35C3 alkumusiikki Herald Angel: Aloitamme seuraavan keskustelun Seuraava puhuja vieressäni on Martin Vigo Hän on tuoteturvallisuuden johtaja ja tutkija sekä hänen vastuullaan on mobiili- turvallisuus, identiteetit ja todentaminen. Hän auttaa suunnittelemaan ja suojaamaan järjestelmiä sekä sovelluksia. Hän on myös työskennellyt teemojen, kuten salasana hallinta sovelluksen murtaminen sekä hyväksikäyttää Applen FaceTime -sovellusta vakoiluun. Toivottakaa hänet tervetulleeksi aplodeilla. Aplodit Martin Vigo: Kiitoksia kaikki, jotka ovat paikalla. Olen erittäin innoissani, että saan olla täällä. Tämä on oikeastaan toinen kerta täällä konferenssissa. Ensimmäisenä vuonna istuin siellä ja nyt olen täällä. Minut esiteltiin jo, mutta tässä minä olen yhdeksän vuotiaana vanhan Amstrad CPC 6128 -tietokoneen kanssa. Onko kellään ollut samaa? Näen vain yhden käden. Luulen, että näitä myytiin Euroopassa, mutta pelasin tällä La Abadía del crímen, joka on paras koskaan tehty videopeli. Jos tykkäätte vanhoista peleistä suosittelen kokeilemaan. Niin kuin kaikki hyvät tutkijat meidän täytyy aloittaa katsomalla historiaan. Me voimme oppia paljon muilta tutkijoilta vanhoista tutkimuksista. Tässä tapauksessa matkustamme 80-luvulle, jolloin hakkerointi oli uutta, että ymmärrämme kuinka aikakauden nörtit hakkeroivat puhelinvastaajat. Tiivistän kaiken mitä olen oppinut viiteen kappaleeseen, jotka olen kopioinut Phrack -sivustolta. Sivusto on hyvä lähde. Vastaajan hakkerointiin: "Sinä voit kokeilla kaikkia kahden numeron kombinaatioita, niin kauan kuin löydät oikean", "Kehittyneempi ja nopeampi tapa olisi käyttää hyödyksi tietoa, ettei vastaajat yleensä tarkista kahta numeroa kerrallaan ja sitten hylkää niitä, vaan etsii numeroiden oikeata järjestystä". Mistä on tässä kyse? Vanhempaan vastaajaan kuin syöttää numerot 1 2 3 4 kahden numeron PIN-koodiksi, ei vastaaja yritä yhdistelmiä 1 2 ja 3 4 vaan myös yhdistelmä 2 3 on kokeiltu. Tämä on erittäin mielenkiintoista. Hakkeroitaessa AT&T vastaajia 90- ja 80-luvun vastaajia saamme muodostettu yhdistelmän, joka kattaa kaikki kahden numeron yhdistelmät. Jos syötät kaikki nämä numerot vastajaan käytännössä murrat bruteforcella koodin syöttämättä kaikkia eri kombinaatioita. Opin myös Aspen vastaajan oppaasta, että 80-luvulla ei ollut oletus PIN-koodeja. Yllätys, yllätys! Opin myös, että meillä ihimisillä on tietyt kaavat, kun valitsemme PIN-koodia. Meillä on myös klassikot: 1111, 9999, 1234. Toinen asia jonka opin hakkeroidessani vastaajaa 90-luvulla, "Vastaajissa oli 'vaihda viesti' toiminto, jolla pystyi vaihtamaan vastaajan viestiä siten, että automaattinen vastaaja hyväksyy puhelujen kustannuksien laskuttamisen. [vastaanottaja maksaa] Tämä on vankien käyttämä konsti, jolla voi soittaa ilmaiseksi. Heidän tulee ainoastaan nauhoittaa vastaajaan viesti: "kyllä, kyllä, kyllä". Kun automaattinen järjestelmä kysyy vastaajalta "Haluatko hyväksyä maksut puhelusta, joka tulee vankilasta. Automaattinen järjestelmä hyväksyy ja vangit voivat soittaa ilmaisia puheluita. Tiivistettynä ja yhteen vetona Olen oppinut 80-luvun hakkereilta sen, että vastaajien tietoturva näytti... vastaajissa oli oletus PIN-koodit, oli yleisiä PIN-koodeja, PIN-koodin saattoi arvata, bruteforce oli tehokasta, koska pystyttiin syöttämään useita yhdistelmiä samaan aikaan sekä vastaajan tervehdysviesti hyökkäys vektori. Pelataan peliä. Tehdään tarkistuslista ja tarkkaillaan nykyisten vastaajien tietoturvaa. Tarkkailin Amerik- kalaisia operaattoreita, koska asun Amerikoissa, mutta koska minut kutsuttiin puhumaan Saksaan otin yhteyttä kaveriini joka lähetti minulle SIM kortteja ja pystyin tarkkailemaan Saksalaisia operattoreita myös Tarkastuslista: Kaikilla Amerikkalaisilla operaattoreilla on oletus PIN-koodit, mutta ne eivät ole kovin salaisia, koska yleensä koodit ovat puhelinnumeron viimeiset numerot Saksalaiset operaattorien kohdalla tilanne on paljon parempi. Esimerkiksi Vodaphone käyttää PIN-koodina neljää viimeistä numeroa asiakasnumerosta, joita ulkopuolinen ei tiedä. Tarkoitan, että asiakas tietää, mutta ei muut. Operaattorit CallYa käyttää PIN-koodina neljää viimeistä numeroa PUK-koodista. Telekom käyttää neljää viimeistä numeroa kortista, joka on siis kortti joka tulee SIM-kortin mukana. O2 operattori on pettymys oletus PIN- koodilla, joka on 8705. Se on myös ainoa PIN-koodi, jota et voi asettaa itse. Kun tarkastellaan vastaajan tietoturvaa yleisten PIN-koodiyhdistelmien näkökulmasta. Viitaten Data Geneticsin tekemään fantastiseen tutkimukseen, kyse on ihmisten käyttäytymisestä valitessaan PIN-koodeja luottokortteihinsa. Tutkimuksessa tehtiin paljon johtopäätökiä. Yhteenvetona johtopäätös tutkimuksessa oli, että jos esimerkiksi kokeilee yleisimmät 20 PIN- koodia on 22 prosentin mahdollisuus arvata oikein. Tämä tarkoittaa sitä, että joka neljäs uhri jonka vastaajan PIN-koodia yritän bruteforceta osuu oikeaan. Tutkimuksessa on myös muita johtopäätökisä jotka ovat erittäin mielenkiintoisia, kuten useimmat PIN-koodit alkavat 19. Kuka arvaa mistä tämä johtuu? Synytmävuosi, eikö? On erittäin yleistä asettaa syntymävuosi PIN-koodiksi. Useimmat meistä ovat syntyneet 1900-luvulla... asettaa se PIN-koodiksi. Bruteforcetettavat PIN-koodit. Saksassa ja Amerikoissa vastaajat hyväksyvät neljä numeroisia PIN-koodeja, näemme myöhemmin, että koodi ei ole riittävän pitkä. Kaikki operaattorit sallivat arvaamisyritysten ketjuttamisen. Yritän kokeilla eri PIN- koodeja, eikä minun tarvitse edes odottaa virheviestiä. Hyväksikäytän mahdollisuutta kokeilla kolmea PIN-koodia kerralla. Yleensä operaattori katkaisee linjan tietoturvallisuuden takia kolmen virheellisen yrityksen jälkeen, mutta käytämme hyödyksi sitä. Totesin, että kaikki mitä olen oppinut 80-luvusta on yhä tänä päivänä ongelma. Päätin kirjoittaa ohjelman, jolla voi bruteforcea vastaajan PIN-koodin nopeasti, halvalla, helposti, tehokkaasti ja huomaamattomasti. Joten nopeasti: käydin Twiliota... kenelle Twilio on tuttu? Joillekkin teille? Eli Twilio on käytännössä online-palvelu, joka sallii vuorovaikutuksen puhelimen soittoihin ohjelmallisesti. Voit soittaa puheluita, vuorovaikuttaa puheluihin ja niin edelleen Käytän Twiliota soittamaan satoja puheluita samaan aikaan bruteforcettaa kohteen vastaajan PIN-koodin. Twilio on halpa! Kaikkien neljän numeron kombinaatioiden kokeileminen maksaa 40 dollaria. Jos haluan saada selville sinun neljä numeroisen PIN-koodin, joudun maksamaan 40 dollaria. Data Geneticsin tutkimukseen viitaten 50 % todennäköisyydellä arvaaminen maksaa 5 dollaria. Saan jokatoisen uhrin PIN -koodin selville. Toisessa lähestymistavassa en yritä murtaa vain sinun PIN-koodia vaan haluan murtaa kaikkien täällä olevien PIN-koodit. Viitaten Data Geneticsin tutkimukseen, tässä tapauksessa, viitaten faktaan että on myös olemassa oletus PIN-koodit... En kysy teiltä kuinka monella on O2 liittymä koska he tietävät, että heidän vastaajassa on oletus PIN-koodi. On mielenkiintoisempaa kokeilla tuhatta puhelinnumeroa O2 asiakkaiden oletus PIN-koodilla, vain 13 dollarin kuluilla. On helppoa kokeilla täysin automatisoidulla työkalulla, joka tekee kaiken puolestasi. Sinun tar- vitsee vain antaa numerot, operaattori ja muutama muu parametri, se on tehokasta! Se optimoi arvaamisen, käytän hyväkseni Data Geneticsin tutkimusta arvatessani PIN-koodeja, jotka ovat yleisimpiä ja tottakai se kokeilee eri PIN-koodeja ja kaikkea sellaista. Tärkeimpänä tässä on tunnistaa, ajattele. Jotta voisin kommunikoida sinun vastaajan kanssa. Minun tulee soittaa sinulle, etkä voi vastata, jos vastaat, puhelu ei mene vastaajaan. Yritin etsiä keinoja päästä suoraan vastaajaan, koska tarvitsin sitä tehdäkseni useita soittoja ja kokeillakseni eri PIN-koodeja. Kuinka voin kommunikoida suoraan vastaajan kanssa? Kokeilen tukkia puhelimen liian monella soitolla, koska noin kolmella puhelulla linja tukkeutuu ja puhelu ohjautuu suoraan vastaajaan. Tämä ei ollut kovin luotettava keino. Tässä voisi käyttää OSINT-tekniikoita. Moni ihminen twiittaa, että ovat lähdössä matkalle ja nousemassa lentokoneeseen. Puhelin on lentotilassa tai olet etäällä tai elokuvateatterissa tai puhelin on yöllä älä häiritse tilassa. Kaikki nämä tilanteet, joissa puhelut ohjautuvat suoraan vastaajaan. Voisit käyttää HLR- tietokantaa löytääksesi onko mobiili- yhteydet katkaistu tai SIM-kortit hylätty, mutta silti ne ovat sidottuja tiliin. Sinä voit käyttää online-palveluita niin kuin realphonevalidation.com jota itseasiassa kontaktoin ja he tarjosivat palvelua, jolla saan tietää onko puhelin yhteydessä verkkoon tällä hetkellä, palvelu on siis olemassa ja voit käyttää sitä tietoa. Sinä voit käyttää myös luokan 0 SMS-viestiä, joka antaa palautteen. Se on käytännössä SMS- viestin tyyppi, joka... viestillä on korkempi prioriteetti ja se näkyy vastaanottajan näytöllä ja sinä saat palautteen katsotaanko viesti vai ei. Tämä on kiva keino saada selville onko puhelin kytkettynä verkkoon. Mutta todellisuudessa halusin luotettavan ratkaisun toteuttaa ja huomasin, että USA:ssa on käytössä suora numero vastaajaan. Eli en soita sinulle, vaan johonkin näistä palvelusita, jotka te olette listanneet jokaiselle operaattorille ja syötän sinne numeron, joka tässä tapauksessa on uhrin puhelinnumero jonka kanssa