Zu Inhalt springen

Lab401 Workshop: Hacken und Sichern von BLE- und RFID-Geräten

Lab401 Workshop: Hacken und Sichern von BLE- und RFID-Geräten

Einführung

An drei Tagen erhalten die Kunden eine theoretische und praktische Schulung zu allen Aspekten von BLE- und RFID-Penetrationstests.

Die Kunden lernen BLE-Grundlagen, Sniffing-, Dumping-, Spoofing-, MITM-, Jamming-, Replaying- und Relaying-Techniken kennen und erfahren, wie sie diese auf eine Vielzahl von realen BLE-Geräten anwenden können: intelligente Schlösser, Beacons, mobile Point-of-Sale-Geräte, Bank-Token und mehr.

Die RFID-Schulung deckt alle einführenden und fortgeschrittenen Themen ab: Grundlegende Theorie, Hardware und Werkzeuge, die zum Erkennen, Manipulieren, Schnüffeln, Knacken, Emulieren und Klonen verschiedener RFID-Systeme verwendet werden.

Bluetooth Low Energy ist eine der am stärksten wachsenden IoT-Technologien. BLE-Geräte umgeben uns mehr und mehr - nicht nur als Wearables, Zahnbürsten und Sexspielzeug, sondern auch als intelligente Schlösser, medizinische Geräte und Bank-Token. Alarmierende Schwachstellen dieser Geräte wurden in letzter Zeit mehrfach aufgedeckt. Und doch scheint das Wissen darüber, wie man ihre Sicherheit umfassend bewerten kann, sehr gering zu sein. Dies ist wahrscheinlich die umfassendste und aktuellste Schulung zum Thema BLE-Sicherheit - sowohl für Pentester als auch für Entwickler. Es basiert auf praktischen Übungen mit echten Geräten (einschließlich mehrerer intelligenter Schlösser), einem eigenen persönlichen Gerät, das mit einem BLE-Devkit geflasht wurde, und einem absichtlich verwundbaren Übungs-Hackmelock.

RFID/NFC hingegen gibt es schon seit geraumer Zeit. Die Schwachstellen, auf die schon vor Jahren hingewiesen wurde, werden jedoch wahrscheinlich auch in naher Zukunft nicht behoben werden. Es ist immer noch überraschend einfach, die meisten der heute verwendeten Zugangskontrollkarten zu klonen. Neben anderen praktischen Übungen, die an realen Anlagen durchgeführt werden, werden die Teilnehmer ein beispielhaftes Hotelzugangssystem nachbauen und als Ergebnis alle Türen der Anlage öffnen können. Eine Liste von mehreren hundert betroffenen Hotels ist enthalten.

Mit der Verbreitung von NFC-Smartphones gewinnt in letzter Zeit eine neue Implementierung dieser Technologie an Aufmerksamkeit: mobile kontaktlose Zahlungen/Zugangskontrolle auf Android, bekannt als Host Card Emulation. Durch die Kombination von Cloud-Diensten und mobiler Sicherheit ist es jetzt möglich, nicht nur die Kreditkarte, sondern auch den NFC-Schlüssel zu einem Schloss in Ihr Telefon einzubetten. Ist die Technologie so robust wie angepriesen? Wie lässt sich ihre Sicherheit überprüfen und wie wird sie richtig eingesetzt? Finden Sie es in praktischen Übungen heraus!


Slawomir Jasek

RFID/BLE-Sicherheitsexperte

Referent, Trainer und IT-Sicherheitsberater mit über 15 Jahren Erfahrung. Slawomir Jasek hat an unzähligen Bewertungen der Sicherheit von Systemen und Anwendungen für führende Finanzunternehmen, öffentliche Einrichtungen und innovative Technologie-Start-ups teilgenommen.

Derzeit leitet er die Forschung zu verschiedenen Themen im polnischen Software-Sicherheitsunternehmen SecuRing und bietet Schulungen zur Sicherheit moderner Schlösser und Zugangskontrollsysteme an(www.smartlockpicking.com).

