A Drone Tale by Paolo Stagno - Hackinbo 2018

•Download as PPTX, PDF•

1 like•451 views

In 2013, DJI Drones quickly gained the reputation as the most stable platform for use in aerial photography and other fields. Since then Drones have increased their field of application and are actively used across various industries (law enforcement and first responders, utility companies, governments and universities) to perform critical operations on daily basis. As a result of that, Drones security has also become a hot topic in the industry. This talk will provide a comprehensive overview of the security model and security issues affecting the underlying technologies, including existing vulnerabilities in the radio signals, Wi-Fi, Chipset, FPV system, GPS, App and SDK. As part of the presentation, we will discuss the architecture of one of the most famous and popular consumer drone product: the DJI Phantom 3. This model will be used to demonstrate each aspect of discovered security vulnerabilities, together with recommendations and mitigations. A special focus will be on the recent changes and countermeasures DJI has applied to the firmware of its products in order to harden the security, following the recent accusations and the US Army ban. While the topic of hacking drones by faking GPS signals has been shared before at major security conferences in the past, this talk will extend these aspects to include geo-fencing and no fly zones abuses.

Technology

Paolo Stagno
aka
VoidSec
voidsec.com
voidsec@voidsec.com
Void_Sec

Agenda
• Drone Intro
• DJI Phantom Intro
• Drone Architecture
• Radio/Wi-Fi
• DJI GO (Android App)
• Firmware
• Password Cracking
• Shell Time
• SDK
• GPS
• POC || GTFO
• Forensics
• Lost & Found

Drone Intro
•Law Enforcement
•First Responder
•Utility companies
•Governments
•Universities
•Terrorism
•Pentest/Red Team

1,2 Kg
5 m/s
3 m/s
16 m/s
6 Km
20-25 minutes
~400 g
Phantom
3 Specs

Drone
Architecture
Drone
• Flight controller
• Radio module
• GPS module and other sensors (Compass, Gyroscope,
Accelerometer, Barometer)
• Micro-USB & MicroSD Slug (firmware update and media storage
only)
Remote Controller
• Radio module
• USB Slug (firmware update and SDK only)
App/SDK
• Connect to Remote Control, display drone information (video
feedback, GPS data and compass)
• Drone Navigation (Drone Takeoff, RTH, Waypoint)

Firmware
V01.07.0090
• Nmap scan report for 192.168.1.1 - Controller
21/tcp open ftp vsftpd 3.0.2
22/tcp closed ssh
23/tcp closed telnet
2345/tcp open unknown
5678/tcp closed unknown
• Nmap scan report for 192.168.1.2 - Aircraft
21/tcp open ftp vsftpd 3.0.2
22/tcp filtered ssh
23/tcp filtered telnet
2345/tcp filtered unknown
5678/tcp open unknown
• Nmap scan report for 192.168.1.3 - Camera
21/tcp open ftp BusyBox ftpd
| Anonymous FTP login allowed
22/tcp open ssh OpenSSH 6.2
23/tcp open telnet BusyBox telnetd
2345/tcp filtered unknown
5678/tcp filtered unknown

Latest
Firmware
V1.09.0200
• Nmap scan report for Controller
21/tcp open ftp
2345/tcp open unknown
• Nmap scan report for Aircraft
21/tcp open ftp
5678/tcp open unknown
• Nmap scan report for Camera
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet

Radio
& Wi-Fi
• Aircraft & Controller:
Wi-Fi 5.725GHz – 5.825GHz
(NOT the Lightbridge protocol)
• Video Link: 2.400GHz – 2.483GHz
• WPA2 encryption
• Default SSID is derived from the MAC address of the
remote controller.
PHANTOM3_[6 last digits of MAC address].
• Default associated password is: 12341234

Wi-Fi
Attacks
• De-auth attacks
• Controller > DJI GO
• Drone has a client queue
• If Wi-Fi is lost -> RTH

Road to Shell
I do not have any
SSH/FTP/Telnet passwords so…
DJI GO App Diving

$DJI GO APP /res/raw/flyforbid.json {"area_id":31681, "type":1, "shape":1, "lat":45.109444, "lng":7.641111, "radius":500, "warning":0, "level":2, Restricted Zone: Flight not permitted "disable":0, "updated_at":1447945800, 19 November 2015 "begin_at":0, "end_at":0, "name":"Juventus Stadium", "country":380, "city":"Turin", "points":null}$

$DJI GO APP /res/raw/upgrade_config.json { "groupName": "GroundWifi", "weight": 20, "isCameraGroup": false, "isSingleFile": true, "upgradeMode": 0, "devices": ["2700"], "ftpDstFileName": "HG310.bin", "ftpPwd": "Big~9China", "ftpUrl": "192.168.1.1", "ftpUsername": "root", "pushDevice": 27 },$

Road to Shell
• Now I have the password
• SSH & Telnet are filtered
• FTP is chrooted
Fuck my life

Firmware
I tried to replace the firmware with a
modified version but the firmware have
some checksum mechanism.
Fuck my life^2
Strings on .bin matching for common
strings like: password, private, key, :::, root
and so on looking for interesting stuff.

Password
Cracking
root:$6$zi2k1pqQ$aYoxWoM9suJzq4xcI
z0Uh/sMBQxIrM7QzqpNH.UMrX6TAmB
x37jN0ygKlnpmHkgilWV5YzpfikkaylTW
Wo8RU0:16184:0:99999:7:::
Big~9China
ftp:$6$Kt6U5MHk$aCy81r9Wz49TlfDw
SPHkx8bEouNFdt0khJg7Pj1HOJtECe5.t9
KfNWOKKQXnyVqjd5whliLQGTQkXfB8p
3rBX/:10933:0:99999:7::: admin999
default::10933:0:99999:7::: none

Filesystem
/etc/passwd
root:x:0:0:root:/root:/bin/ash
daemon:*:1:1:daemon:/var:/bin/false
ftp:*:55:55:ftp:/home/ftp:/bin/false
network:*:101:101:network:/var:/bin/f
alse
nobody:*:65534:65534:nobody:/var:/bin
/false
The drone underlying system is a fork of
OpenWRT 14.07 “Barrier Breaker, r2879,
14.07” built for “ar71xx/generic“, same
version for the controller.