haluan viestiä. Pääsen suoraan käsiksi kirjautumiseen. On kiinnostavaa, että Saksassa tämä tarjotaan palveluna ja USA:ssa se on enemmän salainen, joka minun piti hakea googlesta, mutta tässä... Periaatteessa, jos soitan sinun puhelinnumeroon ja Vodafonen tapauksessa lisään aluekoodin ja muun numeron väliin numeron 55 tai Telekom niin 13, tai O2 niin 33 pääsen suoraan vastaajaan, puhelimesi ei soi. Eli voin käyttää tätä keinoa. Kuka Saksalainen tiesi tästä? Ok, monet teistä tiesi. Niin minä oletinki Täällä se ei tunnu olevan asia, josta ette hirveästi murehdi. Huijarit käyttävät tätä paljon USA:ssa, jättääkseen suoraan viestejä vastaajaan. Voicemailcracker käyttää hyödykseen suora numeroita, jotka mahdollistavat sinun olevan tunnistamaton. Minun ei tarvitse soittaa sinulle, ei tarvitse odottaa että lennät, voin vain tehdä sen. Esimerkkinä USA:ssa on hyvä, että kun soitan monta puhelua, niin linja tukkeutuu vaikka olisit irti verkosta. Mutta kun käytän näitä suora numeroita, eivät linjat tukkeudu, koska ne ovat tarkoitettu kaikkien käytettäväksi. Eli kun soitan satoja ja satoja puheluita, eikä linja tukkeudu. Mutta sinä tiedät, että operaattorit tai jotkun heistä ovat lisänneet arvauksiin rajoituksen. Eli et voi arvata bruteforcella liian montaa kertaa. Tutkin esimerkiksi Saksalaista operaattoria Vodafoena ja huomasin että vastaaja resetoi kuuden numeron PIN- koodin ja lähettää sen sinulle teksiviestinä Eli voin lähettää sinulle massiivisen määrän tekstiviestejä, mutta kuka välittää se ei ole iso ongelma. Tämä on oikeastaan aika tehokas keino vastaajaa... bruteforce arvauksia vastaan. Telekom estää soittajan numeron pääsyn vastaajaan tai edes jättämään viestiä. Yritin kuusi kertaa ja se on joka kerta väärin, puhelu vastaa: "Hei, et voi tehdä mitään" ja katkaisee puhelun. O2 ohjaa puhelut suoraan asiakas- palveluun ja joku alkoi puhumaan Saksaa, eikä minun saksani ole niin hyvä. Bruteforce. Halusin yrittää ohittaa tämän katsotaan Telecomia ja mainitsin, että se estää soittajan numeron mutta kävi ilmi, että Twiliossa voit ostaa soittajan numeron, siis, voit ostaa puhelinnumeroita aivan? Ne ovat erittäin halpoja. Minun on erittäin helppoa satunnaistaa soittajan numero erittäin halvalla ja näin ohittaa Telecomin arvauksen esto suoja. Voicemailcracker myös tukee tätä. Tukee satunnaisia soittajan numeroita. Ensimmiäsen demon aika. Niin kuin näette vasemmalla on uhrin puhelin ja oikealla on ohjelma. Tässä tapauksessa käytän bruteforce parametriä. Bruteforce parametri sallii minun arvata vastaajan PIN-koodi. Sovellus tekee satoja puheluita ja yrittää arvata PIN-koodia, niin kuin selitin. Tässä on joitan parametrejä niin kuin uhrin puhelinnumero, operaattori... operaattori on tärkeä, koska käytetään eri hyötykuormaa jokaiselle operaattorille koska operaattorien järjestelmät ovat erilaiset, kuinka vuorovaikutus toimii ja tässä tilanteessa käytämme suora numeroa koska se on tehokkaampi. Eikä siellä ole tunnistusta. Tässä esimerkissä valitsin asetuksen TOP PIN Ohjelma kokeilee top 20 neljä numeroista PIN-koodia jotka mainittiin tutkimuksessa. Niin kuin näette, ohjelma kokeilee kolme PIN-koodia kerrallaan, yhden PIN-koodin sijasta. Eli meidän tarvitsee tehdä vain kolmas soitoista, eikö? Ja kuinka pystyn tunnistamaan onko arvattu PIN oikein? Ideoita? Yleisön vastauksista ei saa selvää Puhelu katkeaa tai suljetaan. Niin minä kuulin ja se on täsmälleen niin. Kun ajattelette tarkemmin tätä, niin voin vertailla puheluiden pituuksia ja koska kokeilen aina kolme PIN-koodia ja puhelun katketessa on pituus aina sama. T-Mobilella noin 18 sekuntia. Muutin logiikkaa siten, että jokaisen kolmen PIN-koodin yrittämisen välillä odotetaan ylimääräiset 10 sekuntia. Se on kaikki mitä tarvitsee tehdä. Ei tarvita tulkita mitä vastaaja kertoo meille ja päätellä siitä onko koodi oikein vai ei. Voin suoraa käyttää puhelun pituutta. Eli jos puhelun pituus on 10 kertaa pidempi silloin tiedän, että sain oikean PIN-koodin tietoon, koska kirjautuminen onnistui. Niin kuin näette ohjelma päätteli, että joku näistä kolmesta on oikea PIN-koodi: tässä tapauksessa se on 1983. Nyt selvittääksemme mikä kolmesta koodista on oikea, kokeilemme kaikkia yksitellen ja se saattaa näyttää siltä, että tämä kestää kauemmin mitä sen pitäisi vain 20 koodille, mutta mutta muista, että epäonnistunut arvausyritys on erittäin nopea. Sen takia koska top 20 listalta löytyi jo oikea pin se kestää kauemmin kuin pitäisi. Ja siinä se on, löysimme sen 1983. Hienoa. Mihin tämä vaikuttaa, miksi olen täällä CCC:ssä puhumassa teille joilla on niin hienoja keskusteluja. Tämä on itseasiassa asian pihvi. Kukaan