如何HACK无线家用警报器?

Posted 小小猫钓小小鱼

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何HACK无线家用警报器?相关的知识,希望对你有一定的参考价值。

技术分享

30年前,报警器都是硬连线的,具有分立元件,并由钥匙开关操作。20年前,他们已经演变为使用微控制器,LCD和键盘,但仍然是硬连线。10年前,无线报警器开始变得普及,并增加了许多之前没有的功能。

而如今,我们的报警器却遍布了我们的生活,从互联网连接,移动应用程序,到家庭自动化和视频验证都能为我们提供警报服务 – 其中检测器早已被集成在了我们家中的摄像头内。

可以看到,警报系统在不断的更新和完善,但制造商,安装人员,操作人员和用户对他们的了解程度却远远不够。

本地攻击

无线报警器为我们开启了全新的攻击面。有线系统一般都会使用开/关电路,所有接线都处在保护区内。而相比之下,无线系统则打破了边界,允许攻击者在外围恶意篡改报警信号。

有许多技术可以来帮助我们,完成对无线报警器的攻击。

某些符合EN 50131-1标准的报警器会有等级的划分。从1级(低安全级别)到4级(高安全级别)。而在英国,无线警报器的最高级别是2级。

干扰

不管市场是如何说的,大量的无线警报器都可以被干扰,以阻止报警信号的传达并且允许攻击者的访问。

让我们看看无线报警器的标准 - EN 50131-5-3,我们着重来关注2级别,因为它是英国目前无线警报器的最高等级,这个等级适用于家庭住宅并且有较低的商业风险。

这就表述了干扰(或者故意干扰)的两个重要特点:

  • “对于周期性通信故障检测的要求”,比如说,多久控制面板不能接受到检测器的信号。结果为120分钟,也就是两个小时没有信号传达。
  • “对于干涉检测的要求”比如说干扰。这样每60秒就有30秒被干扰,这就给我们很大的空间来发挥。

技术分享

(摘自:http://e-collection.library.ethz.ch/eserv/eth:5031/eth-5031-01.pdf

以下有三种我们可以执行的干扰攻击:

  • 主动干扰 – 我们一直在发送信号。然而没有信号可以传达,但是这很容易就检测出来,并且将会导致大范围内其他相同频率设备的毁坏。
  • 反应分组干扰 – 我们等待着直到检测到一个信号,然后开始信号干扰。状态和报警信息都受到了干扰,不太容易检测并且有报警的风险。
  • 反应位干扰 – 监听发送的信号,通过足够长时间的干扰来破坏信号。这样的好处是我们可以监听数据包,并只干扰报警信息,状态信息则不受影响。

这里我们使用 RFcat - 一个简单的RF USB加密狗 – 在434MHz上发送连续的信号。根本没有报警信号通过。干扰检测不会触发报警(不知道为什么会这样)。

技术分享

技术分享

RFcat约30英镑。其实我们可以做得更廉价些 - 一个简单的OOK发射机,使用555定时器调制来完成主动干扰的工作。

如果我们想做反应分组或位干扰,那么我们可以使用CC1110板,并使用自定义的代码进行编程。另外,我发现Ciseco ARF的价格相对合理只需£29,输出功率为500mW且效果非常好。

重放攻击

EN 50131-5-3标准中的级别2,并没有对重放攻击的要求。这意味着我们可以接收一个信号 – 例如来自一个keyfob的撤防信号 – 然后进行重放。

软件定义无线电(SDR)非常的简单。在这里我们使用价值$300的 HackRF。我们选择频率(434.8Mhz),然后开始捕获,并将撤防信号捕获到文件。我们可以在Audacity或其他类似的软件下,查看我们捕获的文件。接着我们只需将捕获的信息送回HackRF,即可为我们撤防警报。

技术分享

其他攻击

Fuzz是渗透测试中常用的手段。例如,通过对一款软件的fuzz我们可以观察其对不正确输入格式的处理情况,从而判断其潜在的安全问题。这里,我们也可以用RF信号做到这一点。

当一个报警器接收到的数据包大于预期时,则会完全挂起。键盘无响应;探测器将什么都不做。这时你需要通过拉电源开关(包括备用电池),才能使其再次工作。我们不知道为什么微控制器的看门狗定时器,不用于关键的安全设备。

设备会在键盘和面板之间发送PIN码。所以我们可以进行嗅探,解码,然后使用它。

那么,这里我们可以尝试爆破出PIN吗?

