如何HACK无线家用警报器?

30年前,报警器都是硬连线的,具有分立元件,并由钥匙开关操作。20年前,他们已经演变为使用微控制器,LCD和键盘,但仍然是硬连线。10年前,无线报警器开始变得普及,并增加了许多之前没有的功能。

而如今,我们的报警器却遍布了我们的生活,从互联网连接,移动应用程序,到家庭自动化和视频验证都能为我们提供警报服务 – 其中检测器早已被集成在了我们家中的摄像头内。

可以看到,警报系统在不断的更新和完善,但制造商,安装人员,操作人员和用户对他们的了解程度却远远不够。

本地攻击

无线报警器为我们开启了全新的攻击面。有线系统一般都会使用开/关电路,所有接线都处在保护区内。而相比之下,无线系统则打破了边界,允许攻击者在外围恶意篡改报警信号。

有许多技术可以来帮助我们,完成对无线报警器的攻击。

某些符合EN 50131-1标准的报警器会有等级的划分。从1级(低安全级别)到4级(高安全级别)。而在英国,无线警报器的最高级别是2级。

干扰

不管市场是如何说的,大量的无线警报器都可以被干扰,以阻止报警信号的传达并且允许攻击者的访问。

让我们看看无线报警器的标准 - EN 50131-5-3,我们着重来关注2级别,因为它是英国目前无线警报器的最高等级,这个等级适用于家庭住宅并且有较低的商业风险。

这就表述了干扰(或者故意干扰)的两个重要特点:

  • “对于周期性通信故障检测的要求”,比如说,多久控制面板不能接受到检测器的信号。结果为120分钟,也就是两个小时没有信号传达。
  • “对于干涉检测的要求”比如说干扰。这样每60秒就有30秒被干扰,这就给我们很大的空间来发挥。

(摘自:http://e-collection.library.ethz.ch/eserv/eth:5031/eth-5031-01.pdf

以下有三种我们可以执行的干扰攻击:

  • 主动干扰 – 我们一直在发送信号。然而没有信号可以传达,但是这很容易就检测出来,并且将会导致大范围内其他相同频率设备的毁坏。
  • 反应分组干扰 – 我们等待着直到检测到一个信号,然后开始信号干扰。状态和报警信息都受到了干扰,不太容易检测并且有报警的风险。
  • 反应位干扰 – 监听发送的信号,通过足够长时间的干扰来破坏信号。这样的好处是我们可以监听数据包,并只干扰报警信息,状态信息则不受影响。

这里我们使用 RFcat - 一个简单的RF USB加密狗 – 在434MHz上发送连续的信号。根本没有报警信号通过。干扰检测不会触发报警(不知道为什么会这样)。

RFcat约30英镑。其实我们可以做得更廉价些 - 一个简单的OOK发射机,使用555定时器调制来完成主动干扰的工作。

如果我们想做反应分组或位干扰,那么我们可以使用CC1110板,并使用自定义的代码进行编程。另外,我发现Ciseco ARF的价格相对合理只需£29,输出功率为500mW且效果非常好。

重放攻击

EN 50131-5-3标准中的级别2,并没有对重放攻击的要求。这意味着我们可以接收一个信号 – 例如来自一个keyfob的撤防信号 – 然后进行重放。

软件定义无线电(SDR)非常的简单。在这里我们使用价值$300的HackRF。我们选择频率(434.8Mhz),然后开始捕获,并将撤防信号捕获到文件。我们可以在Audacity或其他类似的软件下,查看我们捕获的文件。接着我们只需将捕获的信息送回HackRF,即可为我们撤防警报。

其他攻击

Fuzz是渗透测试中常用的手段。例如,通过对一款软件的fuzz我们可以观察其对不正确输入格式的处理情况,从而判断其潜在的安全问题。这里,我们也可以用RF信号做到这一点。

当一个报警器接收到的数据包大于预期时,则会完全挂起。键盘无响应;探测器将什么都不做。这时你需要通过拉电源开关(包括备用电池),才能使其再次工作。我们不知道为什么微控制器的看门狗定时器,不用于关键的安全设备。

设备会在键盘和面板之间发送PIN码。所以我们可以进行嗅探,解码,然后使用它。

那么,这里我们可以尝试爆破出PIN吗?