ei välitä vastaajista. Luultavasti, jos kysyn täällä kuka tietää oman vastaajansa PIN-koodin? naurua Hienoa, tätä odotin. Luultavasti vähemmän käsiä täällä. Jotkut heistä valehtelevat. Me emme välitä vastaajasta. Me emme edes käytä vastaajaa, joka on vähän hullua. Meillä on avoimet ovat keskustella ongelmasta, jota emme ole tunnistaneet tai emme edes muista. Kaikki eivät tiedä myöskään sitä totuutta, että voit resetoida salasanan puhelulla. Salasanan resetointi sähköpostilla on tutumpi keino. Saat yksilöllisen linkin, ehkä koodin tekstiviestillä joka täytyy syöttää käyttöliittymään. Mutta moni ei voi vastaanottaa tekstiviestejä tai ainakin palvelut väittävät niin. Joten he toimittavat väliaikaisen koodin puhelussa. Ja se on mitä me haluamme käyttää hyödyksi, koska kysyn teiltä mitä tapahtuu jos et vastaa puheluun, jos menen palveluun, syötän sinne sinun sähköpostin tai puhelinnumeron sekä nollaan salasanan. Kuka tahansa voi tehdä sen. Kuka tahansa voi resetoida, käynnistää salasanan vaihto prosessin ja tiedän, että ette ole vastaamassa puhelimeen, kiitoksia työkalun jonka avulla minulla on pääsy teidän vastaajaan. Käytännössä vastaaja nauhoittaa puhelun ja kertakäyttöisen koodin, jonka tarvitsen salasanasi vaihtamiseen ja pääsyyn tilillesi. Niin --oops! -- Jatkan esittämistä. Okei, mitä hyökkäys vektori näyttää? Sinä bruteforceat vastaajan PIN-koodia työkalulla, joka käyttää vastaajan suora numeroa. Puhelu jonka tarkoitus on kertoa sinulle salasanan vaihtokoodi, ei voi suoraan kytkeytyä vastaajan takaoven numeroon, eihän? PayPal soittaa suoraan uhrin numeroon. Sitä puhelua varten sinun pitää pitää huoli siitä, että uhri ei ole yhteydessä puhelinverkkoon kaikilla aiemmin kertomillani metodeilla. Aloitat salasanan vaihto prosessin puhelimen välityksellä. Kuuntelet nauhoitetun viestin, salaisen koodin ja voitto. Kaappasit sen tilin ja Voicmailcracker voi tehdä tämän kaiken sinulle. Kaapataan Whatsapp. Vasemmalla näette minun numeroni. Salainen rakastaja ryhmä, salainen ryhmä ja kaikki muu. Oikealla, huomaa että en käytä edes oikeaa puhelinta, vaan käytän android emulaattoria johon asensin APK:n. Tässä on myös äänet ja tulet näkemään eli vasemmalla on uhrin numero ja oikealla on hyökkäänjän emulaattori. Näette, että käytän ohjelmaani viesti moodissa ja message parametrillä. Mitä tässä teen on, että laitan uhrin puhelimen lentotilaan simuloidakseni sitä, että se on pois päältä jonkin syyn takia ja olen havainnut sen. Kun näette, että WhatsApp lähettää tekstiviestin rekisteröidäkseen käyttäjän, mutta jos et vastaa minuutissa WhatsApp antaa mahdollisuuden soittaa sinnulle. Se on juuri se mitä painan. Nyt WhatsApp soittaa uhrin puhelimeen, joka on lentokonetilassa, koska hän lähti matkalle ja minä käytän Voicemailcracker ohjelmaa parametrillä message, joka mahdollistaa uusimman viestin linkin hakemisen automaattisesti. Viimeinen parametri on PIN-koodi jonka arvasimme Brute Force menetelmällä. Ohjelma antaa minulle uusimman nauhoituksen URL-osoitteen, joka toivottavasti -- tämä on nauhoitettu demo -- toivottavasti sisältää kaipaamamme koodin. Katsotaan. Tässä on URL osoite. puhelin hälyyttää Tietokoneen ääni: -- Uusi viesti! -- M.V.: Ohjelma keskustelee vastaajan kanssa tällähetkellä. Puhelin: -- Varmistuskoodi on: 3 6 5 9 1 5. Varmistuskoodi on: 3 6 5 9 1 5. Varmistus-- M.V.: Näin helppoa. Kaappasimme juuri WhatsAppin ja -- tässä kelaan eteenpäin vain näyttääkseni teille, että tämän pystyy tekemään. applodit M.V.: Haluan tuoda esille, että WhatsApp on erittäin turvallinen, päittäinsalaus ja muuta. On paljon asioita joita voit huomata tästä hyökkäyksestä. Esimerkiksi sinulla ei olis mahdollista nähdä aikaisempia viestejä, mutta voisit hyvin odottaa ja lähettää viestejä, ryhmät tulisivat esiin. Joten kaappasit WhatsApp tilin. WhatsApissa on myös digitaalinen sormenjälke, mutta kuka välittää siitä kun joku vaihtaa laitteen? Olemmeko valmiit? Ei vielä. Koska totuus on se, että jotkut tutkijat puhuivat tästä ongelmasta ennen ja palvelut pyrkivät vastaamaan. Tämä on oikeastaan se mitä löysin muutamista palveluista. Tätä minä kutsun käyttäjän vuorovaikutukseen perustuva suojaus. Kun saat sen puhelun, joka antaa sinulle väliaikaisen koodin sinun oikeasti täytyy painaa nappulaa saadaksesi koodi. Varmistuksia on kolmea erilaista, jotka löysin testeissäni. Paina mitä tahansa näppäintä kuullaksesi koodi, eli kun saat puhelun sinun tulee painaa ja sen jälkeen saat koodin. Paina sattumanvaraista näppäintä, paina yksi, paina kaksi tai näppäile koodi. PayPal vaatii koodin ja sen sijaan, että sinä saat koodin, niin sinä näet koodin ja sinun tulee