logo elektroda
logo elektroda
X
logo elektroda
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Wygoda kontra bezpieczeństwo komunikacji bezprzewodowej i bezstykowej

TechEkspert 10 Kwi 2023 12:37 1809 13
  • Wygoda kontra bezpieczeństwo komunikacji bezprzewodowej i bezstykowej
    Komunikacja bezprzewodowa oraz urządzenia bezstykowe są wygodne a wiele z nich jest bezpiecznych. Jednak nie wszystkie rozwiązania tego typu są i wygodne i bezpieczne. Bardzo popularne w sieci stały się recenzje narzędzia filipper zero przeznaczonego do testów penetracyjnych i eksperymentów. To małe urządzenie wygląda jak gadżet jednak w rzeczywistości jest to sprzęt nadawczo-odbiorczy posiadający:
    -nadajnik i odbiornik dla pasma <1GHz (CC1101)
    -antenę do pracy z tagami RFID 125kHz
    -moduł NFC (13.56 MHz)
    -nadajnik i odbiornik IR
    -komunikację bluetooth i możliwość kontrolowania przez aplikację na smartfon
    -slot karty mikroSD
    -interfejs iButton (1-wire)
    -porty GPIO
    -wyświetlacz 128x64 px i klawiaturę
    -złącze USB

    Dostarczenie tak prostego i wielofunkcyjnego narzędzia spowodowało pojawienie się w sieci wielu materiałów i filmów na YouTube gdzie możemy zobaczyć kontrolowanie urządzeń bezprzewodowych i naśladowanie kart dostępowych.

    Wygodne i tanie karty RFID unique lub breloczki iButton posiadają stałą sekwencję bitów będącą kluczem dostępowym. Po odczytaniu ID przez filipper zero możemy emulować takie karty lub breloczki. Podobnie piloty IR wysyłają komendy, które filipper zero może wygenerować lub przechwycić i wysłać migając diodą IR.

    Obecnie pojazdy i większość szlabanów i bram wykorzystują kod dynamiczny więc jego przechwycenie i powtórzenie nie pozwoli na otwarcie przez filipper zero. Jednak odebranie jednej transmisji pilota poza zasięgiem bramy pozwoli na jednorazowe otwarcie takim "pożyczonym kodem" pod warunkiem, że oryginalny pilot nie został w między czasie użyty w pobliżu bramy. W przypadku bezprzewodowych dzwonków a nawet tzw. bezprzewodowych gniazdek i sterowników oświetlenia trafimy na stałe ciągi bitów, które można przechwycić lub "zgadnąć".

    Nie jest to pierwsze narzędzie, które pokazuje jak często wygoda i cena produktu obniża jego bezpieczeństwo, dając potencjalnie możliwość przejęcia nad nim kontroli. Przykładowo wykorzystanie informacji z czujnika pogodowego u sąsiada jest dość proste. Natomiast narzędzi tego typu jest więcej: sprzętowe narzędzia hackerskie - nie tylko USB Rubber Ducky

    Jak oceniacie istotność tematu bezpieczeństwa komunikacji bezprzewodowej i zbliżeniowej?




    Fajne? Ranking DIY
    O autorze
    TechEkspert
    Redaktor
    Offline 
    W moich materiałach znajdziecie testy i prezentacje sprzętu elektronicznego, modułów, sprzętu pomiarowego, eksperymenty. Interesuje mnie elektronika cyfrowa, cyfrowe przetwarzanie sygnałów, transmisje cyfrowe przewodowe i bezprzewodowe, kryptografia, IT a szczególnie LAN/WAN i systemy przechowywania i przetwarzania danych.
    Specjalizuje się w: mikrokontrolery, rozwiązania it
    TechEkspert napisał 5819 postów o ocenie 4623, pomógł 15 razy. Jest z nami od 2014 roku.
  • #2 20535422
    krzbor
    Poziom 27  
    TechEkspert napisał:
    Komunikacja bezprzewodowa oraz urządzenia bezstykowe są wygodne a wiele z nich jest bezpiecznych