如果你的PIN错误超过限制的次数,那么几乎每个报警面板都会锁定你。所以,让我们试试RF端。

一个简单的Python脚本用于驱动RFcat,并顺序发送每个PIN。

大概需要1小时20分钟才能枚举完所有这些PIN。我们可以使用一些常用的PIN码(如0000,1111,1234,1900-2016等),这样爆破成功的概率将会大大增加。

网络攻击

拒绝服务攻击

如今我们仍有许多连接互联网的系统,这些系统依靠云服务器来提供功能。这为攻击提供了一个新的中心点;报警接收中心(ARC)或云服务器。攻击者一旦攻破其中的一个点,就可能导致数以上千的警报器被触发,这将消耗大量的资源和分散人们的注意力,后果可想而知。

研究员Wilco Baan Hoffmann在2013年谈到了这一点,他分析了SIA-HS报警信号协议的安全性。演示文稿非常值得一读,有兴趣的可以点击查阅。

恶作剧式攻击

攻击报警器的人也可能单纯只是为了恶作剧或是炫技。从LED交通灯,广告牌,加热控制器,PA系统到婴儿监视器。对于他们而言,任何连接互联网的设备系统都有可能成为其攻击的对象。

更广泛网络带来的威胁

随着网络设备的不断普及,像DVR,IP摄像头,报警器等这些设备早已进入了千家万户。但安全问题也随之而来,许多人竟随意的就将这些设备通过端口转发连接到了互联网。

而这对于攻击者而言,这些设备就是台微型的计算机,和渗透内部网络的理想‘跳板’。因为这些设备,通常并不具备病毒查杀功能,也不易被用户发现,对于大流量的进出用户也不会有任何怀疑。

例子

RSI Videofied加密破解

http://www.kb.cert.org/vuls/id/792004

我们使用RSI来制作一个报警系统,在检测器中有相机,并在被触发时拍摄视频和图片。然后将这些从检测器发送到面板,再将面板发送到报警接收中心。报警接收中心运行一些名为Frontel的软件,来接收警报和图像。

RSI Videofied在检测器和面板之间提供了一个加密。但是,当面板和报警接收中心之间建立连接时它并没有亮。

每个面板都使用基于面板序列号的固定的加密密钥。这个序列号是清楚地发送的,所以我们可以找出加密密钥。我们只需一小时就可以找到它。

这样,我们就可以连接到ARC,发送欺骗性的重放信号。

面对安全威胁我们该如何选择?

如果你已经安装了无线报警器也不必太过担心。虽然存在一定的安全隐患,但是就目前来看这样的攻击并不多见。

如果你正考虑安装一个无线报警器,那么请考虑以下几点建议:

有线的永远比无线的更加安全。

如果你的环境无法安装有线设备,那么请选择符合以下特点的设备:

  • 双向RF – 面板可以与检测器进行通信,使得干扰攻击更加困难,并且在报警被撤防的同时允许探测器进入睡眠状态,从而延长电池寿命。
  • 加密RF – 一些RF链路会被加密。
  • 滚动代码 – 使用伪随机代码使得干扰和重放攻击更加困难。
  • 跳频 – 这使得干扰以及信号拦截更加困难。
  • 分级 – 虽然一些符合分级标准的报警器也存在诸多问题,但总比那些没有任何分级标准的产品要好。

总结

作为我们个人,需要提高我们自身的安全意识。对于一些重要的设备,切不可随意接入互联网。如果对相关配置并不明确,则可以请专业的安装人员协助我们。作为设备的制造商,应该严格遵循相应的行业标准,最大程度的从设备源头解决潜在的安全威胁。但在实际生产中质量往往与价格有关,因此如何权衡质量和价格间的关系,值得厂商们的深思。

时间: 2024-10-09 06:21:41

如何HACK无线家用警报器?的相关文章

5.4.4.2 kindle paper white 1代降级越狱换字体

http://pan.baidu.com/s/1c18jFzi  越狱文件 http://pan.baidu.com/s/1slCdm7z     PNG压缩 http://pan.baidu.com/s/1i52kgdB    插件系列 降级 先降级到5.4.4.2,把5.4.4.2固件放到KPW1下面,就是不用打开文件夹,直接打开盘符,放进去[这叫 放进 根目录] 连着usb线长按20秒,然后指示灯闪一下.松开,就会自动升级 越狱 把kindle-jailbreak-1.14.N.zip里面

[安全]Back_Track_5 vm 版安装和使用

下载安装 下载使用国内的镜像 http://mirrors.ustc.edu.cn/kali-images/kali-1.0.9/ 我这里是vm9.0 下载之后解压,然后打开vm,然后 文件-->打开-->选择解压后的vm文件加载 基本事项 系统启动之后用户名密码为 root/toor vm中几个要做的事情 ssh , vmtools, 图形界面 用户名密码输入之后使用 startx 命令 可以启动图形界面 进入图形界面之后发现vmtools已经安装好了 ping了下外网,正常使用,还有网络的

