还记妥当年红极一时的黑客操控大厦电力玩起坦克大战的视频吗?( 就是这个 )视频真实性抛开不管,带给围观群众的震撼效果相对是十级。
雷锋网明天带来的是另一组大片。
视频中的神操作者是来自腾讯平安平台部Blade团队的两位小哥Nicky、Xbalien。没错,就是这两位⇊
▲左xbalien,右Nicky
这两位还在不久前举行的欧洲顶级平安会议HITB大会上分享了如何以上帝视角,完成操控大楼灯光的壮举。
先拿下一层楼
月黑风高夜,某座大厦的36楼突得堕入黑暗。
一片静谧中有人屏息以待,心中默念:1,2,3!一间屋子亮起了灯光,又一间亮了起来……
监控器前的拍摄团队大喊一声“卡”,录制完毕了。
Nicky和Xbalien长舒了一口吻,拍了三次,终于搞定了。
这不是大电影的拍摄现场,配角不是明星,而是一台无人机和一层高楼。这波操作也并非你所料想的特效制造,而是真实演出的针对智能楼宇设备 ZigBee 通讯协议新的攻击方式——有别于以往针对某一厂商的某一产品停止攻击,而是通用、疾速的批量攻击。
当然要完成视频中的炫酷举措需求三步。
第一就是应用无人机,使其载着树莓派(Raspberry PI)设备以较慢速度围绕某一楼宇停止网络信息搜集。
详细来说,要发送一些信标包探测 ZigBee 信道的网络网关信息,比方设备ID信息,还会进一步探测其运用的密钥并停止解析。
这些后果信息都会被反应回来停止半自动化剖析。
所谓的半自动化剖析是什么?
这就要回到ZigBee协议自身了,ZigBee普遍使用于智能家居零碎中,诸如ABB、三星、小米等厂商都有消费ZigBee设备。为了运用户更方便地衔接第三方厂商消费的ZigBee设备,许多制造商运用ZigBee联盟通用密钥,允许设备在不同的供给商之间停止配对。也就是说你可以用小米的网关控制三星设备,而控制灯光、窗帘、空调等也有规范的完成指令。
所谓知己知彼,半自动化剖析就是让你更清楚的理解“彼方” ,经过剖析 ZigBee 设备来源厂商以及其控制指令能否规范,假如是兼容协议,就可以自动生成攻击指令。假设遇上特立独行的厂商,懒得去兼容协议,或许在控制指令中参加了特殊指令,就需求事后停止复杂的人工剖析及提取指令。
完成半自动化剖析后,无人机第二次降落停止自动化批量攻击,此时就会呈现视频中的画面,无人机“操控”灯光,窗帘,空调等设备自动翻开与封闭。
此处有个大胆脑洞,是不是当前求婚可以有这种操作……(听说两位小哥哥也有此想法)
当然批量攻击的完成是借前两步中搜集 ZigBee 密钥和网络信息的光, 经过模仿网络节点发送包括攻击载体的播送包,控制一切灯一同开或许关。
但要晓得,一个楼层能够有几百个ZigBee设备,它们散布在不同房间中处于不同信道。而每次攻击却只能针对一个信道,还存在要攻击的信道间隔无人机稍远的能够,这会拖慢整个测试速度。
“我们做了一个新的改动!”Nicky兴奋地通知雷锋网 (大众号:雷锋网) 编辑,他们在树莓派上同时运用了两个嗅探设备和两个发送设备,以便在后期搜集网络信息时可以放慢速度。同理,在发射 ZigBee 数据包停止攻击时,也可以同时运用两个发射器发射信号,减速攻击流程。
ZigBee并非没有进攻措施,但Nicky和Alien应用一些破绽绕过这些进攻措施。比方Blade团队还发现了一种新的绕过ZigBee协议重放进攻机制的办法:经过在ZigBee网络中创立一个虚拟节点,并将这个虚拟节点的设置一个随机的MAC地址,和一个与网络中节点设备相反的网络地址,这样在以当虚拟节点身份发送播送包时,序列号与计数器都会从0开端计数,完全可以为所欲为的控制一切设备。
Nicky和Alien研讨这种批量攻击方式工夫不算短,从2017年6月开端,历经两三个月,两头也有不少难题。比方攻击高层楼宇的智能设备能够面临信号发射功率不够,需求寻觅载体——无人机,对无人机的控制技术也有一定要求。另外为了不影响大楼中的任务人员办公,测试往往选择深夜停止……
不过这两位研讨员也乐在其中,他们在不久前举行的HITB大会上分享了针对 ZigBee 协议的批量攻击方式以及对应的平安加密机制,次要有以下几点。
假如不需求兼容其它厂商的设备,厂商可以防止运用通用平安密钥。
