Schlagwort-Archive: Sicherheit

BitBastelei #533 – Sicherheit von 433MHz Funk-Steckdosen

BitBastelei #533 - Sicherheit von 433MHz Funk-Steckdosen

(1 GB) 00:22:00

2023-04-02 10:00 🛈

Funksteckdosen sind praktisch, aber ältere Modelle lassen sich nicht nur von der eigenen Fernbedienung einschalten. Da selbst simpelste Sicherheitsfunktionen fehlen können Bösewichte problemlos Mitlesen oder gar die Kontrolle übernehmen. Was die Probleme sind und wie günstig die dafür nötigen Werkzeuge sein können zeige ich in diesem Video.

Inhalt

  • 00:00 Die Steckdosen
  • 01:17 Theorie
  • 02:57 Frequenz-Check mit RTL_SDR
  • 06:11 Decodieren mit rtl_433
  • 11:30 Replay-Test mit Flipper Zero
  • 13:55 Replay-Test mit Soundkarte
  • 20:06 Fazit

Fehler und Ergänzungen

  • 04:13 Uhm, da hat der Videoeditor den Screenshot wohl in Moderne Kunst umwandelt. Es ist die Liste der Empfänger von der rtl_sdr-Seite. Je Empfänger sind die möglichen Frequenzen unterschiedlich, ~60-1000MHz ist aber eigentlich überall möglich.

Transparenz

Das Gerät wurde mir aus dem Bekanntenbereich übergeben. Es dürfte sich nicht mehr auf dem Markt befinden. Den Flipper Zero durfte ich für den Test kurz nutzen, der Inhaber dürfte keine kommerziellen Interessen gehabt haben. Soundkarte und Empfänger wurden selbst gekauft und bezahlt. Achtung: Unerlaubtes Senden oder das Abhören fremder Geräte kann ohne passende Scheine/Erlaubnis strafbar sein.

Spaß mit TLS – 1.0 vs. 1.2

TLS dürfte jedem Internetnutzer bekannt sein – naja, OK, vielleicht nicht unter dem Namen, aber spätestens bei Ablegern wie „HTTPS“ sollte es Klick machen. TLS stellt quasi die Basis der verschlüsselten Kommunikation im Internet dar – Shopping, Onlinebanking, E-Mails & co werden so vor unerwünschten Einblicken geschützt. 1999 wurde die erste Version offiziell spezifiziert, eine Weiterentwicklung der Netscape-Erfindung SSL.

Computertechnik ist nicht gerade dafür bekannt, dass sie sonderlich lange hält, daher ist es kaum verwunderlich, dass der Standard inzwischen mehrmals erneuert wurde. Aktuell ist TLS 1.2 aus dem Jahr 2008, welches u.A. einige Lücken schließt.

Natürlich konnte ich nach dem Hinweis von SemperVideo es nicht lassen mal einen Blick auf diverse Seiten zu werfen. Während viele private Blog und andere Auswüchse des „Social Media“-Bereiches häufig bereits TLS 1.2 im Einsatz haben sieht es bei klassischen Firmen eher mau aus – als Beispiel sei hier der Onlineriese Amazon und die Banken der VR-Gruppe Süd genannt, welche beide lediglich TLS 1.0 anbieten – erstere sogar ohne PFS, welches Angriffe vielfach erleichtert.

Im Falle der Bank konnte ich eine Stellungnahme der GAD erhalten, welche für die Betreuung der technischen Infrastruktur zuständig ist.

Guten Tag,

unsere Sicherheitsstandards werden regelmäßig durch unsere Experten überprüft, verändert und ggf. erneuert. So auch in dem von Ihnen genannten Fall. Eine Aktualisierung ist für das nächste Jahr geplant.

Aussagen der Fachbereiche haben ergeben, dass zwar seit fünf Jahren der Verschlüsselungsstandard TLS 1.2 auf dem Mark ist, aber dass viele Browser und auch Webserver diesen Standard noch nicht unterstützten.

Anbei auch nochmal eine Meldung vom Juli 2013, bez. TLS 1.2 und Browsersupport.

http://www.golem.de/news/tls-1-2-bald-bessere-verschluesselung-fuer-firefox-und-chrome-1307-100370.html

Freundliche Grüße

GAD eG

Prinzipiell verständlich, auch wenn die Aussage, dass der Standard noch nicht unterstützt würde inzwischen großteils überholt ist – zudem ist das System abwärtskompatibel. Wie auch immer: Das Thema scheint beim Dienstleister der Bank bereits bekannt zu sein und der Zeitplan ist für diese Branche bei nicht direkt angreifbaren Sicherheitsupdates relativ zügig – imo angemessene Reaktion, schade, dass man häufig lediglich auf Schweigen oder themenfremde Textblöcke trifft.