智能家居安全性堪忧(转)

智能家居最重要一点是能提升家庭的安全性,但是如果现在告诉你说智能家居本身也存在安全问题,你会作何感想?不得不承认,强化家庭安全本是智能家居"职责",而如今安全问题却已成为智能家居设备自身最严重的问题之一.   早前,惠普的Fortify应用程序安全部门,对市面上最热门的10款消费级物联网产品,进行了研究分析,发现仅在这10款最热门的智能家居设备中,就存在250种不同的安全漏洞.而这10款产品都是智能家居中最为常见的设备,包括"电视.网络摄像头.家用恒温器.遥控插座.喷水控制器

中兴W815/W615无线瘦AP改成家用无线路由器配置方法

通过网线连接W815的WAN口配置AP路由模式配置指导 此设备有4个只是灯,当state状态指示灯熄灭时说明已启动完毕,方可在浏览器里输入管理IP进行配置操作.(此设备已配置好桥接的胖模式,您只需要进去对无线信号ZTE-ap进行加密即可) 请注意:此教程的4.5.6等步骤可以跳过. 1.进入设置需要用固定IP,打开本地连接. 2.打开浏览器,输入192.168.0.128,跳出登陆窗口,默认为英文界面,点击中文可切换到中文设置界面. 3.输入登陆帐号是admin  密码是admin 4.点击管理

wiwiz认证实现无线portal认证

Wiwiz(全称Wiwiz HotSpot Builder)是一个有线/无线网络热点管理系统,利用它你可以为你的热点创建一个强制门户/强制认证页面(captive portal).Wiwiz HotSpot Builder由两部分构成– Wiwiz Web控制面板和一个叫做Wiwiz HotSpot Builder Utility的客户端.典型的应用情景是,部署了Wiwiz HotSpotBuilder的机器充当无线(或有线)局域网中的Internet网关.当网络中的一个用户试图使用Intern

无线覆盖方案该如何选择

随着信息科技的发展,网络已经成为了人们生活中不可缺少的一部分.以前,人们使用手机作用只有三点,看时间,打电话,发短信.如今,手机已成为了一个缩小版的电脑,上QQ,玩微信,翻网页,看新闻.以前说到上网人们第一反应是电脑,如今已经成为了手机,现在人手一部手机已成为必然.然而这种种,都有一个前提,就是有稳定的网络. 早几年,一些服务场所,餐饮场所为吸引客户,都在门口张贴上"冷气开发"的标识,然而空调是有季节性的,只有在夏天才有效,而如今,精明的商家都已换成了"WIFI已覆盖&quo

RTL-SDR + GnuRadio+RFcat 分析、重放无线遥控信号

0×00 前言 前段时间在<永不消逝的电波(二)HackRF入门:家用无线门铃信号重放> 一文中通过HackRF录制.重放了无线遥控信号,不过一直没来得及对信号进行分析,刚好在国外网站看到有大牛对遥控信号进行了分析(详见refer部分).在这里便按照国外大牛分析无线遥控信号的方法来依葫芦画瓢. *本文仅分享信号分析方式,因信号调制编码方式有所不同,如数据分析有出错,希望大家不要打我= ̄ω ̄=  0×01 环境搭建 Mac可使用port(www.macports.org) 或者brew(brew

Android手机做无线中继路由器

为什么要拿手机做路由器?因为我现在每天要带着一个火柴盒大小的路由器(703n).它提供了一个f了q的无线网络,电脑,手机,平板等设备连接上这个无线网络之后之后就可以自由上twitter,看youtube.但是它还不够理想.,我不希望在拥挤的包里再塞一个设备,我还希望在路上只有3G网络没有USB电源的地方也可以刷刷twitter.最好的设备莫过于手机了. 手机拿来做fq路由器最大的缺陷在于,它不是一个路由器.最开始手机都是处于网络的终端,要么接收3G信号,要么接收wifi信号.后来技术发展之后,手

无线网络连接一直显示正在获取网络地址,无法上网

在家用还好好的,也是无线连接,没有任何问题,连其他的无限网络也完全没问题,就是宿舍的无线就连不上,密码正确,其他人电脑和手机都能连上,求助!!!到底哪里出问题了,对了,我的电脑重装过,但是连其他网络网络没问题.重启过也不行 以前能连上的,修复显示的是无法续订IP地址 手动分配IP. 192.168.1.100--255(只要和别人的不同) 255.255.255.0 192.168.1.1 其他的不填 确定后.再改回自动获取 然后再试下连接 http://zhidao.baidu.com/que