näppäillä koodi, kun saat puhelun ja tämän jälkeen salasana vaihdetaan. Nyt haen teiltä kaikilta apua. Voimmeko voittaa tämän tällä hetkellä suositellun suojauksen, jonka tarkoituksena on estää tämän tämän kaltaiset hyökkäykset? Pelataan peliä. Annan teille kaksi vinkkiä. Tässä tulee ensimmäinen. Ehkä tämä on tuttu, mutta "Captain Crunch". Taas palaamme 80-luvulle, jotta voimme oppia heiltä todella paljon, tätä käytetään luomaan tiettyjä ääniä tietyillä taajuuksilla käytännössä -- voitte lukea tästä lisää -- saadaksenne ilmaiset kansainväliset puhelut Hän siis luo äänen ja järjestelmä prosessoi ääneä. Seuraava vinkki on, että huijasin kun teimme muistilistan, hyppäsin yhden yli, joka oli tervehdysviesti ja se on hyökkäysvektori. Kysyn nyt teiltä kuinka voimme ohittaa suojauksen, joka vaatii käyttäjän vuorovaikutusta, ennen kuin saamme nauhoitettua koodin vastaajaan? Ehdotuksia yleisöstä, joista ei saa selvää M.V.: Mitä sanoit? Oikei. Nauhoittaa DTFM [äänitaajuusvalinta] äänitaajuuksia vastaajan tervehdysviestiin. Meillä on vastaajan hallinta, joten voimme muokata tervehdysviestiä. Eli tämä toimii näin: Me muokkaamme tervehdysviestin toistamaan äänitaajuusvalinnat mitä järjestelmä odottaa ja tämä toimii joka ikinen kerta. Kaikista paras tässä on se mikä on erittäin hienoa kaikissa meissä, jotka todella välittävät teknologiasta. Me haluamme sisäistää syvän osaamisen, koska kun kysyin ihmisiltä, kun halusin heille näyttää tämän, että kuinka tämä suojaus oikeasti toimii? He vastasivat sinun täytyy painaa näppäintä ja sitten sinä tiedät, että saat vastauksksi koodin. Mutta se ei oikeasti ole totta. Se mitä oikeasti tarvitsee tehdä on antaa oikea ääni, jota järjestelmä odottaa. Ja se on eri mitä näppäimen painallus on, koska jos sinä sanot, että minun on painettava näppäintä joka vaatii fyysisen pääsyn. Jos sinä sanot minun täytyy antaa ääni, nyt me tiedämme, että tämä ei vaadi fyysistä pääsyä. Sen takia hakkerit on niin makeita, koska me haluamme oikeasti tietää mitä tapahtuu taustalla ja voimme käyttää sitä hyväksi. Miltä hyökkäysvektori näyttää? Bruteforcetaan vastaajan PIN-koodi niin kuin aikaisemmin. Meillä on ainoastaan ylimääräinen askel, joka on tervehdysviestin muokkaaminen. Voicemailcracker voi tehdä sen sinulle. Kaapataan PayPal. naurua M.V.: Vasemmalla näette, niin kuin aiemmin arvasin vastaajan PIN-koodin. Oikealla aloitan salasanan nollauksen tälle tunnukselle. Teen sen ja valitsen "soita minulle väliaikainen koodi". Tässä tapauiksessa PayPal toimii erilailla, koska se näyttää minulle nelinumeroisen koodin mikä minun täytyy syöttää kun saan puhelun, jotta voin nolalta salasanan Nyt näette, että käytän tervehdysviesti parametriä. Parametri antaa minun syöttää mitä haluan nauhoitettavaksi tervehdysviestiin. Tässä tapauksessa numeron 6 3 5 3. Saatan olla erittäin monisanainen tässä demossa. Viimeinen parametri on PayPal code ja syötän siihen 6 3 5 3. Nyt ohjelma käyttää PIN-koodia kirjautuessaan vastaajaan, navigoi siellä ja muuttaa tervehdysviestin nauhoitteen käyttäen äänitaajuusvalintaa joka vastaa 6 3 5 3 ja tällä tavoin sen pitäisi pystyä hämäämään varmistus soittoa. Tässä tapauksessa pyydän soittamaan uudelleen, koska minulla ei ollut tarpeeksi aikaa tehdä tätä. Nyt 3 2 1 meidän pitäisi saada PayPal tili haltuun. Siinä se on. Nyt voimme asettaa salasanan. Applodit M.V.: Kiitos. Näytän teille muita haavoittuvaisia palveluita. Mennään tämä nopeasti koska olen huolissani, että minulta loppuu aika. Mainitsen Alexa top100 palveluita, en suosi mitään, mutta... Eli palvelut jotka tukevat salasanan nollaamista puhelun välityksellä: PayPal, Instagram, Snapchat, Netflix, Ebay, LinkedIn. Olen vieläkin Facebookissa. Mitä voin sanoa? Kaksivaiheinen tunnistautuminen puhelimella suurten alustojen kuten Apple, Google, Microsoft, Yahoo... Varmistus: Käytännössä et rekisteröidy käyttäjätunnuksella ja salasanalla palveluihin kuten WhastApp tai Signal, vaan käytät suoraan puhelinnumeroa. Niin kuin näimme aikaisemmin ja rekisteröidyit puhelinsoiton välityksellä tai tekstiviestillä. Nämäkin voi kaapata. Twilio, eli palvelu jota käytän hyökkäyksessäni, tämä on itseasissa aika hienoa koska voit omistaa[ostaa] numeron ja minä voin verifioida sen vastaanottamalla puhelun, jolloin omistan sinun numerosi ja voin soittaa puheluita ja tekstiviestejä sinun puolestasi, kaiken laillisesti? Vain sen takia, että painoit yksi. Google Voice on mielenkiintoinen palvelu, koska sitä käyttää moni huijari. Tässä on sama: sinun täytyy verifioida omistajuus ja voit tehdä nämä puhelut huijataksesi, mutta etsin mitkä muut palvelut hyötyvät tästä? Tämä on erittäin