13/1/2017 Consultandoalespadebolsillo:vulnerabilidadesSS7yrastreoglobal|OficinaAntivigilncia

[responsive-menu]

PORTUGUS ESPAOL

TECNOLOGAS DE VIGILANCIA E ANTIVIGILANCIA

Consultando al espa de bolsillo: vulnerabilidades SS7 y

rastreo global
17/06/2015

Por Lucas Teixeira | #Boletn11

Fallas de con guracin de operadoras de telefona mvil permiten rastrear y seguir la ubicacin celulares en tiempo
real, interceptar y grabar llamadas de cualquier lugar del mundo simplemente conociendo el nmero del telfono
que se desea interceptar.

Los investigadores Tobias Engel y Karsten Nohl descubrieron las brechas de forma independiente y las presentaron
durante el 31C3, el 31 congreso anual realizado por el Chaos Computer Club en Alemania.

SS7, la internet de las operadoras

El Sistema de Sealizacin N 7 (Signalling System N 7) es la sptima versin de un protocolo usado por centrales
telefnicas en todo el mundo para intercambiar informacin de sealizacin, que sus equipos usan para encaminar
mensajes y llamadas al telfono correcto, reenviar llamadas, funcionar en *roaming* y todo lo necesario para que
podamos llamar a Japn con la misma facilidad (aunque no por el mismo precio) con la que llamamos a alguien de
otra provincia o estado o del mismo barrio.

https://antivigilancia.org/es/2015/06/consultandoalespiadebolsillovulnerabilidadesss7yrastreoglobal2/ 1/5
13/1/2017 Consultandoalespadebolsillo:vulnerabilidadesSS7yrastreoglobal|OficinaAntivigilncia
Las operadores dividen las reas que cubren en clulas (de all viene el nombre de telefona celular), con una estacin
de radio base (ms conocidas por las grandes antenas) responsable por cada clula.

Supongamos que Alice quiere llamar al celular de Bernardo. Para que se establezca un circuito entre los dos
telfonos, la red de telefona debe saber en qu clula est el telfono de Bernardo, es decir, a cul antena est
conectado su celular.

Cada operadora es responsable por monitorear en qu clula se encuentra su cliente.

Localizacin a travs del nmero

El primer problema detectado es que hay un mensaje en el protocolo SS7 llamado

anyTimeInterrogation, que permite pedir el identi cador (ID) de la clula donde se encuentra el nmero. Con ese
ID, es posible saber la latitud y la longitud a partir de bancos de datos disponibles comercialmente.

Ese mensaje espec co se cre para el uso interno de la operadora (el SS7 se usa tanto entre dos operadoras, como
dentro de cada una de ellas para comunicacin de sus diversos servidores y dispositivos), pero se descubri que
ninguna operadora bloqueaba esos pedidos cuando provenan de afuera. Esto permita que una operadora en
cualquier lugar del mundo pudiera realizar pedidos ilimitados sobre nmeros de otros pases.

Despus de la publicacin de esa falla, muchas operadores comenzaron a bloquear los mensajes
anyTimeInterrogation. Pero lo que Karsten, Tobias y otros investigadores vienen descubriendo son otros
mensajes que, cuando se envan a los lugares correctos y en el orden correcto, permiten encontrar la localizacin de
un celular, adems de cambiar su tipo de plan, agregar o quitar crditos, impedir el funcionamiento del telfono
(denial of service) y hasta interceptar llamadas. Todo a partir de una red de telefona en cualquier lugar del mundo,
solamente sabiendo el nmero del telfono celular.

Durante la presentacin en 31C3, Tobias Engel mostr una herramienta que usa para comprobar sus
investigaciones: un mapa que muestra los movimientos de personas amigas que lo autorizaron a seguirlas. Es
posible ver puntos desplazndose a travs de una carretera e inmediatamente despus saltar de Amrica a Europa,
cuando la persona en cuestin viaja en avin.

Todo indica que esa es la misma tcnica por detrs del producto SkyLock, de Verint: de hecho, la investigacin de
Tobias comenz a partir del contacto de un periodista del Washington Post que investigaba ese software y el
In ltrator, de funciones semejantes.

