当地铁遇上黑客

        

　　本文将介绍到的内容包括：

　　复制已充值的地铁卡

　　逆向磁条卡

　　破解RFID卡

　　使用软件无线电嗅探敏感信息

　　使用FPGA来暴力破解

　　攻击自动售票系统

　　社会工程

　　黑客战车!

　　概述

　　译注：波士顿地铁于1897年建成并投入使用。地铁在英国称为Tube,法国人叫Metro,美国人则说Subway,但在波士顿是以英文字母"T"字为代表的，地铁月票也叫TPass,街道上那大大的T字牌就是地铁站标志。

　　物理攻击

　　常常能找到本应该锁好的各种敞开的大门

       

　　到处都能发现没关上的旋转门控制箱

        

　　穿过窗户还能够偷拍到工作人员的电脑屏幕

       

　　随处可见随意放置在未上锁工具箱里的钥匙

       

　　号称最先进的监控系统总是无人值守

      

　    含有敏感信息的资料可以轻易被游客接触到

          

　　我们可以利用这些资料伪造员工卡

       

　　上万能的x宝(老外喜欢用ebay)还能买到很多有趣的社工装备

       

　　黑掉磁条卡

　　1、选择一款合适的磁条卡读写硬件

       

　　成本在￥30块左右

　　自制读卡器

　　可读取3磁道

　　制作方法：stripesnoop.sourceforge.net

          

　　成本在￥900块左右

　　Spark Fun 电子公司产品

　　支持3磁道、支持低矫顽力(lo-co)

　　源码可下载

          

　　成本￥2000块左右

　　MSR206或者MAKStripe

　　支持3磁道、支持高/低矫顽力(hi-co/lo-co)

　　基于GPL协议工作

　　2、Charlie Ticket

　　译注：Charlie Card和Charlie Ticket是MBTA(地铁)的交通卡，可以用来在波士顿地区乘坐地铁、公交以及部分轮渡。两种交通卡都可以直接在各大地铁站的售票机购买。

　　获取到磁条卡内部数据以后，如果该卡是充值过的，那我们就可以通过复制卡的手段来免费畅游地铁了!

　　其实到这一步light教授已经觉得挺满足了，但是脑海里突然浮现出儿时小伙伴钢铁侠的英俊面孔：

       

　　咳，咳......摇滚精神告诉我，我们不应该止步于此!接下来我们看看如何进一步突破。

　　3、逆向Charlie Ticket 磁条卡

　　说到逆向工程，似乎谁都会两下，但基于目前的情况我们该如何下手呢?

　　1、猜测数据中每一段的含义

　　2、改变单一变量，观察有什么变化

　　3、反复多次以上步骤来确认数据含义

　　4、对相似的、不相似的数据都进行比较

　　5、忽略恒定不变的区域

　　6、构建和使用工具辅助

　　通过分离变量法定位单一变量：

　　根据变量对数据分组

　　忽略各组之间全局相同的数据

　　忽略组内的数据差异

     

　　4、伪造一张Charlie Ticket 磁条卡

　　对我们最关注的金额数据部分进行修改，并记得修改最后的校验值

     

　　成功刷入

      

　　磁条卡逆向工程框架图

　　一个磁条卡逆向工程的工具包应该包含：

　　python编写的用于分析磁条卡的库

　　集成的MSR206读写器

　　帮助组织数据的图形化界面

　　总结

　　美国绝大部分的地铁售检票系统来自两家主要提供商：

　　Scheidt & Bachmann 他们制作了波士顿T卡，覆盖旧金山、巴特、长岛铁路、西雅图Sound Transit、伦敦Silverlink等系统;

　　Cubic Transportation 他们制作了NYC MTA卡，覆盖纽约、华盛顿、哥伦比亚WMATA、芝加哥CTA、上海地铁等系统。

　　这些地铁卡到底能不能被我们破解和逆向，黑客与地铁究竟还能碰撞出哪些火花?请喝口水继续阅读。

　　攻击RFID卡

　　1、了解RFID卡

　　典型的MIFARE卡特性有：

　　13.56MHz的RFID智能卡

　　端至端专有的“密码”(Crypto-1)

　　1K内存和存储卡中的唯一标识符

　　超过500万个标签使用

       

　　虽然MIFARE卡采用了一定的安全机制，但是由于加密强度不足等问题，导致我们依然有机会攻破之。

　　2、选择一款合适的读写卡硬件

        

　　成本在￥4200左右

　　USRP

　　支持信号输入/输出完全控制

　　可以结合GNU无线电和自定义插件使用

　　USRP高清玉照：

        

　　卡与读卡器的通信频率图示：

　　3、GNU无线电RFID工具链

　　RFID频率

　　接收器#1：13.56MHz

　　接收器#2：12.71MHz

　　charlie磁卡与读卡器的快速傅里叶变换(FFT)算法波形：

      

　　得到13.56MHz读卡器向卡片进行信号传输时的波形：

       

　　接着经过调制解调、解码器解码，我们得到完整的GNU无线电RFID工具链：

      

　　4、MIFARE卡的攻击

　　目标：获得密钥(可以用来克隆卡)

　　暴力破解

　　嗅探握手包并使用FPGA破解密钥。

　　通过滤波器功能的弱点减少密钥空间。

　　可以参考：www.cs.virginia.edu/~kn5f/ Mifare.Cryptanalysis.htm

　　操纵PRG时机

　　“随机”挑战取决于时钟周期，实际上是非随机的。

　　代数攻击

　　写加密-1作为多元二次方程系统

　　结合嗅探数据，转换为SAT，然后用它解决SAT-求解

　　如果尝试其他方式全都失败的话，那就暴力破解之!因为FPGA暴破是速度最快的解决方案，没有之一!

　　微处理器：

          

　　专用逻辑

　　硬件描述

　　数以百计的并行数

　　KwickBreak FPGA 暴力破解器流程图：

　　(通过解析已知明文来恢复出密钥)

      

　　编写一个简单的XOR模块：

         

　　执行：

　　最后只要在Xilinx ISE创建一个新的项目，载入的文件，并合成。

　　完成!

　　网络层攻击

　　网络层安全性探索

　　地铁站和地铁办公室进行现场调查(没有找到开放的wifi)

　　进行无线设备审计

　　探索无人防守的网络交换机

　　发现未上锁机房中的光纤交换机(连接自动售检票系统与内部网络)

       

　　社会工程

　　执行“幻影会议”攻击：

　　我们自然的走进地铁内部办公室和会议室，物理接触到内部网络与计算机设备，整个过程没有工作人员质疑和询问......

　　黑客战车(WarCart)

　　打造一款走哪儿黑哪儿的全副武装的黑客战车(译注：light教授表示这已经踏入了行为艺术的范畴...)

     

　　战车还自带烟雾弹功能：

      

　　结果在半路被警察叔叔拦下来了.....

　　为了避免被警察叔叔当做恐怖分子抓起来，成为第二天报纸的头条，我们只好各自回家吃饭去。

　　总结

　　总结整个地铁系统渗透过程，内容包括：

　　渗透物理安全漏洞

　　逆向工程 CharlieTicket

　　编写代码来分析和伪造 magcards

　　写一个工具链分析13.56MHz的RFID，使用USRP+ gnuradio进行数据传输

　　MIFARE 典型磁卡的攻击

　　写一个暴力破解器并使用FPGA破解密钥

　　转换MQ为SAT，然后用它解决SAT-求解

　　编写代码来读取和克隆MIFARE卡密钥数据

原文地址:https://hack.77169.com/201603/224842.shtm