Este documento presenta una introducción a las herramientas de seguridad Inguma y Bokken y discute conceptos clave relacionados con vehículos aéreos no tripulados (UAV). Explica los componentes típicos de un sistema aéreo no tripulado y vectores de ataque potenciales. También analiza formas en que las comunicaciones, estaciones de control en tierra y enlaces de datos podrían ser vulnerables a la explotación o el secuestro de UAV. Finalmente, especula sobre posibles formas de atacar sistemas milit
1. Inguma 0.5 RedWagon
NO! Es el Javi con
¡¿Es un pájaro?!
¡¿Es un avión?!
la clonadora!
FUUUUUUUU!!!! Hugo Teso Torío
@hteso
2. Agenda
• Inguma and Bokken overview
• UAV 101
• Seguridad en UAS Amateur
• Seguridad en UAS Comerciales
2
3. Inguma 0.5
• Penetration testing and vulnerability research toolkit (2006)
• Creado por Joxean (@matalaz) en 2006 (aprox)
• 105 módulos en 6 categorias
– Discover, Gather, Exploit, Fuzzers, RCE, Bruteforce
• Interfaces CLI y GUI (Gtk)
3
4. Bokken 1.6
• La herramienta de RCE de Inguma
• GUI para Pyew y radare2
• Targets soportados: PE/Elf (32/64), PDF, URL, binary files, etc.
• Disassembly, hexdump, call/flow graphs, binary information, bin
diffing, y más
4
5. UAV 101
Unmanned Aerial Vehicle
• UAV vs UAS
– Un UAV es sólo uno de los
componentes de un UAS
• Un UAS estándar incluye:
– 1+ Unmanned Aircraft (UA)
– Control system, como un Ground
Control Station (GoCS)
– Launch and recovery systems
(aka aeropuerto)
– Control link, datalink especializado
– Otros equipos de soporte
5
7. UAS – Vectores de ataque
• Comunicaciones
– UAV <-> GCS
– UAV <-> UAV
• Fallos de protocolo: auth,
session control, integridad,
hijack, etc...
• ”AutoPilot”
– Fallos de SW: input
parsing, lógca de
programación, etc...
• GS
– Fallos clásicos: Input
parsing, SO, etc...
7
8. Ground Control Station
• Funcionalidades:
– Permite controlar y visualizar
un UAV
– Planificador de misiones
– Modificación en vuelo de plan
de vuelo y parámetros del AP
– Monitorización en tiempo real
de la telemetría y los
parámetros del vuelo
– Soporte para +1 UAV
• Caracteristicas:
– Langs: C/C++, .NET, Python
– Archs: x86, x86_64
– OS: Linux, Windows MacOS
8
9. GCS - Explotación
• GCS identification
– TCP/UDP ports
– Banner grabbing
• Exploitation vectors:
– Common OS attacks (Windows)
– ZigBee/MAVLink parsing
vulnerabilities
• Post-Exploitation:
– UAV hijack
– UAV parallel control
– UAV Infection
• Get telemetry and status
• Change waypoints
• Upload new flightplan
• Pivot to other UAV AP
– Launch remote exploits
9
11. Data Links
XBee/ZigBee
• ZigBee: Transporte
– low-cost, low-power, wireless
mesh network standard
– physical layer and medium
access control defined in IEEE
standard 802.15.4
– complete the standard by
adding four main components:
• network layer
• application layer
• ZigBee device objects (ZDOs)
• Manufacturer-defined application
objects
11
12. Data Links - Explotación
ZigBee - Ataques
• Ataques:
– Wardriving
– Eavesdropping
– Traffic Replay
– Attack Cryptosystems
– ZigBee fuzzing
• Inguma:
– Use for fuzzing against
• GCS
• AP
– +KillerBee:
• Descubrimiento
12
14. Data Links
MAVLink
• MAVLink: Aplicación
– lightweight, header-only
message marshalling library
for micro air vehicles.
– inspired by the CAN and
SAE AS-4 standards.
– The MIN packet length is 8
bytes for ACK packets.
– The MAX packet length is
263 bytes
– O no... :D
14
21. UAS Militares
• Elementos de los UAS
comerciales
– Comunicaciones
• Iridium
• SATCOM
• Ku-Band
• C/S-Band
• VHF
• AWACS
• Tropas
– Arquitecturas
– RTOS
21
22. UAS Militares
Obtención de HW/SW
• El buen y viejo... sí, eBay
– Desguaces (Rusos)
• Adorando a los comerciales
• Los gobiernos no les dejan
vender directamente los AP
pero...
– Ellos están aquí para ganar dinero, así que...
– Productos de valor añadido
• Usuarios resentidos
22
23. UAS Militares
Base del ataque comercial
• Las palabras mágicas
– Espacio Aéreo NO Segregado
• Segregar espacio cuesta nineros
• Introducir UAV en espacio aéreo
convencional => añadir sistemas
– Sistemas más conocidos y... ¿vulnerables?
• ADS-X
• ACARS
• Una nueva plataforma de ataque más...
cómoda :D
– Android
– Debería poder hacerse en IOS
• Pero que lo haga otro
23
24. UAS Militares
Fases del ataque comercial
• Descubrimiento/Enumeración:
– ADS-B: flightradar-based, android
• Comunicación:
– ACARS: acarsd
(android/ios+remnote server)
• Explotación:
– Actualización del plan de vuelo vía
ACARS
– Datagramas ACARS malformados
24
25. UAS Militares
ADS-B
Automatic dependent surveillance-
broadcast
• A technology for tracking aircraft
• Aimed to replace radar as the
primary surveillance method for
controlling aircraft worldwide.
• ADS-B enhances safety by making
an aircraft visible, realtime
– o_O
• Provides:
– Identification
– current position
– Altitude
– velocity
25
26. UAS Militares
ACARS
Aircraft Communications
Addressing and Reporting System
• Transmission of short messages
between aircraft and ground
stations via radio or satellite.
• Systems are expanded to support
new interfaces with other on-board
avionics.
– Like the capability to update FMSs
while in flight
• Sending messages
– VHF
– SATCOM
– Other
26
28. UAS Militares
Post-Explotación
• Monitorización del vuelo
– Telemetría en tiempo real
• Modificacion de waypoints
– Añadir
– Eliminar
– Modificar
• Control en tiempo real
– Secuestro del canal de “RC”
– Usando acelerómetros
• Hay que tener en cuenta el delay en
las comunicaciones
• Saltando a otras UAV/GCS
• Rootkit (RTOS)
– Jaime, le damos alas a tu rootkit?
Tostadoras...
28