femtocell

FEMTOresearch: egy váratlan segítő kéz

A mai napom igen igen nagy hírrel kezdődött: a berlini srácok megengedték, hogy az ő Vodafone FEMTOcellájukat használjam az idén, azaz végre abbahagyhatom az eBay kutakodást, és egy megfelelő eszközzel láthatok neki a dolognak.

Az egészben annyi a szépséghiba, hogy sajnos nem tettem bele érdemi munkát egyelőre, hiszen innentől kezdve a click-and-hack metódus fog érvényesülni, de ettől függetlenül legalább a témára felhívhatom a figyelmet, ami azért egy eredmény.

Meglátjuk, hova fajul a dolog, most viszont irány az eBay: van 3 eladó femtocellám 😉

Vodafone FEMTOcell: nem adod magad könnyen?

Itthon az íróasztalom lassan úgy néz ki, mint egy rosszabb elektronikai bazár.

Az elmúlt hetekben erőteljesen ráfeküdtem a Vodafone FEMTOcellák problémájára, egyelőre annyit sikerült elérnem, hogy összesen 3 db ül itt kibelezve az íróasztalomon, bámulván rám mint egy árulóra. Az első, a Sure Signal 2 jelenleg pihenőpályán van, ha az van amit sejtek és hardveresen kilőtték benne a JTAG & Debug lehetőségeket, akkor valószínűleg megy vissza az eBayre.

A második pont a megfelelő verziójú, Sure Signal 1, még hozzá az 1.0-s NYÁK revízió. Természetesen ezt sikerült elrontani, az előző képen látható forrasztás egyik vezetéke elengedett, de maga a forrasztás olyan jól sikerült, hogy az alaplapi réz-szemet is magával hozta a kis aranyos, ezzel csak TXD-vé (azaz egyirányúvá) alakítván a kommunikációt. Próbáltam mindenféle varázsszóval (root <enter> newsys <enter> ping <ipcímem>) tesztelni, hogy hall-e engem, de sajnos nem, szóval valószínűleg kapott egy szoftver-frissítést ami kiiktatta a serial-logint.

A harmadik szintén egy Sure Signal I, a hirdető szerint nem vette olyan régen, és alig volt csatlakoztatva a hálózatra. Felcsillant a remény, hogy ez akkor nem kaphatott szoftver-frissítést. Már már azt hittem, sima az ügy. Meghozta a postás, szétnyitom, belül minden rendben lévőnek tűnik, de hiányzik a HiLo (2G-s modul, melynek szerepe egyszerű: a környező 2G-s adóállomásokkal meghatározza a pozícióját és ezáltal finomhangolja a rádiós részét a femtonak) chip. Gondoltam nem akkora gond ez, a THC szerint amúgy is leforrasztható a HiLo mindenféle következmény nélkül. Összekötvén mindent semmi jel nem volt. Kellemetlen szituáció, százszor is ellenőriztem a kapcsolási rajzot pontosan kimértem multiméterrel is a pineket, és valóban nem stimmelt valami: a FEMTO adó, azaz TXD pinje konstans 3,6V-ot adott, holott a soros kommunikációban egy éppen adó pinen az áram 0,6-3,6V között ugrál folyamatosan! Ezt egyszerűen tesztelheti bárki, pl. egy USB-soros átalakító megfelelő pinjére rácuppanva multiméterrel azonnal látszik, hogy elkezd ugrálni össze vissza a műszer.
Megkérdezvén a berlini srácokat kiderült, hogy a dolog azért nem működik, mert a Vodafone mielőtt kihozta volna a Sure Signal 2-t még gyorsan meg akarta oldani a Sure Signal I-ek biztonsági gondjait, méghozzá a következő módon:
-v1.0 NYÁK: biztonsági szoftver-frissítés a neten át, a soros porton deaktiválja a login-promptot (elméletileg boot üzenetek vannak, de azokat én nem láthatom lévén csak TXD vagyok)
-v1.5 NYÁK: ez a kellemetlen, egy kívülről teljesen ugyanolyan doboz, csak éppen belül már egy újragondolt verzió van, ebből hiányzik a HiLo modul és hardveresen ki van iktatva a JTAG & serial stb.

