Atelier Lab401 : Hacking et sécurisation des dispositifs BLE et RFID

Atelier Lab401 : Hacking et sécurisation des dispositifs BLE et RFID

Introduction

Pendant trois jours, les clients recevront une formation théorique et pratique sur tous les aspects des tests de pénétration BLE et RFID.

Les clients apprendront les bases du BLE, le reniflage, le dumping, l'usurpation d'identité, le MITM, le brouillage, le rejeu et les techniques de relais, et comment les appliquer à une variété de dispositifs BLE du monde réel : serrures intelligentes, balises, dispositifs mobiles de point de vente, jetons bancaires, etc.

La formation RFID couvre de manière exhaustive les sujets d'introduction et les sujets avancés : théorie de base, matériel et outils utilisés pour détecter, manipuler, renifler, craquer, émuler et cloner divers systèmes RFID.

Bluetooth Low Energy est l'une des technologies IoT les plus florissantes. Les dispositifs BLE nous entourent de plus en plus - non seulement sous forme de vêtements, de brosses à dents et de jouets sexuels, mais aussi de serrures intelligentes, de dispositifs médicaux et de jetons bancaires. Des vulnérabilités alarmantes de ces appareils ont été exposées à plusieurs reprises récemment. Et pourtant, les connaissances sur la manière d'évaluer de manière exhaustive leur sécurité semblent très rares. Il s'agit probablement de la formation la plus exhaustive et la plus à jour sur la sécurité BLE, tant pour les pentesters que pour les développeurs. Basée sur des exercices pratiques avec des dispositifs réels (y compris plusieurs serrures intelligentes), un dispositif personnel dédié flashé avec un devkit BLE, et un hackmelock d'entraînement délibérément vulnérable.

La RFID/NFC, quant à elle, existe depuis longtemps. Cependant, les vulnérabilités signalées il y a des années ne seront probablement pas résolues dans un avenir proche. Il est toujours étonnamment facile de cloner la plupart des cartes de contrôle d'accès utilisées aujourd'hui. Parmi d'autres exercices pratiques réalisés sur des installations réelles, les participants vont procéder à la rétro-ingénierie d'un exemple de système d'accès d'un hôtel, ce qui leur permettra d'ouvrir toutes les portes de l'établissement. Une liste de plusieurs centaines d'hôtels touchés est incluse.

Avec la prévalence des smartphones NFC, une nouvelle mise en œuvre de cette technologie a récemment attiré l'attention : les paiements mobiles sans contact/contrôle d'accès, sur Android, connus sous le nom de Host Card Emulation. Grâce à une combinaison de services en nuage et de sécurité mobile, il est désormais possible d'intégrer dans son téléphone non seulement une carte de crédit, mais aussi une clé NFC pour une serrure. Cette technologie est-elle aussi robuste qu'annoncée ? Comment vérifier sa sécurité, et comment la mettre en œuvre correctement ? Découvrez-le lors d'exercices pratiques !


Slawomir Jasek

Expert en sécurité RFID/BLE

Conférencier, formateur et consultant en sécurité informatique avec plus de 15 ans d'expérience. Slawomir Jasek a participé à d'innombrables évaluations de la sécurité des systèmes et des applications pour des sociétés financières de premier plan, des institutions publiques et des start-ups technologiques de pointe.

Il mène actuellement des recherches sur divers sujets au sein de la société polonaise de sécurité logicielle SecuRing et dispense des formations sur la sécurité des serrures et des systèmes de contrôle d'accès contemporains(www.smartlockpicking.com).

Outre la recherche et la formation, il se concentre sur le conseil et la conception de solutions sécurisées pour divers projets logiciels et matériels, pendant toutes les phases - en partant de zéro. Il a déjà donné des conférences, des ateliers ou des formations à HackInParis, BlackHat USA, plusieurs Appsec EU, HackInTheBox Amsterdam, Deepsec, BruCON, Confidence, Devoxx et de nombreux autres événements.

Public visé

  • Pentesters
  • Professionnels de la sécurité et chercheurs
  • Concepteurs / développeurs de matériel RFID / BLE
  • Forces de l'ordre / gouvernement
  • Passionnés de RFID / BLE

Conditions préalables

  • Aucune connaissance préalable du Bluetooth Low Energy ou du NFC n'est requise.
  • Connaissance de base de la ligne de commande Linux
  • Ordinateur portable capable d'exécuter des machines virtuelles VMWare (8GB RAM minimum)
  • Compétences en matière de script, expérience en pentesting, applications mobiles Android, connaissances en matière de sécurité : un avantage, mais pas indispensable.
  • Les clients peuvent apporter leurs propres dispositifs BLE / RFID pour l'audit.

