Ethical Hacking

Itt található minden munkámmal kapcsolatos dolog

FEMTOresearch: egy váratlan segítő kéz

, , , , , 7 Comments

A mai napom igen igen nagy hírrel kezdődött: a berlini srácok megengedték, hogy az ő Vodafone FEMTOcellájukat használjam az idén, azaz végre abbahagyhatom az eBay kutakodást, és egy megfelelő eszközzel láthatok neki a dolognak.

Az egészben annyi a szépséghiba, hogy sajnos nem tettem bele érdemi munkát egyelőre, hiszen innentől kezdve a click-and-hack metódus fog érvényesülni, de ettől függetlenül legalább a témára felhívhatom a figyelmet, ami azért egy eredmény.

Meglátjuk, hova fajul a dolog, most viszont irány az eBay: van 3 eladó femtocellám 😉

Vodafone FEMTOcell: nem adod magad könnyen?

, , , , 0 Comments

Itthon az íróasztalom lassan úgy néz ki, mint egy rosszabb elektronikai bazár.

Az elmúlt hetekben erőteljesen ráfeküdtem a Vodafone FEMTOcellák problémájára, egyelőre annyit sikerült elérnem, hogy összesen 3 db ül itt kibelezve az íróasztalomon, bámulván rám mint egy árulóra. Az első, a Sure Signal 2 jelenleg pihenőpályán van, ha az van amit sejtek és hardveresen kilőtték benne a JTAG & Debug lehetőségeket, akkor valószínűleg megy vissza az eBayre.

A második pont a megfelelő verziójú, Sure Signal 1, még hozzá az 1.0-s NYÁK revízió. Természetesen ezt sikerült elrontani, az előző képen látható forrasztás egyik vezetéke elengedett, de maga a forrasztás olyan jól sikerült, hogy az alaplapi réz-szemet is magával hozta a kis aranyos, ezzel csak TXD-vé (azaz egyirányúvá) alakítván a kommunikációt. Próbáltam mindenféle varázsszóval (root <enter> newsys <enter> ping <ipcímem>) tesztelni, hogy hall-e engem, de sajnos nem, szóval valószínűleg kapott egy szoftver-frissítést ami kiiktatta a serial-logint.

A harmadik szintén egy Sure Signal I, a hirdető szerint nem vette olyan régen, és alig volt csatlakoztatva a hálózatra. Felcsillant a remény, hogy ez akkor nem kaphatott szoftver-frissítést. Már már azt hittem, sima az ügy. Meghozta a postás, szétnyitom, belül minden rendben lévőnek tűnik, de hiányzik a HiLo (2G-s modul, melynek szerepe egyszerű: a környező 2G-s adóállomásokkal meghatározza a pozícióját és ezáltal finomhangolja a rádiós részét a femtonak) chip. Gondoltam nem akkora gond ez, a THC szerint amúgy is leforrasztható a HiLo mindenféle következmény nélkül. Összekötvén mindent semmi jel nem volt. Kellemetlen szituáció, százszor is ellenőriztem a kapcsolási rajzot pontosan kimértem multiméterrel is a pineket, és valóban nem stimmelt valami: a FEMTO adó, azaz TXD pinje konstans 3,6V-ot adott, holott a soros kommunikációban egy éppen adó pinen az áram 0,6-3,6V között ugrál folyamatosan! Ezt egyszerűen tesztelheti bárki, pl. egy USB-soros átalakító megfelelő pinjére rácuppanva multiméterrel azonnal látszik, hogy elkezd ugrálni össze vissza a műszer.
Megkérdezvén a berlini srácokat kiderült, hogy a dolog azért nem működik, mert a Vodafone mielőtt kihozta volna a Sure Signal 2-t még gyorsan meg akarta oldani a Sure Signal I-ek biztonsági gondjait, méghozzá a következő módon:
-v1.0 NYÁK: biztonsági szoftver-frissítés a neten át, a soros porton deaktiválja a login-promptot (elméletileg boot üzenetek vannak, de azokat én nem láthatom lévén csak TXD vagyok)
-v1.5 NYÁK: ez a kellemetlen, egy kívülről teljesen ugyanolyan doboz, csak éppen belül már egy újragondolt verzió van, ebből hiányzik a HiLo modul és hardveresen ki van iktatva a JTAG & serial stb.