Így már jól látható, hogy a szituáció egyelőre nem túl rózsás, de nem adom meg magam egykönnyen, addig járom továbbra is az eBayt, amíg nem találok egy soha ki nem nyitott, hálózathoz soha nem csatlakoztatott, több mint egy éves Sure Signal I-t ;-).

Vodafone FEMTOcella: második sebesség

Sokáig nem írtam erről a projektről, pedig nem felejtettem el, csak félreraktam egy kicsit amíg nem jut rá több időm.

Most, hogy vége a vizsgaidőszaknak, és van egy kis szabadidőm azonnal visszatértem a dologra és egy multiméterrel felszerelkezve elkezdtem méregetni a NYÁK-on található, összesen mintegy 30 darab réz-szemet, keresgélvén egy serial-port szerűséget rajtuk. Közben felvettem a kapcsolatot azzal a 3 sráccal, akik a berlini egyetemen kutatják a témát és igen szép eredményről tudtak beszámolni a 2011. októberi Blackhaten (konkrétan mindent feltörtek, amit csak lehetett ezzel az eszközzel -> nice job :D). Ők a francia SFR által használt femtocellába törtek be, majd a rajta futó HTTP-server PUT parancs-feldolgozójában talált hibával szépen remote root-ra törték az eszközt. Egy nagyon szép, részletes és jól megírt blogposzt mutatja be az exploitot.

Én viszont egy másik modellel rendelkezem, a Vodafone Sure Signal II-vel, amelyiknek több jellegzetessége is van:
1. Nem létezik rá egyelőre semmilyen hozzáférés (vagy csakis nem dokumentált)
2. A magyar Vodafone is használja, és “feltörhetetlen szoftverrel rendelkezik” (tavalyi sajtóközlemény a femtocellák biztonságát firtató kérdésekre)

Természetes, hogy ezek után már nagyon is adott a motiváció, hogy sikeresen behatoljak az eszközbe, ám ez egyelőre még nem sikerült. Itthon csak egy multiméterem van, amely nem elég egy serial port felfedezéséhez, ehhez mindenképpen igénybe kell vennem egy egyetemi oszcilloszkópot is. Mivel jelenleg nincs egyetem, ezért a projekt ezen részét addig hanyagolom, amíg újra nem indul a mókuskerék.

Addig viszont sikerült eBay-ről igen nyomott áron szereznem egy Sure Signal I-et, amelynek fő tulajdonsága, hogy a THC már darabokra törte, kb. pontosan olyan szinten, mint a berlini srácok az SFR-féle hardvert.

Első körben tehát ezen a kitaposott ösvényen fogok elindulni, remélhetőleg sikerrel. Amint eredményre jutok, először a Vodafone-nak szólok, hiszen ez teljes mértékben az ő dolguk elsősorban.

Remélem, hamarosan újabb posztot írhatok a témában.

Vodafone doboz – a homály kezd oszladozni

Ma megkaptam hegylako20 kollégától a hűtőborda-mentesített Vodafone NYÁK-ot, hatalmas köszönet illeti őt ezért! Bárkinek bármilyen finomelektronikai-munkára lenne szüksége őt keresse, mert gyorsan, pontosan, szépen dolgozik.

Érdekes módon a nagyobbik lap alatt nem volt semmi, csak réz, ez gondolom az antenna. A kisebbik alatt viszont ott volt maga a főnök: picoChip PC302-es femtocella SoC, amely sok mindenből áll, többek között egy ARM processzorból is. Ajánlott a gyártó oldalát áttanulmányozni, ahol ingyenes regisztráció után letölthető pár információ a cuccról. Egyelőre látok közvetlenül mellette 4 darab réz-pöttyöt, erős a gyanúm, hogy ezeket nem véletlenül vezették ki pont a chip mellé.