Matériel à emporter

  • Manuel de formation complet (plus de 2000 pages)
  • Pendrive avec toutes les sources, documents, images VM et outils nécessaires.
  • Pack matériel complet :
    - Smartphone Android rooté compatible NFC/BLE avec toutes les applications requises
    - Proxmark 3 avec le dernier firmware
    - Plusieurs tags RFID/NFC pour le cracking et le clonage, y compris "Chinese magic UID", T5577, Ultralight, HID Prox, iClass, EV1, Mifare Classic avec divers contenus (ticket de bus, hôtel, porte-monnaie électronique, ...)
    - Carte NFC PN532 (libnfc)
    - Raspberry Pi 3 (+carte microSD et adaptateur 3.1A), avec des outils d'évaluation et Hackmelock installé pour le hacking à la maison.
    - Bluetooth Smart hardware sniffer (nRF, BtleJack) basé sur le module nrf51822
    - Individual BLE device to attack running on development kit (including source code)
    - ST-Link V2 SWD debugger for programming nRF boards
    - 2 Bluetooth Low Energy USB dongles

Prochaines dates

  • 📅 20-22 avril 2020 📍 Amsterdam, NL 🇬🇧
  • 📅 15-17 juin 2020 📍 Paris, France 🇬🇧
S'inscrire à un prochain atelier
S'inscrire à un atelier
S'abonner aux mises à jour des événements

Aperçu détaillé du cours

Premier jour

Bluetooth Smart (basse énergie)

Introduction aux bases du BLE avec des exemples pratiques sur dix dispositifs BLE différents : serrures intelligentes, balises, points de vente mobiles, jetons bancaires, divers autres dispositifs.

Introduction à plusieurs outils, dont le proxy MITM GATTacker BLE de l'orateur contre une serrure "Hack-me Lock" délibérément vulnérable.

Introduction théorique
  • Qu'est-ce que Bluetooth Smart/Low Energy/4.0, en quoi est-il différent des versions précédentes de Bluetooth ?
  • Scénarios d'utilisation, prévalence dans les appareils IoT
  • Notions de base sur le protocole
  • Matériel requis pour l'évaluation BLE
Publicités BLE
  • Outils d'analyse des dispositifs
  • Balises BLE
  • Simulation de balises
  • Abus de balise == Bière gratuite
  • "Balises "cryptées
  • Annonces BLE : Enlèvement de l'état du téléphone, du numéro..
  • Spoofing de publicité, DOS
Connexions BLE
  • Dispositif central ou périphérique
  • GATT - services, caractéristiques, descripteurs, handles, lecture, écriture, notifications
  • Cartographie des services et caractéristiques des périphériques
  • Interaction avec les appareils BLE à l'aide d'un téléphone mobile, d'une ligne de commande et de divers outils
  • Prise de contrôle de dispositifs simples et non sécurisés - sex toys, trouveurs de clés, etc.
Renifler des connexions BLE avec des outils RF
  • Modulation radio BLE, canaux, sauts, initiation de la connexion
  • Cryptage de la couche de liaison BLE - introduction, pourquoi est-il rarement utilisé dans la pratique ?
  • Matériel de reniflage : Ubertooth, nRF sniffer, BtleJack, Sniffle, SDR ...
  • Filtres Wireshark, trucs et astuces
  • Renifler le mot de passe statique en clair d'une serrure intelligente et d'autres dispositifs
HCI dump - capturer le trafic BLE
  • Différence avec le reniflage de la couche RF
  • Ligne de commande Linux hcidump
  • Android : analyse des paquets BLE en direct dans Wireshark via le service TCP
Usurpation de dispositifs et MITM actif
  • Comment réaliser une attaque de type "man in the middle" sur des connexions BLE ?
  • Outils disponibles : GATTacker, BtleJuice, BtleJack, Mirage
  • Clonage d'adresse MAC, problèmes potentiels du cache GATT des OS mobiles
  • Analyse du trafic intercepté
  • Attaques par déni de service
  • Brouillage et détournement de connexions actives avec BtleJack
Attaques de relecture
  • Interception de la transmission
  • Analyser la faiblesse du protocole d'authentification dans un exemple de serrure intelligente
  • Répéter l'opération à l'aide d'outils ou d'un téléphone portable, et déverrouiller le dispositif.
Attaques par relais
  • Utilisation abusive des fonctions de proximité automatiques (par exemple, verrouillage automatique de la serrure intelligente).