yleistä San Franciscossa, josta olen. Voit päästää ihmisiä sisään koska vaan. He syöttävät huoneiston numeron ja sinun puhelin soi ja painat mitä tahansa näppäintä avataksesi oven. Nyt me puhumme fyysisestä turvallisuudesta. Olen nähnyt näitä myös toimistoissa. Kaikki toimivat tällä tavalla, koska he haluavat, että on mahdollista -- vuokralaisia, jotka menevät ja tulevat -- vaihtaa numerot nopeasti. Eli ihmisten sisään päästäminen toimii puhelimella. Suosikkini on Concent, koska aina kun ajattelemme Concent:tia me ajattelemme lakimiehiä ja asiakirjojen allekirjoitusta ja kaikkia näitä vaikeita asioita. Sain selville, että näitä LocationSmart palveluita ei enää ole ja nyt näette miksi... Tämä oli hetki sitten uutisissa, koska Brian Krebs kirjoitti hyvän artikkelin tästä. Nyt saatte kuunnella heidän YouTube kanavaltaan, kuinka LocationSmart toimii. Video 1. mies: Näyttö jonka olet jamassa, jonka juuri nyt näette on demo joka meillä on meidän web-sivuilla osoitteessa locationsmart.com/try ja olen syöttänyt nimen, sähköpostin, matkapuhelinnumeron ja sivusto pyytää lupaa soittamalla minun matkapuhelimeeni ja tämän jälkeen sivusto näyttää sijaintini. Aloitetaa, hyväksyin ehdot ja painan paikanna. Nyt järjestelmä soittaa minulle ja kysyy luvan. puhelin värisee, soittoääni Video 2. mies: Heh, kiva soittoääni. M.V.: Eikä ole Puhelin: Kirjautuaksesi Location Smart -palveluihin, paina yksi tai sano Yes. Toista painamalla 2 tai sanomalla Repeat V1M: Yes Puhelin: Onneksi olkoon. Olet ottanut käyttöön Location Smart -palvelun. Näkemiin M.V.: Niin kuin näitte, tämä palvelu, tällä Web-sivulla oli ilmainen demo, joka sallii syöttää puhelinnumeron -- omasi tietysti -- tämän jälkeen saat puhelun jonka välityksellä annat oikeudet näppäilemällä numeron yksi. Joku voi siis paikantaa ja seurata sinua -- tarkoitan, että kysyin heiltä -- jopa 30 päivää, reaaliaikaisesti. Nyt tiedätte mikseivät he ole enää olemassa. Applodi M.V.: Avoin lähdekoodi.. Applodit M.V.: Avoin lähdekoodi. Tämä oli toteutettu operaattorien luvalla. Tämä ei ollut mikään hämärä juttu. Tämä oli oikea palvelu. Halusin julkaista koodin, koska haluan, että te voitte verifioida mitä tarkoitan on totta ja toivottavasti edistää alan vastaajia turvallisempiin ratkaisuihin. Me vaadimme operaattoreita tekemään turvallisemmin. En kuitenkaan halunnut tarjota työkalua, joka toimii täysin ja kuka tahansa voi helposti alkaa, niin kuin näimme, murtaa PIN-koodeja. Varsinkin kun huomasin, että todella monella on oletus PIN-koodit käytössä. Poistin siis bruteforce menetelmän. Ohjelmalla voit tehdä omia kokeiluja. Voit kokeilla tervehdysviestiä, voit kokeilla vastaajaviestiä ja kaapata tilejä palveluista. Työkalu sallii siis kokeilemisen omiin laitteisiisi. En anna teille koodia, jolla voitte murtaa jonkun muun PIN-koodin. Voitte vapaasti mennä minun GitHubiin. Niin kuin kaikki keskustelut tulevat suosituksiin, tiedän mitä ajattelette. Joku tulee kaiken tämän kanssa foliohattu päässä ja sinä silti ajattelet "ok, mutta kukaan ei tule perääni. Minulla ei ole mitään salattavaa" tai jotain muuta vastaavaa. Haluan silti antaa syyn miksi sinun pitäisi silti välittää tästä ja miksi meidän täytyy tehdä paremmin. Koska operaattorit määrittävät oletus PIN-koodeja? Kyllä, me totesimme sen. Onko oletus PIN-koodien testaaminen halpaa, nopeaa, haivaitsematonta ja automatisoitavaa? Kyllä se on. Onko tervehdysviestin muuttaminen automatisoitavissa? Kyllä se on. Onko viimeisimmän vastaaja viestin hakeminen automatisoitavissa? Kyllä se on. Voiko puheesta kääntää tekstiksi, että saan soittamani äänen tekstiksi? Kyllä. Twilio mahdollistaa tämän myös. Pystyykö tilin kaappaamisen automatisoimaan? Tottakai pystyy ja Seleniumilla voi automatisoida käyttöliittymän. Tai voit käyttää välityspalveinta ja hyödyntää APIa sekä tehdä sen itse. Eli on vain ajankysymys, että joku toteuttaa kaikki nämä mitä tänään näytin teille askel askeleelta ja rupeaa käymään puhelinnumero kerrallaan läpi koettaen oletus PIN-koodia automaattisesti kaapaten palvelun kuten WhatsApp, PayPal ja muut. Voit luoda, et virusta, mutta voit kaapata paljon laitteta tekemättä mitään. Suosituksia online palveluille. Älä käytä automaattista puhelua tietoturvamielessä. Tunnista vastaajat ja sulje yhteys. Tarkoitan tämä ei ole kovin tarkkaa ja sitä voi huijata. Vaadi käyttäjän toimia ennen tunnuksen toimittamista. Juuri näytin kuinka tämän voi ohittaa sillä toivolla, että operaattorit estävät DTMF äänitaajuusvalinnat tervehdysviesteistä. En näe syytä miksi niiden pitäisi olla sallittuja. Suosituksia operaattoreille. Kaikista tärkein asia: Estäkää DTMF valinnat