以“新”代“旧”,目前市面上不少芯片厂商提供较老的芯片只支持老版本的ZigBee协议栈,但老版本的ZigBee协议是存在破绽的,建议运用高版本的ZigBee协议栈。
制定自定义加密方案,ZigBee包括物理层、网络层、使用层等,建议厂商在使用层,用非对称算法完成本人的认证加密方案,这样即便密钥泄露,网络通讯也有一定的平安保证。
密钥存储,市面上一些厂商的 ZigBee 固件或许硬件的flash芯片会明文存储一些密钥。黑客只需购置这种智能设备就可以从固件中提取密钥进而攻击同类产品。因而密钥不应该以明文方式存储在固件或芯片中,应该做一些加密或打散方式存储,进步黑客攻击本钱。
下一步:拿下一栋酒店
拿下一层楼不算什么,Blade团队的下一个目的是整栋酒店,他们瞄准的是KNX协议。
目前,智能家居的通讯协议多运用ZigBee协议,而KNX常用于大型公共场所,如体育场馆、机场、奢华酒店以及核电站、工厂等一些工业设备。Nicky和Xbalien从去年11月开端研讨这一协议,发现这一协议相关的研讨及平安工具极少,他们后期破费了少量工夫和精神去剖析这一协议。
早前在 DEFCON 大会上,曾有平安研讨员经过WiFi网络入侵了深圳京基100大楼瑞吉酒店的 KNX零碎,并控制了酒店的照明零碎。但 Nicky和Xbalien在实地测试时发现少数酒店的KNX网关网络与酒店自身的WiFi网络相隔离,其 KNX 设备的最初网关在独自的控制室内,旁人接触不到。
经过对KNX协议的剖析,他们发现可以 经过接入KNX电缆网络来修正KNX/IP路由器的配置,在不影响整个原有KNX网络设备的正常运用状况下,攻击KNX网络中的任何设备或嗅探KNX网络流量, 这种攻击同时可以招致整个KNX网络的设备回绝效劳。
当然这只是一个思绪,能否完成还需亲身接触KNX设备停止测试。
于是两位小哥哥本人添置了KNX设备,搭建起小型KNX网络,并在下面完成了整套攻击流程。
“但这种小型网络无法完全模仿大型网络的攻击场景,于是我们决议,去某五星级酒店开房。”
选择某五星级酒店开房是有缘由的,当然不是你想的某些不正派缘由,而是由于该酒店的一切房间以及走廊或大厅都用到了KNX设备。这是一个较大型的网络,其中能够运用了几千甚至上万个KNX设备,以此为研讨目的就可以完成大型KNX网络的批量攻击。
于是,Nicky和Xbalien一拍即合,跑去酒店花了1800开了一间房,在外面测试了一天一夜,成功验证了应用上述攻击方式可以操纵酒店走廊灯,以及客房“请勿打搅”灯牌亮灭。
(试想若是这波操作被心胸不轨的黑客应用,在男女主人公在床上鏖战之时,窗帘渐渐翻开……好吧,以下情节只是编辑的无良脑洞……)
他们也在HITB大会上分享了针对KNX协议的平安防护建议:
目前国际外少数厂商仍在运用老旧KNX设备,这些设备不兼容最新版KNX协议,更不支持最新版协议中的加密机制,暴显露来的破绽有很多,应该将设备晋级到新版协议。
KNX网关要做好网络隔离,不能将KNX网关开放在公网上,会带来很大平安风险。
另外,最新版的KNX协议支持数据包加密,但很多厂商没有开启这一平安选项。我们建议厂商开启这一选项,对数据停止加密。
智能楼宇通讯协议平安性普遍不高?
针对这两种协议的攻击能否会被黑客应用?
Nicky通知雷锋网,目前旧事中并未呈现过黑客大规模攻击这些设备。究其缘由能够是 ZigBee和KNX皆倾向控制设备一类的通讯协议,自身不会包括一些敏感信息或许数据。 而黑客攻击往往带有逐利性,攻击这两种协议所能失掉的报答不高,通常只是为了炫技。
但实践上这类攻击异样能够被恐惧分子用于攻击城市电力与照明零碎,制造社会恐慌等。
“我们选择研讨的这两种协议是智能楼宇范畴运用最普遍的、最具代表性的协议,经过这两种协议的研讨,我们以为智能楼宇范畴普遍运用协议的平安性不高。”
这种平安性不高的缘由次要源于厂商。
这倒不是说厂商对协议平安性毫不关注,而取决于在部署装置设备时的装置人员能否有开启平安选项或许用正确的网关及路由设备部署网络。也就是说,就算设备是平安的,平安人员却没有正确部署设备,异样会形成平安成绩。另外,还有一些国际外厂商短少由于平安技术人员,根本只需完成设备可用性就不会再思索设备的平安性的缘由。
当然,这些都只是冰山一角,智能楼宇的平安攻防之战还任重道远。
。
