Machine Translated by Google

http://www.soldierx.com/defcon18/hacking_docsis_for_fun_and_profit-blake_bitemytaco.ppt

1
Machine Translated by Google

Humor
Talvez Ted Stevens tenha uma série de
modems hackeados e um amplificador drop em
sua casa. Será por isso que ele pensa que
a internet é uma série de tubos?

2
Machine Translated by Google

Fundo
• Pessoal
– Atualmente faço pesquisas para S2ERC (Segurança e
Centro de Pesquisa em Engenharia de Software), um Centro
de Pesquisa Cooperativa da Indústria/Universidade da NSF.
– Bitemytaco é um dos administradores root do SBHacker (
http://www.sbhacker.net)
• Discurso
– Cobrimos o DOCSIS 2.0 e abaixo no Defcon 16 com
devDelay.
– Nosso último discurso fez com que uma infinidade de pessoas viessem
SBHacker e discutir tecnologia de modem (incluindo funcionários e
contratados de vários ISPs)

3
Machine Translated by Google

O que este discurso irá cobrir

• Requisitos (para nossos exemplos) • Visão geral da
fala anterior – Acesso anônimo – Clonagem
HFC MAC vinculada a uma
conta do ISP – Quão anônimo você realmente é – Firmware
anterior • DOCSIS 3.0 – Mudanças dos ISPs
e hackers • Packetcable –
Como o VOIP foi
adquirido • Estados Unidos vs Hackers Modem –
Casos Criminais –
Quem recebeu a visita da van
da festa depois do nosso último discurso?

• Novas ferramentas e firmware

– Uma análise de todas as novas ferramentas e firmware
sofisticados • O Futuro
– Problemas de botnets, a lei e soluções de segurança futuras

4
Machine Translated by Google

Requisitos
• O que você precisa para nossos exemplos?
– Conexão coaxial à empresa de cabo – Cabo SPI/JTAG

• SPI/JTAG (Interface Periférica Serial/Grupo de Ação de Teste Conjunto)

– USB Cypress ou SPI/JTAG baseado em FTDI (Rápido)
– SPI/JTAG paralelo com buffer (lento)
– Modem SB6120/SBV6220/DPC3000 cable docsis 3.0 • Muitos outros
modems podem ser modificados –
Habilidades de
soldagem • O YouTube é um excelente recurso para referência
de soldagem • Solde os fios diretamente
no chip flash SPI – Ferramentas para atualizar o firmware em um modem
• USBJTAG NT •
Haxomatic •
Programador DIY Paralelo ou USB SPI

5
Machine Translated by Google

Por que hackear modems é possível?

• Hardware (fabricantes culpados)
– Absolutamente nenhuma segurança física
– Componentes de hardware comuns

• Software (culpar os desenvolvedores)

– Os hacks iniciais envolveram netboot/etherboot, habilitando o modo de fábrica
integrado (implementado pelo sistema operacional e habilitado pela configuração
de um OID SNMP) ou usando bootloaders padrão (ruidosos).
– O firmware de diagnóstico de fábrica faz o trabalho, mas adicionar recursos
personalizados é fácil de fazer e o torna melhor – Os
firmwares Docis 3.0 são baseados em software de código aberto

• ISP (culpar engenheiros e administradores)

– CMTS configurado incorretamente –
Falhas de segurança no CMTS IOS –
Custos, conveniência e ?