„Das System ist sicher!“

…diese Aussage gab es eben noch zum Thema eGK. Nochmal zum mitschreiben:

Wenn jemand behauptet ein System wäre sicher dann gibt es dafür 2 mögliche Gründe:

a) Er hat keine Ahnung
b) Er lügt

Sicherheit ist kein absoluter Zustand – mann kann die Sicherheit z.B. durch technische Maßnahmen erhöhen, absolute Sicherheit ist und bleibt ein theoretisches Konstrukt und kann in der Praxis nie erreicht werden. Entsprechend kann man auch die Sicherheit eines Systems nicht nachweisen – nur dessen Unsicherheit.

SmartTan Optic – denn ohne Mensch ists Sicherer?

Bis letztes Jahr war meine Onlinebankingwelt noch in Ordnung – meine Bank hatte seit einigen Jahren mit „SmartTAN Plus“, auch bekannt als „HHD1.2“ ein für mich akzeptables System im Einsatz: Hierbei erhielt man ein kleines, eigenständiges Gerät mit Kartenleser, Tastatur und Display – in meinem Fall war es ein TanJack Plus von Reiner-SCT . Wird eine Onlineüberweisung o.Ä. gestartet erhält man eine Zufallszahl – hat man seine Bankkarte in das Gerät gesteckt gibt man diese zusammen mit der Kontonummer des Empfängers in das Gerät ein. Hat man alle Daten bestätigt zeigt der Leser eine 5 stellige Nummer an über welche man die Transaktion auf der Bank-Webseite bestätigen kann. Zwar liegen die Spezifikationen großteils nicht offen, aber durch die Trennung zwischen PC und Tan-Generator ist ein gewisser Schutz gewährleistet. Alternativ bietet die Bank mit m-Tan auch eine Handy-Lösung an bei welcher die TAN als SMS zugestellt wird, aber das möchte man natürlich nicht

Nun steht für Kunden des HHD1.2 ein Update auf HHD1.4, auch bekannt als SmartTan Optic oder SmartTan Comfort an. Bei dieser Lösung wird nun auch der Betrag zur Erstellung der TAN verwendet, die große Neuerung ist aber die Übertragung: Statt einer Eingabe auf dem Keypad sorgt nun eine animierte Grafik auf der Bankwebseite/-software in Zusammenarbeit mit Fotodioden an den (selbstverständlich auf eigene Kosten neu anzuschaffenden) Lesern für die Übertragung der Daten. Auf der Seite der VR Bank Rhein Sieg heißt es hierzu beispielsweise:

Sicherheit und Komfort für mehr Vertrauen

[…]Die optische Schnittstelle liest die notwendigen Kontrolldaten vom Monitor direkt in das Lesegerät ein.[…]Das Zwei-Schritt-Verfahren ist so für den Bankkunden noch komfortabler – bei gleichbleibender Sicherheit.

Nunja, komfortabler ja, aber sicherer? Zum Ersten entfällt die „Zwangsprüfung“ der Kontonummer bei der Eingabe. Da die Daten direkt im TAN-Generator landen ist die Verlockung groß ohne weitere Prüfung schnell mit OK zur TAN durchzuhechten. Zum Anderen geht auch die Kontrollmöglichkeit verloren – zwar ist der verwendete Flickercode bereits halbwegs entschlüsselt, aber wer prüft das schon? (OK, ich…) Es existiert also eine nur schwer prüfbare (einweg)Verbindung – genau das, was man eigentlich nicht möchte. Wer sagt mir, dass hier nicht neben den Bankdaten schnell eine neue Firmware übertragen wird? Zumindest einige Konfigurationscodes für die Tastatur zur Änderung des Leser-Verhaltens lassen sich im Netz finden, die Programmstrukturen sind also definitiv nicht vollständig in Hardware abgebildet. Das schlimme dabei: Wenn man tatsächlich von einem solchen Angriff betroffen wäre dürfte es schwer werden die Bank davon zu überzeugen, dass es ein Systemfehler ist – man würde vermutlich auf dem Schaden selbst sitzen bleiben. Ja, ich weiß, ich bin in der Ecke etwas Paranoid, aber zumindest bei der Eingabevalidierung nimmt es das Gerät nicht ganz so genau, denn nunja, mit etwas Javascript im Browser (welcher beispielsweise per Trojaner auf der Bank-Webseite eingeschleust werden könnte) bringt der Leser beispielsweise folgende Ausgaben:

(Technischer Hinweis: Der Betrag wird im Flicker-Code als ASCII codiert, hierbei sind neben Zahlen auch Buchstaben und einige Sonderzeichen möglich. Selbstverständlich kommt hierdurch keine gültige TAN mehr raus, eine Gefahr besteht hierdurch also nicht – allerdings ist es auch kein gutes Ohmen für die allgemeine Codequalität des Systems.)

Weiter habe ich nicht probiert, da das Gerät bei den Tests für diese Aktion bereits sehr fragil reagierte wollte ich den Leser nicht mit Zeilenumbruch oder NULL-Zeichen komplett aus der Fassung bringen… Nunja, bei meiner Bank ist auch eine manuelle Eingabe der Daten weiterhin möglich, auch wenn der versprochene „Comfort“ für mich damit ein großes Minus davor hat – für das ich natürlich auch noch zahlen darf.