Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Reaktives Jamming Schwachstelle veroeffentlicht
31-07-2019, 10:04
Beitrag: #1
Reaktives Jamming Schwachstelle veroeffentlicht
Eine weitere Schwachstelle der Secvest ist veroeffentlicht:

https://www.syss.de/pentest-blog/2019/sy...armanlage/

Fuer diesen Angriff sind vermutlich einige Hersteller/Anlagen anfaellig, die auf unidirektionale Funkuebertragung setzten.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
31-07-2019, 10:29
Beitrag: #2
RE: Reaktives Jamming Schwachstelle veroeffentlicht
Spontan fallen mir dazu drei Fragen ein:
1. Wenn Melder unidirektional senden, dann wird bei einer Auslösung das Funk-Telegramm im Regelfall mehr als einmal gesendet - wie synchronisiert man den Störsender auf das Wiederholungsintervall der Funkmelder?
2. Warum sollte das nur unidirektionale Melder betreffen? Auch bei bidirektionaler Übertragung könnte man auf diese Art das Telegramm stören - das Ergebnis in der Zentrale wäre dann im Einbruchsfall lediglich eine (Funk)Störung statt eines Einbruchalarms.
3. Mich würde der Versuchsaufbau interessieren (gern via PN) - bei einer Sendedauer von 1 - 1,5 Sekunden pro Telegramm stelle ich es mir schwierig vor, den Moment zwischen Beginn und Ende der Übertragung exakt abzupassen.

Klar ist es nicht schön was ABUS da bauen lässt - aber diesen speziellen Fall möchte ich mal als "nicht praxisrelevant" einstufen.
Wer fachlich und logistisch in der Lage ist, einen solchen Aufwand zu betreiben, erwartet sicher mehr, als er im Haus eines durchschnittlichen ABUS Kunden finden würde Wink
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
31-07-2019, 11:03
Beitrag: #3
RE: Reaktives Jamming Schwachstelle veroeffentlicht
Interessante Fragen - die hatte ich auch, und war ueber das Ergebnis selbst ein wenig erstaunt.

(31-07-2019 10:29)Funkalarmprofi schrieb:  1. Wenn Melder unidirektional senden, dann wird bei einer Auslösung das Funk-Telegramm im Regelfall mehr als einmal gesendet - wie synchronisiert man den Störsender auf das Wiederholungsintervall der Funkmelder?

Das RF-Angriffsmodul (Kostenpunkt 2,45 Euro inclusive Versand) wird auf die Frequenz der Secvest getuned und lauscht auf Aktivitaet (ist ein spezieller Modus den das Modul unterstuetzt). Sobald Aktivitaet in dem Frequenzband erkannt wird, wird es in den Sendemodus geschaltet (Senden eines extrem kurzem Paket). Nach dem Senden geht es direkt wieder in den Lauschmodus uber, um das naechste Paket des Melders zu detektieren.

Ich hatte urspruenglich selbst nicht damit gerechnet, den Angriff mit einem CC1101 Modul zu erreichen. 100% zuverlaessig sollte es mit einem Rolljam Aufbau (wird fuer Angriffe auf Automobile eingesetzt) gehen.

(31-07-2019 10:29)Funkalarmprofi schrieb:  2. Warum sollte das nur unidirektionale Melder betreffen? Auch bei bidirektionaler Übertragung könnte man auf diese Art das Telegramm stören - das Ergebnis in der Zentrale wäre dann im Einbruchsfall lediglich eine (Funk)Störung statt eines Einbruchalarms.

Bei bidrektionalen Systemen wie z.B. Homeatic Komponenten, versucht ein Sensor solange die Nachricht loszuwerden, bis ein Handshake empfangen worden ist. Damit ist auf Seiten der Zentrale eine Erkennung von einem wiederholtem Reaktivem Jamming in kurzer Zeit theoretisch moeglich. Bei undirektionalen Systemen muss man leider davon ausgehen, dass Nachrichten zufaellig kollidieren und die Zentrale kann erst nach mehreren verloren gegangen Paketen reagieren. Wenn ein System wie die Secvest nur alle paar Minuten Statussignale sendet, dann ist der Einbrecher weg, bevor das System Alarm schlagen kann.