如果你的PIN错误超过限制的次数,那么几乎每个报警面板都会锁定你。所以,让我们试试RF端。

一个简单的Python脚本用于驱动RFcat,并顺序发送每个PIN。

大概需要1小时20分钟才能枚举完所有这些PIN。我们可以使用一些常用的PIN码(如0000,1111,1234,1900-2016等),这样爆破成功的概率将会大大增加。

技术分享

网络攻击

拒绝服务攻击

如今我们仍有许多连接互联网的系统,这些系统依靠云服务器来提供功能。这为攻击提供了一个新的中心点;报警接收中心(ARC)或云服务器。攻击者一旦攻破其中的一个点,就可能导致数以上千的警报器被触发,这将消耗大量的资源和分散人们的注意力,后果可想而知。

研究员Wilco Baan Hoffmann在2013年谈到了这一点,他分析了SIA-HS报警信号协议的安全性。演示文稿非常值得一读,有兴趣的可以点击查阅。

恶作剧式攻击

攻击报警器的人也可能单纯只是为了恶作剧或是炫技。从LED交通灯,广告牌,加热控制器,PA系统到婴儿监视器。对于他们而言,任何连接互联网的设备系统都有可能成为其攻击的对象。

技术分享

更广泛网络带来的威胁

随着网络设备的不断普及,像DVR,IP摄像头,报警器等这些设备早已进入了千家万户。但安全问题也随之而来,许多人竟随意的就将这些设备通过端口转发连接到了互联网。

而这对于攻击者而言,这些设备就是台微型的计算机,和渗透内部网络的理想‘跳板’。因为这些设备,通常并不具备病毒查杀功能,也不易被用户发现,对于大流量的进出用户也不会有任何怀疑。

例子

RSI Videofied加密破解

http://www.kb.cert.org/vuls/id/792004

我们使用RSI来制作一个报警系统,在检测器中有相机,并在被触发时拍摄视频和图片。然后将这些从检测器发送到面板,再将面板发送到报警接收中心。报警接收中心运行一些名为Frontel的软件,来接收警报和图像。

RSI Videofied在检测器和面板之间提供了一个加密。但是,当面板和报警接收中心之间建立连接时它并没有亮。

每个面板都使用基于面板序列号的固定的加密密钥。这个序列号是清楚地发送的,所以我们可以找出加密密钥。我们只需一小时就可以找到它。

这样,我们就可以连接到ARC,发送欺骗性的重放信号。

面对安全威胁我们该如何选择?

如果你已经安装了无线报警器也不必太过担心。虽然存在一定的安全隐患,但是就目前来看这样的攻击并不多见。

如果你正考虑安装一个无线报警器,那么请考虑以下几点建议:

有线的永远比无线的更加安全。

如果你的环境无法安装有线设备,那么请选择符合以下特点的设备:

  • 双向RF – 面板可以与检测器进行通信,使得干扰攻击更加困难,并且在报警被撤防的同时允许探测器进入睡眠状态,从而延长电池寿命。
  • 加密RF – 一些RF链路会被加密。
  • 滚动代码 – 使用伪随机代码使得干扰和重放攻击更加困难。
  • 跳频 – 这使得干扰以及信号拦截更加困难。
  • 分级 – 虽然一些符合分级标准的报警器也存在诸多问题,但总比那些没有任何分级标准的产品要好。

总结

作为我们个人,需要提高我们自身的安全意识。对于一些重要的设备,切不可随意接入互联网。如果对相关配置并不明确,则可以请专业的安装人员协助我们。作为设备的制造商,应该严格遵循相应的行业标准,最大程度的从设备源头解决潜在的安全威胁。但在实际生产中质量往往与价格有关,因此如何权衡质量和价格间的关系,值得厂商们的深思。

以上是关于如何HACK无线家用警报器?的主要内容,如果未能解决你的问题,请参考以下文章

2017年最适用于WIFI HACK的无线网卡推荐

家用无线路由器配置问答(有图)

[创业-35]:办公环境 - 选用家用无线AP和企业级无线AP?

是否有一个 JavaScript 函数可以确定检查哪个无线电输入并使用该无线电输入的值发出警报? [复制]

将家用路由器设置成交换机使用

将家用路由器设置成交换机使用