    Pozwolę sobie na polemizowanie z tym stwierdzeniem. Komunikacja bezprzewodowa z założenia nie jest bezpieczna, gdyż każdy może ją podsłuchać. Oczywiście "podsłuchać", a "zrozumieć" to dwie różne sprawy. Przy kradzieżach luksusowych aut "na walizkę" wyszła największa słabość komunikacji stykowej lub działającej na małej odległości. Tę "małą odległość" można dowolnie zwiększyć tworząc dodatkowy most oparty o dowolne technologie transmisji bezprzewodowej. Taki "pośrednik" nie musi rozumieć co jest przesyłane - ważne aby szybko przesyłać dane pomiędzy urządzeniami. Co gorsza - nie da się przed tym zabezpieczyć, gdyż jest to niezależne od zastosowanych metod kryptograficznych. Powstały specjalne etui ekranujące radiowo, aby chronić przed tego rodzajem atakami lub są wymagane dodatkowe akcje, aby stwierdzić, że uprawniona osoba próbuje dostępu. Przykładowo nowe dowody osobiste wymagają wprowadzenia identyfikatora nadrukowanego fizycznie (i do tego analogowo) na dowodzie dla weryfikacji NFC.
  • #3 20536011
    rafcio363
    Poziom 30  
    Zwykły niepotrzebny bajer, który nie ma nic czego by już dawno na rynku nie było. O taki gadżet.
  • #4 20536050
    TvWidget
    Poziom 38  
    krzbor napisał:
    każdy może ją podsłuchać

    Tylko jeśli sygnał ma poziom wyższy od szumu.
  • #5 20536520
    TechEkspert
    Redaktor
    Dobrze zaimplementowana komunikacja bezprzewodowa może być odporna na różne ataki,
    problem z bezstykowmi kluczykami wynika z wymaganego scenariusza użycia,
    natomiast komunikacja bezprzewodowa nie jest odporna na atak ograniczający dostępność czyli: zagłuszanie/zakłócanie itp...
  • #6 20537698
    CC_PL
    Poziom 13  
    Generalnie, bezprzewodowa łączność i bezpieczeństwo, nigdy nie idą ze sobą w parze. Znakomitym przykładem jest WiFi, które jest łatane od lat, a mimo to ciągle jest podatne na wiele ataków.
  • #7 20540134
    austriackimalarz
    Poziom 26  
    @TechEkspert Widzę że i Ty wpadłeś w sidła marketingu podprogowego. Filmiki z tym ustrojstwem ostatnio załały internet, jakie to nie jest super-hakerskie narzędzie. A tak na prawdę to jest Raspbery Pi zero z dolączonymi do niego kilkoma modułami (które istnieją od dawna fabrycznie), i również soft do tego to nic wybitnego. Jedynie stworzyli własne PCB żeby całość była bardziej kompaktowa (głównie pozbyto się wyjść GPIO bo na co to komu tutaj) i voila. Ale absolutnie wszystko co może to urządzenie mogłeś od wielu lat odtworzyć mając jedynie zestaw RPi z akcesoriami oraz dużo oleju w głowie.
    Pozdrawiam :)
  • #8 20540371
    _lazor_
    Moderator Projektowanie
    krzbor napisał:
    Co gorsza - nie da się przed tym zabezpieczyć, gdyż jest to niezależne od zastosowanych metod kryptograficznych.


    Oczywiście że się da, ale że teraz dużo projektów projektują marketingowcy niż inżynierowie to stwarzają problemy.
    Mogli zrobić porównanie emitowanej mocy nadajnika i odbiornika. Takie walizki zdecydowanie by nadawały z inną mocą.
    Mogli ograniczyć czas na odpowiedź. Przesłanie danych przez coś dodatkowego zawsze będzie generowało opóźnienie

