Explotación práctica de señales de radio por Luis Colunga

Explotación practica de señales de radio con

Software Defined Radio

Inseguridad en dispositivos inalámbricos• ¿Qué causan los problemas?

• Plataformas SDR

• Demostraciones

• Analizando Señales

• Recomendaciones para iniciar en Software Defined Radio

• Desafíos que aun debemos enfrentar

Agenda

2

3

Sobre Mi

4

Mis fines de semana

5

Aventura en:

Davis Monthan Military Base Tucson, AZ

6

Davis Monthan Demo

7

Banda VHF 118-136 Mhz (Banda Aerea Civil)

Banda UHF 225.0-328.6 MHz y 335.4-399.9 MHz

Ejemplo DMAF:

• Torre 118.85 Mhz y 253.5 Mhz

• Modulación AM

• Sin cifrado

Frecuencias y Modulación Utilizada

8

Inseguridad en dispositivos inalámbricos

9

Perspectiva: Desde el diseño

10

Con algunas diferencias que le agrega complejidad

Problemática similar al software

11

Tiempo

Presupuesto limitado

Protocolos como en los inicios del Internet (Sin cifrado o autentificación de mensajes)

Similitudes:

12

Complejidad en realizar iteraciones

13

Los circuitos integrados:Son una blackbox

14

No existen bugfixes

Un problema de seguridad significa rediseñar y volverlos a manufacturar

Circuitos Integrados:

16

Difcultades al Realizar Pentesting

17

• Costos

• Transporte

• Limitaciones de hardware (no nos permite craftear una trama a nivel físico como queremos)

Hardware especifico necesario

18

Receptor tradicional

19

20

Plataforma Software Defined Radio

21

22

Rango de frecuencia que se puede sintonizar

Precisión del oscilador

Ancho de banda/Sampling Rate

Resolución del ADC/DAC (medido en bits)

Receive only/Transmit

Interface

FPGA

Variantes entre diferentes plataformas SDR

23

RTL-SDR

24

~30Mhz – ~1700Mhz

Frequency drift (Oscilador no preciso)

Max Sampling Rate: 2.8MSPs

Ancho de Banda: 2Mhz

ADC: 8 Bits

Receive Only

Costo: $20 USD

Caracteristicas

25

HackRF

26

10 Mhz – 6GHZ

Ancho de Banda: 20 Mhz

8 Bits

Half Duplex TX/RX

External Clock Output/Input

Costo: $300 USD

Características

27

EttusResearchUSRP B-200

28

70 Mhz – 6 Ghz

Ancho de Banda: 56 Mhz

ADC/DAC 12 Bits

Full duplex, MIMO (2 Tx & 2 Rx)

USB 3.0

FPGA

Costo: $650 USD

Características

29

Airspy - Preorden

30

31

• 24 – 1750 MHz

• 12bit ADC

• 1.5 ppm high precision, low phase noise clock

• 1 RTC clock (for packet time-stamping)

• 10 MHz panoramic spectrum view with 9MHz alias/image free

• No IQ imbalance, DC offset or 1/F noise

Características

32

Demos

33

Radar de $20 USD con SDR

34

ADS-B Viewer Demo

35

36

Se puede spoffear

38

(les muestro mas tarde)

39

Recibiendo satélites NOAA

NOAA DEMO

40

Sniffing trafico GSM

41

GSM Sniffing Demo

42

43

En el 2010:Karsten Nohl y Sylvain Munautrompen el cifrado A5/1 de GSM

• Las herramientas están incompletas

• Solo se puede recibir downlink (torre a celular)

• Downlinks FDM no funcionan (la gran mayoría son FDM)

• Necesario obtener TMSI de cada usuario

Limitaciones

44

2010: $5000 Dólares

2014: $20 Dólares

45

46

The IBIS-II is an advanced

integrated active solution that

includes all relevant sub

systems in a single unit, allows

the user to scan, analyze,

intercept, monitor, record and

track GSM mobiles, regardless

if they are encrypted by A5.1 or

A5.2 encryption (monitoring is

not done by forcing the mobile

to use A5.0 or A5.2 but rather

by an

integrated deciphering

capability).

SDR to the rescue

¿Filas lentas en restaurant?

47

48

USRP Pager Demo

49

Messing with:

51

Hackin’ a Satellite(con permiso de la NASA)

52

ISEE-3

53

55

56

57

58

59

60

Transmitiendo señales de televisión digital (and jamming

channels)

61

En Mexico: ATSC

Argentina: ISDB

62

HackRF ATSC Transmitter

63

64

SigINT Like:

65

66

Analizando una señal

67

68

Preguntarle algobierno de USA

69

70

71

72

73

74

75

76

77

78

Termometer Demo

Tips para iniciar en Software Defined Radio

79

Plantearse un objetivo

Antenas, Cables Adaptadores

Spectrum

Modulaciones

80

Desafíos a resolver

81

82

Software no resuelve problemas “físicos”Se requiere antenas especificas para aplicaciones distintas

Las pruebas de concepto son compatibles solamente con cierta plataforma de SDR.

83

Difícil reutilización de código. (Hecho para cierta plataforma SDR)

En cada proyecto tienes que pensar en todas las capas de red.

84

85

Todo orientado a “research”. No esta desarrollado para engagements.

ADS-B Replay Attack

86

87

88

ADS-B Replay AttackDemo

89

90

GRACIAS!!!

Luis Colunga

[email protected]@sinnet3000