Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Hugo Teso - Inguma 0.5 Red Wagon [Rooted CON 2012]

4,996 views

Published on

  • Be the first to comment

Hugo Teso - Inguma 0.5 Red Wagon [Rooted CON 2012]

  1. 1. Inguma 0.5 RedWagon NO! Es el Javi con ¡¿Es un pájaro?! ¡¿Es un avión?! la clonadora!FUUUUUUUU!!!! Hugo Teso Torío @hteso
  2. 2. Agenda• Inguma and Bokken overview• UAV 101• Seguridad en UAS Amateur• Seguridad en UAS Comerciales 2
  3. 3. Inguma 0.5• Penetration testing and vulnerability research toolkit (2006)• Creado por Joxean (@matalaz) en 2006 (aprox)• 105 módulos en 6 categorias – Discover, Gather, Exploit, Fuzzers, RCE, Bruteforce• Interfaces CLI y GUI (Gtk) 3
  4. 4. Bokken 1.6• La herramienta de RCE de Inguma• GUI para Pyew y radare2• Targets soportados: PE/Elf (32/64), PDF, URL, binary files, etc.• Disassembly, hexdump, call/flow graphs, binary information, bin diffing, y más 4
  5. 5. UAV 101 Unmanned Aerial Vehicle• UAV vs UAS – Un UAV es sólo uno de los componentes de un UAS• Un UAS estándar incluye: – 1+ Unmanned Aircraft (UA) – Control system, como un Ground Control Station (GoCS) – Launch and recovery systems (aka aeropuerto) – Control link, datalink especializado – Otros equipos de soporte 5
  6. 6. UAS Amateur VS 6
  7. 7. UAS – Vectores de ataque• Comunicaciones – UAV <-> GCS – UAV <-> UAV • Fallos de protocolo: auth, session control, integridad, hijack, etc...• ”AutoPilot” – Fallos de SW: input parsing, lógca de programación, etc...• GS – Fallos clásicos: Input parsing, SO, etc... 7
  8. 8. Ground Control Station• Funcionalidades: – Permite controlar y visualizar un UAV – Planificador de misiones – Modificación en vuelo de plan de vuelo y parámetros del AP – Monitorización en tiempo real de la telemetría y los parámetros del vuelo – Soporte para +1 UAV• Caracteristicas: – Langs: C/C++, .NET, Python – Archs: x86, x86_64 – OS: Linux, Windows MacOS 8
  9. 9. GCS - Explotación• GCS identification – TCP/UDP ports – Banner grabbing• Exploitation vectors: – Common OS attacks (Windows) – ZigBee/MAVLink parsing vulnerabilities• Post-Exploitation: – UAV hijack – UAV parallel control – UAV Infection • Get telemetry and status • Change waypoints • Upload new flightplan • Pivot to other UAV AP – Launch remote exploits 9
  10. 10. GCS - Explotación DEMO 10
  11. 11. Data Links XBee/ZigBee• ZigBee: Transporte – low-cost, low-power, wireless mesh network standard – physical layer and medium access control defined in IEEE standard 802.15.4 – complete the standard by adding four main components: • network layer • application layer • ZigBee device objects (ZDOs) • Manufacturer-defined application objects 11
  12. 12. Data Links - Explotación ZigBee - Ataques• Ataques: – Wardriving – Eavesdropping – Traffic Replay – Attack Cryptosystems – ZigBee fuzzing• Inguma: – Use for fuzzing against • GCS • AP – +KillerBee: • Descubrimiento 12
  13. 13. Data Links DEMO 13
  14. 14. Data Links MAVLink• MAVLink: Aplicación – lightweight, header-only message marshalling library for micro air vehicles. – inspired by the CAN and SAE AS-4 standards. – The MIN packet length is 8 bytes for ACK packets. – The MAX packet length is 263 bytes – O no... :D 14
