Escolar Documentos
Profissional Documentos
Cultura Documentos
http://www.soldierx.com/defcon18/hacking_docsis_for_fun_and_profit-blake_bitemytaco.ppt
1
Machine Translated by Google
Humor
Talvez Ted Stevens tenha uma série de
modems hackeados e um amplificador drop em
sua casa. Será por isso que ele pensa que
a internet é uma série de tubos?
2
Machine Translated by Google
Fundo
• Pessoal
– Atualmente faço pesquisas para S2ERC (Segurança e
Centro de Pesquisa em Engenharia de Software), um Centro
de Pesquisa Cooperativa da Indústria/Universidade da NSF.
– Bitemytaco é um dos administradores root do SBHacker (
http://www.sbhacker.net)
• Discurso
– Cobrimos o DOCSIS 2.0 e abaixo no Defcon 16 com
devDelay.
– Nosso último discurso fez com que uma infinidade de pessoas viessem
SBHacker e discutir tecnologia de modem (incluindo funcionários e
contratados de vários ISPs)
3
Machine Translated by Google
4
Machine Translated by Google
Requisitos
• O que você precisa para nossos exemplos?
– Conexão coaxial à empresa de cabo – Cabo SPI/JTAG
5
Machine Translated by Google
6
Machine Translated by Google
7
Machine Translated by Google
8
Machine Translated by Google
• O acesso anônimo é bom, mas o acesso anônimo mais rápido é melhor. • Para aumentar
a velocidade, você pode forçar um arquivo de configuração mais rápido do ISP, servido
localmente ou de configurações armazenadas na memória flash.
• Você pode especificar um servidor TFTP, a Comcast usa estático em vez de
configurações dinâmicas e cada servidor possui os mesmos arquivos de configuração.
• Alguns exemplos de arquivos de configuração que a Comcast usa: – DOCSIS
1.0
• d10_m_sb5100_speedtierextreme2_c05.cm = 16/2 •
d10_m_sb5100_showcase_c01.cm = 55/5 •
d10_m_na_c05.cm = 0/0 (irrestrito)
– DOCSIS 1.1/2.0/3.0 •
d11_m_sb5100_speedtierextreme2_c05.cm = 16/2 •
d11_m_sb5100_showcase_c01.cm = 55/5 •
d11_m_na_c05.cm = 0/0 (irrestrito)
9
Machine Translated by Google
Configurando o Haxorware
• Navegue até http://192.168.100.1
10
Machine Translated by Google
11
Machine Translated by Google
Clonagem
• A clonagem básica envolve a especificação de um
endereço MAC HFC provisionado para obter uma
classe de serviço atribuída ao MAC.
• Devido à natureza de transmissão da rede, você deve
usar um endereço MAC HFC que esteja em um
CMTS diferente do seu.
• Este método associará o seu modem à conta de
outra pessoa.
12
Machine Translated by Google
Clonagem (continuação)
• O CMTS (Cable Modem Termination System) não impede a clonagem
de um endereço MAC do Nó 3 para o Nó 1.
13
Machine Translated by Google
14
Machine Translated by Google
15
Machine Translated by Google
16
Machine Translated by Google
17
Machine Translated by Google
Firmware anterior
• Recursos do Sigma X2/Haxorware:
– Ativar modo de fábrica
– Altere todos os endereços MAC associados
– Alterar número de série
– Desativar atualização de firmware do ISP
– Desativar reinicializações
18
Machine Translated by Google
DOCSIS 3.0
• DOCSIS 3.0 é essencialmente DOCSIS 2.0 com ligação de canais, suporte
nativo a IPv6 e recursos de segurança e criptografia “aprimorados” (AES).
• União de canais:
– Requisito mínimo de 4 canais ligados para ambos downstream
e upstream em modems e CMTS.
– As velocidades máximas para um modem na configuração 4x4 são aproximadamente
160 Mbps downstream e 120 Mbps upstream (EuroDOCSIS 3.0 usa canais
DS de 8 MHz de largura em vez de 6 MHz e suporta cerca de 200 Mbps
downstream na configuração 4x4)
– A especificação não limita o número de canais vinculados, portanto as
possibilidades de velocidade são infinitas (por exemplo, as ofertas
atuais de 8x4 suportam downstream de mais de 320 Mbps)
• Chipsets:
– Chip Puma5 – 4 DS + 4 canais dos EUA, arco ARMv6, roda em Linux
– Bcm3380 – 8 DS + 4 canais dos EUA, arco MIPS, roda em eCos
19
Machine Translated by Google
20
Machine Translated by Google
• Cabovisão/OOL
– download de 101 mbps
• Time Warner/Road Runner
– D3 apenas na cidade de Nova York, lançamento nacional em breve.