Services
• /etc/init.d/rcS
• /etc/init.d/rcS_ap
• /etc/init.d/rcS_aphand
• /etc/init.d/rcS_cli
These script runs during the boot process, adding this
code will start the telnet server
telnetd -l /bin/ash &
WTF: telnetd -l /bin/ash -m 38bc1ae06e0d ?

SDK
We can isolate specific instructions sent to
the drone with Wireshark, we can implement
a custom application that sends only very
specific commands.
These commands could include changing the
Wi-Fi password or even resetting the Wi-Fi
connection.
This knowledge can be leveraged into a full
drone takeover.

SDK
• DJI SDK Authentication Server
• DJI APP perform Activation Request
Crack the SDK Authentication Mechanism

Packet
Structure
DJI Packet
HEADER
(4 Byte)
PAYLOAD
(variable length)

Header
Structure
Magic
byte
Packet
length
Version
Custom
crc8
0x55 0x0d 0x04 0x33
0101 0101 0000 1101 0000 0100 0011 0011
85 13 4 51

Payload
Structure
Source
Type
Target
Type
Seq # Flags CMD ID
Opt.
bytes
02 06 4e00 40 06 12 540b
01: Camera
02: App
03: Fly Controller
04: Gimbal
06: Remote Controller
00: general command
01: special command
02: set camera
03: set fly controller
04: set gimbal
05: set battery
06: set remote controller
07: set wifi

GPS
• GPS signal for civilian usage is unencrypted.
• Replay Attack is the common GPS spoofing method.
Software: gps-sdr-sim
Hardware: HackRF One
Which functions are
associated with GPS?
• No-fly zone
• Return to home
• Follow me
• Waypoint

GPS
101
Ephemeris Data
• GPS satellites transmit information about their
location (current and predicted), timing and
"health" via what is known as ephemeris data.
• This data is used by the GPS receivers
to estimate location relative to the satellites
and thus position on earth.
• Ephemeris data is considered good for up to 30
days (max).

• Validate the GPS sub-frame
• Validate the time between satellite time and
real time
• Check the speed between point to point
Detect
Fake
GPS

Forensics
Two proprietary file
formats:
• .dat file in non volatile
memory
• .txt file on mobile device

DAT
Structure
DROP (DRone Open source Parser) your
drone:
Forensic analysis of the DJI Phantom III
Devon R. Clark*, Christopher Meffert, Ibrahim Baggili, Frank Breitinger

Flight
Data
• Photos & Video (GEO Tagging)
• Flight Stats (compass, battery, etc)
• Autopilot Data
• GPS Data (location of drone)
• Pitch, roll and yaw of Gimbal & aircraft
• No-fly zones
• User email addresses
• Last known home point
• Device serial number

Lost
&
Found
•Images have no checksum
mechanism.
•We can show wrong images to the
controller.
•Compass e Magnetic fields (Compass
Calibration)

Defenses
•Drone netting
•Drone shooting
•Jamming
•EMP
•Cyber
•Geofencing & NFZ
•Laser
•Missile

Read
More
• DJI Phantom 3
• DROP (DRone Open
source Parser)
• dronesec.xyz (down)
• How Can Drones Be
Hacked?
• Defcon/Black Hat
Drone/UAV Talks
• Drone vs Patriot
• GPS Spoofing
• Hak5 Parrot AR
• Skyjack
• Maldrone
• airdata.com
• DJI CRC16
• dex2jar
• Jadx
• JD-GUI
• GPS-SDR-SIM
• GPSpoof
• DJI No Fly Zone

FAQ Time
Paolo Stagno
voidsec@voidsec.com
voidsec.com
Void_Sec
"Some things in life are unpredictable,
your Security does not have to be one of them"

Similar to A Drone Tale by Paolo Stagno - Hackinbo 2018

(120303) #fitalk ip finder and geo ip for funINSIGHT FORENSIC

Drones on the beachGuada Casuso

The Pegasus Mission - The Making of Pegasus IIMatt Long

Spec00389guest2f67152

Birds of a Feather 2017: 邀請分享 IoT, SDR, and Car Security - AaronHITCON GIRLS

WSE 6A-Octo-X Terrain Mapping UAVManuel De La Cruz

Android Meets A BeagleBone In The IoT WorldLars Gregori

CODE BLUE 2014 : [ドローンへの攻撃] マルウェア感染とネットワーク経由の攻撃 by ドンチョル・ホン DONGCHEOL HONGCODE BLUE

OW2con'14 - XLcoud, 3D rendering in the cloud, Marius Preda, Institut Mines T...xlcloud

라이브드론맵 (Live Drone Map) - 실시간 드론 매핑 솔루션Impyeong Lee

PHARO IOTMarcus Denker

Pharo IoT: Using Pharo to playing with GPIOs and sensors on IoT devices remotelyESUG

Emerging tech track kovar-david-forensics-kovarISSA LA

Hacking for Salone: Drone Races - Di Saverio; Lippolis - Codemotion Milan 2016Codemotion

Lucas apa pacsec slidesPacSecJP

OSINT tools for security auditing with pythonJose Manuel Ortega Candel

OSINT tools for security auditing [FOSDEM edition] Jose Manuel Ortega Candel

Mozilla chirimen firefox os dwika v5Dwika Sudrajat

Location based services for Nokia X and Nokia Asha using Geo2tagMicrosoft Mobile Developer

Similar to A Drone Tale by Paolo Stagno - Hackinbo 2018 (20)

(120303) #fitalk ip finder and geo ip for fun

Drones on the beach

The Pegasus Mission - The Making of Pegasus II

Spec00389

Birds of a Feather 2017: 邀請分享 IoT, SDR, and Car Security - Aaron

WSE 6A-Octo-X Terrain Mapping UAV

Android Meets A BeagleBone In The IoT World

CODE BLUE 2014 : [ドローンへの攻撃] マルウェア感染とネットワーク経由の攻撃 by ドンチョル・ホン DONGCHEOL HONG

OW2con'14 - XLcoud, 3D rendering in the cloud, Marius Preda, Institut Mines T...