(31-07-2019 10:29)Funkalarmprofi schrieb:  3. Mich würde der Versuchsaufbau interessieren (gern via PN) - bei einer Sendedauer von 1 - 1,5 Sekunden pro Telegramm stelle ich es mir schwierig vor, den Moment zwischen Beginn und Ende der Übertragung exakt abzupassen.
Wie in dem Video ab Minute 3:12 - jedoch andere Software:
https://www.youtube.com/watch?v=pSdsMVn-7gM

(31-07-2019 10:29)Funkalarmprofi schrieb:  Klar ist es nicht schön was ABUS da bauen lässt - aber diesen speziellen Fall möchte ich mal als "nicht praxisrelevant" einstufen.
Wer fachlich und logistisch in der Lage ist, einen solchen Aufwand zu betreiben, erwartet sicher mehr, als er im Haus eines durchschnittlichen ABUS Kunden finden würde Wink

Leider laesst sich so ein Modul fuer 10 Euro bauen. Aus dem Automobilbereich kennt man diese Helfer schon seit ein paar Jahren... ...und dieser ist im Aufbau bei weitem einfacher, als die verfuegbaren Automobil Werkzeuge. Fuer den Angreifer sehe ich keinen Aufwand - ausser Batterie einlegen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
31-07-2019, 18:16
Beitrag: #4
RE: Reaktives Jamming Schwachstelle veroeffentlicht
(31-07-2019 11:03)ThomasD schrieb:  ... Aus dem Automobilbereich kennt man diese Helfer schon seit ein paar Jahren... ...und dieser ist im Aufbau bei weitem einfacher, als die verfuegbaren Automobil Werkzeuge. Fuer den Angreifer sehe ich keinen Aufwand - ausser Batterie einlegen.

Die Anwendung im Automobilbereich ist nicht mit einer häuslichen Installation gleichzusetzen,
1. Für den Spitzbuben ist der Ertrag beim Auto i. d. R. um ein Vielfaches höher als beim gewöhnlichen ABUS Kunden
2. 100% klappt das nur unter Laborbedingungen - im normalen Alltag besteht theoretisch immer das Risiko das das System irgendetwas macht (auslöst) was der Störer nicht vorherberechnet hat ... dann gibt's die Auslösung und er muss isch nach einem neuen Objekt umsehen.

Ich bleibe dabei: es ist ärgerlich das es offenbar "Hersteller" gibt denen das egal ist, aber aktuell ist es in der Praxis offenbar kein wirkliches Problem (könnte aber vielleicht mal eins werden wenn Eure Berichte von den richtigen Leuten gelesen werden Wink
Ich persönlich kenne in meinem Wirkungskreis keinen dokumentierten Fall in der Praxis, bei dem ein Alarmsystem nach dem oben beschriebenen Procedere auch wirklich überwunden wurde ... und das, obwohl es diese Bauteile und die Angriffe auf KFZ schon so lange gibt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
31-07-2019, 20:53
Beitrag: #5
RE: Reaktives Jamming Schwachstelle veroeffentlicht
Danke Thomas,

Das sind ja wirklich mal wieder „tolle Neuigkeiten“ *Ironie* HuhUndecided

So langsam glaube ich, dass man den „Müll“ nichtmal im gelben Sack entsorgen sollte, sondern eher im „Sondermüll“

Wer weiß, was da sonst noch so alles möglich ist?!!? UndecidedBlush Bei den ganzen bisherigen Schwachstellen würde es mich nicht wundern, dass es auch Schwachstellen in dem System gibt, die entgegen der Vermutung von Funkalarmprofi tatsächlich praxisrelevant sind.

So langsam entwickelt sich das System, so mein Bauchgefühl, zum Super-Gau Confused
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-08-2019, 10:09
Beitrag: #6
RE: Reaktives Jamming Schwachstelle veroeffentlicht
(31-07-2019 20:53)Marianne Sommer schrieb:  ..., die entgegen der Vermutung von Funkalarmprofi tatsächlich praxisrelevant sind.

Keine Vermutungen ... Fakten.

