YouTube: https://www.youtube.com/watch?v=_Y65GrPgSnY&index=6&list=PLnKL6-WWWE_VNp6tUznu7Ca8hBF8yjKj2&t=1450s

1. Hackowanie
internetu
rzeczy
Hackowanie
IoT,
Michał
Sajdak
sekurak.pl,
securitum.pl

2. O
mnie
Michał
Sajdak
Założyciel
http://sekurak.pl &
http://rozwal.to/
Konsultant
&
trener
w
http://securitum.pl/
2
Copyright
2017
Securitum
www.securitum.pl

3. O
prezentacji
Kilkanaście
przypadków
podatności
ze
świata
IoT
Hackowanie kamery
CCTV
Hackowanie TP-­‐Linków
Botnety na
IoT
Mirai
Hackowanie samochodów
Hackowanie inteligentnych
(!)
strzelb
…
Pokażę
wiele
różnych
przypadków,
bez
rozwodzenia
się
nad
każdym
z
nich
(brak
czasu)
Informacje
tylko
w
celach
edukacyjnych(!) 3
Copyright
2017
Securitum
www.securitum.pl

4. Kamera
Ganz Security
4
Copyright
2017
Securitum
www.securitum.pl

5. Kamera
Ganz Security
Imbedded Intelligence Technology
providing intelligent analysis of
video
with
application areas including intrusion detection,
vehicle
monitoring,
abandoned-­‐object detection,
people counting and
loitering detection,
as
well as
camera tampering and
failure detection.
Wybrane
referencje
ze
strony
producenta:
FBI
Headquarters
NJ
Department of
Transportation
NYPD
Singapore Police
Station
(All Branches)
Spawar Command (NAVY)
The
British
Embassy
The
White
House
5
Copyright
2017
Securitum
www.securitum.pl

6. Kamera
Ganz Security
Zobaczmy
w
akcji
6
Copyright
2017
Securitum
www.securitum.pl

7. Kamera
Ganz Security
Bug
zgłoszony
20.08.2016
Obecnie
brak
patcha (?)
Kolejne
bugi czekają
na
publikację
…
~1 miesiąc
do
deadline
7
Copyright
2017
Securitum
www.securitum.pl

8. Mini
case study – kamera
Grandstream (2016)
Copyright
2016
Securitum
www.securitum.pl
8
http://boredhackerblog.blogspot.com/2016/05/hacking-­ip-­camera-­grandstream-­
gxv3611hd.html

9. Mini
case study – kamera
Grandstream
Copyright
2016
Securitum
www.securitum.pl
9
http://boredhackerblog.blogspot.com/2016/05/hacking-­ip-­camera-­grandstream-­
gxv3611hd.html

10. Mini
case study – kamera
Grandstream
Copyright
2016
Securitum
www.securitum.pl
10

11. Internet
of
Things
Copyright
2017
Seuritum
www.securitum.pl
Marketing
Rzeczywistość

12. Internet
of
Things
„Standardowe
urządzenie”
System
operacyjny
(Linux)
Tani,
wspierany
Konsola
administracyjna
(najczęściej
oparta
o
web)
Obudowa
Copyright
2017
Securitum
www.securitum.pl
12

13. Internet
of
Things
13
http://www.devttys0.com/2014/05/hacking-­the-­d-­link-­dsp-­w215-­smart-­plug/

14. Netgear
hackers’
choice
;-­‐)
14
https://sekurak.pl/teksanska-­‐masakra-­‐pila-­‐shellowa-­‐ofiara-­‐routery-­‐netgear/

15. Netgear
hackers’
choice
;-­‐)
15
https://sekurak.pl/na-­‐swieta-­‐biegiem-­‐do-­‐sklepu-­‐po-­‐router-­‐netgear-­‐maja-­‐mase-­‐0-­‐dayow/

16. TP-­‐Link
ArcherC20i
/
Archer
C2
16
https://sekurak.pl/tp-­link-­root-­bez-­uwierzytelnienia-­urzadzenia-­archer-­c20i-­oraz-­c2/

17. …
analiza
firmware w
nietypowy
sposób
@2016:
TP-­‐Link
zapomniał
odnowić
domenę
tplinklogin.net
http://arstechnica.com/security/2016/07/tp-­‐link-­‐forgets-­‐to-­‐register-­‐domain-­‐name-­‐
leaves-­‐config-­‐pages-­‐open-­‐to-­‐hijack/
17

18. …
analiza
firmware w
nietypowy
sposób
Na
urządzeniach
jest
moduł
do
jądra
Linuksa
przechwytujący
zapytania
DNS
z
sieci
lokalnej
Jeśli
jest
zapytanie
do
tplinklogin.net to
moduł
odpowiada
adresem
IP
routera
Skąd
wiadomo
że
to
tak
działa?
Można
rozpakować
firmware,
ale
moduł
dostępny
jest
tylko
w
formie
binarnej
Dekompilacja?
Tak,
ale
czasochłonna
18