6
Machine Translated by Google

Visão geral da rede a cabo

7
Machine Translated by Google

Acesso anônimo à Internet

• Para nosso exemplo de acesso anônimo à Internet, usaremos a Comcast.
• Por que a Comcast?
– De acordo com a pesquisa de Alex Goldman em isp-planet.com, no quarto trimestre de 2007 -
a Comcast é o segundo ISP mais usado nos Estados Unidos e o ISP número um em uso
usando DOCSIS. (
http://www.isp-planet.com/research/rankings/usa.html)
•
Se você conectar um modem não provisionado à rede Comcast, a única página exibida será
uma página da Comcast solicitando que você se inscreva no serviço.
• Geralmente, você pode conectar-se de entrada ao computador que está conectado ao modem,
mas não pode conectar-se de saída do computador.
• Alterar os servidores DNS permite que você se conecte (algumas vezes). Forçar um arquivo de
configuração neste ponto é tudo o que é necessário para aumentar a classe de serviço de um
modem não provisionado.
• Desativar filtros SNMP no console remove o bloqueio de porta no modem
nível e permite que um usuário pesquise outros modems para obter informações úteis sobre o ISP
que permitem a pesquisa SNMP através de toda a rede HFC:
–cd/snmp
– filtros
desativados – digite e retorne sim para que as alterações tenham efeito imediato

8
Machine Translated by Google

Velocidades mais rápidas

• O acesso anônimo é bom, mas o acesso anônimo mais rápido é melhor. • Para aumentar
a velocidade, você pode forçar um arquivo de configuração mais rápido do ISP, servido
localmente ou de configurações armazenadas na memória flash.
• Você pode especificar um servidor TFTP, a Comcast usa estático em vez de
configurações dinâmicas e cada servidor possui os mesmos arquivos de configuração.
• Alguns exemplos de arquivos de configuração que a Comcast usa: – DOCSIS
1.0
• d10_m_sb5100_speedtierextreme2_c05.cm = 16/2 •
d10_m_sb5100_showcase_c01.cm = 55/5 •
d10_m_na_c05.cm = 0/0 (irrestrito)
– DOCSIS 1.1/2.0/3.0 •
d11_m_sb5100_speedtierextreme2_c05.cm = 16/2 •
d11_m_sb5100_showcase_c01.cm = 55/5 •
d11_m_na_c05.cm = 0/0 (irrestrito)

9
Machine Translated by Google

Configurando o Haxorware
• Navegue até http://192.168.100.1

10
Machine Translated by Google

Técnicas para permanecer anônimo

• Desative o daemon SNMP após o registro
– cd /non-vol/snmp –
diag_disable_post_reg verdadeiro
- escrever
• Ocultar o endereço IP HFC do modem (você não pode ocultar endereços IP CPE)
– cd /non-vol/snmp –
hide_ipstack_ifentries true – escrever

• Ocultar versão de software relatada (OID do sistema)

– cd /snmp –
excluir sysDescr – gravar

• Essas e outras configurações podem ser codificadas ou como uma

variável armazenada pelo firmware para então reportar
informações de identificação de DHCP e SNMP ao CMTS.
Também conhecido como falsificação. Isso fará com que seu modem pareça

11
Machine Translated by Google

Clonagem
• A clonagem básica envolve a especificação de um
endereço MAC HFC provisionado para obter uma
classe de serviço atribuída ao MAC.
• Devido à natureza de transmissão da rede, você deve
usar um endereço MAC HFC que esteja em um
CMTS diferente do seu.
• Este método associará o seu modem à conta de
outra pessoa.

12
Machine Translated by Google

Clonagem (continuação)
• O CMTS (Cable Modem Termination System) não impede a clonagem
de um endereço MAC do Nó 3 para o Nó 1.

13
Machine Translated by Google

Obtenção de informações para clonagem

• Os endereços MAC são negociados de forma privada em fóruns e IRC.

• Encontrar endereços MAC HFC em seu nó pode ser encontrado detectando os
pacotes DHCP que são enviados do CMTS para todos os modems ou usando
SNMP.
• O Wireshark pode filtrar pacotes transmitidos para montar facilmente uma
lista de MACs HFC no nó de um usuário.
• Varredura SNMP é o método preferido para obter MACs HFC para vários nós com ISPs
que permitem isso.
• Clones exatos podem ser usados obtendo todos os dados de identificação
informações do modem, incluindo HFC MAC, ETHER MAC, USB MAC, Serial e
todos os certificados BPI+.
• Os clones exatos podem ser modems não provisionados – as informações coletivas
simplesmente permitem que o modem passe nas verificações iniciais
de autenticação e obtenha acesso à rede.
• Um arquivo de configuração diferente pode ser forçado para ignorar a classe de serviço
definida pelo ISP.