Neben Forschung und Schulung konzentriert er sich auf die Beratung und das Design von sicheren Lösungen für verschiedene Software- und Hardware-Projekte, und zwar in allen Phasen - von Null an. Zuvor hielt er Vorträge, Workshops oder Schulungen auf HackInParis, BlackHat USA, mehreren Appsec EU, HackInTheBox Amsterdam, Deepsec, BruCON, Confidence, Devoxx und vielen anderen Veranstaltungen.

Angesprochenes Publikum

  • Pentester
  • Sicherheitsexperten und -forscher
  • RFID-/BLE-Hardwaredesigner/-entwickler
  • Strafverfolgungsbehörden / Regierung
  • RFID-/BLE-Enthusiasten

Voraussetzungen

  • Es sind keine Vorkenntnisse über Bluetooth Low Energy oder NFC erforderlich.
  • Grundlegende Vertrautheit mit der Linux-Befehlszeile
  • Laptop, auf dem virtuelle VMWare-Maschinen ausgeführt werden können (mindestens 8 GB RAM)
  • Skripting-Kenntnisse, Erfahrung mit Pentesting, mobilen Android-Anwendungen und Sicherheitserfahrung sind von Vorteil, aber nicht entscheidend.
  • Kunden können ihre eigenen BLE/RFID-Geräte zur Prüfung mitbringen

Mitzunehmende Materialien

  • Umfassendes Schulungshandbuch (über 2000 Seiten)
  • Pendrive mit allen erforderlichen Quellen/Dokumenten/VM-Images/Tools
  • Vollständiges Hardware-Paket:
    - Gerootetes NFC/BLE-fähiges Android-Smartphone mit allen erforderlichen Anwendungen
    - Proxmark 3 mit neuester Firmware
    - Mehrere RFID/NFC-Tags zum Knacken und Klonen, einschließlich "Chinese magic UID", T5577, Ultralight, HID Prox, iClass, EV1, Mifare Classic mit verschiedenen Inhalten (Busticket, Hotel, E-Wallet, ....)
    - NFC PN532 board (libnfc)
    - Raspberry Pi 3 (+microSD Karte und 3.1A Stromadapter), mit Assessment Tools und Hackmelock installiert für weitere Hacking zu Hause.
    - Bluetooth Smart Hardware Sniffer (nRF, BtleJack) basierend auf nrf51822 Modul
    - Individuelles BLE Gerät zum Angriff auf das Entwicklungskit (inklusive Quellcode)
    - ST-Link V2 SWD Debugger zur Programmierung von nRF Boards
    - 2 Bluetooth Low Energy USB Dongles

Kommende Termine

  • 📅 20-22. April 2020 📍 Amsterdam, NL 🇬🇧
  • 📅 15-17. Juni 2020 📍 Paris, Frankreich 🇬🇧
Anmeldung für einen kommenden Workshop
Anmeldung für Workshop
Anmeldung für Veranstaltungs-Updates

Detaillierte Kursübersicht

Erster Tag

Bluetooth Smart (Niedrigenergie)

Einführung in die BLE-Grundlagen mit praktischen Beispielen für zehn verschiedene BLE-Geräte: intelligente Schlösser, Beacons, mobile PoS, Bank-Token und verschiedene andere Geräte.

Einführung in verschiedene Tools, darunter der GATTacker BLE MITM Proxy des Referenten gegen ein absichtlich verwundbares "Hack-me Lock".

