rainbow Tables - que están públicas en Internet (~2Tb). Esto lo demostró haciendo una demo práctica de cómo hacer una captura de mensajes cortos SMS y una llamada utilizando unos teléfonos móviles modificados con OsmocomBB.


Figura 1: Presentación de Karsten Nohl en el 27C3 sobre Wideband GSM Sniffing
Este escenario sobre ataques a la red GSM ha ido evolucionando y ya no hace falta modificar teléfonos con chipset Calypso ni un hardware complejo como los USRP (+/- 900 €). La culpa de esto la tiene el chipset de RealTek RTL2832U. Este chipset está presente en varios modelos de sintonizadores TDT con un precio que oscila entre 20 y 30 Euros y que se pueden adquirir en Internet.

Además, hace unos años, los señores del Software Defined Radio (SDR) se fijaron en ellos porque podían utilizar el sintonizador en un rango más amplio que su utilidad original de sintonizar la TDT  - para ver todos los usos posibles acudir a RTL-SDR, donde se pueden ver usos como la detección de meteoritos, el seguimiento de aviones, comunicaciones TETRA, etcétera, etcétera.


Figura 2: Cómo configurar RTL-SDR para hacer un localizador de Satélites
Dependiendo de los fabricantes el rango de frecuencias que puede capturar cada dispositivo oscila, pero podemos decir que el rango de frecuencias (Elonics E4000) es de 52 a 2200 MHz y la gran suerte (o no) es que dentro de ese rango, tenemos las bandas utilizadas en la telefonía móvil:

Figura 3:Tabla de Frecuencias GSM en España (Solo 2G, no incluye redes 3G o 4G)

Con todo esto, el proyecto OpenSource OsmoSDR se encargó de escribir el software necesario para manejar estos dispositivos y poder capturar la señalización que viaja por el "aire" a un fichero binario, pudiendo ajustar la frecuencia, el ancho de banda, ganancia, etcétera.

Figura 4: Adaptando la señal con GNU Radio Companion a airprobe en 2G

Utilizando el software del GNU Radio Companion se puede adaptar de manera muy sencilla el formato de este fichero binario al formato que utiliza el programa airprobe, encargado de decodificar la señalización capturada con varios tipos de dispositivos (RTL-SDR, USRP, etcétera)

Figura 5: Señal GSM en red 2G capturada en WireShark

Esto ya permitiría a cualquiera capturar el tráfico que está pasando por una determinada frecuencia y verlo en su analizador de tráfico preferido. En este caso podemos ver la señal en Wireshark, pero por supuesto todo irá cifrado con A5/1. El último paso es crackear la información que viaja por el aire cifrada.

Figura 6: Desde Kali Linux se configura el filtrado del fichero con datos GSM
y se lanza el ataque de Rainbow Tables

Se supone que este paso debería de resultar "imposible" para cualquier hijo de vecino, pero la realidad es muy triste y no es así. Cualquiera puede descifrar esta información, puesto que el algoritmo utilizado para cifrar las comunicaciones (A5/1) es demasiado viejo (1988) y ya demostró Karsten Nohl cómo romperlo utilizando sus Rainbow Tables, aunque en 1997 ya se había probado teóricamente cómo romperlo.

Figura 7: Proceso de cracking con Rainbow Tables

Es decir, con 20€ y un equipo con una distribución de Kali Linux, cualquier persona con muy pocos conocimientos puede realizar capturas de todo el tráfico de una celda de la red GSM para más tarde, en su casa, descifrar el tráfico en busca de llamadas y mensajes cortos, ¿A que pone los pelos de punta? Pensad en ello la próxima vez que recibáis un SMS con una información sensible.

Figura 8: Mensaje SMS capturado en una conexión GSM 2G

Todo el proceso de captura ya ha sido documentado en incontables páginas webs por todo el mundo:

- Decrypting GSM phone calls
- RTL-SDR Tutorial: Analyzing SMG with the AirProbe and WireShark
- Instalación y uso de AirProbe
- Getting Started with GNU Radio and RTL-SDR

Y hay mucha más información ampliamente documentada como en el libro de Hacking y Seguridad en Comunicaciones móviles: GSM/GPRS/UMTS/LTE y en le capítulo de "Ataques GSM-GPRS a iPhone" del libro de Hacking iOS. Por lo que no tardará en extenderse de igual manera que pasó con los ataques a la seguridad WEP o el cracking de WPA/WPA2 en las redes WiFi.

Figura 9: Tarjeta RTL-SDL por USB necesaria

Reflexión final sobre la privacidad en Europa

En casi toda Europa se utiliza este viejo algoritmo que debería de proteger nuestras comunicaciones móviles y que se sabe ya desde hace al menos 4 años de su probada y refinada vulnerabilidad por lo que es necesario que en Europa, donde el sentir de la ciudadanía es alto hacia la privacidad, debería liderar un cambio a tecnologías que garanticen más privacidad, sobre todo después de todo lo que hemos vivido durante estos últimos tiempos con las técnicas de espionaje de la NSA.

El A5/3 conocido como KASUMI es la siguiente versión del algoritmo de cifrado mejorada, y aunque ya se han publicado ataques (2010: Dunkelman, Keller y Shamir, 2005: Eli Biham, Orr Dunkelman y Nathan Keller, etcétera) ninguno de estos deja la seguridad de las llamadas al descubierto y en manos de cualquiera, como por ejemplo los famosos grupos especiales de la NSA que visitaban el Vaticano para espiar al Papa.

Autor: Pedro Cabrera