14
Machine Translated by Google

Quão anônimo você é?

• O Sistema de Apoio às Operações normalmente não consegue
localizar um modem em um local exato devido ao projeto da rede
de cabo coaxial de fibra híbrida.
• Normalmente, a detecção só vai até o nó onde o
modem em questão está localizado.

15
Machine Translated by Google

Quão anônimo você é? (continuação)

• Alguns ISPs pesquisam níveis de sinal fracos.
– Os técnicos desconectariam cada linha para descobrir qual linha está
causando a perda de sinal.
– Você pode evitar isso usando um amplificador se a intensidade do sinal for muito baixa.
Pessoalmente, gostamos do amplificador de banda larga BDA-S1 da Motorola.

– O downstream deve estar entre -15 e +15 dBmV e o

o upstream deve estar entre -35 e -50 (o upstream é sempre negativo).

• Muitos ISPs realizam auditorias de rotina em linhas que não deveriam

estar conectadas para verificar se não estão.
– A maioria dos ISPs usa tags coloridas para identificar a conta e o serviço.
• Alguns ISP adotaram e implementaram (com custo) ROC
– Centros Operacionais Regionais: conectados em rede de forma independente a
cada CMTS que mantém coletivamente um banco de dados MAC do cliente.

16
Machine Translated by Google

Precauções a serem tomadas

• Não transfira informações pessoais através de conexões

não criptografadas...NUNCA!

• Fique de olho na van da festa (ou nos técnicos de cabo)

• Pague pelo serviço! GTFO se você não fizer isso!

• Use modems modificados para testar, confirmar e
diagnosticar seu serviço existente

• Esteja atento aos endereços MAC HFC que você pode

escolha clonar

• Remova identificadores de linha para ajudar no anonimato

(especialmente em complexos de apartamentos)

17
Machine Translated by Google

Firmware anterior
• Recursos do Sigma X2/Haxorware:
– Ativar modo de fábrica
– Altere todos os endereços MAC associados
– Alterar número de série
– Desativar atualização de firmware do ISP
– Desativar reinicializações

– Forçar acesso à rede (ignorar mensagens não autorizadas)

– Desativar e definir filtros ISP (portas bloqueadas no nível do modem)
– Especifique o nome do arquivo de configuração e o endereço IP do servidor TFTP
– Forçar arquivo de configuração do ISP, TFTP local ou flash carregado
memória.
– Obter e definir valores SNMP OID e valores OID do modo de fábrica
– Acesso Broadcom CLI através de conexão serial ou telnet
– Acesso total ao VxWorks/eCos (sistema operacional tipo Unix)
– Carregar, atualizar e atualizar firmware

18
Machine Translated by Google

DOCSIS 3.0
• DOCSIS 3.0 é essencialmente DOCSIS 2.0 com ligação de canais, suporte
nativo a IPv6 e recursos de segurança e criptografia “aprimorados” (AES).
• União de canais:
– Requisito mínimo de 4 canais ligados para ambos downstream
e upstream em modems e CMTS.
– As velocidades máximas para um modem na configuração 4x4 são aproximadamente
160 Mbps downstream e 120 Mbps upstream (EuroDOCSIS 3.0 usa canais
DS de 8 MHz de largura em vez de 6 MHz e suporta cerca de 200 Mbps
downstream na configuração 4x4)
– A especificação não limita o número de canais vinculados, portanto as
possibilidades de velocidade são infinitas (por exemplo, as ofertas
atuais de 8x4 suportam downstream de mais de 320 Mbps)
• Chipsets:
– Chip Puma5 – 4 DS + 4 canais dos EUA, arco ARMv6, roda em Linux
– Bcm3380 – 8 DS + 4 canais dos EUA, arco MIPS, roda em eCos

