hardware hacking & nfc emulation - cybercamp.es · 1. tao: usb • cottonmouth ii: –permite...

Hardware Hacking & NFC Emulation

1. TAO: Fuentes

• 06/06/2013 Entrevista Eduard Snowden, Hong Kong

• 09/06/2013 The Guardian/ The Washington Post

• 13/06/2013 Unidad Tailored Access Operations

• 17/08/2013 NSA Files (Raw Documents + Whistleblower Edward Snowden Interview)

• 04/10/2013 “La red TOR es atacada por la NSA” Utilizando una vulnerabilidad en versiones desactualizadas de Firefox para implantar software en los PC

• 05/2014 NBC entrevista Eduard Snowden

1. TAO: Escenario

1. TAO: ¿Qué es PRISM?

• 1. TAO


• PROVEEDORES PARTICIPANTES PROGRAMA PRISM: Esta diapositiva muestra cuando cada empresa se unió al programa, Microsoft es la primera , el 11 de septiembre de 2007, y Apple la más reciente, en octubre de 2012.


• Facebook: 1320 millones de usuarios registrados añaden alrededor de 350 millones de imágenes nuevas/día (Facebook ya cuenta con más de 240.000 millones de imágenes en 2012)

• Gmail: 425 millones de usuarios activos al mes (junio 2012)

• Hotmail: 360 millones de usuarios (julio de 2011)

• Escepticismo: ¿Realmente hay capacidad para esto?

• Trazabilidad: Existe trazabilidad y auditoría del uso de las herramientas.

1. TAO: ¿Qué es X-Keyscore?

• X-Keyscore: sistema informático utilizado por la NSA de Estados Unidos para la búsqueda y análisis de datos en Internet

1. TAO ¿Qué es X-Keyscore?

1. TAO

• NSA quería ir más allá de la inteligencia sobre la interceptación pasiva de comunicaciones electrónicas tradicionales (SIGINT)

• 1998: Unidad especializada: Tailored Access Operations (TAO)

• 2004: Fuentes revelan la existencia de entre 120 y 150 IMPLANTS activos

• 2010: Número de IMPLANTS se elevó a decenas de miles

• “It is not about the quantity produced but the quality of intelligence that is important” Former TAO chief

1. TAO

• Según Edward Snowden que describe el trabajo de la unidad dice que TAO tiene plantillas de software que permiten hackear el hardware de uso común, incluyendo: – Routers

– Switches

– Firewalls

1. TAO

IMPLANTS:

• Computer Network Explotation (CNE): Recopilar información de los equipos y redes objetivos.

• Computer Network Attack (CNA): Interrumpir, dañar, inutilizar o destruir los dispositivos

1. TAO

• Según The Washington Post, los ingenieros del TAO , prefieren explotar redes en lugar de ordenadores aislados, porque normalmente hay múltiples dispositivos en una misma red

• ANT = Advanced or Access Network Technology

1. TAO: Teclados

Teclados: Implante hardware para registro y transmission de las pulsaciones de teclados USB/PS2 incluso con el PC desconectado de la Internet/WiFi

1. TAO: USB

USB: Implantes hardware que simulan la apariencia de un conector USB, cable de extensión USB, un pendrive, etc y pueden enviar y recibir señales de radio.

• COTTONMOUTH I: – Corta distancia

– Interceptación de telecomunicaciones

– Inyección de troyanos

– Permite conectar son otros implants COTTONMOUTH

1. TAO: USB

• COTTONMOUTH II: – Permite el control remoto de un sistema

– Se conecta a otro módulo oculto en el chasis del ordenador que permite el contacto mediante frecuencias de radio en distancias más largas

• COTTONMOUTH III: – Permite la comunicación encubierta (ondas de radio) utilizadas en los

ordenadores (offline) o que por otras razones no son accesibles a través de conexiones de red normales

– Se conecta a otro módulo oculto en el chasis del ordenador que permite el contacto frecuencias de radio en distancias más largas