  15. 15. Data Links MAVLink - Explotación• Medidas de seguridad: – ¿Autenticación? • NO! – ACLs • MEEEC! – ¿Integridad? • Esta Sí! Pero poca :P – ¿Cifrado? • JUAS!• Identificación: – v1.0: 0xFE – v0.9: 0x55• Parseo• Serialización... sigh :( 15
  16. 16. Data Links DEMO 16
  17. 17. UAV UAV Components• Autopilot Control Board• Power Source• Datalink Radio-Modem & Antenna• Sensors: – GPS Receiver – IMU Sensors – IR Sensor Board• Power Plant• Safety Link (RC)• Servos• Payloads = Camera & Video Transmitter 17
  18. 18. UAV – Explotación• Vectores de ataque: – DataLink • Telemetry – Safety Link • RC – Vía owned GCS• Ataques: – Deseriaización • Igual que con la GCS – Parseo de datos • Vulnerabilidades comunes – Pedrada • HW Hacking 18
  19. 19. UAV – Explotación DEMO 19
  20. 20. UAS Militares Especulemos... 20
  21. 21. UAS Militares• Elementos de los UAS comerciales – Comunicaciones • Iridium • SATCOM • Ku-Band • C/S-Band • VHF • AWACS • Tropas – Arquitecturas – RTOS 21
  22. 22. UAS Militares Obtención de HW/SW• El buen y viejo... sí, eBay – Desguaces (Rusos)• Adorando a los comerciales• Los gobiernos no les dejan vender directamente los AP pero... – Ellos están aquí para ganar dinero, así que... – Productos de valor añadido• Usuarios resentidos 22
  23. 23. UAS Militares Base del ataque comercial• Las palabras mágicas – Espacio Aéreo NO Segregado• Segregar espacio cuesta nineros• Introducir UAV en espacio aéreo convencional => añadir sistemas – Sistemas más conocidos y... ¿vulnerables? • ADS-X • ACARS• Una nueva plataforma de ataque más... cómoda :D – Android – Debería poder hacerse en IOS • Pero que lo haga otro 23
  24. 24. UAS Militares Fases del ataque comercial• Descubrimiento/Enumeración: – ADS-B: flightradar-based, android• Comunicación: – ACARS: acarsd (android/ios+remnote server)• Explotación: – Actualización del plan de vuelo vía ACARS – Datagramas ACARS malformados 24
  25. 25. UAS Militares ADS-B Automatic dependent surveillance- broadcast• A technology for tracking aircraft• Aimed to replace radar as the primary surveillance method for controlling aircraft worldwide.• ADS-B enhances safety by making an aircraft visible, realtime – o_O• Provides: – Identification – current position – Altitude – velocity 25
  26. 26. UAS Militares ACARS Aircraft Communications Addressing and Reporting System• Transmission of short messages between aircraft and ground stations via radio or satellite.• Systems are expanded to support new interfaces with other on-board avionics. – Like the capability to update FMSs while in flight• Sending messages – VHF – SATCOM – Other 26
  27. 27. UAS Militares ACARS Insecurity• Security? – Crypto? – Auth?? – Integrity??? – ¡¿Something?!• Ah! Security is on sending stations... – Kidding? • http://www.hoppie.nl/acars/system/conn ect.html? logon=gFR54Fr&from=KLM&to=KLM123 &type=telex&packet=This+is+a+test.• Insecurity example – SAM! 27
  28. 28. UAS Militares Post-Explotación• Monitorización del vuelo – Telemetría en tiempo real• Modificacion de waypoints – Añadir – Eliminar – Modificar• Control en tiempo real – Secuestro del canal de “RC” – Usando acelerómetros• Hay que tener en cuenta el delay en las comunicaciones• Saltando a otras UAV/GCS• Rootkit (RTOS) – Jaime, le damos alas a tu rootkit? Tostadoras... 28
  29. 29. UAV Militares Explotación DEMO Es broma 29
  30. 30. Inguma 0.5 Red Wagon Cambio preguntas por cartones de tabaco... THE END Talk 30

×