Tecniche di connessione LTE
Probabilmente hai sentito parlare di Stingray o IMSI-catcher, che appartengono alla categoria più ampia dei “Cell Site Simulator” (CSS). Questi dispositivi consentono ai loro operatori di “curiosare” sull’utilizzo del telefono da parte delle persone nelle vicinanze. C’è molta confusione su ciò di cui sono effettivamente capaci i CSS, e gruppi diversi, dagli attivisti ai politici ai tecnologi, li capiscono in modo diverso.
C’è molta confusione su ciò che effettivamente fanno i CSS e su come lo fanno. Questa confusione deriva dal fatto che il termine “simulatore di sito cellulare” incapsula effettivamente una varietà di diversi attacchi alla rete cellulare che si sono evoluti in modo significativo negli ultimi 25 anni circa. Ad aumentare la confusione c’è il fatto che il termine “IMSI-catcher” è usato in modo intercambiabile con “cell site simulator” e si riferisce anche a capacità specifiche di alcuni CSS.
C’è un po’ più di vocabolario e background che deve essere introdotto:
- IMSI (International Mobile Subscriber Identity): l’identificativo univoco collegato alla tua scheda SIM che è uno dei dati utilizzati per autenticarti sulla rete mobile. È pensato per essere mantenuto privato (perché, come vedremo più avanti, può essere collegato alla tua posizione fisica e alle tue telefonate/messaggi/dati).
- TMSI: alla prima connessione a una rete, la rete chiederà al tuo IMSI di identificarti, quindi ti assegnerà un TMSI (Temporary Mobile Subscriber Identifier) da utilizzare mentre sei sulla loro rete. Lo scopo dello pseudonimo TMSI è cercare di rendere difficile per chiunque intercettazioni sulla rete associare i dati inviati attraverso la rete con il tuo telefono.
- IMEI (International Mobile Equipment Identity): l’identificativo univoco associato al tuo dispositivo mobile fisico.
- Ki: una chiave crittografica segreta memorizzata anche sulla scheda SIM utilizzata per autenticare il tuo telefono alla rete (e dimostrare di essere chi dici di essere).
- MCC (Mobile Country Code): il codice del tuo paese mobile, ma non deve essere confuso con il prefisso del telefono cellulare di un paese . Ad esempio, il Centro clienti canadese è 302, ma il suo prefisso telefonico è +001.
MNC (Mobile Network Code): il codice che rappresenta il gestore che stai utilizzando. Ad esempio, 410 è una delle MNC di AT&T. - Cell ID: ogni torre cellulare è responsabile di servire una piccola area geografica chiamata cella, a cui è associato un ID cella.
- LAC/TAC (“Location Area Code”): nel GSM, i gruppi di celle vicine sono organizzati per ID in “Location Areas” (“LA” in breve), con l’identificatore di ciascuna LA denominato “Location Area Code”. In 4G questi sono rispettivamente indicati come Tracking Area (TA) e Tracking Area Code (TAC).
- BTS (“stazione base”): un termine più generale per dispositivi come le torri cellulari (e i CSS che fingono di essere torri cellulari).
È anche importante capire come sia possibile per un CSS aggirare le protezioni in LTE e altri protocolli moderni che hanno lo scopo di impedire ai telefoni di connettersi a qualsiasi stazione base con una potenza sufficientemente elevata.
Nel GSM, i telefoni eseguono sempre la scansione alla ricerca di una torre con una potenza del segnale più elevata a cui connettersi. Tuttavia, in LTE se la potenza del segnale è superiore a una certa soglia sufficiente, il telefono non cercherà altre torri a cui connettersi per risparmiare energia.
Inoltre, nei telefoni LTE tengono traccia di un elenco di “vicini più vicini” che viene trasmesso dalla torre a cui sono collegati. Se per qualsiasi motivo perdono la connessione con la torre a cui sono connessi (o la possibilità di connettersi ad essa), cercheranno prima di connettersi a quelli che sono stati pubblicizzati nell’elenco dei vicini più vicini, prima di eseguire una scansione completa di le bande LTE disponibili per altre torri cellulari idonee.
Quindi, come può un utente malintenzionato forzare un telefono che utilizza LTE a connettersi al proprio CSS? Una tecnica potrebbe essere quella di mascherarsi da torre nell’elenco dei vicini più vicini (ad es. stessa frequenza, stesso ID cellulare, ecc …) e trasmettere a una potenza maggiore, quindi il telefono alla fine commuterà.
Ma c’è una tecnica più veloce! Si basa sul fatto che alle frequenze LTE vengono assegnate varie priorità (si parla di “riselezione cellulare basata su priorità assoluta”) e se un telefono vede che esiste una stazione base che opera su una frequenza con priorità più alta rispetto a quella su cui si trova, deve passare ad esso, indipendentemente dalla potenza del suo segnale. Per scoprire le frequenze a priorità più alta utilizzate in una determinata area, tutto ciò che serve è estrarle dai messaggi di configurazione non crittografati dalle stazioni base, che chiunque può monitorare (Shaik et al, 2017).
Utilizzando queste tecniche, gli aggressori possono probabilmente forzare anche un telefono LTE a connettersi al proprio CSS, che rivela l’IMSI del telefono e consente attacchi di follow-up.
Test di presenza in LTE
Il modo più semplice per eseguire test di presenza in LTE in realtà non richiede che qualcuno abbia quello che di solito consideriamo un CSS (ad esempio un dispositivo che finge di essere un ripetitore cellulare legittimo). Invece, tutto ciò che serve è una semplice apparecchiatura radio per scansionare le frequenze LTE, ad esempio un’antenna, un SDR (Software Defined Radio) e un laptop. Il test di presenza passiva prende il nome perché l’attaccante in realtà non ha bisogno di fare altro che cercare segnali prontamente disponibili.
Un aspetto fondamentale della tecnologia wireless è il modello di paging. Quando la rete ha un messaggio che vuole instradare a un telefono, invia un “messaggio cercapersone RRC” che viene ricevuto da ogni telefono che ascolta la frequenza cercapersone del proprio operatore in quella zona (che è praticamente ogni telefono), 5 chiedendo quel particolare telefono per contattare la stazione base per negoziare il completamento di una connessione per ricevere una chiamata o un messaggio. Pertanto, i telefoni ascoltano costantemente i messaggi di cercapersone RRC e ricevono e scartano quelli non indirizzati a loro.
RRC è l’abbreviazione di Radio Resource Control, che è il protocollo utilizzato per comunicare tra un telefono cellulare e una stazione base. L’RRC si occupa, tra le altre cose, della creazione della connessione e delle notifiche di cercapersone che ricevi un messaggio o una telefonata.
Il modo esatto in cui funziona il paging varia in base a diversi fattori, incluso il tipo di messaggio che la rete sta tentando di instradarti. Ad esempio, supponiamo che la rete stia tentando di indirizzarti una telefonata. Le chiamate telefoniche sono considerate ad alta priorità (poiché c’è qualcuno dall’altra parte che aspetta che tu ti connetta), quindi la rete avvisa ogni torre cellulare nell’ultima area di localizzazione in cui si trovava il tuo telefono per inviare il messaggio di cercapersone RRC indirizzato al tuo telefono (come al contrario solo dell’ultima torre cellulare utilizzata dal telefono). Ne parleremo più avanti!
I messaggi di paging RRC sono generalmente indirizzati a un TMSI, ma a volte vengono utilizzati anche IMSI e IMEI. Monitorando questi canali di paging non crittografati, chiunque può registrare gli IMSI e i TMSI che la rete ritiene si trovino in una determinata area. Nella sezione successiva, vedremo come un utente malintenzionato può correlare un TMSI a uno specifico telefono target, poiché in questo momento raccogliere TMSI significa semplicemente registrare pseudonimi.
Inoltre, i telefoni trasmettono periodicamente messaggi non crittografati sulla loro posizione e misurazioni della qualità del servizio cellulare che chiunque disponga dell’attrezzatura giusta può facilmente intercettare. A volte questi messaggi contengono l’esatta posizione GPS del telefono, ma di solito le informazioni sulla potenza del segnale delle celle vicine sono sufficienti per calcolare la posizione del telefono. Esamineremo questi rapporti di misurazione in dettaglio nella sezione Coordinate GPS esatte di seguito.