• Europa
– Algumas empresas europeias de cabo já oferecem implantações vinculadas de 8 canais
com velocidades downstream na faixa de 150-300 Mbps.
21
Machine Translated by Google
Empacotável
Como o VOIP foi adquirido.
22
Machine Translated by Google
• Cablehack.net
23
Machine Translated by Google
• MassModz.com
– Matthew Delorey •
Preso em fevereiro de 2010. •
Modems pré-configurados anunciados descaradamente para roubar
serviços da Comcast.
24
Machine Translated by Google
PARE DE DENUNCIAR
25
Machine Translated by Google
• Haxomático
– SPI/JTAG baseado em FTDI, JTAG, USB para TTL serial
– Ferramenta de hardware e software para programar dispositivos mais antigos e mais recentes
• Ferramentas diversas de
Rajkosto em http://haxorware.com/
6120stuff.html • Usbjtag.exe de
usbjtag.com • JtagUtility de Tom
26
Machine Translated by Google
• Forçar
configuração • Desativar atualizações
de firmware • Desativar snmp após o
registro • Desativar
bpi+ • Falsificar a versão mais recente
do firmware • Sem GUI da web, mas todos os recursos estão
habilitado ou configurado via serial ou ssh
27
Machine Translated by Google
Snmpcert/certgrabber
• snmpcert/certgrabber verificará hfc ip - wan ip
do modem em busca de modems que estejam
no modo de fábrica. Assim que encontrar
um modem que esteja no modo de fábrica,
ele obterá as velocidades de download e
upload, hfc mac, usb mac e os certificados
necessários para "clonar" um modem.
28
Machine Translated by Google
Backup Uboot
• Usa um USB para ttl ou qualquer dispositivo ttl
acessível através de uma porta COM para fazer
backup de um modem serial sem quaisquer outros
programadores SPI. Salva todo o chip flash (backup
de 8 a 16 MB).
29
Machine Translated by Google
O futuro
• Com a largura de banda extremamente alta do D3
modems, há uma grande preocupação com o
fato de os usuários serem alvo de redes de bots.
– O upstream anterior era de 256kbps a 2mbps
– A média D3 é de 5-10mbps e aumenta constantemente
• Com as falhas de modem anteriores, há uma
possibilidade de que as autoridades policiais
continuem a reprimir a pirataria ilegal de modems.
• É responsabilidade dos MSOs desenvolver
redes seguras. Com ou sem hackers, os ISPs
parecem um tanto apáticos em relação à sua
segurança e à deles.
30
Machine Translated by Google
Perspectivas: RPG
•Clientes -Proteja
e respeite nossa privacidade -Forneça-
nos serviços de qualidade, mas NÃO limitados -Pare de
cobrar mais quando você falhar…
•Hackers
-Você pode esperar isso porque queremos saber como funciona -Exigimos
acesso anônimo à Internet (por que não?)
-Isso foi fácil, você fez de propósito?
-É culpa sua a rede não estar configurada corretamente -…Você
ainda terá um problema •ISPs
A questão permanece: o
Docsis é um protocolo de comunicação seguro e viável?
31
Machine Translated by Google
Detecção de clones
• Clones exatos/perfeitos geralmente podem contornar isso
• Obter acesso à rede se a autenticação básica for aprovada, a clonagem não é
exatamente necessária
• Uso de firmware modificado para falsificar informações e passar despercebido
32
Machine Translated by Google
33
Machine Translated by Google
Obrigado
• Técnicos de rede anônimos que responderam perguntas
sobre OSS.
• Agradecimentos a DerEngel da TCNiSO por essencialmente iniciar o
hacking convencional de modems a cabo.
• rajkosto, devDelay, Bad_Ad84, |DTOX|, Scanman1,
bmhoff, gastador, sn4ggl3, pirrup, cisc0ninja, the_ut e toda a
comunidade SBH.
• Hackers anônimos de modem a cabo que compartilharam suas
histórias com informações suficientes para verificação.
• Fabricantes por criarem hardware tão inseguro e
Programas.
• SBhacker.net
• Soldierx.com
34
Machine Translated by Google
Perguntas/Respostas
• Questões?
35