Noe av utstyret som omtales i artikkelen, inkludert en programvaredefinert radio, en kortleser og en kortemulator.
Noe av utstyret som omtales i artikkelen, inkludert en programvaredefinert radio, en kortleser og en kortemulator. (Foto: Harald Brombach)
EKSTRA

Programvaredefinert radio

Med en slik radio kan hackere fjernstyre heisekraner og villede store skip

Penetrasjonstester advarer om mulighetene med programvaredefinerte radioer.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

For noen uker siden hadde digi.no besøk av John-André Bjørkhaug, som er penetrasjonstester hos NTT Security. Som vi allerede har skrevet, fortalte han om at webgrensesnittet til en rekke norske smarthus ligger åpent tilgjengelig på nett, noe som gir uvedkommende både innsyns- og kontrollmuligheter. Et nytt søk denne uken viser at antallet smarthus som er tilgjengelige på denne måten, har gått noe ned. Men flere av eksemplene som Bjørkhaug nevnte, er fortsatt tilgjengelige. 

Programvaredefinert radio

Som penetrasjonstester jobber Bjørkhaug ikke bare med internettbaserte løsninger. Under besøket hadde han tatt med seg en enhet som i dagens trådløse samfunn kan brukes til å gjøre mye ugagn, nemlig en programvaredefinert radio («software defined radio», SDR). 

– Dette er en radiomottaker og -sender som dekker frekvensområdet fra 1 megahertz til 6 gigahertz. Den er programvarestyrt, så alt av modulasjon, dekoding og slik foregår i programvare, fortalte Bjørkhaug. Radioen styres via et program han har på pc-en sin. 

Enheten til Bjørkhaug, en HackRF One fra Great Scott Gadgets, er nok blant de mer avanserte i klassen. Den koster flere tusen kroner. På eBay finnes det «kinakopier» til en brøkdel av prisen. 

Programvaredefinert radio i seg selv er ikke noe nytt, og i alle fall ikke for mange hackere og andre som ønsker å utnytte mulighetene slike radioer åpner for. Disse mulighetene er sannsynligvis ikke like godt kjent blant alle som eier systemer som benytter trådløs kommunikasjon til for eksempel tilgangskontroll. 

Saken fortsetter under bildet.

HackRF One, en ganske avansert, programvarebasert radio.
HackRF One, en ganske avansert, programvarebasert radio. Foto: Harald Brombach

 

Fra mikrofoner til veibommer

Bjørkhaug startet med et veldig nærliggende eksempel. Vi hadde utstyrt ham med en trådløs myggmikrofon i tilfelle vi skulle gjøre videoopptak (det skjedde ikke). Frekvensen som mikrofonen benytter, var oppgitt på mikrofonen. Dermed brukte ikke Bjørkhaug lange stunden på å få SDR-en til å motta det mikrofonen overførte av lyd. 

Deretter dro Bjørkhaug fram en enhet han har kjøpt hos Clas Ohlson.  Det dreide seg om en trådløst kontrollert fjernstrømbryter, altså en enkel bryter til å skru av og på lys. Denne kan kontrolleres ved hjelp av for eksempel en medfølgende fjernkontroll eller smarthusløsninger. 

Det er som er interessant, er at det ikke er noen kryptering eller noen ting.

– Dette skjer ved hjelp av radiobølger. Det som er interessant, er at det ikke er noen kryptering eller noen ting, så disse kan du ta opp og spille av igjen, fortalte Bjørkhaug. 

Han demonstrerte dette med en lampe på møterommet til digi.no, som han dermed kunne skru av og på fra pc-programmet. 

– Det er kanskje ikke så imponerende at man kan skru av og på noen lamper. Men dersom du begynner å styre ovner, dører, garasjeporter, så er det litt mer interessant, sa Bjørkhaug. 

– For det er veldig mye forskjellig som blir styrt av radiobølger. For eksempel når en buss eller en ambulanse nærmer seg en bom, så åpner den seg. Det er jo denne typen signaler, på de samme frekvensene. Så egentlig er det bare å stå ved en slik bom og ta opp signalet når det kommer en buss, forklarte han. 

Saken fortsetter under bildet.

John-André Bjørkhaug hos NTT Security demonstrerer hvordan han justerer den programvaredefinerte radioen.
John-André Bjørkhaug i NTT Security demonstrerer hvordan han justerer den programvaredefinerte radioen til å motta signalene fra den trådløse mikrofonen han har på seg. Foto: Harald Brombach

Garasjeporter og heisekraner

Garasjeportåpnere er en annen mulighet, i alle fall dersom de er av den noe eldre typen. 

– En del garasjeportåpnere har rullerende kode – det er samme typen som det er på bildører. Da holder det ikke å ta opp, for ved neste gangs bruk er det en annen kode. Men det er fortsatt mange av de gamle som er i bruk, sa Bjørkhaug. 

Når du har funnet ut hvilket signal som er opp, ned, og så videre, kan du spille av dette.

Et kanskje ikke like selvfølgelig område er styring av visse typer heisekraner. 

– Dersom en entreprenør holder på med byggevirksomhet, kan det være at du kan ta opp radiosignalene til en kran. Ofte styres kranen med en joystick av noen som står på bakken. Når du har funnet ut hvilket signal som er opp, ned, og så videre, kan du spille av dette, fortalte Bjørkhaug. 