19. …
analiza
firmware w
nietypowy
sposób
Czasem
w
aplikacjach
webowych
developerzy
zostawiają
katalogi
typu:
.svn
.git
Ale
jak
to
się
ma
do
naszego
przypadku?
Pobrałem
jeden
z
firmware ze
stron
TP-­‐Link,
a
tam…
19

20. …
analiza
firmware w
nietypowy
sposób
20
Zobaczmy zawartość pliku: .svn/text-­base/tp_domain.c.svn-­base

21. cat ./.svn/text-­‐base/tp_domain.c.svn-­‐base
21

22. Arstechnica (2016): “Internet of Things” security is
hilariously broken and getting worse
http://arstechnica.com/security/2016/01/how-­to-­search-­the-­internet-­of-­things-­for-­photos-­of-­sleeping-­babies/
Shodan, (…) , recently launched a new section that lets users easily browse
vulnerable webcams.
The feed includes images of marijuana plantations, back rooms of banks,
children, kitchens, living rooms, garages, front gardens, back gardens, ski slopes,
swimming pools, colleges and schools, laboratories, and cash register
cameras in retail stores.

23. Czy ktoś wie co to jest?
23https://www.pentestpartners.com/blog/pwning-­cctv-­cameras/

24. DVR
24https://www.pentestpartners.com/blog/pwning-­cctv-­cameras/
A
recent
study
estimates
there
are
about
1.85m
cameras
across
the
UK
– most
in
private
premises.
Most
of
those
cameras
will
be
connected
to
some
kind
of
recording
device,
which
these
days
means
a
Digital
Video
Recorder
or
DVR.

25. Kamery
25http://arstechnica.co.uk/security/2015/11/police-­body-­cams-­found-­pre-­installed-­with-­
notorious-­conficker-­worm/
2015:
policyjne
kamery z
preinstalowanym
robakiem
Conficker
Kiedy
badacze
pozwolili
Confickerowi
zaatakować
PC-­‐ta,
robak
zaczął
atakować
kolejne
komputery
w
sieci…

26. Wired.com (2015): hackerzy zdalnie przejęli kontrolę nad
Jeepem
„All of this is possible only because Chrysler,
like practically all carmakers, is doing its best to
turn the modern automobile into a smartphone.”
26https://www.wired.com/2015/07/hackers-­remotely-­kill-­jeep-­highway/
http://illmatics.com/Remote%20Car%20Hacking.pdf
„Miller
and
Valasek’s
full
arsenal
includes
functions
that
at
lower
speeds
fully
kill
the
engine,
abruptly
engage
the
brakes,
or
disable
them
altogether.
The
most
disturbing
maneuver
came
when
they
cut
the
Jeep’s
brakes,
leaving
me
frantically
pumping
the
pedal
as
the
2-­‐ton
SUV
slid
uncontrollably
into
a
ditch. ”

27. Chronologia
ataku
WiFi – łatwo przewidywalne hasło (bazujące na czasie)
Wynik nmapa na interfejsie WiFi
27
Czy
na
samochodzie
działa
serwer
IRCa?!?

28. Chronologia
ataku
nie ;)
to tzw. usługa D-Bus – dostępna bez hasła…
28

29. Chronologia
ataku
… można tu też wykonać kod w OS:…
29

30. Chronologia
ataku
Można teraz zaatakować podsystem związany z
multimediami
Radio na 100%, etc
Następny krok – podłączenie z sieci komórkowej
30

31. Chronologia
ataku
Port 6667 działa na interfejsie WiFI oraz na inferfejsie
publicznym (!) – tj. na publicznym adresie IP samochodu
31

32. Chronologia
ataku
Ostatni krok – przeskoczenie do podsieci CAN
Stąd można już sterować kluczowymi sieciami samochodu
32

33. Troy Hunt (2016): Kontrolowanie funkcji Nissana LEAF
przez podatne API
33https://www.troyhunt.com/controlling-­vehicle-­features-­of-­nissan/
„What the workshop attendee ultimately discovered was that not only
could he connect to his LEAF over the internet and control features
independently of how Nissan had designed the app, he could
control other people’s LEAFs.”