Einführung in die Theorie
  • Was ist Bluetooth Smart/Low Energy/4.0, wie unterscheidet es sich von früheren Bluetooth-Versionen?
  • Verwendungsszenarien, Verbreitung in IoT-Geräten
  • Grundlagen des Protokolls
  • Erforderliche Hardware für die BLE-Bewertung
BLE-Anzeigen
  • Geräte-Scan-Tools
  • BLE-Beacons
  • Beacon-Simulation
  • Beacon-Missbrauch == Freibier
  • "Verschlüsselte" Beacons
  • BLE-Werbung: Abfangen von Telefonstatus, Nummer...
  • Werbe-Spoofing, DOS
BLE-Verbindungen
  • Zentrales vs. peripheres Gerät
  • GATT - Dienste, Eigenschaften, Deskriptoren, Handles, Lesen, Schreiben, Benachrichtigungen
  • Mapping von Gerätediensten und -eigenschaften
  • Interaktion mit BLE-Geräten über Mobiltelefon, Kommandozeile, verschiedene Tools
  • Übernahme der Kontrolle über einfache, unsichere Geräte - Sexspielzeug, Schlüsselfinder usw.
Schnüffeln von BLE-Verbindungen mit RF-Tools
  • BLE-Funkmodulation, Kanäle, Hopping, Verbindungsaufbau
  • BLE Link-Layer-Verschlüsselung - Einführung, warum wird sie in der Praxis kaum verwendet
  • Schnüffel-Hardware: Ubertooth, nRF Sniffer, BtleJack, Sniffle, SDR ...
  • Wireshark-Filter, Tipps&Tricks
  • Sniffing statischer Klartext-Passwörter eines Smart Locks und anderer Geräte
HCI-Dump - Erfassen von BLE-Verkehr
  • Unterschied zum RF-Layer-Sniffing
  • Linux Befehlszeile hcidump
  • Android: Live-Analyse von BLE-Paketen in Wireshark über TCP-Dienst
Geräte-Spoofing und aktiver MITM
  • Wie man einen "Man in the Middle"-Angriff auf BLE-Verbindungen durchführt
  • Verfügbare Tools: GATTacker, BtleJuice, BtleJack, Mirage
  • Klonen von MAC-Adressen, mögliche Probleme mit dem GATT-Cache des mobilen Betriebssystems
  • Analyse des abgefangenen Datenverkehrs
  • Denial-of-Service-Angriffe
  • Jamming und Hijacking aktiver Verbindungen mit BtleJack
Replay-Angriffe
  • Abfangen von Übertragungen
  • Analyse der Schwäche des Authentifizierungsprotokolls am Beispiel eines Smart Locks
  • Replay mit Tools oder Mobiltelefon durchführen und das Gerät entsperren
Relay-Angriffe
  • Missbrauch von automatischen Annäherungsfunktionen (z. B. automatisches Entsperren des Smart Locks).

Zweiter Tag

Fallstudie: Sicherheitslücken bei Smart Locks

Schwachstellen von Smart Locks
  • Angriffe auf proprietäre Authentifizierung und Protokolle
  • Dekompilieren der Android-App, Auffinden relevanter Quellcode-Fragmente
  • Verstehen des proprietären BLE-Kommunikationsprotokolls - Befehle, mit dem Gerät ausgetauschte Daten
Intelligente Schlösser Fortgesetzt
  • Anhand eines Beispiels für ein intelligentes Schloss die Schwachstelle im Protokoll entdecken und einen Exploit erstellen, um das Schloss ohne Kenntnis des aktuellen Passworts oder vorheriges Sniffing zu öffnen
  • Ausnutzung der Schwachstelle nur mit einem Mobiltelefon - nRF Connect Makros
  • Überprüfen Sie die Behauptungen anderer Anbieter über "neueste PKI-Technologie" und "militärische Verschlüsselung".
Smart Locks Fortsetzung
  • Beispiel einer entsperrten AT-Befehlsschnittstelle über den BLE-Dienst eines intelligenten Schlosses
  • Funktionen zur Freigabe des Fernzugriffs und ihre Schwächen - wie man zeitliche Beschränkungen umgeht.
  • Wie man eine eigene, unabhängige serverseitige API für das Gerät erstellt - basierend auf einem echten Smart Lock-Anbieter, der die Server verschwinden und schließen ließ, wodurch das Gerät effektiv zu Elektroschrott wurde
Fortgeschrittene BLE MITM-Themen
  • Hooks, Datenänderung im laufenden Betrieb (Beispielangriff auf mobile PoS)
  • Befehlsinjektion
  • Vorgeschalteter Websocket-Proxy
  • "Rolljam"-ähnliche Angriffe auf Einwegschlüssel
  • Wenn MITM-Angriffe nicht funktionieren oder nicht möglich sind - Fehlersuche, Fehlerbehebung
Verschlüsselte Bluetooth-Link-Layer-Verbindungen
  • BLE-Pairing, Bonding, Verschlüsselung
  • Abfangen des Pairing-Prozesses und Entschlüsselung von Long Term Keys (CrackLE)
  • Schwachstellen des einfachen Pairings (statische PIN, funktioniert einfach)
  • Wie man ein Opfer zum erneuten Pairing verleitet
Web-Bluetooth
  • Hijacking von BLE-Geräten von einer feindlichen Website aus
  • Schreiben einer neuen Javascript-Schnittstelle zur Steuerung des eigenen Geräts
  • Bluetooth Mesh, Bluetooth 5.0
  • BLE Hackmelock
  • BLE Best Practices und Sicherheitscheckliste
NFC-Einführung
  • RFID/NFC - wo soll ich anfangen?
  • Frequenzen, Kartentypen, Nutzungsszenarien
  • Erkennen des Kartentyps - Schnelldurchlauf
  • Ausrüstung und ihre Einsatzmöglichkeiten - Mobiltelefon, Kartenleser, einfache Karten, Chameleon Mini, Proxmark, andere Hardware
UID-basierte Zugangskontrolle
  • UID-basierte Zugangskontrolle
  • UID-Längen, Formate
  • Mifare UID klonen
  • Emulation von kontaktlosen Karten-UIDs mit Android und iOS
  • Kartenklonen von Fotos
  • Klonen anderer ID-basierter Karten
  • Emulieren von Karten mit Proxmark, Chameleon Mini
  • Brute-force
  • Gegenmaßnahmen für Angriffe
Wiegand-Standard
  • Schnüffeln von Daten über Raspberry Pi GPIO, ESP RFID Tool, BLE-Key...
  • Dekodieren und Klonen der gesnifften Daten
  • Physikalische Replay-Angriffe
Mifare Ultraleicht
  • Datenstruktur
  • Lesen, Klonen, Emulieren
  • Beispiel für auf einer Hotelzugangskarte gespeicherte Daten
  • Ultralight EV1, C