Heller ikke disse signalene er beskyttet på noen måte.

Falsk skipstrafikk

Dette ledet Bjørkhaug over på et annet og temmelig aktuelt område.

– Vi har gjort en hel del testing på skip, blant annet en grundig gjennomgang av et skip som var i tørrdokk. Vi samarbeidet med en enhet i Forsvaret om å jamme og spoofe (forfalske, journ. anm.), for å måle effektene om bord. Dette gjaldt GPS og ikke minst AIS, som mange nå har hørt om etter jamming i Finnmark og uavhengig av dette KNM Helge Ingstad-ulykken, fortalte Bjørkhaug.

– Denne virksomheten er i utgangspunktet ikke lovlig, så vi arbeidet med tillatelser fra rette myndigheter under gjennomføringen. Vi spoofet AIS-signaler og opprettet selv et «ghost ship» framfor skipet vi var om bord i. Det interessante der er at AIS kjører på en svært gammel og mangelfull protokoll. Vi kunne forholdsvis enkelt tegne opp et helt nytt situasjonsbilde, fortsetter han.

Dette skjer ved at man sender kontrollmeldinger til AIS-mottakerne på skip og ber dem bytte til en annen mottaksfrekvens.

Vi kunne forholdsvis enkelt tegne opp et helt nytt situasjons-bilde.

– Da vil de ikke lenger ta imot det reelle AIS situasjonsbildet, og du som angriper kan begynne å tegne ditt eget bilde. Dette kan gjøres med en radioenhet som denne HackerRF-enheten, sier Bjørkhaug.

– Det kan være av interesse å nevne at vi etter test av mange skip nå har en topp 5-liste av sårbarheter som er gjengangere om bord i skip. Sårbarhetene opptrer gjerne i kombinasjon, noe som øker risiko. Denne listen er konfidensiell og forbeholdt våre kunder.

Elektroniske dørlåser

Elektroniske dørlåser hvor det brukes et kort eller brikke til trådløst å åpne låsen, er noe ganske mange har tatt i bruk også i hjemmene. I fjor hadde Forbrukerinspektørene på NRK en reportasje om dette, hvor Bjørkhaug deltok. 

John-André Bjørkhaug med en smartkortemulator.
John-André Bjørkhaug med en smartkortemulator. Foto: Harald Brombach

– Disse brikkene kan kopieres ved hjelp av en leser som koster 20 dollar på eBay, fortalte Bjørkhaug til digi.no. 

Han forklarte at låssystemene bruker en mikrobrikke fra NXP Semiconductors som heter Mifare Classic

I 2008 ble det kjent at det var mulig å kopiere disse brikkene. Det var Karsten Nohl med flere som gjorde dette. Likevel brukes Mifare Classic i dag, i kortlesere fra flere store og kjente produsenter, fortalte Bjørkhaug. 

Karsten Nohl ble litt senere svært kjent for blant annet å knekke krypteringsalgoritmen til GSM, A5/1. 

Kortene til den kan du kopiere på et par meters avstand

Sikkerheten er ikke nødvendigvis noen bedre i tilsvarende systemer for næringsbygg. Bjørkhaug nevnte blant annet en adgangskontroll med kortleser som også digi.nos journalist har erfaring med.

– Kortene til den kan du kopiere på et par meters avstand. Da kan du gå forbi folk og lese av brikkene deres uten at noen legger merke til det, fortalte han. 

Hovednøkkelkort

Bjørkhaug nevnte også et sikkerhetsproblem som fikk veldig liten oppmerksomhet i Norge da det ble kjent i fjor, selv om det ble omtalt av en rekke engelskspråklige nyhetsorganer. Tilsynelatende var ABC Nyheter alene om å fange opp denne saken. 

I april i fjor fant F-Secure en stor sårbarhet i VingCard, altså hotellnøkkelkort. Dette ble lite nevnt i pressen selv om det burde ha vært på forsiden av VG, fortalte Bjørkhaug.

– De fant ut at dersom du har mange nok slike kort, kan du analysere disse, finne mønstre og så videre, slik at du kan lage masterkort som kan fungere på alle rommene på hotellet, fortsatte han. 

På 90 prosent av hotellene jeg er på, har låsene ikke blitt patchet.

– Assa Abloy har fikset dette med en patch til dørlåsene. Men på 90 prosent av hotellene jeg er på, har låsene ikke blitt patchet. 

Bjørkhaug forteller at han har lagt seg en enhet, basert på Raspberry Pi og en kortleser. 

– Den kan jeg gjemme hvor som helst, og så kan jeg sniffe et kort. Dataene fra kortet blir lagret på en minnepenn. Deretter kan jeg hente ut dataene, legge dem inn på en kortemulator og så har jeg tilgang til hotellrommet. 

Dette er selvfølgelig noe Bjørkhaug kun gjør i jobben sin som penetrasjonstester hos kunder som har bestilt en slik gjennomgang. Det er likevel ingenting som hindrer kriminelle i å gjøre nøyaktig det samme, så lenge adgangssystemene ikke er sikret mot dette. 

Les også: Med smarthuset vidåpent på nett

Kommentarer (0)

Kommentarer (0)
Til toppen