19
Machine Translated by Google

Modems DOCSIS 3.0

• puma5:
– SO: MontaVista Linux
• Motorola SB6120 e SBV6220
•Cisco DPC3000
• Arris WBM760ATM702G
• Netgear CMD31T
• bcm3380:
– SO: eCos
•Motorola SBG6580
•Cisco DPC3010
• Thomson DCM475/TCM470

20
Machine Translated by Google

Ofertas atuais do ISP DOCSIS 3.0

•Comcast
– A Comcast é líder em implantações D3 generalizadas. D3 é um
concorrente direto do FiOS e de outros serviços FTTx.
– Pacotes residenciais 50/10 e empresariais 100/10. Hackeado
Os SB6120s extraem facilmente 120 Mbps downstream e 15 Mbps upstream.
• Carta
– 60/5 residencial com pacotes empresariais 100/10 e 75/5 chegando
breve.

• Cabovisão/OOL
– download de 101 mbps
• Time Warner/Road Runner
– D3 apenas na cidade de Nova York, lançamento nacional em breve.

• Europa
– Algumas empresas europeias de cabo já oferecem implantações vinculadas de 8 canais
com velocidades downstream na faixa de 150-300 Mbps.

21
Machine Translated by Google

Empacotável
Como o VOIP foi adquirido.

22
Machine Translated by Google

Estados Unidos vs Hackers de Modem – Casos Criminais

• Cablehack.net

– Tom Swingler, também conhecido como

Mastadogg • Preso no início de
2008. • Primeira grande apreensão pelo FBI de um hacker de modem a cabo,
recebeu grande atenção da
mídia. • O caso foi arquivado após 6 meses sem qualquer oficial
razão.

• Mastadogg delatou MassModz • TCNiSO.net

– Ryan Harris, também conhecido como

DerEngel • Preso em outubro de 2009.

• Considerado o “Padrinho” da pirataria de modems a cabo. • Dedurado por

dshocker. • Atualmente em liberdade
sob fiança aguardando julgamento.

23
Machine Translated by Google

Estados Unidos vs Hackers de Modem – Casos Criminais

• MassModz.com

– Matthew Delorey •
Preso em fevereiro de 2010. •
Modems pré-configurados anunciados descaradamente para roubar
serviços da Comcast.

• Invadido após ser delatado por Mastadogg. • Espera-se que

se declare culpado • Várias
pequenas apreensões

– Localizada principalmente no sul da Flórida, onde o roubo de serviços é galopante.

• Todas as detenções atuais envolveram roubo de serviços e/ou venda de
dispositivos pré-configurados.
• O uso de modems para fins legítimos de diagnóstico ainda é totalmente
legal.
• Outro factor-chave na maioria das detenções são os delatores.

24
Machine Translated by Google

PARE DE DENUNCIAR

• E agora uma breve mensagem de Stephen Watt (Terrorista Unix)

25
Machine Translated by Google

Novas ferramentas e firmware

• SBH alfa (sem nome)
– O firmware Docsis 3.0 mais recente, uso de explorações novas e existentes –
Projeto em fase inicial, mas semelhante ao OpenWRT e DD-WRT –
Comunidade de mais de 66.000 usuários em SBhacker.net –
Planos para portar o Haxorware para os modems eCOS Docsis 3.0 mais recentes

• Haxomático
– SPI/JTAG baseado em FTDI, JTAG, USB para TTL serial
– Ferramenta de hardware e software para programar dispositivos mais antigos e mais recentes

• Ferramentas diversas de
Rajkosto em http://haxorware.com/
6120stuff.html • Usbjtag.exe de
usbjtag.com • JtagUtility de Tom

26
Machine Translated by Google

Firmware Alfa SBH

Recursos atuais:

• Forçar
configuração • Desativar atualizações
de firmware • Desativar snmp após o
registro • Desativar
bpi+ • Falsificar a versão mais recente
do firmware • Sem GUI da web, mas todos os recursos estão
habilitado ou configurado via serial ou ssh

27
Machine Translated by Google

Snmpcert/certgrabber
• snmpcert/certgrabber verificará hfc ip - wan ip
do modem em busca de modems que estejam
no modo de fábrica. Assim que encontrar
um modem que esteja no modo de fábrica,
ele obterá as velocidades de download e
upload, hfc mac, usb mac e os certificados
necessários para "clonar" um modem.