Így már jól látható, hogy a szituáció egyelőre nem túl rózsás, de nem adom meg magam egykönnyen, addig járom továbbra is az eBayt, amíg nem találok egy soha ki nem nyitott, hálózathoz soha nem csatlakoztatott, több mint egy éves Sure Signal I-t ;-).

Vodafone FEMTOcella: második sebesség

, , , , 3 Comments

Sokáig nem írtam erről a projektről, pedig nem felejtettem el, csak félreraktam egy kicsit amíg nem jut rá több időm.

Most, hogy vége a vizsgaidőszaknak, és van egy kis szabadidőm azonnal visszatértem a dologra és egy multiméterrel felszerelkezve elkezdtem méregetni a NYÁK-on található, összesen mintegy 30 darab réz-szemet, keresgélvén egy serial-port szerűséget rajtuk. Közben felvettem a kapcsolatot azzal a 3 sráccal, akik a berlini egyetemen kutatják a témát és igen szép eredményről tudtak beszámolni a 2011. októberi Blackhaten (konkrétan mindent feltörtek, amit csak lehetett ezzel az eszközzel -> nice job :D). Ők a francia SFR által használt femtocellába törtek be, majd a rajta futó HTTP-server PUT parancs-feldolgozójában talált hibával szépen remote root-ra törték az eszközt. Egy nagyon szép, részletes és jól megírt blogposzt mutatja be az exploitot.

Én viszont egy másik modellel rendelkezem, a Vodafone Sure Signal II-vel, amelyiknek több jellegzetessége is van:
1. Nem létezik rá egyelőre semmilyen hozzáférés (vagy csakis nem dokumentált)
2. A magyar Vodafone is használja, és “feltörhetetlen szoftverrel rendelkezik” (tavalyi sajtóközlemény a femtocellák biztonságát firtató kérdésekre)

Természetes, hogy ezek után már nagyon is adott a motiváció, hogy sikeresen behatoljak az eszközbe, ám ez egyelőre még nem sikerült. Itthon csak egy multiméterem van, amely nem elég egy serial port felfedezéséhez, ehhez mindenképpen igénybe kell vennem egy egyetemi oszcilloszkópot is. Mivel jelenleg nincs egyetem, ezért a projekt ezen részét addig hanyagolom, amíg újra nem indul a mókuskerék.

Addig viszont sikerült eBay-ről igen nyomott áron szereznem egy Sure Signal I-et, amelynek fő tulajdonsága, hogy a THC már darabokra törte, kb. pontosan olyan szinten, mint a berlini srácok az SFR-féle hardvert.

Első körben tehát ezen a kitaposott ösvényen fogok elindulni, remélhetőleg sikerrel. Amint eredményre jutok, először a Vodafone-nak szólok, hiszen ez teljes mértékben az ő dolguk elsősorban.

Remélem, hamarosan újabb posztot írhatok a témában.

Anonymous elindította a “Magyarország Műveletet”/Anonymous started OPERATION HUNGARY

, , 1 Comment

Az Anonymous néven ismert globális cracker/script kiddie/hívd ahogy akarod Å‘ket csoport elindította a Magyarország jelenlegi legitim kormánya elleni internetes támadását, az úgynevezett “Magyarország műveletet”. EZEN BLOGPOSZT CÉLJA, hogy TÁJÉKOZTASSA az internetes közvéleményt a történésekrÅ‘l. A blog írója semmilyen kapcsolatban nincs az Anonymous-szal, mindössze saját és látogatói érdeklÅ‘dését szem elÅ‘tt tartva ír arról, amit tudni lehet.
Amit eddig tudni lehet:
“Hivatalos logó”

“Hivatalos (?)” videó a támadásról:

Hivatalos “worklog”:
http://titanpad.com/xi5Kq8ZpmM

Egy érdekesebb találat a fenti worklogból:
Amint frissebb híreket találok, fogom frissíteni ezt a posztot.
UPDATE #1: Érdekes, amit írnak a munkanaplóban: “az Anonymousról keveset tudnak Magyarországon, ezért terjeszteni kell a hírünket”. Azt megkérdeztem azért, hogy az Anonymous honnan tud Magyarországról? Ha nem lenne ez a sajtócirkusz, valószínűleg azt sem tudnák, melyik földrészen keressék…a média híreire alapozzák a támadást, amely szerintem veszélyes és nem biztos, hogy jól megalapozott döntés.

Hey guys,
I created this post to show people the progress of Anonymous in their so called Operation Hungary (basically they are trying to bring down some websites of my country). This blog only tries to raise awareness of their achievements, so appropriate countermeasures could be taken. If any updates come along I will try to update this post too.