    Ogólnie to odwalają firmy to dla mnie balansowanie między wpadkami jak z tymi walizkami aby tylko zmniejszyć koszt rozwoju, bo prawdopodobnie koszt takiej wpadki a koszt dobrej jakości rozwiązania jest porównywalny lub na korzyść wpadki wizerunkowej.
  • #9 20540556
    krzbor
    Poziom 27  
    _lazor_ napisał:
    Mogli zrobić porównanie emitowanej mocy nadajnika i odbiornika. Takie walizki zdecydowanie by nadawały z inną mocą.
    Mogli ograniczyć czas na odpowiedź. Przesłanie danych przez coś dodatkowego zawsze będzie generowało opóźnienie
    Wątpię, aby można oprzeć się o moc. Moc sygnału maleje z kwadratem odległości, a więc wymagana jest szerokie spektrum czułości. Jeśli taki "klucz" będziemy mieć w tylnej kieszeni spodni to będzie to coś zupełnie innego niż w kieszonce koszuli z przodu. Różnica w sygnale będzie ogromna choćby z powodu ekranującego ciała. Z czasem odpowiedzi też będzie kłopot - przy transmisji radiowej takiego "przedłużacza" opóźnienie może być minimalne, a "kluczyk" raczej nie będzie zawierał zbyt wyrafinowanej elektroniki. Oczywiście można zastosować algorytm zmiany częstotliwości (stosowane w wojsku), ale to tylko dodatkowe utrudnienie. Można sprawdzać fizyczną bliskość np. porównując pozycje nadajnika i odbiornika np z użyciem GPS, ale co w garażu podziemnym?
  • #10 20540571
    TechEkspert
    Redaktor
    @austriackimalarz to urządzenie nie jest jakieś wybitne ale integruje wiele funkcjonalności i zdobyło sporą popularność,
    urządzenie nie korzysta z Raspbery Pi zero, sercem jest STM32WB55RG.
  • #11 20540580
    austriackimalarz
    Poziom 26  
    To może wcześniej widziałem jakąś inną wersję. Ale mimo wszystko - komputer dla domorosłych programistów i kilka modułów ze sklepu.
  • #12 20540585
    _lazor_
    Moderator Projektowanie
    Opóźnienia będą znaczące. Zważywszy że można na spokojnie rozdzielczość opóźnień rozpatrywać w dziesiątkach us a czas jaki potrzebuje fala elektromagnetyczna na jeden kilometr to około 3us + wszelakie opóźnienia związane z powtarzaniem sygnału to jest wystarczająco długo by to wykryć, chyba że zakłada się że klucz ma działać na dziesiątki kilometrów

    Jeśli chodzi o energię to choćby sprawdzanie czy siła nadawania sygnału przez nadajnik nie jest mniejsza niż siła odbierana przez odbiornik ;) Czy powiązanie zależności czasowych z otrzymaną energią bo odległość, czas i energia są silnie ze sobą powiązane.

    Ja uważam że dla chcących nie jest to problem by zabezpieczyć, po prostu nie chcieli, bo by było za drogo.
  • #13 20540592
    austriackimalarz
    Poziom 26  
    _lazor_ napisał:
    Ogólnie to odwalają firmy to dla mnie balansowanie między wpadkami jak z tymi walizkami aby tylko zmniejszyć koszt rozwoju, bo prawdopodobnie koszt takiej wpadki a koszt dobrej jakości rozwiązania jest porównywalny lub na korzyść wpadki wizerunkowej.

    Zabezpieczenia to mały pikuś. Gorzej, że takie samo podejście producenci samochodów mają w stosunku do bezpieczeństwa użytkowników. Te wielkie akcje serwisowe robią tylko wtedy, gdy koszt ich przeprowadzenia jest niższy niż koszt ewentualnych odszkodowań za to że komuś pod czas jazdy koło odpadło i zawinął się na drzewie bez połowy łba. Jak dojdą do wniosku że bardziej opłaca im się płacić odszkodowania niż ściągać auta z połowy kontynentu, to wliczają w koszty :)
  • #14 20540596
    TechEkspert
    Redaktor
    Oczywiście da się to odtworzyć w pająku i z Arduino, jednak liczy się wygoda.

    Patrząc na projekt wygląda na dość mocno przemyślany,
    kompaktowość obudowy i rozmieszczenie elementów musiało pewnie wymagać prototypowania:
    Wygoda kontra bezpieczeństwo komunikacji bezprzewodowej i bezstykowej


    Do tego zmieścili wyprowadzenia GPIO:

    Wygoda kontra bezpieczeństwo komunikacji bezprzewodowej i bezstykowej

Podsumowanie tematu

Dyskusja koncentruje się na bezpieczeństwie i wygodzie komunikacji bezprzewodowej oraz bezstykowej, z naciskiem na urządzenie Flipper Zero, które integruje różne funkcjonalności, takie jak nadajnik i odbiornik dla pasma
Podsumowanie wygenerowane przez model językowy.
REKLAMA