라이브드론맵 (Live Drone Map) - 실시간 드론 매핑 솔루션

PHARO IOT

Pharo IoT: Using Pharo to playing with GPIOs and sensors on IoT devices remotely

Emerging tech track kovar-david-forensics-kovar

Hacking for Salone: Drone Races - Di Saverio; Lippolis - Codemotion Milan 2016

Lucas apa pacsec slides

OSINT tools for security auditing with python

OSINT tools for security auditing [FOSDEM edition]

Mozilla chirimen firefox os dwika v5

Location based services for Nokia X and Nokia Asha using Geo2tag

Recently uploaded

Automating Google Workspace (GWS) & more with Apps Scriptwesley chun

Histor y of HAM Radio presentation slidevu2urc

GenCyber Cyber Security Day PresentationMichael W. Hawkins

08448380779 Call Girls In Greater Kailash - I Women Seeking MenDelhi Call girls

Slack Application Development 101 Slidespraypatel2

Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...apidays

08448380779 Call Girls In Friends Colony Women Seeking MenDelhi Call girls

Presentation on how to chat with PDF using ChatGPT code interpreternaman860154

Axa Assurance Maroc - Insurer Innovation Award 2024The Digital Insurer

Handwritten Text Recognition for manuscripts and early printed textsMaria Levchenko

Understanding Discord NSFW Servers A Guide for Responsible Users.pdfUK Journal

Finology Group – Insurtech Innovation Award 2024The Digital Insurer

Tata AIG General Insurance Company - Insurer Innovation Award 2024The Digital Insurer

The Role of Taxonomy and Ontology in Semantic Layers - Heather Hedden.pdfEnterprise Knowledge

Boost PC performance: How more available memory can improve productivityPrincipled Technologies

From Event to Action: Accelerate Your Decision Making with Real-Time AutomationSafe Software

Boost Fertility New Invention Ups Success Rates.pdfsudhanshuwaghmare1

IAC 2024 - IA Fast Track to Search Focused AI SolutionsEnterprise Knowledge

CNv6 Instructor Chapter 6 Quality of Servicegiselly40

A Call to Action for Generative AI in 2024Results

Recently uploaded (20)

Automating Google Workspace (GWS) & more with Apps Script

Histor y of HAM Radio presentation slide

GenCyber Cyber Security Day Presentation

08448380779 Call Girls In Greater Kailash - I Women Seeking Men

Slack Application Development 101 Slides

Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...

08448380779 Call Girls In Friends Colony Women Seeking Men

Presentation on how to chat with PDF using ChatGPT code interpreter

Axa Assurance Maroc - Insurer Innovation Award 2024

Handwritten Text Recognition for manuscripts and early printed texts

Understanding Discord NSFW Servers A Guide for Responsible Users.pdf

Finology Group – Insurtech Innovation Award 2024

Tata AIG General Insurance Company - Insurer Innovation Award 2024

The Role of Taxonomy and Ontology in Semantic Layers - Heather Hedden.pdf

Boost PC performance: How more available memory can improve productivity

From Event to Action: Accelerate Your Decision Making with Real-Time Automation

Boost Fertility New Invention Ups Success Rates.pdf

IAC 2024 - IA Fast Track to Search Focused AI Solutions

CNv6 Instructor Chapter 6 Quality of Service

A Call to Action for Generative AI in 2024

A Drone Tale by Paolo Stagno - Hackinbo 2018

3. Paolo Stagno aka VoidSec voidsec.com voidsec@voidsec.com Void_Sec

5. Agenda • Drone Intro • DJI Phantom Intro • Drone Architecture • Radio/Wi-Fi • DJI GO (Android App) • Firmware • Password Cracking • Shell Time • SDK • GPS • POC || GTFO • Forensics • Lost & Found

6. Drone Intro •Law Enforcement •First Responder •Utility companies •Governments •Universities •Terrorism •Pentest/Red Team

7. DJI Phantom Intro

8. Phantom 3 Specs 29 cm 18,5 cm 29 cm

9. 1,2 Kg 5 m/s 3 m/s 16 m/s 6 Km 20-25 minutes ~400 g Phantom 3 Specs

10. FPV

11. Shooting

12. Shooting

13. Drone Architecture Drone • Flight controller • Radio module • GPS module and other sensors (Compass, Gyroscope, Accelerometer, Barometer) • Micro-USB & MicroSD Slug (firmware update and media storage only) Remote Controller • Radio module • USB Slug (firmware update and SDK only) App/SDK • Connect to Remote Control, display drone information (video feedback, GPS data and compass) • Drone Navigation (Drone Takeoff, RTH, Waypoint)

14. Network Map

15. Firmware V01.07.0090 • Nmap scan report for 192.168.1.1 - Controller 21/tcp open ftp vsftpd 3.0.2 22/tcp closed ssh 23/tcp closed telnet 2345/tcp open unknown 5678/tcp closed unknown • Nmap scan report for 192.168.1.2 - Aircraft 21/tcp open ftp vsftpd 3.0.2 22/tcp filtered ssh 23/tcp filtered telnet 2345/tcp filtered unknown 5678/tcp open unknown • Nmap scan report for 192.168.1.3 - Camera 21/tcp open ftp BusyBox ftpd | Anonymous FTP login allowed 22/tcp open ssh OpenSSH 6.2 23/tcp open telnet BusyBox telnetd 2345/tcp filtered unknown 5678/tcp filtered unknown

16. Latest Firmware V1.09.0200 • Nmap scan report for Controller 21/tcp open ftp 2345/tcp open unknown • Nmap scan report for Aircraft 21/tcp open ftp 5678/tcp open unknown • Nmap scan report for Camera 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet

17. Radio & Wi-Fi • Aircraft & Controller: Wi-Fi 5.725GHz – 5.825GHz (NOT the Lightbridge protocol) • Video Link: 2.400GHz – 2.483GHz • WPA2 encryption • Default SSID is derived from the MAC address of the remote controller. PHANTOM3_[6 last digits of MAC address]. • Default associated password is: 12341234