28
Machine Translated by Google

Backup Uboot
• Usa um USB para ttl ou qualquer dispositivo ttl
acessível através de uma porta COM para fazer
backup de um modem serial sem quaisquer outros
programadores SPI. Salva todo o chip flash (backup
de 8 a 16 MB).

29
Machine Translated by Google

O futuro
• Com a largura de banda extremamente alta do D3
modems, há uma grande preocupação com o
fato de os usuários serem alvo de redes de bots.
– O upstream anterior era de 256kbps a 2mbps
– A média D3 é de 5-10mbps e aumenta constantemente
• Com as falhas de modem anteriores, há uma
possibilidade de que as autoridades policiais
continuem a reprimir a pirataria ilegal de modems.
• É responsabilidade dos MSOs desenvolver
redes seguras. Com ou sem hackers, os ISPs
parecem um tanto apáticos em relação à sua
segurança e à deles.
30
Machine Translated by Google

Perspectivas: RPG
•Clientes -Proteja
e respeite nossa privacidade -Forneça-
nos serviços de qualidade, mas NÃO limitados -Pare de
cobrar mais quando você falhar…
•Hackers
-Você pode esperar isso porque queremos saber como funciona -Exigimos
acesso anônimo à Internet (por que não?)
-Isso foi fácil, você fez de propósito?
-É culpa sua a rede não estar configurada corretamente -…Você
ainda terá um problema •ISPs

-Provavelmente deveríamos apenas

mentir -Vamos economizar para economizar dinheiro!
-Largura de banda ilimitada do usuário ruim (rendimento mensal do cliente <lucro)
-Você não pode fazer isso na Internet!
-Suas informações estão sendo vendidas ao licitante com lance mais alto

A questão permanece: o
Docsis é um protocolo de comunicação seguro e viável?

31
Machine Translated by Google

Problemas e algumas soluções

BPI+
• Quebrar DES de 56 bits ou RSA X.509 v3? (tempo, dinheiro e mais tempo)
• Espionagem corporativa
• Certificados autoassinados
• Bpimanager reverso, binários docsis e uso de funções de autoassinatura

Detecção de clones
• Clones exatos/perfeitos geralmente podem contornar isso
• Obter acesso à rede se a autenticação básica for aprovada, a clonagem não é
exatamente necessária
• Uso de firmware modificado para falsificar informações e passar despercebido

A situação dos ISPs que impedem o acesso não autorizado

ainda parece muito sombria por vários motivos...
há sempre uma lacuna em algum lugar.

32
Machine Translated by Google

Lembre-se dessas coisas

• Internet anônima/rápida em redes DOCSIS • Equipamento
usado • Como
permanecer anônimo • Tipos e
recursos de firmware

• Por que isso é possível •

Hardware, segurança e BPI+ •
Docsis 3.0 (Bonding = velocidades mais rápidas)
• Desenvolvimento e reversão são tão fáceis quanto sua irmã •
Novas adoções de segurança geralmente podem ser
derrotadas • Habilitar um recurso de segurança no CMTS pode
significar desabilitar ou sacrificar outro

33
Machine Translated by Google

Obrigado
• Técnicos de rede anônimos que responderam perguntas
sobre OSS.
• Agradecimentos a DerEngel da TCNiSO por essencialmente iniciar o
hacking convencional de modems a cabo.
• rajkosto, devDelay, Bad_Ad84, |DTOX|, Scanman1,
bmhoff, gastador, sn4ggl3, pirrup, cisc0ninja, the_ut e toda a
comunidade SBH.
• Hackers anônimos de modem a cabo que compartilharam suas
histórias com informações suficientes para verificação.
• Fabricantes por criarem hardware tão inseguro e
Programas.
• SBhacker.net
• Soldierx.com

34
Machine Translated by Google

Perguntas/Respostas

• Questões?

35