Vodafone doboz, még mindig :)

Folytatom a Vodafone doboz NYÁK-jának visszafejtegetését, Zoltán kommenterem hathatós közreműködésének köszönhetően újra kedvet kaptam a dologhoz, lássuk egyelőre az összes már azonosított IC-t:

Jövő héten leszedem a hűtőlapokat a két fő ICről, meglátjuk mit találok alattuk.

Vodafone doboz, folytatás

Volt egy kis idÅ‘m, kiméregettem multiméterrel az eszközön meredezÅ‘ 4 darab tüskét (reménykedvén, hogy egy soros port 4 pinjét tapogatom éppen), itt az eredmény…hát szerintem ez nem egy soros port, de holnap beszélek egy kompetensebb emberrel ez ügyben, valaki esetleg látott már ilyet?

Mivel olvashatatlanok a mérések: 0V, 2,59V, 3,3V, 0,01V
Minden illik a képbe, kivéve a 2,59V-ot, annak ott nem kéne lennie :S

Elaludtam…

Még kb. 1 hónapja beszereztem az Egyesült Királyságból egy Vodafone Femtocellát, ismertebb nevén Sure Signal-t. A lényege, hogy az otthoni Internetkapcsolaton át bemegy a Vodeafone központba, a másik oldalon viszont 3G jelet “csinál”, így akinél gyenge a jelerÅ‘sség, az feldobhatja maga körül kicsit a térerÅ‘t.

Persze engem nem ez a része izgatott, sokkal inkább az, hogy ezzel lehallgatható-e bármilyen 3G-s adatforgalom, vagy sem? A válasz érdekében mélyebbre kell kicsit ásnunk, hogyan is működik egy ilyen kis cella?
Van benne egy rádiós részleg, egy ARM processzor ami egy nagyon miniatűr, lecsupaszított embedded Linuxot futtat, illetve egy hálózati interfész, amely IPsec-et épít fel a központtal, és nagyjából csak továbbít mindent ami bejön a rádión be a központba. Azt mondanom sem kell, hogy az embedded Linux-ba való betörés és root jog szerzés már megoldották mások, sÅ‘t annál sokkal többet is csináltak: saját IPsec kulcsok felpakolása révén lehetséges az egész rendszert elirányítani, átirányítani, stb… szóval röviden: minden környékünkön lévÅ‘ 3G-s emberkét lehallgatni, ha átállnak a mi hálózatunkra. Ezt kombinálva a tavalyi CCC-s GSM elÅ‘adással eljutottunk odáig, hogy ha valaki le AKAR hallgatni egy valakit, akkor azt megteheti, anélkül, hogy errÅ‘l a célszemélynek tudomása lenne/tehetne ellene. Komoly.
Persze a srácok a The Hacker’s Choice-nál nem aludtak, megnézték, hogy mi a helyzet a túloldalon, hiszen ha minden stimmel, akkor ez a kis doboz nagyon mélyen belenyúl a gerinchálózatba.
Mit tapasztaltak?
Mindenhol ugyanaz a jelszó (newsys)….a többit el lehet képzelni.

UPDATE: hülye módon elhittem az ITcafés cikket, csak a femtocellákra törtek be, szóval a gerinchálózat még érintetlen…címeres ökör vagyok mert az adott THC wiki bejegyzést több hónapja olvasgatom…

A BlackHat-en pedig előadást tartanak belőle.
UPDATE: és addig nem mondanak el semmit (emailes megkeresésre tuti nem, azt már próbáltam).

Azt hiszem no comment, ezt én benéztem. Mondjuk kutatni már nem kell, csak az ötletet sajnálom (bár ahogy elnézem, őnekik jutott eszükbe először).

Ajánlott irodalom:
http://wiki.thc.org/vodafone

https://www.blackhat.com/html/bh-us-11/bh-us-11-briefings.html#Borgaonkar