18. Wi-Fi Attacks • De-auth attacks • Controller > DJI GO • Drone has a client queue • If Wi-Fi is lost -> RTH

19. Road to Shell I do not have any SSH/FTP/Telnet passwords so… DJI GO App Diving

20. NFZ & Geofencing

21. NFZ & Geofencing

22. DJI GO APP /res/raw/flyforbid.json {"area_id":31681, "type":1, "shape":1, "lat":45.109444, "lng":7.641111, "radius":500, "warning":0, "level":2, Restricted Zone: Flight not permitted "disable":0, "updated_at":1447945800, 19 November 2015 "begin_at":0, "end_at":0, "name":"Juventus Stadium", "country":380, "city":"Turin", "points":null}

23. DJI GO APP /res/raw/upgrade_config.json { "groupName": "GroundWifi", "weight": 20, "isCameraGroup": false, "isSingleFile": true, "upgradeMode": 0, "devices": ["2700"], "ftpDstFileName": "HG310.bin", "ftpPwd": "Big~9China", "ftpUrl": "192.168.1.1", "ftpUsername": "root", "pushDevice": 27 },

24. Road to Shell • Now I have the password • SSH & Telnet are filtered • FTP is chrooted Fuck my life

25. Firmware I tried to replace the firmware with a modified version but the firmware have some checksum mechanism. Fuck my life^2 Strings on .bin matching for common strings like: password, private, key, :::, root and so on looking for interesting stuff.

26. Password Cracking root:$6$zi2k1pqQ$aYoxWoM9suJzq4xcI z0Uh/sMBQxIrM7QzqpNH.UMrX6TAmB x37jN0ygKlnpmHkgilWV5YzpfikkaylTW Wo8RU0:16184:0:99999:7::: Big~9China ftp:$6$Kt6U5MHk$aCy81r9Wz49TlfDw SPHkx8bEouNFdt0khJg7Pj1HOJtECe5.t9 KfNWOKKQXnyVqjd5whliLQGTQkXfB8p 3rBX/:10933:0:99999:7::: admin999 default::10933:0:99999:7::: none

27. Firmware Downgrading

28. Filesystem /etc/passwd root:x:0:0:root:/root:/bin/ash daemon:*:1:1:daemon:/var:/bin/false ftp:*:55:55:ftp:/home/ftp:/bin/false network:*:101:101:network:/var:/bin/f alse nobody:*:65534:65534:nobody:/var:/bin /false The drone underlying system is a fork of OpenWRT 14.07 “Barrier Breaker, r2879, 14.07” built for “ar71xx/generic“, same version for the controller.

29. Services • /etc/init.d/rcS • /etc/init.d/rcS_ap • /etc/init.d/rcS_aphand • /etc/init.d/rcS_cli These script runs during the boot process, adding this code will start the telnet server telnetd -l /bin/ash & WTF: telnetd -l /bin/ash -m 38bc1ae06e0d ?

30. Shell Time

31. SDK We can isolate specific instructions sent to the drone with Wireshark, we can implement a custom application that sends only very specific commands. These commands could include changing the Wi-Fi password or even resetting the Wi-Fi connection. This knowledge can be leveraged into a full drone takeover.

32. SDK • DJI SDK Authentication Server • DJI APP perform Activation Request Crack the SDK Authentication Mechanism

33. Packet Structure

34. Packet Structure DJI Packet HEADER (4 Byte) PAYLOAD (variable length)

35. Header Structure Magic byte Packet length Version Custom crc8 0x55 0x0d 0x04 0x33 0101 0101 0000 1101 0000 0100 0011 0011 85 13 4 51

36. Payload Structure Source Type Target Type Seq # Flags CMD ID Opt. bytes 02 06 4e00 40 06 12 540b 01: Camera 02: App 03: Fly Controller 04: Gimbal 06: Remote Controller 00: general command 01: special command 02: set camera 03: set fly controller 04: set gimbal 05: set battery 06: set remote controller 07: set wifi

37. GPS • GPS signal for civilian usage is unencrypted. • Replay Attack is the common GPS spoofing method. Software: gps-sdr-sim Hardware: HackRF One Which functions are associated with GPS? • No-fly zone • Return to home • Follow me • Waypoint

38. GPS 101 Ephemeris Data • GPS satellites transmit information about their location (current and predicted), timing and "health" via what is known as ephemeris data. • This data is used by the GPS receivers to estimate location relative to the satellites and thus position on earth. • Ephemeris data is considered good for up to 30 days (max).

39. GPS Replaying

40. GPS Replaying

41. • Validate the GPS sub-frame • Validate the time between satellite time and real time • Check the speed between point to point Detect Fake GPS

42. GPS NFZ

43. GPS NFZ

44. PoC Time

45. Drone Takeover

46. Forensics Two proprietary file formats: • .dat file in non volatile memory • .txt file on mobile device

47. DAT Structure DROP (DRone Open source Parser) your drone: Forensic analysis of the DJI Phantom III Devon R. Clark*, Christopher Meffert, Ibrahim Baggili, Frank Breitinger

48. Flight Data • Photos & Video (GEO Tagging) • Flight Stats (compass, battery, etc) • Autopilot Data • GPS Data (location of drone) • Pitch, roll and yaw of Gimbal & aircraft • No-fly zones • User email addresses • Last known home point • Device serial number

49. Flight Data airdata.com

50. Flight Data airdata.com

51. Flight Data airdata.com

52. Flight Data airdata.com

53. Lost & Found •Images have no checksum mechanism. •We can show wrong images to the controller. •Compass e Magnetic fields (Compass Calibration)

54. Defenses •Drone netting •Drone shooting •Jamming •EMP •Cyber •Geofencing & NFZ •Laser •Missile

55. Defenses Ref.

56. Drone Netting

57. Predator Bird

58. Confetti Gun

59. Jet Ski

60. Further Work

61. Read More • DJI Phantom 3 • DROP (DRone Open source Parser) • dronesec.xyz (down) • How Can Drones Be Hacked? • Defcon/Black Hat Drone/UAV Talks • Drone vs Patriot • GPS Spoofing • Hak5 Parrot AR • Skyjack • Maldrone • airdata.com • DJI CRC16 • dex2jar • Jadx • JD-GUI • GPS-SDR-SIM • GPSpoof • DJI No Fly Zone