– O se conecta con otros dispositivos COTTONMOUTH cercanos

1. TAO: USB

• FIREWALK: – Implante hardware de red bidireccional

– Recoger pasivamente el tráfico de red 10/100/1000BaseT Ethernet

– Inyectar activamente paquetes Ethernet en la misma red de destino

– Se encapsula dentro de un conector dual USB /RJ45

– Permitiría crear una VPN entre la red de destino y el ROC

1. TAO: Firewalls

JETPLOW:

• Implante persistente para firmwares de firewalls CISCO – Cisco PIX Serie 500

– Cisco ASA Series (5505, 5510, 5520. 5540. 5550)

• Puerta trasera persistente

1. TAO: Firewalls

SOUFFLETROUGH:

• Implante persistente para BIOS de firewalls JUNIPER – Juniper SSG 500 (520. 550. 520M. 550M)

– Juniper SSG 300 (320M, 350M)

• Posibilidad de instalar puerta trasera persistente

HALLUXWATER:

• Implante software de puerta trasera persistente para firewalls HUAWEI Eudemon Series

1. TAO: Routers

SCHOOLMONTANA/STUCCOMONTANA/SIERRAMONTANA:

• Implantes para routers Juniper J-Series, T-Series, M-Series

• Modifican la BIOS para alterar el

HEADWATER:

• Implante software de puerta trasera persistente para routers HUAWEI

• Puerta trasera persistente

2. APT / Caso Real

2. APT / Tecnologías

2. APT / Accesos

2. APT / Post-Hardening

2. APT / Caso Real

2. APT / Hechos

• Solo conocemos la ubicación de una sala

• Sistemas de control de acceso

• Entorno bastionado

• Uso de AirGap

• USBs Deshabilitados

• Dispositivos de almacenamiento cifrados

• No se dispone de credenciales

• No conocemos el direccionamiento de la red

• Sin relación con el personal autorizado

¿IMPOSIBLE?

2. APT / Accesos

+

2. APT / Personas

2.1. SmartCard

Tarjeta MONEDERO

2.1. SmartCard

2.1. SmartCard

• Emulación de SmartCards

http://hackaday.com/2009/03/03/smart-card-emulator/







2.1. SmartCard

• Emulación con AVR

https://code.google.com/p/sle4442



2.1. SmartCard

• Emulación de SmartCards








• PIN Recovery

http://www.setchief.com/

2.1. SmartCard



2.1. SmartCard

El no lo haría

2.1. SmartCard

http://hackaday.com/2008/11/25/how-to-read-a-fedex-kinkos-smart-card-sle4442/



















2.1.1. SmartCard

+ +

2.1. SmartCard

2. APT / Personas

2.2.1. NFC

• 3. NFC – Tarjeta Backdoor

– Emulación MF Classic (Chameleon)

3. NFC: Tarjeta Backdoor

• Las tarjetas con tecnología NFC MIFARE Classic cubren mas del 70% de la cuota de mercado de controles de acceso mundial (según datos del IEEE Symposium de 2009)


• Gestión de accesos: – Acceso a urbanizaciones

– Cerraduras inteligentes (smart locks)

– Acceso a habitaciones de hoteles

– Control de acceso en aeropuertos

– Control de acceso en hospitales

– Identification de personas en eventos

– Acceso a vehículos y arranque sin llave física

– etc


• Tarjetas de identidad corporativas: – ¿Qué tipo de tarjetas utiliza en su empresa?


