Towards Secure 4G and 5G Access Network Protocols
Total Page:16
File Type:pdf, Size:1020Kb
Towards Secure 4G and 5G Access Network Protocols vorgelegt von Altaf Shaik (M.Sc.) ORCID: 0000-0003-2657-6975 von der Fakultät IV - Elektrotechnik und Informatik der Technischen Universität Berlin zur Erlangung des akademischen Grades DOKTOR DER INGENIEURWISSENSCHAFTEN (Dr.-Ing.) genehmigte Dissertation Promotionsausschuss: Vorsitzender: Prof. Dr. Thomas Magedanz, Technische Universität Berlin Gutachter: Prof. Dr. Jean-Pierre Seifert, Technische Universität Berlin Gutachter: Prof. Dr. Ivan Martinovic, University of Oxford Gutachter: Prof. Dr. Abhay Karandikar, Indian Institute of Technology Kanpur Tag der wissenschaftlichen Aussprache: 24. Juni 2020 Berlin 2020 Abstract The security architecture of 2G and 3G mobile networks has been dramatically improved to accommodate 4G (Fourth Generation, a.k.a Long Term Evolution (LTE)) security requirements. As generations evolve, security improvements address pre- viously known vulnerabilities, esp. in terms of user privacy. Thus, there have been substantial efforts to protect user plane traffic by using robust encryption algorithms over the LTE access network. Contrarily, the control plane remains vulnerable despite its security enhancements. Especially, the radio and subscriber management protocols have not evolved for the last two decades in mobile networks. By design, these proto- cols are allowed to operate without any security measures to minimize overheads in the system. Such design choices made by the standard body Third Generation Part- nership Project (3GPP) are justified as a trade-off between conflicting requirements such as security and availability and performance. These justifications remain valid, considering that telecommunication systems have traditionally been proprietary, expensive, and efforts to mount attacks against them were challenging. Today, the proliferation of inexpensive radio hardware and open-source cellular software has changed the threat landscape in mobile networks. In this context, our research practically investigates the validness of LTE security trade-offs. For this, we develop a low-cost experimental testbed to mount different types of wireless attacks and evaluate their feasibility and impact on commercial LTE devices and networks. We discover several new vulnerabilities in the access network protocols that jeopardize the privacy and availability aspects of the system. We also identify bad security practices in end-user devices and the operator’s infrastructure that catalyze our attacks and further, amplify its consequences. Our findings indicate that the equilibrium points in the trade-offs have changed today compared to where they were when designing the LTE security architecture. Also, the security margins to protect against trade-off changes being too narrow demonstrates the lack of resilience in LTE networks. Unlike jamming or other types of Denial-of- Service (DoS) attacks, ours are stealthy and remain active on end-user devices for a prolonged period. iii To this extent, we responsibly communicated our research findings to the relevant standard bodies, operators, and baseband vendors. We emphasize that the justifica- tion for these trade-offs is no longer valid and violates LTE security requirements. Thus, we propose mitigations to restore privacy and availability aspects of the sys- tem, and fortunately, they are enforced into 4G and 5G specifications and also into worldwide operational devices and networks. We recommend that safety margins introduced into future specifications should incorporate greater agility and flexibility to maintain a stable trade-off equation. Zusammenfassung Die Sicherheitsarchitektur von 2G und 3G Mobilfunknetzen wurde stark überarbeitet und verbessert, um den Sicherheitsanforderungen, die an 4G (Fourth Generation, auch bekannt als LTE (Long Term Evolution)) gestellt werden, gerecht zu werden. Mit jeder neuen Generation wurden die Sicherheitsstandards verbessert, um neu bekanntgewordene Sicherheitslücken zu beheben, insbesondere im Hinblick auf die Privatsphäre der Nutzer. Es wurden erhebliche Anstrengungen unternommen, um die LTE-Userplane bei der Übertragung im LTE Netz mittels robuster Verschlüs- selungsalgorithmen zu schützen. Im Gegensatz hierzu ist die Controlplane, trotz einiger Sicherheitsverbesserungen, weiterhin verwundbar. Insbesondere der Betrieb von Funk- und Abonnentenmanagementprotokollen hat sich für Mobilfunknetzte in den letzten zwei Jahrzehnten nicht weiterentwickelt. Diese Protokolle sind ohne notwendige Verschlüsselung konzipiert, um die Systemlast minimal zu halten. Diese Entscheidungen werden durch das Standardorgan 3GPP (Third Generation Partnership Project) getroffen und werden mit einem Kompromiss zwischen den widersprüchlichen