SkyLock es presentado en un material de divulgacin como una solucin para descubrir localizaciones en tiempo
real y de forma independiente, para clientes GSM y UMTS, que permite que agencias operacionales recojan
https://antivigilancia.org/es/2015/06/consultandoalespiadebolsillovulnerabilidadesss7yrastreoglobal2/ 2/5
13/1/2017 Consultandoalespadebolsillo:vulnerabilidadesSS7yrastreoglobal|OficinaAntivigilncia
informacin de localizacin del cliente a escala global. Su slogan es Localice. Monitoree. Manipule. Distribuido en
enero de 2013, el material garantiza que funciona con 70% de los celulares del mundo y, adems de mostrar la
ubicacin de los nmeros en el mapa, tambin ofrece funciones avanzadas, como alertas cuando se enciende
determinado celular, cuando un celular entra en un rea predeterminada o se aproxima a otros celulares
registrados.

Imgenes de software Skylock. Divulgacin permitida

Verint es uno de los gigantes de la tecnologa de inteligencia y monitoreo. La empresa, de origen israel pero que
ahora tiene sede en los EE. UU., tiene o cinas en ms de veinte pases. En Amrica Latina, est presente en Brasil y
Mxico.

Otra falla muy grave descubierta permite obtener la clave criptogr ca usada para proteger llamadas y mensajes en
redes de telefona 3G.

Las llamadas realizadas utilizando ese estndar u otro ms nuevo son protegidas por criptografa que impide que
alguien en las proximidades pueda interceptar las ondas de radio y escuchar la conversacin.

Al registrarse en una clula, el celular intercambia claves criptogr cas con la estacin de radio base. Pero para que
pueda transferirse de una clula a otra (al hablar dentro de un coche que circula por una carretera, por ejemplo) sin
que la comunicacin se interrumpa, la estacin de radio base que lo recibe debe obtener las claves que la estacin
que qued atrs estaba usando.

Esa transferencia de claves se realiza a travs de mensajes SS7, que (adivina) raramente son bloqueados o
ltrados. Esto permite que un adversario fsicamente prximo a una persona pueda intervenir una conexin celular-
antena, obtener la clave a travs de la red SS7, abrir la proteccin criptogr ca y acceder a las llamadas y mensajes.

https://antivigilancia.org/es/2015/06/consultandoalespiadebolsillovulnerabilidadesss7yrastreoglobal2/ 3/5
13/1/2017 Consultandoalespadebolsillo:vulnerabilidadesSS7yrastreoglobal|OficinaAntivigilncia
Una internet sin rewalls

La historia de SS7 se remonta a los aos 70 y a lo largo de su desarrollo, realizado en conjunto por empresas de
telecomunicaciones, se convirti en un sistema bastante complejo. Adems, el modo como interconecta a las
operadoras y permite que intercambie informacin se basa casi totalmente en la con anza. No existe
autenticacin para ninguno de estos servicios; entonces, si ests en la red SS7 y tienes un acuerdo de roaming con
otras operadoras, simplemente puedes usarlos, dice Tobias.

Con el crecimiento de las redes de telefona, los prestadores de servicios acceden a ellas, son alquiladas, puestas a
disposicin a travs de VPN, etc. Segn el investigador, el acceso a la red puede comprarse a las empresas de
telecomunicaciones o a roaming hubs por algunas centenas de euros al mes. De esa manera, la red de telefona
global tejida por el protocolo SS7 pas de unas pocas y grandes corporaciones controladas por gobiernos a
numerosas empresas de telecomunicaciones, grandes y pequeas, dispersas por el mundo. Cuando se le pregunt,
Karsten Nohl, no supo estimar cuntos actores hay en la red SS7 (ms de lo que sera con able).

Pero Karsten cree que la infraestructura puede repararse sin tener que reconstruirla de cero. Muchas brechas de
seguridad pueden mitigarse bloqueando los mensajes que vienen de afuera de la red interna de la operadora, o
incluso pueden eliminarse totalmente, ya que estn all para permitir funciones obsoletas.

Otros no pueden bloquearse totalmente: si las clulas vecinas no pueden pasar las claves criptogr cas, las
llamadas se interrumpiran cuando uno vuelve a casa en mnibus. En esos casos, la decisin de responder o no a
pedidos de clave puede tomarse a travs de pruebas de plausibilidad: si la fuente del pedido acta cerca del lugar
donde est el celular, si esos pedidos estn realizndose dentro de un lmite razonable, etc.

Mapeo de redes vulnerables

En el mismo congreso del Chaos Computer Club, Laurent Ghigonis y Alexandre de Oliveira, de P1 Security,
presentaron una herramienta interesante para entender y actuar sobre ese problema.