62. FAQ Time Paolo Stagno voidsec@voidsec.com voidsec.com Void_Sec "Some things in life are unpredictable, your Security does not have to be one of them"

Editor's Notes

Buon pomeriggio a tutti, grazie Yvette per l’introduzione. Ebbene sì, oggi vi parlerò di droni e dei loro possibili vettori di attacco. Sarà un bel viaggio quindi rimanete aggrappati ai vostri sedili(pausa 1s)
Ok, prima di iniziare, un breve ringraziamento a tutte quelle persone che mi hanno aiutato con la mia ricerca e che hanno avuto la pazienza di venir a fare scampagnate per i vari test. Alcune di loro preferiscono rimanere anonimi e ieri è entrato in vigore il GDPR…
Mi presento un attimo, sono Paolo Stagno, su internet meglio conosciuto come voidsec. Non fatevi ingannare dalla foto, fa tanto venditore porta a porta ma vi assicuro che sono nerd come voi, purtroppo era l’unica foto decente che mi fa addirittura sembrare una persona seria. Qui trovate un po’ di dettagli e modi per contattarmi nel caso in cui voleste farmi ulteriori domande (ma anche critiche e consigli sono ben accetti). Dall’inizio della mia carriera mi sono occupato principalmente di penetration test e red teaming, per muovermi a mano a mano sempre più verso la ricerca di vulnerabilità e la sicurezza applicativa. Da sempre la mia curiosità mi ha spinto a smontare, per capirne il funzionamento, applicativi e hardware del nostro mondo digitale. Ho un focus prevalentemente sul settore di offensive security perché l’ho sempre ritenuto, liberi di contraddirmi, più interessante come settore di studio che la sua controparte. In realtà penso sia fondamentale conoscere entrambe le parti. E più che mai, dato gli scenari di attacco complessi che stiamo già vivendo e quelli a cui stiamo andando incontro ora spererei in una maggior integrazione e scambio di informazioni tra i red e blue team. Possiedo anche un omonimo blog (voidsec.com) sui cui pubblico articoli, vulnerabilità e i risultati dei miei studi e ricerche.
Ok, Iniziamo. Mi dispiace per tutti quelli che ci speravano ma in questo talk non parleremo di questo (2 secondi) Parleremo invece dei seguenti argomenti
Prima parleremo in generale dei droni Nello specifico vi dettaglierò l’infrastruttura del drone in esame Vi racconterò I principali vettori di attacco E la mia strada per diventare root L’immancabile PoC Un piccolo focus forense sui dati che potremo recuperare E dopo il talk un piccolo sessione di Q&A così potrete farmi le domande che vi verranno in mente
Ok, saltiamo direttamente nei topic. Per che cosa abbiamo visto impiegati I droni dalla loro prima introduzione sui mercati consumer ad oggi? Principalmente all’interno di questi settori: Law enforcement, I droni impiegati per controllo dei confine, per pattugliamenti e ricognizioni, controllo delle folle Ricerca di disperse in caso di disastri naturali come frane, terremoti Poi un progetto bellissimo che vede I droni utilizzati in versione modificata come defibrillatori portatili, così da poter essere mandate direttamente sui luoghi senza dover aspettare l’arrivo delle ambulanze. Utilizzati da varie aziende per controllare lo stato di impianti di produzione di energia, stati strutturali di zone difficilmente raggiungibili da un uomo (ponti, grandi infrastrutture) Controllo di incendi boschivi, dati statistici su flora, conteggio di ettari, progetti di ricercar Sfortunatamente nel 2017 in Siria e Iraq l’ISIS ha utilizzato delle versioni modificate di piccoli droni commerciali in grado di sganciare un proiettile esplosivo Ovviamente per tutte le idee creative di riprese foto/video aeree (in Italia un esempio potrebbe essere il videoclip di una canzone di mengoni) Personalmente mi sono appassionato ai droni per l’atavica idea di poter volare (un piccolo Icaro insomma). Da allora ho anche comprato un mini drone da gara per divertirsi davveroun po’. Ho utilizzato invece il phantom della dji per riprese e video delle vacanze, mentre per lavoro l’aneddoto più importante che vi posso raccontare sono degli ingaggi di red team in Inghilterra dove il drone è stato utilizzato per mappare gli accessi fisici di un grosso stabilimento e, attrezzato di pineapple (che semplificando è un oggetto caruccio per tutta una serie di test sul wifi), gli hotspost wifi, con generazione successive della mappa
All’interno di questo panorama, fa da padrone la compagnia cinese DJI, fondata nel 2006 è diventata nota sul mercato occidentale consumer e non attorno al Jan 2013 con la seconda versione del modello della serie phantom. Rapidamente ha guadagnato fama e la reputazione della piattaforma aerea più stabile per riprese Quello che vedete nella slide e il DJI phantom 3, l’oggetto su cui si è basata tutta la mia ricerca e questo talk. Momento Andrea Galeazzi ON: questo come si presenta all’unboxing, gli elementi principali sono il corpo principale del drone e il suo controller (o stazione di terra) su cui si aggancia un telefono con la sua applicazione per interfacciarsi.
Ora qualche specifica tecnica del drone, queste le sue dimensioni, come potete vedere è molto compatto (tenete presente che nell’ultima serie la dji ha una versione di drone pieghevole che è davvero notevole per le dimensioni contenute) Costa 600€
Questi alcuni dei punti chiave di questa versione: Peso 1,2kg batteria inclusa (800gr drone – 400 batteria) In grado di volare abbastanza agilmente con un payload di altrettanti 400gr ascende alla Massima velocità di 5m/s e discende al Massimo a 3ms 500 mt range Massimo in campo aperto Tollera al Massimo Max 10m/s vento Ha una autonomia di 20-25 m (dipendente da condizioni metereologiche e di ripresa. Se per esempio giro un video che in contemporanea è anche streemato su telefono) Dicono che l’altitudine massima a cui possa arrivare sia 6km La sua velocità massima è di 16m/s ~57k/h Come vi accennavo in precedenza è un’ottima piattaforma aerea per la stabilità delle sue riprese
Ovviamente sto scherzando, questo è il video feedback di un drone da gara
Come potete notare in questo video (ero in Inghilterra) sulle coste di Hastings (sostanzialmente le coste opposte alla Normandia francese) e questo è il video footage di una giornata di volo su mare e con un po’ di vento, il video è a velocità x2. Se fate particolarmente attenzione ad un certo punto c’è persino un gabbiano che passa