Deuxième jour

Étude de cas : Vulnérabilités des serrures intelligentes

Vulnérabilités de Smart Lock
  • Attaques sur l'authentification et les protocoles propriétaires
  • Décompilation de l'application Android, localisation des fragments de code source pertinents
  • Comprendre le protocole de communication BLE propriétaire - commandes, données échangées avec le dispositif.
Serrures intelligentes (suite)
  • Sur la base d'un exemple de serrure intelligente, découvrez la faiblesse du protocole, créez un exploit pour ouvrir la serrure sans connaître le mot de passe actuel ou le reniflage préalable.
  • Exploiter la vulnérabilité à l'aide d'un simple téléphone mobile - macros nRF Connect.
  • Vérifier les affirmations des autres vendeurs sur la "dernière technologie PKI" et le "cryptage de niveau militaire".
Suite des serrures intelligentes
  • Exemple d'interface de commande AT déverrouillée via le service BLE d'une serrure intelligente
  • Fonctions de partage d'accès à distance et leurs faiblesses - comment contourner les restrictions de temps.
  • Comment créer sa propre API indépendante côté serveur pour le dispositif - basée sur un vrai fournisseur de serrures intelligentes, qui a disparu et fermé les serveurs, rendant ainsi le dispositif inutilisable.
Sujets avancés de BLE MITM
  • Hooks, modification des données à la volée (exemple d'attaque sur un PoS mobile)
  • Injection de commandes
  • Proxy websocket en amont
  • attaques de type "Rolljam" sur des clés à usage unique.
  • Quand l'attaque MITM ne fonctionne pas ou n'est pas possible - débogage, dépannage
Connexions cryptées de la couche de liaison Bluetooth
  • Appairage, liaison, chiffrement BLE
  • Interception du processus d'appairage et décodage des clés à long terme (crackLE)
  • Faiblesses de l'appairage simple (PIN statique, fonctionnement simple)
  • Comment inciter une victime à se réapparier ?
Web Bluetooth
  • Détournement de dispositifs BLE à partir d'un site Web hostile
  • Écrire une nouvelle interface javascript pour contrôler son propre appareil
  • Bluetooth Mesh, Bluetooth 5.0
  • BLE Hackmelock
  • Bonnes pratiques et liste de contrôle de sécurité BLE
Introduction au NFC
  • RFID/NFC - par où commencer ?
  • Fréquences, types de cartes, scénarios d'utilisation
  • Comment reconnaître le type de carte - présentation rapide
  • L'équipement, et ce que vous pouvez en faire - téléphone portable, lecteur de cartes, cartes simples, Chameleon Mini, Proxmark, autres matériels
Contrôle d'accès basé sur l'UID
  • Contrôle d'accès basé sur l'UID
  • Longueurs et formats des UID
  • Clonage de l'UID Mifare
  • Emuler des cartes UID sans contact avec Android et iOS
  • Clonage de cartes à partir de photos
  • Clonage d'autres cartes d'identité
  • Emulation de carte avec Proxmark, Chameleon Mini
  • Force brute
  • Contre-mesures aux attaques
Norme Wiegand
  • Renifler les données via Raspberry Pi GPIO, ESP RFID Tool, BLE-Key...
  • Décodage et clonage des données reniflées
  • Attaques physiques de relecture
Mifare Ultralight
  • Structure de données
  • Lecture, clonage, émulation
  • Exemple de données stockées sur une carte d'accès à un hôtel
  • Ultralight EV1, C

Troisième jour

Mifare Classic et ses faiblesses

Une plongée en profondeur dans le chipset massivement populaire "Mifare Classic" avec plusieurs exemples pratiques sur des systèmes du monde réel : Hôtels, remontées mécaniques, tickets de bus...

Introduction
  • Mifare Classic - structure des données, contrôle d'accès, clés, cryptage
  • Clés par défaut et fuites
  • Lecture et clonage des données de la carte à l'aide d'un simple téléphone portable
  • Craquage des clés - attaques imbriquées, darkside
  • Outils Libnfc - mfoc, mfcuk, MiLazyCracker
  • Craquage de Mifare à l'aide de Proxmark
  • Attaques sur le Mifare Classic EV1 "durci".
  • Attaques en ligne contre le lecteur
Emulation de carte hôte / téléphone
  • Hardware Secure Element contre émulation de carte hôte logicielle
  • Exemple de système de contrôle d'accès HCE vulnérable (déverrouillage de la porte avec votre téléphone NFC)
  • Protocoles, commandes, applications - ISO14443-4, 7816-4, APDU, AID, ...
  • Analyse, renifler NFC en utilisant Proxmark, décharger NFC sur le téléphone,
  • Contournement des mécanismes de sécurité, extraction de clés, usurpation des informations d'identification d'autres utilisateurs.
  • Attaques de relais à distance et contre-mesures
Attaques spécifiques aux cartes
  • Introduction à DESFire + attaques
  • Clonage ISO15693/iCode SLIX (SkiPass)
  • HID iClass - Clonage de cartes anciennes et standard
  • Attaques HID iClass Elite
  • Reniflage et simulation de mot de passe HiTag2 via Proxmark
Inversion des données de la carte
  • Recodage des données de contrôle d'accès
  • Création de cartes maîtresses d'hôtel
Fermeture de sujets
  • Attaques à longue portée : Possibilités et limites
  • Construction d'antennes

Comment participer ?

Les ateliers sont programmés régulièrement, avec la possibilité supplémentaire de sessions privées si nécessaire. Pour rester informé des dates des prochains ateliers, inscrivez-vous à notre liste de diffusion sur les ateliers.

S'inscrire à un prochain atelier
S'inscrire à un atelier
S'abonner aux mises à jour des événements
Français