A travs de alianzas con operadoras de telefona, P1 Security prob cada una de las diferentes formas de extraer
informacin delicada de las redes SS7 de todo el mundo y consolid sus conclusiones en el SS7map. En este mapa,
cada pas es clasi cado de acuerdo con la seguridad de sus redes de telefona frente a esas vulnerabilidades.

Haciendo clic en cada pas es posible ver detalles sobre las vulnerabilidades de susoperadoras que permiten la fuga
de datos de sus clientes (privacy leaks) y de su infraestructura interna y con guraciones de seguridad (network
exposure).

El escenario, al menos en el momento de la generacin del mapa (navidad de 2014), es triste. Entre los pases de
Amrica Latina, solamente Venezuela bloquea todas las formas posibles de extraer la localizacin de un celular a
nivel de la ciudad (una sola operadora en el pas fue escaneada, ya que era la nica con un acordo deroaming con las
operadorasaliadas alproyecto). Son pocas las operadoras que cierran las brechas de localizacin ms graves, con
precisin de 200 metros. La mayora de las operadoras tambin aceptan pedidos que revelan las claves
criptogr cas 3G que protegen las llamadas y los mensajes SMS de intervenciones.

As que nospusimosen contacto con P1 Security, nos dijeron que hay un scanen cursoy nuevos resultados sern
publicados en el tercer trimestre de este ao.

https://antivigilancia.org/es/2015/06/consultandoalespiadebolsillovulnerabilidadesss7yrastreoglobal2/ 4/5
13/1/2017 Consultandoalespadebolsillo:vulnerabilidadesSS7yrastreoglobal|OficinaAntivigilncia
Autodefensa: detecte ataques con SnoopSnitch

Karsten Nohl present tambin una poderosa herramienta para que podamos tomar las riendas de la situacin. l,
Tobias y otras personas involucradas con SS7 vienen alertando desde hace aos sobre ese tipo de problemas. No se
puede esperar ms, por lo menos para m. Soy impaciente, quiero hacer algo ahora y quiero abordar todos esos
problemas, dice Karsten hablando sobre vulnerabilidades como las que presentamos en este artculo.

Para eso, Security Research Labs desarroll SnoopSnitch, una aplicacin (libre y de cdigo abierto) para Android
que muestra las vulnerabilidades de su operadora y detecta ataques SS7 e interferencias en la red causados por
equipos como stingrays e IMSI catchers.

AdobeAcrobat

Errordeconversin

ConvertirpginawebaPDF

AgregaraPDFexistente

VisitarDocumentCloud

AbrirPDFenAcrobat

Preferencias...
Su celular tcnicamente sabe que se estn produciendo esos ataques y que su red est con gurada de forma
insegura. Pero, lamentablemente, esa informacin est bien escondida en el telfono, dentro del baseband.
Entonces, no se puede acceder a ella programando normalmente para Android. El ao pasado el escenario cambi
un poco. El equipo de Karsten descubri que ciertos modelos de celular (los que tienen chipsets Qualcomm) pueden
recon gurarse para que el baseband trans era los datos necesarios para detectar los ataques.

Para quien cumple con los requisitos (Android con acceso root y chipset Qualcomm), la aplicacin permite hacer
esos anlisis y, si se acepta, enviar datos para contribuir con un proyecto paralelo de Security Research Labs, el GSM
Security Map, que funciona como el SS7map, pero que considera toda la seguridad de la red de telefona celular.

Al conocer ms datos sobre las redes de una regin, el Snoop Snitch puede hacer comparaciones para detectar
sbitos cambios de con guraciones de seguridad que pueden indicar la presencia de algn equipo usado para
orquestar o facilitar ataques. La evaluacin de Amrica Latina se basa totalmente en estimaciones; al contribuir con
el banco de datos usando SnoopSnitch, podemos ayudar a dibujar mejor ese mapa y saber, incluso sin la aplicacin,
qu tan seguras son nuestras operadoras.

Tags: boletin11, celular, Lucas Teixeira, skylock, ss7, verint

Ms contenido acerca de

TECNOLOGAS DE VIGILANCIA E ANTIVIGILANCIA

Otras noticias

Editorial Violencia en lnea, privacidad y el anonimato

10
Sep

https://antivigilancia.org/es/2015/06/consultandoalespiadebolsillovulnerabilidadesss7yrastreoglobal2/ 5/5