Queste invece le foto in varie condizioni atmosferiche e di luminosità.Rispettivamente Piazza Vittorio (Torino 4.30 am) Weston Super Mare UK Hastings UK Superga TO
Vi introduce ora l’architettura del drone nei suoi component Nonostante tutti questi component tecnologici il drone non è dotato di Sistema in grado di rilevare gli ostacoli (cosa che è poi stata integrate nella versione successiva) ed è pertanto possibile farlo volare in sicurezza solo in campo aperto o perfora in linea di vista
La prima cosa che ho fatto per cercare di capire il funzionamento è stato Capire lo schema di rete In sostanza il controller di terra agisce come access point per il drone, la camera (che è un oggetto e un sistema separato dal velivolo, penso che sia stato fatto per far si che il video feedback o comunque la parte media non possa interferire con il Sistema di volo e la navigazione del velivolo. Opzionale l’uso della applicazione su cellulare
Come potete vedere questa è la lista dei servizi esposti dai vari componenti all’interno della rete che vi ho mostrato in precedenza. Sostanzialmente ho un server ftp volante. Notiamo come I servizi interessanti come ssh e telnet siano filtrati. L’ftp invece è sempre raggiungibile e nel caso della camera è possibile loggarsi con la combinazione anonymous:anonymous. La porta 5678 è utilizzata dalla applicazione android/ios
Nell’ultima versione del firmare invece possiamo notare come tutti I servizi superflui siano stati rimossi e siano rimasti solo I core per il funzionamento. Nello specifico il server ftp utilizzato per caricare il firmware, recuperare I log di volo e I media e la porta 5678. Questa modifica e cambio di rotta verso l’hardening è dovuta per stroncare il mercato “illegale” di mod (permettevano I cambi di altitudine massima) I cambi di frequenze e la rimozione delle limitazioni quali nfz
Per quanto riguarda la comunicazione tra velivolo e controller viene instaurato un collegamento wifi sia per Il trasporto di dati di volo che per lo stream video verso l’applicazione su telefono. Il drone non fa uso del protocollo Lightbridge (protocollo per lo stream a lunghe distanze proprietario dji che invece è montato sui modelli più costosi per uso professionale, che garantisce maggiore stabilità e fluidità delle comunicazioni a lungo raggio, permette feedback full hd, sistemi di master e slave per le riprese ecc). Di default SSID della rete wifi è derivato dal MAC address del remote controller. Nel seguente formato Phantom3_i sei ultimi numeri del mac address. La password di default per la rete invece è l’evergreen strong password 12341234 bene ma non benissimo insomma
Ovviamente anche I droni non sono esenti dai più classici attacchi wifi, in particolare però abbiamo dei comportamenti predefiniti per il caso di deauthentication attack (forzare la disconnessione del telefono o controller da terra con il drone): Nel caso in cui il telefono venga disconnesso non succede nulla, il controller di terra ha sempre la priorità e può continuare a guidare il drone. Per quanto riguarda invece il controller, se disconnesso viene avviato il Return to Home automatico, che consiste nel portare il drone a una quota prestabilita (default 30m) e volare in linea retta sull’ultimo punto GPS settato come home point (ovviamente questo non è possibile senza ausilio del gps) Se proviamo quindi a collegarci a una rete già esistente il dji mantiene una coda di dipositivi, lasciando quindi la priorità al primo telefono connesso e impedendo la coneesione di un secondo device (sui modelli più importanti invece altri dispositivi possono essere aggiunti in modalità spettatore). Nel momento in cui la connessione al primo dispositivo venisse interrotta (Cellphone try to re-pair with other wi-fi) il secondo dispositivo può procedure al collegamento ( e a sfruttare tutte le funzionalità dell’app, feedback video, RTH, landing e nel caso di SDK navigazione) il controller mantiene comunque la priorità sui comandi, ma si rende il tutto molto meno gestibile.
Ok da qui inizia il mio percorso per ottenere una shell sul Sistema del velivolo. Ricapitolando ho trovato dei servizi aperti e alcuni filtrati di cui non ho le credenziali, il primo step che mi è venuto in mente è stato quello di esplorare l’applicazione che DJI mette a disposizione per il video feedback e altri assisted control
Piccolo excursus, il Phantom 3 prevede un Sistema di Geofencing o no fly zone in build, le no fly zone appunto come rappresentato dall’immagine sono dei recinti virtuali con un diametro specifico all’interno del quale, secondo alcuni parametri, il drone non può volare. Ciò permette di escludere dal volo (in copertura GPS) alcune location es, aeroporti
Nello specifico DJI mette a disposizione dei suoi piloti una mappa in cui è possibile vedere nazione per nazione le NFZ sul territorio. Warning Zones. In these Zones, which may not necessarily appear on the DJI GO map, users will be prompted with a warning message. Example: A protected wildlife area. Enhanced Warning Zones: unlock the zone at flight time, but you do not require a verified account or an internet connection at the time of your flight. Example: A farm which is 3 miles away from a busy international airport. Authorization Zones. In these Zones, which appear yellow, users will be prompted with a warning and flight is limited by default. Authorization Zones may be unlocked using a DJI verified account. Example Authorization Zone: Model aircraft flying club near an airport. Restricted Zones. In these Zones, which appear red the DJI GO app, users will be prompted with a warning and flight is prevented. Restricted Zone: Washington D.C. Problema principale come accennavo prima è che se non c’è copertura gps il drone non è a conoscenza della sua posizione può entrare liberamente. Nel caso di ATT mode ma con fix il drone si rifiuta cmq di volare all’interno
Per poter aggiornare le NFZ che sono memorizzate nel firmware come ad esempio nei casi di manifestazioni temporanee o nuove location, DJI è in grado di pushare NFZ negli aggiornamenti dell’app per cellulare. Le risorse sono così composte: elenca I parametri colorati Il problema nasce nel momento in cui le Risorse dell’app non sono firmate e quindi editabili. Possiamo andare così a vanificare l’introduzione di queste nuove NFZ