Estructura Interna MF Classic:


MIFARE Classic Mini (5 sectores, de 4 bloques cada uno)

MIFARE Classic 1K (16 sectores, 4 bloques cada uno)

MIFARE Classic 4K (40 sectores, primeros 32 sectorss de 4 bloques, el resto de 16 bloques)

Cada bloque se compone 16 bytes


MIFARE Classic 1K – Rango de frecuencia: 13.56 MHZ

– Tasa de transferencia: ~106 kBit/s

– Cumplimiento: ISO/IEC 14443 Type A

– Tamaño EEPROM: 1024 Bytes

– Sectores: 16 Sectores [0,15]

– Bloques: 4 bloques por sector [0,3]

– Bytes: 16 bytes po bloque [0,15]

– Cifrado: propietario 48 bits CRYPTO1

– Número de claves: <= 32 Keys

– Espacio de almacenamiento: 752 Bytes


MANUFACTURER BLOCK:

Bloque 0 del Sector 0 de cada EEPROM no puede ser utilizado por el usuario y está reservado para el fabricante:

– Serial Number (UID) [4 Bytes]

– BCC (Bit Count Check) [1 Byte

– Manufacturer data [11 Bytes]

– Establecido y bloqueado por el fabricante: READ ONLY!


16 bytes por sector no pueden utilizarse normalmente para almacenar datos del usuario y están reservados para:

– Clave A [6 bytes]

– Condiciones de Acceso [4 bytes]

– Clave B [6 bytes]

¡CUIDADO!


READ ONLY

READ/ WRITE: CLAVES & BITS DE ACCESO





TRAILER

BLOCK

4 BLOQUES

SECTOR

[0,15]

3

Key A

Acc.

Key B 2

1

0


• Si se pudiese reescribir el UID de una tarjeta, ¿sería posible suplantar otra en un control de acceso?


MANUFACTURER BLOCK:

• En profundidad:

• UID [4 Bytes |7 Bytes |11 Bytes en tarjetas nuevas]

• BCC [1 Byte]: XOR de bytes del UID

• ATQA (Answer To Request type A)[2 Bytes]

• Datos del fabricante [9 Bytes]


• Solo es posible en las tarjetas que permiten la escritura en el Sector 0 Bloque 0


• Existen dos maneras sencillas utilizando nfc-tools: – Nfc-mfclassic W

– Nfc-mfsetuid c81c1c08

3. NFC: Emulación MF Classic

NFC-TOOLS + Lector PN532

• Su firmwares soporta emulación parcial o total

• nfc-emulate: Emulación parcial MIFARE Classic Mini

• nfc-emulate-uid: Emula un tag ISO 14443 A con el UID 0xDEADBEEF

• nfc-emulate-fórum-tag2: Emula Mifare Ultralight

• nfc-emulate-fórum-tag4: Emula Mifare DESFire


Emulación EMV (VISA/MASTERCARD):

• Basic Card/JavaCards/etc

Host Card Emulation:

• Dispositivos móviles BlackBerry 10

• Dispositivos móviles Android 4.4/CyanogenMod


Las tarjetas NFC MIFARE Classic se pueden emular con:

• Proxmark

• Ghostag (PFC de Roel Verdult)

• Proxmark3

• Chameleon (evolución de Ghostag)

• Hydrabus capacidades similares a Proxmark3 aunque aún no está desarrollado todo el código. Publicado el martes 16 Septiembre 2014

3. NFC: Emulación Chameleon


• Chameleon Mini: emulador versatil para smartcards sin contacto que cumplen los estándares ISO-14443 y ISO-15693. La plataforma de programación libre puede crear clones NFC perfectos de varias tarjetas smartcard comerciales, incluyendo funciones criptográficas y el UID (Unique IDentifier).

• Puede ser empleado para comprobar la seguridad en entornos RFID y NFC mediante diferentes escenarios de ataque:

– Replay attacks

– Relay attacks

– Sniffing de comunicaciones RFID/NFC

– Test funcionales de equipamiento RFID

– Pruebas unitarias


Chameleon Mini:

• Comunicación vía serie

• Sin ECHO

• Poco amigable (conflictos \n \r )


• Chameleon Mini: emulador versatil para smartcards sin contacto que cumplen los estándares ISO-14443 y ISO-15693. La plataforma de programación libre puede crear clones NFC perfectos de varias tarjetas smartcard comerciales, incluyendo funciones criptográficas y el UID (Unique IDentifier).