34. 34

35. Afera
kluczykowa
2016
„Nowy
hack pozwala
na
bezprzewodowe
otwarcie
przeszło
100
milionów
samochodów:
Audi,
Skoda,
rozmaite
VW,
Ford,
Citroen”
https://www.wired.com/2016/08/oh-­‐good-­‐new-­‐hack-­‐can-­‐unlock-­‐100-­‐million-­‐volkswagens/35

36. Rolling
code (zabezpiecza
przed
replay)
36

37. W
czym
problem?
„fixed (…)
global master
key independent
of
vehicle
or remote control.
In
other words,
this means that
the
same
AUT64
key is stored in
millions of
ECUs and
RKE
remotes,
without any key diversification being
employed at all.
37

38. W
czym
problem?
„We
verified our findings in
practice by
building a
key
emulator
and
then unlocking and
locking the
vehicles
with
newly generated rolling
codes.
(…) ”
Więcej
info:
Google:
sekurak audi
38

39. Botnety
39

40. The Sydney Morning Herald (2014):
Cyber attack that sent 750k malicious emails traced
to hacked refrigerator, TVs and home routers
40http://www.smh.com.au/it-­pro/security-­it/cyber-­attack-­that-­sent-­750k-­malicious-­emails-­
traced-­to-­hacked-­refrigerator-­tvs-­and-­home-­routers-­20140120-­hv96q.html

41. Maszyny z napojami atakują sieć
uniwersytecką !? (2017):
unnamed university was hit by a DDoS attack using
the campus’ own vending machines and assorted
Internet of Things (IoT) devices.
Revealed in Verizon’s
preview of
its
2017
Data
Breach Digest
(…)
41http://www.datacenterdynamics.com/content-­tracks/security-­risk/university-­suffers-­
ddos-­attack-­from-­iot-­vending-­machines/97808.fullarticle

42. Internet of Things - botnety
42http://www.securelist.com/en/analysis/204792187/Heads_of_the_Hydra_Malware_for_Network_Devices

43. Ostatnie
2
największe
ataki
DDoS
OVH:
„This botnet with
145607
cameras/dvr (1-­‐30Mbps
per
IP)
is able to
send >1.5Tbps DDoS.
Type:
tcp/ack,
tcp/ack+psh,
tcp/syn.”
Brian
Krebs:
~620
Gbps
Niemal
dowolny
ruch
z
całego
świata,
bez
potrzeby
użycia
amplifikacji
43

45. https://www.incapsula.com/blog/malware-­analysis-­mirai-­ddos-­botnet.html

46. 46
http://blog.malwaremustdie.org/2016/08/mmd-­‐0056-­‐2016-­‐linuxmirai-­‐just.html
Mirai

47. „Mirai is one
of
at least two malware families that are currently being
used to
quickly assemble very large IoT-­‐based DDoS armies.”
„the Bashlight botnet currently is responsible for
enslaving nearly a
million IoT devices and
is in
direct competition with
botnets based on
Mirai.”
47https://sekurak.pl/wyciekl-­kod-­zrodlowy-­botnetu-­iot/
Wyciek
źródeł
botnetu
operującego
na
IoT

48. 48

49. For
network
layer assaults,
Mirai is capable of
launching GRE
IP
and
GRE
ETH
floods,
as
well as
SYN
and
ACK
floods,
STOMP
(Simple
Text Oriented Message
Protocol)
floods,
DNS
floods and
UDP
flood attacks.
49
https://www.incapsula.com/blog/malware-­‐analysis-­‐mirai-­‐ddos-­‐botnet.html
Mirai
Mirai’s
attack
function
enables
it
to
launch
HTTP
floods
and
various
network
(OSI
layer
3-­‐4)
DDoS
attacks

50. 50
https://www.incapsula.com/blog/malware-­‐analysis-­‐mirai-­‐ddos-­‐botnet.html
Mirai’s
“Don’t
Mess
With”
List

51. 51
https://www.incapsula.com/blog/malware-­‐analysis-­‐mirai-­‐ddos-­‐botnet.html

52. 52
https://blog.cloudflare.com/say-­cheese-­a-­snapshot-­of-­the-­massive-­ddos-­attacks-­coming-­from-­iot-­cameras/

53. http://dyn.com/dns/
53
Amazon, Gitgub, Airbnb, Twitter, Spotify, Reddit, Netflix, Playstation Network, …

54. 21.10.2016
54
Dyn: (…) received a global DDoS attack on our Managed DNS
infrastructure (…)
DNS traffic resolved from east coast name server locations are
experiencing a service degradation or intermittent interruption
during this time.
Downdetector.com

55. 22.10.2016
55
Dyn: we observed 10s of millions of discrete IP addresses
associated with the Mirai botnet that were part of the attack.
Downdetector.com

56. Dyn
3 fale ataków jednego dnia (21.10.2016r.)
Zapytania o losowe adresy typu:
alksdjlakjsdlkajsd.amazon.com
Szybki
fix:
przerzucenie
się
na
innych
operatorów
DNS
8.8.8.8
OpenDNS
OpenDNS rozwiązuje
ostatni
znany
adres 56
Copyright
2017
Securitum
www.securitum.pl

57. 24.10.2016,
Reuters
57http://www.reuters.com/article/us-­cyber-­attacks-­manufacturers-­idUSKCN12O0MS
Chinese
firm
Hangzhou
Xiongmai
Technology
Co
Ltd
said
it
will
recall
(…)
products
(…)
that
were
targeted
in
a
major
hacking
attack
on
Friday.
Hackers
unleashed
a
complex
attack
on
the
Internet
through
common
devices
like
webcams
and
digital
recorders,
and
cut
access
to
some
of
the
world's
best
known
websites
in
a
stunning
breach
of
global
internet
stability.