Continuando il diving all’interno dell’app ho trovato questo file di configurazione con, colpo di fortuna, la password di root del velivolo. Giustamente il prodotto è cinese… (La password precedente era: 19881209)
Perfetto mi dico quindi, ho la password di root. Già, peccato che SSH e Telnet siano filtrati e il servizio FTP è ristretto a una sola cartella per il drop del firmware. Non posso navigare il filesystem
Ok, Ho quindi provato qualche semplice attacco di sostituzione del firmware ma deve esser presente qualche meccanismo di checksum che ne impedisce il replace così impunemente. Dato che effettuare l’analisi del firmware per caprine il meccanismo sarebbe stato un procedimento lungo, ho preferito effettuare delle analisi preliminare, per esempio con un semplice string sul firmware e alcune keyword ho potuto estrarre gli hash di altri utenti
E procedure al cracking ftp:admin999 default:"blank“anonymous:anonymous
Dopodiché ho pensato che alcune delle contromisure come ad esempio l’ftp ristretto potessero essere state introdotte successivamente. Non è documentato nei manuali ufficiali ma ho trovato che tenendo permute le tre line dell’app si accede a un menu da cui è possibile effettuare il downgrade dell’app
Effettuando il downgrade del firmware alla sua versione precedente il servizio ftp non era più limitato e come root avevo accesso all’intero filesystem, che ne ho fatto quindi una copia e ne ho iniziato l’analisi. Nello specifico il Sistema usato da DJI è un fork di OpenWRT 14.07 “Barrier Breaker”
Ho poi trovato I seguenti script che girano a boot time, nello specifico il primo mantiene delle configurazioni e aggiungendo il commando seguente mi sono riattivato telnet a cui mi sono finalmente potuto connettere.
Finalmente ROOT Ottimo, ma il mio percorso non è ancora terminato, abbiamo un terzo elemento del pacchetto DJI che fino ad ora non abbiamo preso in considerazione come vettore di attacco
Storia triste, la prima volte che ho tentato di compilarlo ho ricevuto 11000 warnings and errors Ma alla fine con qualche martellata l’ho fatto funzionare (ovviamente ho perso qualche support) L’idea principale dell’SDK era poter isolare specifiche istruzioni spedite al drone, monitorando con wireshark la comunicazione, in maniera da poter implementare una applicazione custom che potesse inviare comandi specifici (es associazione ad un altro wifi) per arrivare a un completo takeover
L’SDK prevede un meccanismo di “sblocco” con la richiesta di autorizzazione a un sever DJI, è necessario avere un account e richiedere un API, per fortuna nelle versioni precedenti all’ultima release bastava andare a modificare (Java Bytecode editor) il meccanismo di richiesta di autenticazione e settare una variabile direttamente come a sblocco effettuato.
Questo invece è come si presenta il flusso di comunicazione tra l’app e il drone. Ovviamente filtrando tutto il traffico UDP che è il feedback video
DJI utilizza un protocollo proprietario basato su TCP per I controlli di volo. Mi sono quindi messo a fare un po’ di reverse engineering e il pacchetto è così compost, fortunatamente è molto simile al protocollo usato per le versioni precedenti di Phantom quindi alcuni campi erano già stati identificati dalla community
L’header è compost dal primo byte che è un magic number proprio del protocollo Poi, la lunghezza totale del pacchetto, header+payload La versione del protocollo e un checksum custom DJI derivato da dei valori hardcoded (recuperate da SDK)
00: getting the version, setting dates, pinging, retrieving some device info 01: firmware updates 02: to set camera modes and settings 03: status of the battery, motors, setting fly forbid areas 04: gimbal command set 05: Retrieving the history log and features of the battery 06: remote controller command set 07: Wifi signal status, getting and setting SSID
Piccola premessa, interferire coi segnali gps è illegale, mi sono attrezzato per una cantina “schermata” e le prove live sono state fatte in campo aperto a distanza da corridoi aeree, abitazioni e quant’altro.GPS che è il vettore di attacco su cui mi sono concentrato principalmente perchè completamente remoto, senza aver come prerequisite l’accesso alla rete del drone in questione. Inoltre, è il metodo più “comune” per dirottare un drone civile dato che I segnali gps non sono cifrati. Parlando di attacchi GPS quello più comune è un replay attack, dove si invia un segnale registrato in precedenza. before you want fake a location, should wait for few minutes to generate the I/Q data Racconta dei problemi del clock We can also user USRP(600USD) BladeRF (1500USD)HACKRF cheap ~300€
Per generare il nostro segnale di posizione abbiamo bisogno di scaricare dei dati di base chiamati ephemeris data, contengono le informazioni relative alla location (corrente e futura) di un satellite Sono utilizzati dai ricevitori per calcolare la posizione stimata dei satelliti e quindi la propria posizione terrestre The Ephemeris Data can also be used to predict future satellite conditions (for a given place and time) providing a tool for planning when (or when not) to schedule GPS data collection.
Questo è il risultato del reply, ovviamente non ero in Turchia dato lo scenario attuale You can see the cellphone (no assisted data) gets the position information from the replayed GPS signal
Da notare come anche l’informazione relativa all’ora è contenuta all’interno del segnale spoofato So, we can spoof space and time
Come possiamo accorgerci di un attacco al gps?Validare I subframe dei dati che stiamo ricevendo, come potete notare in rosso I subframe di un segnale di cui stiamo facendo reply sono tutti settati a zero Validare l’ora ricevuta con quella settata sul dispositivo. Validare il tempo di spostamento For example it is impossible to change your location from Turin to Rome in one second
Il drone è a Torino, ma stavo spoofando la location della casa bianca che è una no fly zone, se provo a metterlo in volo