 UPDATE #1: I just found some stuff in the official worklog, which basically says “not many people now about Anonymous in Hungary, so we need to change this and make people know us”. I just want to ask, since when does Anonymous know about Hungary? I guess without this huge media-coverage we are getting these days they would not even now on which continent they should search for Hungary…meaning they just doing this operation without knowing anything else but what the media told them.

SpireProxy 0.1 released

, , , , , , , 0 Comments

Hello People,

Some asked me in my previous post to send them my code, so I decided to keep it easier and better I am going ot provide you a GIT-repo, so you can see, modify and easily download my code.

Before I paste in the link to my code I need to say thank you for some people:
-My dear friend Gábor, who kept helping me with various Ruby issues and kept me going even when I felt like a useless piece of wood
-Applidium for creating Cracking-Siri
-plamoni for using Cracking-Siri to create SiriProxy
-stantheripper for creating SiriAuth and AuthGrabber

Please, if you make some money from using this software, or just like my work consider donating!

Here is the link to the GIT-repo:
https://github.com/domi007/SpireProxy

If you have a nice Linux server and access to an iPhone 4S I would encourage you to run a SpireProxy server and make some money. The good part of it is that it doesn’t require any interaction (none from the 4S user and none from the 4 user) and it lets you use the internet and Siri all together.

If you need an awesome VPS-host which is compatible with SpireProxy, check out http://www.host1plus.com/vps-hosting/
I use them too, and for the first month they only charge you with 0.13 USD (=13 cents) which is I guess a nice price. Also they give you VNC-access so it is easy to run multiple programs and let them running (starting something via VNC and then closing the VNC connection doesn’t make it terminate the process – a lot easier then using nohup ssh).

SiriServer – polished and done

, , , , , , 8 Comments

So I have really been working my @ss off to get this done as fast as possible, and now here it is: a SiriProxy server program which you can install on a cheap VPS or your own server and let it go! It does everything automatically: reads the key from a 4S every time it changes, and uses it when a 4, 3GS or iPod touch 4G makes a request

It uses this stuff:
-metasploit fakeDNS server – enhanced version by Wesley McGrew, modified to work with the latest Metasploit,
http://www.mcgrewsecurity.com/2008/08/04/man-in-the-middle-fake-dns-for-metasploit/

-Applidium’s Cracking Siri files, especially: eventmachineGuzzoni.rb (modified of course)

-StanTheRipper’s SiriAuth (modified a little bit)

How does it work?
Well, first we need to install our root certificate on the 4S, then set it up to use our DNS server. The big advantagr of McGrew’s fakeDNS server is that it passes through every request to a realDNS-server and alters only the requests you want, which means you can still use the 4S for everything (browse the web, check emails) because it does get valid DNS responses from our fakeDNS server.
Of course Siri wouldn’t work yet.
But I have found this awesome file called eventmachineGuzzoni.rb amongst Applidium’s Cracking-Siri files and it is good for one thing: get data from a 4S and pass it directly to Apple’s server.
I just needed to alter it a little bit so it interprets parts of the data before sending it to Apple, so I will be able to get the session validation key before talking to Apple.
So right now we have a setup that doesn’t change anything in the life of the 4S user but still gives us 4S keys to use.
Next I needed to alter the SiriAuth file to read the session validation data from the file my eventmachineGuzzoni server created. Once this was done my server-platform was ready.
To achieve the goal (no maintenance at all) I changed the SiriAuth’s port to something different than 443 so both eventMachineGuzzoni and SiriAuth can run on the same machine.
After a 4S makes a request the program reads the key and compares it with the stored one. If they match it doesn’t do anything, if they don’t match it writes out the captured 4S key to the file.
SiriAuth reads this file every time a request is made from a non-4S device, making it possible to always use the latest key without the need to change the server or restart anything.
It was a fun project to do, maybe I will add one more feature I miss: if the 4S key you use expires than I might send back Siri a response, so she will say: “your key has been expired, please get a new one to use Siri” or something like that.

If anybody needs the modified server files please leave a comment below and I will upload it somewhere for you.

DOMy

Hacktivity, 2011

, , , , 0 Comments

Idén workshop előadóként vettem részt a Hacktivityn, amit egy részről nagyon élveztem, másrészről viszont nagyon nagyon nem.

