FEMTOresearch: megjött ;-)
Megjött végre Németországból a megfelelÅ‘ Vodafone Sure Signal I 😉
It is time to start 3G security research 😀
ethical
FEMTOresearch: egy váratlan segÃtÅ‘ kéz
A mai napom igen igen nagy hÃrrel kezdÅ‘dött: a berlini srácok megengedték, hogy az Å‘ Vodafone FEMTOcellájukat használjam az idén, azaz végre abbahagyhatom az eBay kutakodást, és egy megfelelÅ‘ eszközzel láthatok neki a dolognak.
Az egészben annyi a szépséghiba, hogy sajnos nem tettem bele érdemi munkát egyelÅ‘re, hiszen innentÅ‘l kezdve a click-and-hack metódus fog érvényesülni, de ettÅ‘l függetlenül legalább a témára felhÃvhatom a figyelmet, ami azért egy eredmény.
Meglátjuk, hova fajul a dolog, most viszont irány az eBay: van 3 eladó femtocellám 😉
Vodafone FEMTOcell: nem adod magad könnyen?
Itthon az Ãróasztalom lassan úgy néz ki, mint egy rosszabb elektronikai bazár.
Az elmúlt hetekben erÅ‘teljesen ráfeküdtem a Vodafone FEMTOcellák problémájára, egyelÅ‘re annyit sikerült elérnem, hogy összesen 3 db ül itt kibelezve az Ãróasztalomon, bámulván rám mint egy árulóra. Az elsÅ‘, a Sure Signal 2 jelenleg pihenÅ‘pályán van, ha az van amit sejtek és hardveresen kilÅ‘tték benne a JTAG & Debug lehetÅ‘ségeket, akkor valószÃnűleg megy vissza az eBayre.
A második pont a megfelelÅ‘ verziójú, Sure Signal 1, még hozzá az 1.0-s NYÃK revÃzió. Természetesen ezt sikerült elrontani, az elÅ‘zÅ‘ képen látható forrasztás egyik vezetéke elengedett, de maga a forrasztás olyan jól sikerült, hogy az alaplapi réz-szemet is magával hozta a kis aranyos, ezzel csak TXD-vé (azaz egyirányúvá) alakÃtván a kommunikációt. Próbáltam mindenféle varázsszóval (root <enter> newsys <enter> ping <ipcÃmem>) tesztelni, hogy hall-e engem, de sajnos nem, szóval valószÃnűleg kapott egy szoftver-frissÃtést ami kiiktatta a serial-logint.
A harmadik szintén egy Sure Signal I, a hirdetÅ‘ szerint nem vette olyan régen, és alig volt csatlakoztatva a hálózatra. Felcsillant a remény, hogy ez akkor nem kaphatott szoftver-frissÃtést. Már már azt hittem, sima az ügy. Meghozta a postás, szétnyitom, belül minden rendben lévÅ‘nek tűnik, de hiányzik a HiLo (2G-s modul, melynek szerepe egyszerű: a környezÅ‘ 2G-s adóállomásokkal meghatározza a pozÃcióját és ezáltal finomhangolja a rádiós részét a femtonak) chip. Gondoltam nem akkora gond ez, a THC szerint amúgy is leforrasztható a HiLo mindenféle következmény nélkül. Összekötvén mindent semmi jel nem volt. Kellemetlen szituáció, százszor is ellenÅ‘riztem a kapcsolási rajzot pontosan kimértem multiméterrel is a pineket, és valóban nem stimmelt valami: a FEMTO adó, azaz TXD pinje konstans 3,6V-ot adott, holott a soros kommunikációban egy éppen adó pinen az áram 0,6-3,6V között ugrál folyamatosan! Ezt egyszerűen tesztelheti bárki, pl. egy USB-soros átalakÃtó megfelelÅ‘ pinjére rácuppanva multiméterrel azonnal látszik, hogy elkezd ugrálni össze vissza a műszer.