GPS spoofing NFZ -> no take off GPS spoofing dopo fix -> landing The drone is actually at a forbidden location in Turin. We gave it a fake position in then it was unlocked and can fly up.
Il drone in volo viene obbligato ad atterrare poiché il segnale gps viene settato a una no fly zone. Il video è una versione velocizzata dato con il mio setup questo attacco richiederebbe ~5-10m
Questo è lo schema di attacco che si potrebbe quindi utilizzare avendo la strumentazione necessaria per effettuare il takeover. Il drone si trova sul marker verde, viene effettuato deauth per triggerare RTH + gpspsoofing. Il drone che quindi ora crede di trovarsi sul marker rosso vola a casa, volando però in realtà molto più distante dove può essere catturato/abbattuto
FAA riporta 583 incidenti da agosto 2015 a gennaio 2016 Con un numero quindi sempre crescente di incidenti, parliamo ora di artefatti fantastici e dove trovarli. Sul DJI phantom 3, artefatti utili, sono presenti in 3 location: Camera on gimbal, media files, immagini e video Txt file sull’applicazione mobile Dat file in una memoria (non documentata) presente sulla scheda madre, una vera e propria scatola nera
I file proprietari sono così strutturati, è già stato fatto un bellissimo lavoro per la creazione di un tool chiamato DROP Drone Open Source Parser, il link è nelle slide di riferimento, Questa è la struttura dei file dat presenti sulla scatola nera, un po’ come per la struttura dei pacchetti dell’SDK è presente un magic byte, le indicazioni su quale specifico componente ha emesso il messaggio e il messaggio effettivo. Da notare come i dati più vecchi vengano sovrascritti, ma non solo cancellando il file pointers, lo spazio occupato in precedenza da questi file viene azzerato, riducendo pertanto le chance di recovery E’ inoltre possibile, e ci sono rimasto un po’ della serie WTF quando l’ho scoperto, far volare il drone senza questa memoria, meccanismo che può quindi essere utilizzato come tecnica anti-forense
Questi I dati che è possibile estrarre sia dai .DAT che dai .TXT Che cosa ci permettono di fare aggregando tutte queste informazioni?
Ad esempio, mostrare il tracciato di volo, con alcune statistiche relative a massima altitudine, velocità, distanza ecc
Ricostruire intere segnalazioni dei sensori durante tutto il tracciato. In questo specifico esempio l’evento di signal lost viene mostrato
Un vero e proprio listato di tutti gli eventi occorsi in un determinato frame temporale, con altitudine e distanza dall’home point
Inoltre, incrociando I dati del gimbal con quelli di volo e degli eventi in cui sono state scattate delle foto o dei video è possibile ricostruire circa quello che l’operatore ha potuto fotografare o riprendere, altro che CSI Ora, se per I file dat essi rimangono memorizzati solo ed esclusivamente sulla memoria interna al drone e non vengono “condivisi”. I file txt presenti sul telefono sono quelli che alimentano le statistiche del proprio account di pilota DJI e che vengono caricati per intero nonostante sia poi solo visibile un piccolo recap per volo. Con questi dettagli non fatico a capire la motivazione del US Army Ban effettuata nell’estate 2017. C’è anche da dire che come prodotto è stato pensato per un uso civile amatoriale/professionale di riprese video, non militare e che quindi manca di tutti quei requisiti e sicurezze necessarie in un ambiente simile.
Cose di minor importanza che non ho detto in precedenza: Il feedback video non ha nessuna tipologia di checksum, quindi potenzialmente potremmo mostrare su schermo qualsiasi tipologia di immagine. Nyancat everywhere Altra cosa, il drone è veramente molto sensibile ai campi elettromagnetici, basa su questa informazione infatti il suo sistema di bussola e richiede una calibrazione alla prima accensione e ogni qual volta avvenga una deviazione dei valori standard. Per esperienza vi dico che se provare per esempio ad accenderlo vicino a un frigo o grosse masse metalliche la bussola impazzisce e richiede la calibrazione.
Ok, abbiamo ancora un po’ di tempo, vi parlerò quindi delle più variegate contromisure che sono state create per difendersi dai droni: Drone netting ovvero, cannoni o droni che sparano reti ad altri droni per neutralizzarli Armi comuni o con proiettili modificati per abbattere droni Jamming di frequenze radio per far perdere all’operatore il controllo Impulsi elettromagnetici con lo scopo quello di distruggere la circuiteria di bordo Hacking del controller di bordo con conseguente abbattimento o takeover Creazione di no fly zone on demand Armi al laser e missile tenete anche presente che quasi nessuna di queste contromisure è efficace nel caso di droni miniaturizzati o sciame di droni
Ecco, e questo è poi ciò che accade nella realtà, si abbattono I droni con missile da 3 milioni di dollari, missile terra aria normalmente utilizzati per intercettare altri missile o velivoli veloci. Incidenti che sono capitati più volte e che se dal punto di vista della missione sono un successo, dal punto di vista economico lascio decider a voi…
Questo è un esempio di drone sviluppato per catturare e neutralizzare un altro drone
Poi hanno iniziato ad addestrare uccelli predatori Tenete presente che comprare un’aquila addestrata costa circa 140K€ Vita media 20 anni solo 10 anni di missione (per il resto migliori amici) I prezzi 2016 -> 2017 Cannone anti drone rete 80-100k$ +7-8%
Quando invece una spara coriandoli da concerto sarebbe altrettanto efficace
Oppure una moto d’acqua, immaginate il dolore dell’operatore del drone, 4000€ abbattuti
Bhe se proprio dovessi dire qualcosa, mi piacerebbe mettere le zampette appiccicose su qualcosa di decisamente più complesso. In foto UAV Predator (drone da combattimento) 1995-2018 4M €
Un po’ di referenze e link utili
E con questo giungo al termine del mio talk, ci sono domande?Sentitevi liberi di twittarmi o di mandarmi una mail se non avessi il tempo di rispondere a tutti

A Drone Tale by Paolo Stagno - Hackinbo 2018

Recommended

Recommended

More Related Content

Similar to A Drone Tale by Paolo Stagno - Hackinbo 2018

Similar to A Drone Tale by Paolo Stagno - Hackinbo 2018 (20)

Recently uploaded

Recently uploaded (20)

A Drone Tale by Paolo Stagno - Hackinbo 2018

Editor's Notes