Lássuk röviden pontokba szedve, mi az ami jó volt:
-helyszín: a Millenáris a lehető legjobb volt, egyszerűen tökéletes minden szempontból
-hostessek: ezt nem kell magyarázni szerintem
-a WiFi workshop a végére
-annyian jöttek a workshopra, hogy extrán +1-et kellett tartanom a végén
-ArchElf kolléga a Prohardver!-ről meghívott egy sörre, hatalmas köszönet neki érte!
-elindultunk a wargame-n, és bár a hatodik helyen zártunk régen szórakoztam ilyen jól

Nos, lássuk a rosszak listáját:
-eltűnt egy NetAcademiás kölcsönlaptop, rögtön az első workshop után már eggyel kevesebb volt, ám ráadásképpen csak ma este vettük észre, nagyon remélem, hogy meg fog kerülni
-az előadások színvonala idén nem volt nagyon magas, főként a külföldi előadók csak beszéltek ppt-vel 40 percet, ami érdekes sőt vicces is lehetett, ám valós tartalmat nem mutatott
-az első HelloWiFi workshop katasztrófa volt

Köszönöm a szervezőknek a lehetőséget és a jó programot!

Helyzetjelentés

, , , , , , , , , 0 Comments

Sajnálom, hogy ennyire elhanyagoltam a blogot mostanság, de sok dolgom volt, rohangáltam erre arra.

Nézzük csak mi a helyzet:
– A Vodafone dobozt félreraktam, nincs idÅ‘m most ezzel dolgozni, majd talán októberben
– Sikerült megoldani az eddigi közösségi WiFi-törés gondjaimat, mostantól kezdve akár 20 ember is törheti velem együtt ugyanazt az AccessPointot anélkül, hogy bárkinek is elszállna a cucc, jeee
– Az Linuxos ExpressCard support és a ExpressCard-to-PCMCIA átalakító gyártóját mind elküldeném egy kicsit nyaralni, mivel 2 nap tömény szívás után sem működik a cucc (not at all), köszönöm…
– Megszereztem az EC-Council féle C|EH, azaz Certified Ethical Hacker (312-50) minÅ‘sítést

Vodafone doboz – a homály kezd oszladozni

, , 0 Comments

Ma megkaptam hegylako20 kollégától a hűtőborda-mentesített Vodafone NYÁK-ot, hatalmas köszönet illeti őt ezért! Bárkinek bármilyen finomelektronikai-munkára lenne szüksége őt keresse, mert gyorsan, pontosan, szépen dolgozik.

Érdekes módon a nagyobbik lap alatt nem volt semmi, csak réz, ez gondolom az antenna. A kisebbik alatt viszont ott volt maga a főnök: picoChip PC302-es femtocella SoC, amely sok mindenből áll, többek között egy ARM processzorból is. Ajánlott a gyártó oldalát áttanulmányozni, ahol ingyenes regisztráció után letölthető pár információ a cuccról. Egyelőre látok közvetlenül mellette 4 darab réz-pöttyöt, erős a gyanúm, hogy ezeket nem véletlenül vezették ki pont a chip mellé.

Hacking What’s Up?

, , , , , , 0 Comments

Ez egy új ötlet, ha találok bármi újdonságot, érdekességet a hacking-ethical hacking világában, akkor ideprintelem ki.

Először is meg kell emlékeznünk (bár sokan megtették már, de nem lehet elégszer) pipacsról (PAXteam), aki a PAX megalkotásáért az idei BlackHat keretében életműdíjat kapott. Szerintem ehhez sokat nem lehet hozzátenni, ez minden szakmabeli álma (az egyik biztosan), hatalmas gratulációt érdemel a szerény és visszahúzódó programozó, akinek köszönhetően a Linux-on alapuló rendszerek sokkal biztonságosabbá válhatnak.

Aztán a mai nappal hivatalosan is elindult a Cyberlympics! Az első Ethical Hacking verseny, amelyet az egész világ számára hirdetnek és rendeznek meg. A főszervező az EC-council, a végső döntőre kvalifikálni a Hacktivityn lehet, a díjak eléggé bőkezűek már most is, de később több szponzor bevonásával ez még változhat. Szép lenne, ha itt is magyar sikerekről tudnánk beszámolni.
Az idei Hacktivityn én is részt veszek (immáron harmadszor), ezúttal egy WiFi 1×1-es workshopot fogok vezetni, remélhetÅ‘leg kevés problémával de annál több lelkes jelentkezÅ‘vel.

1 2 3 4 5