58. Theguardian.com
(2015):
Hackerzy
mogą
przejąć
komunikację
sieciową
lalki
Barbie
®
58https://www.theguardian.com/technology/2015/nov/26/hackers-­can-­hijack-­wi-­fi-­hello-­barbie-­to-­spy-­on-­your-­children
„Mattel’s latest Wi-­Fi enabled Barbie doll can easily be hacked to turn it
into a surveillance device for spying on children and listening into
conversations without the owner’s knowledge”

59. Theguardian.com (2015): Hackerzy mogą przejąć komunikację sieciową lalki Barbie ®
59https://www.theguardian.com/technology/2015/nov/26/hackers-­can-­hijack-­wi-­fi-­hello-­barbie-­to-­spy-­on-­your-­children

60. 17.02.2017
– Niemcy
ogłaszają,
że
lalka
Cayla
to
…
60
http://www.spiegel.de/netzwelt/gadgets/my-­friend-­cayla-­bundesnetzagentur-­nimmt-­sprechende-­puppe-­vom-­markt-­a-­
1135159.html
• Versteckte Spionagegeräte
• Rekomendują
zniszczenie zabawki.
• W Niemczech, za posiadanie
ukrytego urządzenia
podsłuchowego grozi do 2 lat więzienia

61. 28.02.2017
– baza
użytkowników
zabawek
CloudPets
-­‐ dostępna
publicznie
61https://sekurak.pl/inteligentne-­misie-­przejete-­wyciek-­800-­000-­kont-­dostep-­live-­do-­nagran-­i-­zdjec-­uzytkownikow/

62. 28.02.2017
– baza
użytkowników
zabawek
CloudPets
-­‐ dostępna
publicznie
62https://sekurak.pl/inteligentne-­misie-­przejete-­wyciek-­800-­000-­kont-­dostep-­live-­do-­nagran-­i-­zdjec-­uzytkownikow/
• Baza
Mongo bez
zabezpieczenia
• Dostęp
do
nagrań
głosu
bez
zabezpieczenia…
• Baza
była
przejmowana
przez
Ransomware (!)

63. Wired.com (2015):
Hackerzy
mogą
wyłączyć
inteligentną
strzelbę
lub…
zmienić
ustawiony
w
niej
cel
63

64. Wired.com (2015):
Hackerzy
mogą
wyłączyć
inteligentną
strzelbę
lub…
zmienić
ustawiony
w
niej
cel
64

65. Wired.com (2015):
Hackerzy
mogą
wyłączyć
inteligentną
strzelbę
lub…
zmienić
ustawiony
w
niej
cel
65
Zahardcodowane hasło WPA
API administracyjne bez uwierzytelnienia
Możliwość rootowania (całość działa na linuksie)
https://www.wired.com/2015/07/hackers-­can-­disable-­sniper-­rifleor-­change-­target/

66. Jak
się
chronić?
Nie
wystawiać
IoT na
publicznych
adresach
IP
Aktualizować
firmware
Zmienić
domyślne
hasła
Prawie
30
punktowa
checklista:
http://routersecurity.org/checklist.php
https://www.us-­‐cert.gov/ncas/alerts/TA16-­‐288A
„Purchase IoT devices
from
companies with
a
reputation for
providing
secure devices”
https://www.schneier.com/blog/archives/2017/02/security_and_pr.html
Tony
dokumentacji
o
bezpieczeństwie
IoT zebrane
w
jednym
miejscu
66
Copyright
2017
Securitum
www.securitum.pl

67. Jak
się
chronić?
http://iotscanner.bullguard.com/search
67
https://www.wired.com/2015/07/hackers-­can-­disable-­sniper-­rifleor-­change-­target/
http://iotscanner.bullguard.com/search

68. Q/A
?
michal.sajdak@securitum.pl
Zapraszam
po
prezentacji
do
Community Corner
Można
wygrać
ksiażki /
koszulki
sekuraka /
udział
w
szkoleniu
securitum.pl (szkolenia
/
testy
bezpieczeństwa)
68
Copyright
2017
Securitum
www.securitum.pl