Megkérdezvén a berlini srácokat kiderült, hogy a dolog azért nem működik, mert a Vodafone mielőtt kihozta volna a Sure Signal 2-t még gyorsan meg akarta oldani a Sure Signal I-ek biztonsági gondjait, méghozzá a következő módon:
-v1.0 NYÃK: biztonsági szoftver-frissÃtés a neten át, a soros porton deaktiválja a login-promptot (elméletileg boot üzenetek vannak, de azokat én nem láthatom lévén csak TXD vagyok)
-v1.5 NYÃK: ez a kellemetlen, egy kÃvülrÅ‘l teljesen ugyanolyan doboz, csak éppen belül már egy újragondolt verzió van, ebbÅ‘l hiányzik a HiLo modul és hardveresen ki van iktatva a JTAG & serial stb.
Ãgy már jól látható, hogy a szituáció egyelÅ‘re nem túl rózsás, de nem adom meg magam egykönnyen, addig járom továbbra is az eBayt, amÃg nem találok egy soha ki nem nyitott, hálózathoz soha nem csatlakoztatott, több mint egy éves Sure Signal I-t ;-).
Vodafone FEMTOcella: második sebesség
Sokáig nem Ãrtam errÅ‘l a projektrÅ‘l, pedig nem felejtettem el, csak félreraktam egy kicsit amÃg nem jut rá több idÅ‘m.
Most, hogy vége a vizsgaidÅ‘szaknak, és van egy kis szabadidÅ‘m azonnal visszatértem a dologra és egy multiméterrel felszerelkezve elkezdtem méregetni a NYÃK-on található, összesen mintegy 30 darab réz-szemet, keresgélvén egy serial-port szerűséget rajtuk. Közben felvettem a kapcsolatot azzal a 3 sráccal, akik a berlini egyetemen kutatják a témát és igen szép eredményrÅ‘l tudtak beszámolni a 2011. októberi Blackhaten (konkrétan mindent feltörtek, amit csak lehetett ezzel az eszközzel -> nice job :D). Åk a francia SFR által használt femtocellába törtek be, majd a rajta futó HTTP-server PUT parancs-feldolgozójában talált hibával szépen remote root-ra törték az eszközt. Egy nagyon szép, részletes és jól megÃrt blogposzt mutatja be az exploitot.
Én viszont egy másik modellel rendelkezem, a Vodafone Sure Signal II-vel, amelyiknek több jellegzetessége is van:
1. Nem létezik rá egyelőre semmilyen hozzáférés (vagy csakis nem dokumentált)
2. A magyar Vodafone is használja, és “feltörhetetlen szoftverrel rendelkezik” (tavalyi sajtóközlemény a femtocellák biztonságát firtató kérdésekre)
Természetes, hogy ezek után már nagyon is adott a motiváció, hogy sikeresen behatoljak az eszközbe, ám ez egyelÅ‘re még nem sikerült. Itthon csak egy multiméterem van, amely nem elég egy serial port felfedezéséhez, ehhez mindenképpen igénybe kell vennem egy egyetemi oszcilloszkópot is. Mivel jelenleg nincs egyetem, ezért a projekt ezen részét addig hanyagolom, amÃg újra nem indul a mókuskerék.
Addig viszont sikerült eBay-ről igen nyomott áron szereznem egy Sure Signal I-et, amelynek fő tulajdonsága, hogy a THC már darabokra törte, kb. pontosan olyan szinten, mint a berlini srácok az SFR-féle hardvert.
Első körben tehát ezen a kitaposott ösvényen fogok elindulni, remélhetőleg sikerrel. Amint eredményre jutok, először a Vodafone-nak szólok, hiszen ez teljes mértékben az ő dolguk elsősorban.
Remélem, hamarosan újabb posztot Ãrhatok a témában.
Helyzetjelentés
Sajnálom, hogy ennyire elhanyagoltam a blogot mostanság, de sok dolgom volt, rohangáltam erre arra.