tervehdysviesteistä, estäkää suora numerot vastaajiin tai ainakin älkää päästäkö kirjautumis valintaan. Ei ole syytä miksi pitäisi päästä suoraan vastaajaan jättämään viesti. Sitten kuitenkin pääsen kirjautumaan painamalla tähteä. Vastaaja on estettynä oletuksena. Tämä on erittäin tärkeä ja voidaan aktivoida vain puhelimesta tai online palvelusta erityis koodilla. Hyvä. Nyt minulla jäi aikaa kysymyksille. Ei oletus PIN-koodeja. Oppikaa saksalaisilta operaattoreilta: älkää salliko yhteisiä PIN-koodeja, tunnista ja estä bruteforce hyökkäykset älkää antako kokeilla useita PIN-koodeja kerralla. Suositukset teille, jotka ovat loppujen lopuksi tärkeitä. Kytkekää vastaaja pois päältä jollette käytä sitä Huomasin, että jotkut operaattorit sallivat vastaajan uudelleen aktivoinnin suora numerosta käsin. Se on aika huono. Käyttäkää mahdollisimman pitkää generoitua PIN-koodia. Älä anna puhelinnumeroasi online-palveluihin, jollei se ole välttämätöntä tai ainoa tapa kaksivaiheiselle tunnistautumiselle. Kaksivaiheinen tunnistautuminen on tärkeämpi. Käytä virtuaalista puhelinnumeroa estääksesi OSINT tiedustelu. Esimerkiksi Google Voice puhelinnumeroa, ettei kukaan voi saada selville puhelinnumeroasi käyttämällä vaihda salasanaa -toimintoa tai vaihtamalla numerosi omaan SIM-korttiinsa. Käytä vain 2FA sovelluksia. Tykkään lopettaa esityksen yhteenvetoon. Automaattiset puhelut ovat yleinen tapa salasanan vaihtoon, 2FA:n ja muihin palveluihin. Kaikki nämä voidaan kaapata hyväksikäyttämällä vahoja haavoittuvuuksia ja nykyistä technologiaa vastaajissa. Kiitoksia paljon! Danke Schön, CCC. applodit Herald Angel: Kiitos Martin. Kysymysten aika. Jos sinulla on kysymys tai netissä on jollain kysymys, niin hakeudu mikrofonille. Missä on mikrofoni? Sinulla se on. Kyllä. Sinä olit musta ja mikrofoni oli musta. Voisit aloittaa ja sen jälkeen kysymys netistä. K: Minulla on kysymys. Mainitsit, että puhelimen pitää pois päältä. Soittaisitko samaan aikaan puhelimeen, mitä se on englanniksi, -- besetzt? -- niin kuin linja olisi varattu. Sanotaan että soittaisin uhrille. Soittaja toteisi, että linja olisi varattu ja puhelu ohjautuisi vastaajaan, eikö? M.V.: Hyvä kysymys. Luulen että kysymys on siitä, että jos olet jo puhelimessa ja joku muu soittaa sinulle, taktiikka olisi: Minun pitää keksiä tarinaa, että uhri pysyisi linjalla kun käynnistän muut soitot... se varmaan toimisi. Kokeilin sitä, mutta ongelma oli se, ei ehkä kovin iso ongelma, että puhelimet tukevat kahta soittoa. Puhelin antaa äänimerkin, jos joku muukin yrittää soittaa sinulle kesken puhelun. Mutta ehkä voisit soittaa enemmän. Tätä tarkoitin kun puhuin puheluiden tulvasta. Siinä tapauksessa yritin vain käynnistää kaikki puhelut samaan aikaan. Ja jos uhri vastaa puhelimeen, en välitä siitä, mutta se on saman kaltainen tilanne minkä mainitsit ja se on mahdollinen. K: Ok, Kiitos. M.V.: Jees Herald: Kysymys internetistä, ole hyvä. Internet: Toimiiko tämä puheluiden kanssa jotka aloittavat koodin sanomisen heti, tuleeko koodi nauhoitetuksi? M.V: Jos ymmärsin kysymyksen oikein, että kun vastaaja vastaa puheluun automaattinen järjestelmä sanoo koodin heti. Uskoisin että tämä on kysymys? H: Emme tiedä, se on internetistä. M.V.: Jos tämä oli kysymys, luulen koska tervehdysviesti on yleensä noin 15 sekuntia ja nauhoituksen alkaessa puhelu joka kertoo koodin on jo mennyt. Kun tekee oman tervehdysviestin, joka on yhden sekunnin mittainen. En tunnista tätä ongelmaa. Voit nauhoittaa DTFM äänitaajuusvalinta viestin kahteen sekunttiin. H: Naiset ensi joten seuraavaksi sinun kysymys. K: Puhuit kuinka opit tämän kaiken lukemalla verkkolehtiä. Mitä ne ovat nimeltään ja kuinka löydän niitä? M.V.: Tämä on paras kysymys minkä olen koskaan kuullut ja se ansaitsee applodit, oikeasti. Tykkään siitä, että sinä haluat myös oppia tästä. Se on erittäin fantastista. Phrack web-sivu on paras lähde. Luulen, että kaikki täällä on samaa mieltä. Googleta vain "Phrack Magazine", siellä on paljon mielenkiintoista tavaraa, josta me voimme oppia tänäpäivänä. Q: Onko muita lähteitä? M.V: Tykkään lukea Twitteristä tietoturva uutisia, ne ovat erittäin ytimekkäitä ja saat sen 140 merkin tiivitelmän. Jos kiinnostun näkemästäni, niin luen koko jutun. Kannattaa googlettaa suosituimmat tietoturva henkilöt joita alat seuraamaan. Brian Krebs on loistava. Tämä myös riippuu teknisen osaamisesi tasosta. Eri henkilöt eri tasoille. Jos tämä ei kinnosta niin erikoistuneet blogit ja lehdet. K: Selvä, kiitos. M.V.: Kiitos. H: Ja sinun kysymys seuraavaksi. K: Minulle ratkaisu on selkeä: kytken vastaajan vain pois päältä. Mutta ajattelen sukulaisiani, jotka