Dritter Tag

Mifare Classic und seine Schwächen

Ein tiefer Einblick in den sehr beliebten "Mifare Classic"-Chipsatz mit mehreren praktischen Beispielen auf realen Systemen: Hotels, Skilifte, Busfahrkarten...

Einführung
  • Mifare Classic - Datenstruktur, Zugriffskontrolle, Schlüssel, Verschlüsselung
  • Standard- und geleakte Schlüssel
  • Lesen und Klonen von Kartendaten mit einem Mobiltelefon
  • Schlüssel knacken - verschachtelt, Darkside-Angriffe
  • Libnfc-Werkzeuge - mfoc, mfcuk, MiLazyCracker
  • Mifare knacken mit Proxmark
  • Angriffe auf EV1 "gehärtetes" Mifare Classic
  • Online-Angriffe gegen Leser
Host-Karte/Telefon-Emulation
  • Hardware-Secure-Element vs. Software-Hostkarten-Emulation
  • Beispiel für ein verwundbares HCE-Zugangskontrollsystem (Entriegelung der Tür mit Ihrem NFC-Telefon)
  • Protokolle, Befehle, Anwendungen - ISO14443-4, 7816-4, APDU, AID, ...
  • Analyse, NFC-Sniffing mit Proxmark, NFC-Dumping auf dem Telefon,
  • Umgehung von Sicherheitsmechanismen, Schlüsselextraktion, Fälschung der Anmeldedaten anderer Benutzer
  • Remote-Relay-Angriffe und Gegenmaßnahmen
Kartenspezifische Angriffe
  • DESFire Einführung + Angriffe
  • ISO15693/iCode SLIX (SkiPass) Klonen
  • HID iClass - Klonen von Legacy und Standard
  • HID iClass Elite Angriffe
  • HiTag2 Passwort-Sniffing und Simulation über Proxmark
Umkehrung von Kartendaten
  • Umkodierung von Zugangskontrolldaten
  • Erstellen von Hotel-Mastercards
Schließen von Fächern
  • Angriffe mit großer Reichweite: Möglichkeiten und Grenzen
  • Konstruktion von Antennen

Wie kann man teilnehmen?

Die Workshops finden in regelmäßigen Abständen statt, wobei bei Bedarf auch die Möglichkeit besteht, private Sitzungen abzuhalten. Wenn Sie über die nächsten Workshop-Termine informiert werden möchten, tragen Sie sich in unsere Workshop-Mailingliste ein.

Anmeldung für einen bevorstehenden Workshop
Anmeldung für Workshop
Anmeldung für Veranstaltungs-Updates