• Puede ser empleado para comprobar la seguridad en entornos RFID y NFC mediante diferentes escenarios de ataque:

– Replay attacks

– Relay attacks

– Sniffing de comunicaciones RFID/NFC

– Test funcionales de equipamiento RFID

– Pruebas unitarias

2. APT / Acceso

2. APT / Acceso Físico

2.3. APT / Credenciales

Hardware Keylogger


• Problema: – Torre de los equipos a la vista


• Solución: – Cable USB Macho - Hembra

2.3. APT / Acceso Lógico

2.4. APT / Ejecución de Código

2.4.1. APT / Hardware

2.4.2. APT / Pinout

2.4.3. APT / Hardware

2.4.4. APT / Pinout

2.4.5. APT / Modelo

2.4.6. APT / Bootloader & Core

2.4.7. APT / Custom Firmware

2.4.8. APT / Suplantación de HID

2.4.8. APT / Teclado “Virtual”

2.4.8. APT / Teclado “Virtual”

INOCUO

2.4.8. APT / Armando el Teclado

2.4.8. APT / Infiltración de Datos

2.4.8. APT / Infiltración de Código

2.5. APT / Credenciales Remotas

INTERFAZ DE COMANDOS

2.5. APT / On-Demand Keylogger

• Filtro de ventanas

• Identificación de PuTTy

• Identificación de ventana de conexión (credenciales)

• Monitorización de comportamiento de la ventana

– Cambio de título al conectar


• Obtención de la imagen del proceso propietario de la ventana

• Obtención de la ruta absoluta de la imagen del proceso

• Datos necesarios: – IP

– Credenciales • Usuario

• Contraseña


• ¿Certificado? – Ejecutamos software legítimo bajo usuario legítimo

• ¿Certificado con contraseña? – On-Demand Keylogger


EJECUCIÓN REMOTA DE SCRIPTS LOCALES

2.5. APT / Persistencia Remota

• Mantener el acceso remoto al sistema

• Exfiltración de datos

• Utilización de Covert-channels

• …

2.5. APT / Persistencia Remota

2.6. APT / Módulos PAM

• Sistema de autenticación modular

• Derivados de Sistemas *NIX

• Librerías compartidas (.SharedObject)

• Elegante: Solución “Simple” a un problema complejo

• Filtrado y verificación de datos de usuarios


2-Factor Authentication

Kerberos

RADIUS MySQL

LDAP

TACACS+

One-Time-Password


• /etc/pam.d/


INTERFAZ + FLAG DE CONTROL + MODULO + PARAMETROS


• Puertas traseras

• Credenciales de usuarios

• Permitir acceso a usuarios ilegítimos

• Introducir vulnerabilidades

• Eliminar/Modificar registros de acceso

• Denegación de servicio condicionada

• Filtración de datos

• C&C

• Covert-Channels

• …

Porque PUEDO: uid=0(root) gid=0(root) grupos=0(root)


Problema: Logs


Solución: Zapper


Solución: No generar registros


INTRODUCIENDO VULNERABILIDADES


GUARDANDO CREDENCIALES


FILTRACIÓN DE CREDENCIALES / COVERT-CHANNELS


DOBLE FACTOR DE AUTENTICACIÓN

GOOGLE AUTHENTICATOR


Combinaciones para activar la puerta trasera:

312989 313133 313289

625969 626011 626191

938969 938989 939011

939109 939157 939317

939359 939377 939391

2.6. APT / Conclusiones

3. NFC

• 3. NFC – HID Global (ICSP)

3. NFC: HID iClass

• Las tarjetas HID iClass son fabricadas por HID Global y aparecieron en el año 2002

3. NFC: HID iClass

El protocolo de las iClass no está documentado publicamente y los canals de venta de tarjetas, claves lectores y grabadores parecen ser controlados estrictamente

Según datos del fabricante (HID Global), mas de 300 millones de tarjetas iClass han sido vendidas.