Nézzük csak mi a helyzet:
– A Vodafone dobozt félreraktam, nincs idÅ‘m most ezzel dolgozni, majd talán októberben
– Sikerült megoldani az eddigi közösségi WiFi-törés gondjaimat, mostantól kezdve akár 20 ember is törheti velem együtt ugyanazt az AccessPointot anélkül, hogy bárkinek is elszállna a cucc, jeee
– Az Linuxos ExpressCard support és a ExpressCard-to-PCMCIA átalakÃtó gyártóját mind elküldeném egy kicsit nyaralni, mivel 2 nap tömény szÃvás után sem működik a cucc (not at all), köszönöm…
– Megszereztem az EC-Council féle C|EH, azaz Certified Ethical Hacker (312-50) minÅ‘sÃtést
Vodafone doboz, még mindig :)
Folytatom a Vodafone doboz NYÃK-jának visszafejtegetését, Zoltán kommenterem hathatós közreműködésének köszönhetÅ‘en újra kedvet kaptam a dologhoz, lássuk egyelÅ‘re az összes már azonosÃtott IC-t:
- Hynix HY27UF082G2B – NAND flash
- Realtek RTL8306G – switch controller
- GST5009 LF – 10-100 BASE- T MAGNETICS MODULE
- 2x Hynix H5PS516FFR-S6c – RAM
- MxFE AD9963BCPZ
Jövő héten leszedem a hűtőlapokat a két fő ICről, meglátjuk mit találok alattuk.
Vodafone doboz, folytatás
Volt egy kis idÅ‘m, kiméregettem multiméterrel az eszközön meredezÅ‘ 4 darab tüskét (reménykedvén, hogy egy soros port 4 pinjét tapogatom éppen), itt az eredmény…hát szerintem ez nem egy soros port, de holnap beszélek egy kompetensebb emberrel ez ügyben, valaki esetleg látott már ilyet?
Mivel olvashatatlanok a mérések: 0V, 2,59V, 3,3V, 0,01V
Minden illik a képbe, kivéve a 2,59V-ot, annak ott nem kéne lennie :S
Videó özön
Most találtam meg Papp Péter (kancellár.hu) egyik elÅ‘adását…szerintem fantasztikus, kicsit kevesebb mint 8 percben összefoglalja mindazt amit egy laikusnak tudnia érdemes az etikus hackerekrÅ‘l, és megmutatja, milyen potenciál van ebben a területben:
Közben én sem lógattam a lábam, Cross Site Scripting 101, in English of course. Talking about basics:
and about advanced XSS:
Új videó a láthatáron / I am just about to make a new video
Úgy néz ki, jövÅ‘ héten megint lesz egy kis idÅ‘ összerakni egy új videót, bár a téma még eléggé kérdéses. Ha valaki olvassa ezt, és van kedve idekommentelni egy téma javaslattal ami 15 perc alatt elmondható és elmutogatható + ethical hacking a témaköre és hiánycikk a YouTube-on/csak rossz minÅ‘ség van fent azt nagyon szÃvesen venném.
Hálás köszönet előre is!
So it seems, that next week I will have some time to make another video for you guys to show you, how online and offline teaching works at NetAcademia. I am open however for any suggestions about the topic we should cover, so please leave a comment if you think you have a good idea for us. We have sone basic rules regarding the topic: it should be short (explained and tried out in practice in max. 15 minutes), it has to be something unique (not many other videos in the topic on YouTube/only bad quality videos) and it must be ethical hacking related.
Thank you in advance!
Zajlik az élet
Pénteken jelenésem volt a NetAcademiánál, ugyanis én tartottam a CEH délelőtti sessiönjét. Eltekintve attól, hogy már nagyon régen oktattam és hülye fejjel nem gondoltam át az anyagot előző nap egészen jól sikerült.
A nagyobb meló utána jött: WEP törés alapjai angolul, videóra véve (internesönel imidzs bilding proszesz). Felvettem, megnézettem a bentiekkel, jött a kritika: túl sok a duma az elején…
Igaz kritika, csak az a baj, hogy én Ãgy szeretek oktatni: elmélet elÅ‘ször, gyakorlat másodszor. Dehát a felsÅ‘bb parancs az parancs, Ãgy új koncepciót dolgoztunk ki. Ebben elÅ‘ször van egy rövid demo majd egy hosszabb elmélet, majd a demo lassan/elmagyarázva.
Na ezzel aztán megszÃvtuk. ElÅ‘ször összeomlott a demózó gép (ekkor már délután volt), valószÃnűleg a RAM telt meg. Utána az AP szÃvatott meg. Végül sikerült 2 részletben felvenni, remélem nemsokára fent lesz jútyúbon.
1 2