Anforderungen der Sicherheit und Verfügbarkeit auf der einen, und der Leistung auf der anderen Seite, begründet. Diese Rechtfertigungen sind weiterhin gerechtfertigt, da Telekommunikationssysteme traditionell proprietär und teuer sind und Angriffe gegen Telekommunikationssysteme eine Herausforderung darstellten. Heutzutage hat sich angesichts der Verbreitungen günstiger Funk-hardware und Open-Source Mobilfunk Software die Bedrohungslage in Mobilfunknetzen stark verändert. Vor diesem Hintergrund untersucht unsere Forschung praxisnah die Gültigkeit der Trade-Offs im Design der LTE Sicherheitsarchitektur. Hierzu entwick- iv eln wir eine günstige experimentelle Testumgebung, um verschiedene drahtlose An- griffe durchzuführen und ihre Auswirkung auf kommerzielle Geräte und Netzwerke zu evaluieren. Wir entdecken eine Reihe an bis dato unbekannten Sicherheitslücken in den LTE Zugangsprotokollen, welche die Vertraulichkeit und Verfügbarkeit der Systeme gefährden. Darüber hinaus identifizieren wir sicherheitskritische Praktiken bei Implementierungen für Endbenutzergeräte und in der Infrastruktur der Netz- betreiber, die von Standard Sicherheitsverfahren abweichen und dadurch unsere Attacken beschleunigen und ihre Konsequenzen erhöhen. Unsere Ergebnisse deuten darauf hin, dass sich das Gleichgewicht zwischen Sicher- heit und Leistung, im Vergleich zu dem Stand, als die LTE Sicherheitsarchitektur entworfen wurde, verschoben hat. Desweiteren stellen sich die Sicherheitsspiel- räume, die gegen Veränderungen der Trade-Offs schützen sollen, als zu gering heraus. Anders als bei Jamming- und Flooding-basierten Angriffen laufen unsere Angriffe im Generellen unbemerkt ab und können für einen längeren Zeitraum auf dem Endbenutzergerät aktiv bleiben. Wir haben unsere Forschungsergebnisse verantwortungsbewusst an die relevanten Standardorganisationen, Betreiber und Basisbandanbieter gemeldet. Wir betonen, dass die eingegangenen Kompromisse nicht mehr zu rechtfertigen sind und eine die LTE Sicherheitsanforderungen nicht erfüllen. Wir schlagen daher Maßnahmen vor, um die Aspekte, welche die Vertraulichkeit und Verfügbarkeit des Systems betreffen, wiederherzustellen. Glücklicherweise werden diese Maßnahmen in den 4G und 5G Spezifikationen sowie in den weltweiten Netzen der Betreiber umgesetzt. Wir empfehlen, dass Sicherheitsspielräume, die in künftige Spezifikationen aufgenom- men werden, eine größere Agilität beinhalten sollten, um späteren Änderungen des Kompromissgleichgewichts Rechnung zu tragen. v Publications Related to this Thesis The work presented in this thesis resulted in the following peer-reviewed publica- tions: • New Vulnerabilities in 4G and 5G Cellular Access Network Protocols: Exposing Device Capabilities, Altaf Shaik, Ravishankar Borgaonkar, Shinjo park, & Jean- Pierre Seifert, In the proceedings of 12th ACM Conference on Security & Privacy in Wireless and Mobile Networks, 2019 (ACM WiSec). • New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols, Ravishankar Borgaonkar, Lucas Hirschi, Shinjo Park, & Altaf Shaik, In the proceedings of 20th Privacy Enhancing Technologies Symposium, 2019 (PETS). • On the Impact of Rogue Base Stations in 4G/LTE Self Organizing Networks, Altaf Shaik, Ravishankar Borgaonkar, Shinjo park, & Jean-Pierre Seifert, In the proceedings of 11th ACM Conference on Security & Privacy in Wireless and Mobile Networks, 2018 (ACM WiSec). • Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communica- tion Systems, Altaf Shaik, Ravishankar Borgaonkar, Asokan N, Valtteri Niemi, & Jean-Pierre Seifert, In the proceedings of 23rd Annual Network & Distributed System Security Symposium, 2016 (NDSS). vii Contents 1 Introduction 1 1.1 Motivation and Problem Statement . 1 1.2 Hypothesis and Methodology . 4 1.3 Scientific Contribution and Impact . 5 1.4 Thesis Structure . 7 2 Background 9 2.1 LTE Network Architecture . 9 2.1.1 UE . 10 2.1.2 E-UTRAN . 10 2.1.3 MME in EPC . 10 2.2 LTE Network Procedures . 11 2.2.1 UE/Subscriber Registration . 11 2.2.2 Security . 13 2.2.3 Paging . 16 2.2.4 Handover . 18 2.2.5 Self Organized Network (SON) . 19 2.3 Related Work . 21 2.3.1 Privacy Attacks . 21 2.3.2 Denial of Service Attacks . 23 2.3.3 Security Testing Framework . 24 2.3.4 Low-Powered IoT attacks . 25 3 Low Cost Tools: LTE Testbed and Threat Modelling 27 3.1 IMSI Catchers . 28 3.2 LTE Experimental Testbed . 29 3.2.1 Hardware . 29 3.2.2 Software . 32 3.3 LTE Threat Landscape . 33 3.3.1 Adversary Modelling . 33 3.3.2 Building Rogue LTE Components . 34 3.3.3 Ethical Considerations . 40 ix 4 Trading Security for Availability 41 4.1 Security Weaknesses in LTE Radio Network Management . 42 4.1.1 Broadcast Information . 42 4.1.2 Measurement Reporting . 43 4.1.3 SON Features . 44 4.2 Compromising LTE Subscriber Privacy: Location Leaks . 47 4.2.1 Location leak enablers