3. NFC: HID iClass

Cumplimiento de estándares :

• Cumplen parcialmente: ISO/IEC 14443 Type B

• NO cumplen: ISO/IEC 14443 Type A

• Cumplen: ISO/IEC 15693

3. NFC: HID iClass

Cifrado propietario entre tarjeta y lector:

• Proporciona integridad a los datos

• Proporciona autenticación mutua

El cifrado utiliza 64 bits en las claves de diversificación:

• Se derivan de una clave maestra de 56 bits

• El número de serie de la tarjeta

• El algoritmo está embebido en todos los lectores iClass

3. NFC: HID iClass

Cifrado propietario entre tarjeta y lector:

56 bits master

key

Card Serial

Number

64 bits diversifies

key

3. NFC: HID iClass

CLAVE MAESTRA:

• Standart Security mode: los clientes disponen de una clave maestra estádar proporcionada por HID

• High Security mode: permite a los clientes personalizar una clave maestra para sus propios sistemas

3. NFC: HID iClass

DES Autenticación

• Clave compartida por toda la infraestructura (todos los lectores/tarjetas)

• Autenticación mutua entre el lector y la tarjeta

3DES Cifrado

• Se cifra la comunicación entre lector y tarjetas

• Los cambios en la clave de cifrado 3DES provocan paquetes Wiegand malformados

3. NFC: HID iClass

• Gestión de accesos: – Acceso a instalaciones militares (US Navy)

– Cerraduras inteligentes (smart locks)

– Camarotes de cruceros

– Submarinos

– Identification de personal

– etc

3. NFC: HID iClass

• Gestión de accesos: – Bank of America Merrill Lynch

– Personal del Aeropuerto Internacional de Mexico

– United States Navy base de Pearl Harbor

– etc

3. NFC: HID iClass

• Otras aplicaciones: – Autenticación de usuario con sistemas NaviGO:

• Dell Latitude Laptop

• Dell Precision Laptop

– Pago electrónico: • Liberty PlugIns (pago de recarga en vehículos eléctricos)

• FreedomPay

• SmartCentric

– Nuevos teléfonos BlackBerry: • Nuevas BB con soporte NFC

3. NFC: HID iClass

• ¿Y si nuestra compañía decide cambiar de Standart Security a High Security?

3. NFC: HID iClass

• Volcado de claves

Puerto ICSP de administración (backdoor interface)

Podría ser explotado para obtener las claves específicas del cliente de HID Global incluso en High Security

Un atacante malicioso que obtenga las claves podría:

Modificar, duplicar o emular tarjetas iClass con independencia del modo de seguridad (Standard Security /High Security)

3. NFC: HID iClass

• Volcado de claves – Vía ICSP interface

3. NFC: HID iClass

El interfaz ICSP (In-Circuit Serial Programmer) del PIC 18F452 consiste en:

• 3 hilos SPI

• 1 pin a Vpp (para habilitar la programación)

• 1 pin a Vcc (5 Vcc)

Cuando el pin Vpp se eleva a una tensión alta específica, el PIC entra en su modo de programación/depuración

Un dispositivo conectado a esta interfaz SPI en ese instante, puede tomar el control total del procesador y de la alimentación forzada (forced-feed)

3. NFC: HID iClass

• Volcado de claves – Master key utilizadas por todos los lectores

– Claves TripleDES de cifrado utilizadas para proteger la comunicación entre el lector y la tarjeta iClass

– 128 byte Key Table utilizada en el modo High Security

– Card Serial Number y Diversification Key de la última tarjeta leída en el lector

– Facility Code y Card Number de la última tarjeta leída en el lector

3. NFC: HID iClass

56 bits master

key

Card Serial

Number

64 bits diversifies

key

3. NFC: HID iClass

Martin Holst Swende 2014

• ~20/10/2014

3. NFC: HID iClass

56 bits master

key

Card Serial

Number

64 bits diversifies

key

• 4. USB – USB OTG

– Jaqen USB

– Keylogger

– PAM

– BadUSB

– ¿Jaqen+BadUSB = ???