Test di presenza semi-passivi
Semi-passivo significa che l’attaccante utilizza le funzioni di rete solo nei modi in cui dovrebbero essere utilizzate. Un esempio di cosa significa per un avversario essere “semi-passivo”: l’aggressore può inviare un messaggio alla persona che sta cercando di rintracciare (supponendo che conosca il suo numero di telefono) per generare un messaggio di cercapersone da inviare al suo telefono, ma non possono andare a inviare dati dannosi o malformati a telefoni o torri nell’area (Shaik et al, 2017).
In questa sezione tratteremo due attacchi di localizzazione: uno che verifica la presenza di un telefono in una determinata area di localizzazione (“Test dell’area di localizzazione di base”) e uno che verifica la presenza di un telefono connesso a una specifica torre cellulare (lo “Smart Paging Test”, che ha un raggio di utilizzo molto più ridotto).
Test dell’area di localizzazione di base
Il primo passaggio di un test di base dell’area di localizzazione consiste nell’attivare circa 10-20 notifiche al telefono del bersaglio tramite telefonate, monitorando anche i messaggi di cercapersone RRC inviati. Per non avvisare l’utente, l’attaccante può riagganciare quasi immediatamente dopo aver avviato la chiamata in modo che il messaggio di cercapersone arrivi al telefono, ma l’utente non riceva effettivamente una notifica di chiamata in arrivo.
Poiché c’è qualcuno in attesa sull’altra linea per connettersi con te, le chiamate telefoniche sono considerate prioritarie, quindi la rete avvisa ogni torre cellulare nell’ultima area di localizzazione in cui si trovava il telefono per inviare il messaggio cercapersone RRC (invece che solo l’ultimo torre cellulare utilizzata dal telefono). L’attaccante può quindi utilizzare l’analisi dell’intersezione degli insiemi con le sue chiamate tempestive per capire il TMSI del bersaglio dai messaggi RRC.
Attacchi al downgrade del protocollo
Supponiamo che l’attaccante abbia impostato il proprio CSS e abbia indotto con l’inganno il bersaglio a tentare di connettersi. Dopo la procedura di connessione iniziale, il telefono invierà una “Richiesta di aggiornamento dell’area di tracciamento” (“TAU” in breve). Questo tipo di messaggio viene utilizzato dal telefono per mantenere la rete cellulare aggiornata sulla posizione più recente del telefono, in modo che la rete possa instradare le chiamate verso di esso più velocemente. Le richieste TAU vengono generalmente inviate dai telefoni ogni volta che si connettono a una nuova stazione base.
Il CSS risponde con un messaggio “TAU Reject”. All’interno del messaggio di rifiuto c’è qualcosa denominato “numeri di causa EMM”, che indica il motivo per cui il messaggio è stato rifiutato. In questo caso, l’attaccante lo imposta su 7 (“Servizi LTE non consentiti”).
Dopo aver ricevuto questo valore EMM, il telefono cancella tutte le informazioni che aveva sulla precedente rete reale a cui era connesso, quindi si pone in uno stato in cui considera la sua scheda SIM non valida per LTE. Quindi cerca le reti 3G e GSM a cui connettersi e non proverà più a negoziare una connessione LTE fino a quando non viene riavviato.
Rilevazione di un attacco IMSI-CATCHER
Per evitare di interferire con la rete sottostante, i ricevitori IMSI possono imitare le torri vicine ma trasmettere su frequenze diverse (note anche come canali). La maggior parte delle torri cellulari trasmette su una o forse due frequenze. Se una torre cellulare sembra trasmettere su molte frequenze nel tempo, potrebbe esserci un mima IMSI-catcher nelle vicinanze.
L’immagine sotto, mostra un insieme insolito di misurazioni trasmesse su 6 canali diversi per lo stesso ID cella. Questi sono stati rilevati di fronte a un edificio dei servizi di cittadinanza e immigrazione degli Stati Uniti (USCIS, un componente del DHS) a sud di Seattle. Per fare un confronto, nessun’altra torre a Seattle o Milwaukee ha trasmesso su più di 3 canali e si è misurato che oltre il 96% delle torri cellulari trasmetteva solo su un singolo canale. Diversi colori nell’immagine rappresentano canali diversi e le dimensioni rappresentano la potenza del segnale ricevuto. Si noti l’insolito gruppo di canali rilevato vicino all’edificio dell’USCIS.