ovat ehkä hieman laiskoja tai eivät välitä käyttää kaksivaiheista tunnistautumista. Mieleeni tuli, että voisinko helposti muuttaa ohjelmaasi siten, että se kytkisi vastaajat automaattisesti pois päältä ja generoisi PIN-koodit arvalla? M.V.: Voit automatisoida kytkemään PIN- koodin kyselyn pois päältä. En tiedä miksi esimerkiksi Vodafone sallii tämän. Kytkeä vastaaja pois päältä... en usko.. en ole kokeillut. Sinun täytyy soittaa IT-osastolle. Se olisi erittäin hienoa tehdä se. Olisi erittäin siistiä. Hyvä kysymys. Ehkä voit kytkeä sen pois päältä, jos voit kytkeä sen päälle. Kyllä. H: Sinun kysymyksesi. K: Estikö Twilio sinut tai huomasivatko he mitä teit? M.V.: Sain muutamia sähköposteja, mutta ne olivat ok. Täytyy sanoa. Selitin heille mistä olen kotoisin, annoin heille henkilötietoni... en piilottanut mitään. Oikeastaan jouduin maksamaan heille aika paljon puheluista, jotka tein kun tein tutkimusta. En piilottanut henkilöllisyyttäni ollenkaan. He siis huomasivat, että soitin monia puheluita. Eli heillä on jonkin näköinen tunnistus, jos puheluiden määrät ovat suuria, mutta Twilio ei ole ainoa palvelu. Eli voit vaihtaa palveluiden välillä, skaalata, muuttaa soittajan numeroa ja lukuisia muita asioita. H: Yksi kysymys täällä. K: Terve. Puhuit, että olet huomaamaton kun teet soitot suoraan vastaajan suora numeroon. Sakasassa on erittäin yleistä, että jos joku soittaa suoraan sinun vastaajaan saat siitä tekstiviestin vaikka he eivät jättäisikään viestiä. Kuitenkin luulen, että on olemassa joku dokumentoimaton valikko, josta tämän voi kytkeä pois. Oletko tutkinut tätä? M.V.: En ole tutkinut tätä. Kysymys on yleensä saksalaisilla operaattoireilla se, että saat tekstiviestin, kun saat puhelun. Mietin... kokeet joita tein saksalaisilla operaattoreilla, sain tekstiviestin, jos jätin viestin, en silloin kuin joku vain soitti. Luulen, että tarkoitat vastaamatonta puhelua, sen tapaista ilmoitusta. En ole siitä varma. Mitä haluan sanoa on, että voit tehdä tämän silloin kun henkilö on offline-tilassa pitkällä matkalla ja voit ajoittaa hyökkäyksen. Tämä voisi olla hyvä, että hyökkäystä ei ajoita mihinkä tahansa aikaan, vaan voit ajoittaa hyökkäyksen ja kun henkilö saa miljoonan tekstiviestiä on liian myöhäistä K: Kiitos. M.V.: Okei. H: Yksi kysymys täällä, ole hyvä. K: Kiitos. Applen puhelimilla voit aktivoida jonkin näköisen visuaalisen vastaajan. Estäisikö tämä hyökkäystä toimimasta.. vai? M.V.: Ei oikeastaan, luulen että hän oli australialainen tutkija joka perehtyi visuaaliseen vastaajaan ja hän sai selville, että se käyttää IMAPia, jos muistan oikein, protokollaa, ja joillekkin operaattoreille hän pystyi luomaan bruteforce hyökkäyksen koska tunnistautuminen ei ollut samalla PIN- koodilla kuin soitossa. Mutta hän löysi, että ainakin yksi operaattori Australiassa oli haavoittuvainen visuaalisen vastaajan protokollan kautta. Tarkistin saksalaisia operaattoreita. Tein sen saman lailla kuin hän oli tehnyt nähdäkseni, että olisiko se mainitsemisen arvoinen täällä. En löytäny haavoittuvuutta, mutta se ei kerro koko totuutta. H: Vielä viimeinen kysymys. K: Kiitoksia esityksestä. Mikä on sinun suosituksesi amerikkalaisille operaattoreille, jotta he voivat suojautua tätä hyökkäystä vastaan? M.V.: Minulla oli kalvo siitä. Minulle tärkein asia on se mitä jotkut saksalaiset operaattorit tekevät, tykkään siitä paljon, että nollattu salasana lähetetään sinulle tekstiviestillä, kun joku arvaa PIN-koodin kuusi kertaa väärin. Jos sinulla on lukittu laite hallussa voit saada PIN-koodin seville, jos viestin esikatselu on käytössä. Mutta sitten ei ole kyseessä etähyökkäys, eli bruteforce tunnistus ja sammutus. Tiedämme, että soittajan numero ei toimi kunnolla Telecomilla koska pystyin ohittamaan sen. Tiedän tämän koska tein testejä HLR tietueiden kanssa Voit oikeastaan päätellä laitteen tyypin, jos kyseessä on virtuaalinumero. Operaattorien tulisikin tarkkailla laitteen tyyppiä, joka yrittää soittaa. Jos tunnistetaan virtuaalinen numero, punainen lippu ylös. Jos se ei ole, en usko että kellään on.... Ehkä valtiolla on 3333 laitetta, jotta he voivat kokeilla 10000 eri yhdistelmää. Kokeilet kolme PIN-koodia samaan aikaan ja sinulla täytyy olla 3333 SIM-korttia ja kaikkien kiinni oikeissa laitteissa. Tämä rajoittaisi ongelmaa aika paljon. Toinen keino on estää DTFM äänitaajuusvalinta tervehdysviesteistä. H: Kiitos Martin. En ole koskaan antanut yhtään puhelinnumeroa yhdellekkään alustalle ja nyt sinun ansiostasi minä tiedän miksi. Lämpimät applodit Martin Vigolle! M.V.: Kiitos. Applodit musiikkia [Translated by Ville Kouhia (ITKST56 course assignment at JYU.FI)]