4. USB OTG

• USB On The Go (USB OTG/USB Host) – Extensión USB 2.0. (Actuan como 1.1/2.0 en dispositivos NO OTG)

– USB 3.1 conector tipo C sin necesidad de adaptadores/conectores

– USB-OTG compliance pueden: • Abrir una session

• Controlar la conexión

• Intercambiar las funciones maestro/dispositivo

– Session Request Protocol (SRP)

– Host Negotiation Protocol (HNP)

– Basta con que uno de los dos dispositivos sea OTG

4. USB OTG

4. USB Audio Keylogger

AUDIO KEYLOGGER: • Grabación de audio de varias horas • Transcripción mediante Hidden Markov Models Texto transcrito:

Texto tecleado:

4. BadUSB

BadUSB: • Kastern Nohl & Jakob Lell modifican firmware de

microcontrolador USB/SD • Plantean los siguientes riesgos:

– Infección de otros dispositivos USB compatibles – Inyección activa de tráfico de red (suplantación de adaptador de red)

[DHCP Snooping/DNS spoofing] – Interceptación de tráfico de red (Android) – Particiones ocultas a las herramientas de seguridad (VM con rootkit)

BadUSB: • Adam Caudill y Brandon Wilson (Full Disclosure)

4. BadUSB

4. BadUSB

DISPOSITIVOS COMPATIBLES: • Patriot 8GB Supersonic Xpress

• Kingston DataTraveler 3.0 T111 8GB

• Silicon power marvel M60 64GB

• Patriot Stellar 64 Gb Phison

• Toshiba TransMemory-MX USB 3.0 16GB

• Toshiba TransMemory-MX USB 3.0 8GB

• Kingston DataTraveler G4 64 GB

• Patriot PSF16GXPUSB Supersonic Xpress 16GB

• Silicon Power 32GB Blaze B30 (SP032GBUF3B30V1K)

• Kingston Digital 8GB USB 3.0 DataTraveler (DT100G3/8GB)*

• SanDisk Ultra 16Gb USB 3.0 SDCZ48-016G

4. BadUSB

¿DISPOSITIVOS COMPATIBLES?

• DriveCom.exe /drive=F /action=GetInfo

4. BadUSB

Sistemas vulnerables:

• Microsoft Windows

• GNU/Linux

• Mac OS

• Android?

• JUNOS?

4. BadUSB

Appliance modernos:

4. BadUSB

Routers/Switches/APs:

4. BadUSB

Limitaciones:

• Microsoft Windows – Desconocidas

• GNU/Linux – Restricción de permisos

• Mac OS • Restricción de permisos

• Android – Restricción de permisos (terminals no rooteados)

Referencias

• www.thiber.org • www.elhacker.net • http://www.archives.gov/isoo/policy-documents/ • http://www.spiegel.de/international/world/a-941262.html • https://www.eff.org/files/2014/01/06/20131230-appelbaum-

nsa_ant_catalog.pdf • https://github.com/skuep/ChameleonMini • https://github.com/sch3m4/pycham • http://www.proxclone.com • www.htcmania.com • www.elandroidelibre.com • http://www.phison.com/English/newProductView.asp?ID=235&SortID=60 • https://srlabs.de/badusb/ • https://github.com/adamcaudill/Psychson

http://www.elhacker.net/



https://srlabs.de/badusb/



























http://www.htcmania.com/

http://www.elandroidelibre.com/

https://adamcaudill.com/2014/10/02/making-badusb-work-for-you-derbycon/

https://adamcaudill.com/2014/10/02/making-badusb-work-for-you-derbycon/




https://github.com/adamcaudill/Psychson



Referencias

GRACIAS!

Chema García @sch3m4

[email protected]

Sergio González