Ich mache den Job jetzt gut 30 Jahre und in dieser Zeit ist mir in meinem Umfeld nicht ein einziger dokumentierter Fall bekannt geworden, bei dem ein Funkalarmsystem mit derartigen Methoden angegriffen bzw. erfolgreich überwunden wurde - und das, obwohl diese Technik seit Jahren zum Diebstahl von KFZ genutzt wird.

DAS meine ich mit "praxisfremd" - ich bestreite ja nicht, das es funktioniert und es ist schlimm genug, dass sich eine Firma wie ABUS da nicht drum kümmert ... aber unter dem Strich wird hier ein Problem konstruiert, das (noch?) keins ist. Wahrscheinlich ist es attraktiver, in 30 Sekunden ein 40000 € Auto zu stehlen als für 15 -20 Minuten suchen "Wertsachen" für 1000 € zu bekommen ... bzw. die, deren Erwartungshaltung im Bereich der 1000 € stattfindet, sind nicht in der Lage sich solche Dinge zu beschaffen bzw. so zu bedienen, dass das System nicht auslöst Wink
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-08-2019, 10:32
Beitrag: #7
RE: Reaktives Jamming Schwachstelle veroeffentlicht
Auch im KFZ Bereich gibt es unterschiedliche Werkzeuge (von denen man vor 10 Jahren immer behauptet hat, dass es sie nicht geben wird). Die einen sind tatsächlich nur zum Öffnen des Autos. Die Wegfahrsperre ist noch mal eine zweite Hürde. Vom Wert der Beute würde ich Öffnen des Autos mit Öffnen eines Hauses durchaus aehnlich ansehen.

Vermutlich gibt es in Deutschland noch genug ungesicherte Häuser mit vermutetem Beutewert, sodass sich die Erstellung von Elektronik nicht lohnt. In England könnte das schon anders aussehen. Dort hat meistens die letzte Bruchbude noch eine Alarmanlage. Das Original der Abus (Eaton) wird ja in England vertrieben. Da ist so eine Elektronik sicher interessanter.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-08-2019, 10:38
Beitrag: #8
RE: Reaktives Jamming Schwachstelle veroeffentlicht
(01-08-2019 10:32)ThomasD schrieb:  Vermutlich gibt es in Deutschland noch genug ungesicherte Häuser mit vermutetem Beutewert, sodass sich die Erstellung von Elektronik nicht lohnt. In England könnte das schon anders aussehen. Dort hat meistens die letzte Bruchbude noch eine Alarmanlage. Das Original der Abus (Eaton) wird ja in England vertrieben. Da ist so eine Elektronik sicher interessanter.

Auch ein wichtiger Punkt ... aber ich hab's Dir ja schon via PN geschrieben: Ich glaube schon, dass es grundsätzlich möglich ist - gefahrlos allerdings nur bei Anlagen der unteren Kategorie, denn bei höherwertigen Systemen ist das Risiko, dabei irgendetwas ungewollt auszulösen viel zu hoch (und dann durchwühlst Du gerade den Schrank und plötzlich steht wer hinter Dir, weil Du nicht mitbekommen hast, dass das System z. B. wegen fehlender Statusmeldungen oder diverser Melderausfälle mit dem Sicherheitsdienst telefoniert hat).
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-08-2019, 11:01
Beitrag: #9
RE: Reaktives Jamming Schwachstelle veroeffentlicht
Das ist das Berufsrisiko von Kriminellen. Sieht beim Auto aehnlich aus:-)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
26-03-2020, 11:12
Beitrag: #10
RE: Reaktives Jamming Schwachstelle veroeffentlicht
SYSS hat ein "Reactive Jammer" Tool entwickelt, das Systeme auf fehlende Integrigritaets Massnahmen testen kann. Das Tool wird anhand der Abus Secvest in einem PoC Video demonstriert.

Link zu dem Blog https://www.syss.de/pentest-blog/2020/ne...rm-system/

Link zu dem Video: https://www.youtube.com/watch?v=nbJ8CsBmmCo
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 


Möglicherweise verwandte Themen...
Thema: Verfasser Antworten: Ansichten: Letzter Beitrag
  SYSS veroeffentlicht Schwachstelle bezueglich veralteter RFID Technologie ThomasD 17 2.027 05-05-2019 16:58
Letzter Beitrag: Marianne Sommer



Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste