Dies war mein zweiter physischer Penetrationstest hier bei TrustedSec, und ich wurde mit meinem Kollegen Paul Burkeland gepaart. Nachdem wir im Hotel angekommen waren, erklärte Paul, dass er 16 AA-Batterien benötige, und so fuhren wir zum örtlichen CVS. Ich war nicht nur verblüfft über die Notwendigkeit, 16 AA-Batterien zu kaufen, sondern auch über die Kosten für 16 AA-Batterien bei CVS!
Die Batterien wurden für ein 12 x 12 Zoll großes RFID-Lesegerät mit großer Reichweite benötigt (wie man sie in Parkhäusern findet, um eine Rampe hochzufahren oder ein Tor zu öffnen, nachdem man einen "Einfahrtsausweis" erhalten hat). Diese Arten von Lesegeräten mit großer Reichweite können einen passiven, unidirektionalen Tag aus einer Entfernung von bis zu zwei Fuß lesen. Ich war erstaunt über das, was Paul mir zeigte. Es handelte sich um ein selbstgebautes Lesegerät, das mit einer Arduino-Platine mit einem LCD-Bildschirm funktionierte. Es handelte sich um einen mobilen Ausweiskloner, der von Jason Ashton von TrustedSec gebaut worden war.
Viele Jahre später habe ich mir schließlich einen Proxmark3 RDV4 zum Klonen von Ausweisen zugelegt. Jeder, der einen Proxmark besitzt, weiß, dass man den Ausweis, den man klont, berühren muss, damit er funktioniert. Ich habe mich immer danach gesehnt, meinen eigenen 12 x 12 Zoll großen Ausweiskloner zu bauen. Dieser Tag ist nun endlich gekommen. Seien Sie bitte nachsichtig mit mir, denn ich habe noch nie zuvor etwas Ähnliches gebaut. Ich lade Sie ein, mich auf meinem Weg zu begleiten, während ich mich an dieses neue Puzzle heranwage. Und vielleicht können Sie aus meinen Versuchen und Drangsalen etwas Neues lernen.
Hintergrund
Um es klar zu sagen: Ich bin weder ein Elektroingenieur noch ein Hacker. Aber ich liebe Puzzles, repariere Dinge und erlerne neue Fähigkeiten, genau wie die meisten von Ihnen, die diese Zeilen lesen. Meine erste Erfahrung als "Funkenmariechen" hatte ich im Alter von 10 Jahren, als mein Onkel, ein Elektriker, mir ein Multimeter und andere grundlegende Werkzeuge kaufte. Er zeigte mir, wie man sie benutzt, wie man sicher mit Elektrizität umgeht und was man tun und lassen sollte. Als ich 14 Jahre alt war, baute ich mit Hilfe eines Freundes meiner Eltern den Keller meiner Eltern neu auf, einschließlich der Elektrik. Man könnte sagen, dass das damals das ursprüngliche YouTube war.
Als ich schnell in die Neuzeit vorrückte, hatte ich einige elektronische Geräte, die der Kondensator-Epidemie Mitte der 2000er Jahre zum Opfer fielen. Ich konnte die schlechten Kondensatoren in meinem Fernseher und meiner Stereoanlage ersetzen und ihre Lebensdauer um zehn Jahre verlängern. All dies habe ich mithilfe der alten und aktuellen Versionen von "YouTube" erreicht.
Wie viele andere bin ich ein autodidaktischer Elektrobastler, daher hoffe ich, dass ich den Darwin Electrical Engineering Championship Ring nicht verdiene :
Um zu bauen... braucht man einen Plan, ein Fundament und Materialien
Welchen Kloner klonen wir und was sind meine Bedürfnisse? Ich habe einen Artikel von Shain Lakin auf phrack.me die eine geklonte Version von Der RFID-Dieb Tastic von Bishop Fox. Dieses Projekt schien einfach zu sein, da der Artikel von Shain sehr umfassend war. Außerdem wurde es mit einem RFID-ESP-Tool gebaut, das über ein eingebautes Wi-Fi und einen Webbrowser verfügt, um heimlich zu überprüfen, ob Sie einen Ausweis geklont haben. Und das Beste daran? Er verwendet wiederaufladbare 18650-Batterien, so dass Sie nicht einen Arm und ein Bein für 16 AA-Batterien bezahlen müssen.
Kurz nachdem ich von Shains Bau erfahren hatte, sprach ich mit Jason Ashton über meine Ideen zum Bau meines eigenen Kloners. Jasons Antwort?" Oh, ich habe meine Konstruktion vollständig in einem Blog dokumentiert, den Sie sich ansehen sollten". Ich erzählte Jason, dass ich Shains Blog gefunden hatte und dass die Konstruktion einfach aussah. Schließlich müsse man nur einen Blick auf die Liste der Teile werfen, die für jeden Bau benötigt werden. Jasons Bau im Jahr 2018 ist links, Shains Bau im Jahr 2022 ist rechts.
Ich hatte ein paar Ideen für meinen Bau und wollte mich mit Jason beraten. Meine "Wunschliste" für den Bau umfasste Folgendes:
- Eine USB-Powerbank statt wiederaufladbarer Batterien
- Verwendung von zwei USB-Anschlüssen, einer für die Stromversorgung des MaxiProx und der andere für die Stromversorgung des ESP RFID Tool.
- Schneiden Sie ein USB-Kabel ab, um den MaxiProx und das ESP RFID Tool von der Powerbank aus mit Strom zu versorgen.
- Jasons Tonschalter zum manuellen Ein- und Ausschalten des Lautsprechers
Jasons erste Sorge war, ob die USB-Powerbank genügend Energie liefern konnte. Shains Konstruktion verwendete ein PowerBoost-Modul, das den 5-Volt-Eingang der Batterien auf die vom MaxiProx HID benötigten 12 Volt erhöhte. Ich dachte daran, einen der drei USB-Ports der Powerbank für den ESPKey und einen weiteren für die Stromversorgung des HID MaxiProx zu verwenden. Jason hatte nichts dagegen, aber er war besorgt, ob es uns gelingen würde, das USB-Kabel zu sezieren und 12 Volt über die Drähte zu leiten. Wir zögerten beide, das USB-Kabel zu trennen und es an den ESPKey und den HID MaxiProx anzuschließen.
Der Plan
Nachdem ich den Plan erstellt hatte, begann ich, die Teile zu bestellen. Hier ist die erste Reihe von Teilen, die ich bestellt habe (mit Hyperlinks und dem Preis, der zum Zeitpunkt des Kaufs bezahlt wurde) :
Und hier sind die Anfangsstücke auf der Küchentheke angeordnet:
So begeistert ich davon war, dieses Projekt in Gang zu setzen, wusste ich auch, dass ich es mit anderen teilen wollte, um zusätzliche Augen für meinen Prozess zu bekommen. Also beschloss ich, dem TrustedSec Hardware Hacking Team davon zu erzählen - mein Weg der gelben Ziegelsteine sozusagen.
Ich muss Ihnen sagen, dass sie wie Kinder in einem Süßwarenladen waren und sofort anfingen, all die richtigen Fragen zu stellen, während ich über meine Forderungen stolperte:
- Welches MaxiProx-Modell verwenden Sie?
- Wie hoch ist der Energiebedarf von MaxiProx?
- Welche Spezifikationen hat der USB-Akku?
- Wie wird die Ernährung sichergestellt?
- Haben Sie die Anzahl der benötigten Wattstunden (Wh) berechnet?
Energiebedarf, Wechsel der Energiequelle und andere Einkäufe
Gemäß den Leistungsangaben des MaxiProx beträgt die erforderliche Leistung während des Spitzenbetriebs 12 Volt bei 1,2 Ampere. Die empfohlene Leistung für die Stromversorgung beträgt 12 Volt bei 2 Ampere.
Da ich nun die Anforderungen an die Stromversorgung kenne, muss ich wissen, welche Leistung der USB-Batteriepack liefert. Die erste Batterie, die ich verwendet habe, war eine Anker PowerCore 13000. Der Anker hat zwei USB-A-Anschlüsse, die jeweils 5 Volt bei 3 Ampere liefern.
Ich konnte das Boost-Modul verwenden, hatte aber auch einen anderen USB-Akku mit einem USB-C PD (Power Delivery)-Anschluss. PD-kompatible USB-Anschlüsse ermöglichen die Kommunikation zwischen dem Gerät, das aufgeladen werden soll, und der Stromquelle. Das Gerät, das aufgeladen werden soll, teilt der Stromquelle mit, wie viel Energie es benötigt. Die Stromquelle liefert dann die spezifisch benötigte Energie an das Gerät, das aufgeladen werden soll.
Der Akkupack mit USB-C PD ist interessant, da der einzige Anschluss die erforderlichen 12 Volt bei 1,5 Ampere liefert. Er lässt sich über denselben USB-C-Anschluss auch schnell aufladen und als Bonus passt er von der Größe her in den MaxiProx.
Das TrustedSec Hardware Hacking Team hat mich auf eine USB-PD-Triggerkarte aufmerksam gemacht. Der USB-PD-Trigger verlangt eine bestimmte Spannung von der PD-Stromversorgung. Der Vorteil dieser Karte ist, dass es nicht notwendig ist, ein USB-Kabel zu sezieren, um sie mit dem MaxiProx zu verbinden. Außerdem kann ich die benötigten 12 Volt problemlos an den MaxiProx liefern, ohne das Boost-Modul zu benötigen.
Also machte ich mich wieder daran, weitere Teile zu bestellen. Was ich schließlich bestellte, war ein 12 Zoll langes USB-C-auf-USB-C-Kabel (da ich einen guten Preis gefunden hatte, bestellte ich tatsächlich ein Dreierpack), ein Doppelpack PD-Auslöser und eine 5/8 Zoll lange Flügelschraube #6-32. Die Flügelschraube ermöglicht es, den MaxiProx zu öffnen und zu schließen, ohne einen Schraubenzieher zu verwenden.
Aufbau, Test, Frustration
Ich habe also einen Plan, ich habe meine Münzen und ich fühle mich ungeduldig und bereit. Nun wollen wir alles an seinen Platz bringen. Zunächst lege ich fest, wo sich die einzelnen Teile befinden:
Das sieht gut aus und alles passt zusammen. Nun ist es an der Zeit, sich Gedanken darüber zu machen, wie die Kabel verlaufen sollen. Es gibt einen Kanal direkt über der Batterie und unter dem ESPKey, der sich rechts neben der USB-PD-Triggerkarte befindet. Ich habe vor, die Kabel von der USB-PD-Triggerkarte zum Schalter und dann entlang dieses Kanals zu verlegen.
Dieses Schema zeigt die ursprüngliche Anordnung der Fäden :
Um die Drähte durch den Kanal zu führen, muss ich zunächst den unteren Teil des Kanals aushöhlen. Das hätte ich mit einem Dremel oder einem oszillierenden Multitool machen können, aber ich entschied mich für die Handarbeit mit einer Metallsäge und einer Spitzzange.
Es ist Zeit, ihn zu verkabeln! Es gibt drei Dinge, die ich tun muss, bevor ich ihn mit Strom versorgen kann. Als Erstes, und das ist das Wichtigste, muss ich sicherstellen, dass der MaxiProx für 12 V und nicht für 24 V konfiguriert ist, wie in der Abbildung "HID MaxiProx Power Requirements" (Anforderungen an die HID MaxiProx-Stromversorgung) dargestellt. Am MaxiProx gibt es eine Steckbrücke direkt neben dem Terminalblock (TB1), in den die Stromversorgung eingesteckt wird. Die Anschlüsse P1 und P2 liefern 12V und die Anschlüsse P2 und P3 liefern 24V. Da wir 12V benötigen, müssen wir P1 und P2 mit dem Jumper verbinden. Ich habe außerdem eine Drahtschleife hinzugefügt, um die Masse mit der Abschirmung zu verbinden.
Zweitens musste der PD-Trigger auf die richtige Spannung eingestellt werden. (Einige PD-Trigger erforderten Lötpunkte, um die gewünschte Spannung zu erreichen, aber ich entschied mich für die Platine, die DIP-Schalter hat).
Im unteren Teil der Platine befindet sich die Matrix, mit der die DIP-Schalter so konfiguriert werden können, dass die gewünschte Spannung erreicht wird. Da ich 12 Volt benötigte, musste ich die DIP-Schalter so konfigurieren, dass Schalter 1 (S1) eingeschaltet, Schalter 2 (S2) ausgeschaltet und Schalter 3 (S3) eingeschaltet ist.
Und wie immer gilt: Überprüfen Sie Ihre Konfiguration, bevor Sie sie anschließen. Wenn Sie noch nie ein Multimeter verwendet haben, gilt Folgendes ein weiteres Video von Aftotechmods was ein gutes und schnelles Video von vier Minuten und 30 Sekunden ist, das alles abdeckt, was Sie wissen müssen.
Und drittens muss das Power Buck-Modul so konfiguriert werden, dass es die richtige Spannung an das ESP RFID Tool liefert. Da Shain das Power Buck-Modul auf 5 Volt konfiguriert hat, mache ich das Gleiche. Ich habe eine Variante des PowerBoost-Moduls gekauft, die einen eingebauten Spannungsanzeiger hat. Dieser Indikator kann mithilfe eines schwarzen Druckknopfes neben dem Bildschirm umgeschaltet werden, um die Eingangs- und Ausgangsspannung anzuzeigen. Der erste Schritt besteht darin, die beschrifteten Drahtanschlüsse zu finden VIN+ und VIN- an das PD-Boost-Modul, um das Power Buck-Modul mit Strom zu versorgen. Achten Sie darauf, dass Sie nichts an den VOUT noch nicht konfiguriert worden sind. Außerdem muss die Ausgangsspannung konfiguriert werden, bevor das ESP RFID Tool angeschlossen werden kann.
Sobald die Stromversorgung hergestellt ist, zeigt die eingebaute Spannungsanzeige die Spannung an, die am Eingang der Karte aufgezeichnet wurde. Um die Spannung zu sehen, die von der Platine ausgeht, drücken Sie einmal auf den Knopf der Spannungsanzeige. Stellen Sie nun die Spannung auf 5 Volt ein, wie Shain es getan hat, indem Sie die Schraube des Potentiometers gegen den Uhrzeigersinn drehen. Wenn Sie diese Einstellung vorgenommen haben, kann die Karte an das RFID-ESP-Tool angeschlossen werden.
Bevor ich mein ESP RFID Tool angeschlossen habe, habe ich überprüft, ob die in das Power Buck-Modul eingehende Spannung korrekt ist, und die ausgehende Spannung angepasst. Dies bestätigte ich vor dem Verdrahten, auch wenn es auf dem Bild nicht zu sehen ist.
Im Moment werde ich vorübergehend alles außer dem Schalter verdrahten, nur um zu sehen, ob alles funktioniert.
Also, er ist eingeschaltet, und jetzt will ich testen, ob er eine Karte lesen kann. Und das tut es - irgendwie. Liest er die Karte? Ja, das tut er. Die Überprüfung der Protokolle des ESP RFID-Tools mit einer RFID-Testkarte zeigt, dass es funktioniert hat.
Allerdings: Kann ich dadurch eine große Reichweite erzielen? Absolut nicht. Damit der MaxiProx die Karte - oder überhaupt eine Karte - lesen kann, muss die Karte immer extrem nah an den Antennen sein. Wie auch immer, er funktioniert, in gewissem Maße. Was ist also das Problem? Ist es der gebrauchte und von der Sonne ausgebleichte MaxiProx? Hat er einen defekten Chip oder Kondensator? Vielleicht ist es die Firmware? Ist die Stromversorgung nicht korrekt? Stört etwas das drahtlose Signal, z. B. der USB-Akku oder der Ort, an dem sich der ESP-RFID-Schlüssel befindet?
Zu diesem Zeitpunkt, wer weiß? Aber wir werden es herausfinden! Um dieses Projekt abzuschließen, muss ich das Problem der Reichweite des MaxiProx lösen, während ich den Schalter anschließe, alle Karten zusammenbauen, die Batterie sichern und den akustischen Schalter installieren. Halten Sie also die Augen offen für den Nachfolgeblog (oder die Blogs, vielleicht). Bis bald, und gehen Sie und sicher hacken Sie Hardware!
Danksagungen
Geliebt zu werden ist etwas Wunderbares, und ich wollte mich bei denjenigen bedanken, die mir auf meinem Weg geholfen haben. Seien Sie sich bewusst, dass die Auswirkungen Ihres guten Willens noch nicht abgeschlossen sind. Und da dieses Projekt noch nicht abgeschlossen ist, wird die Liste sicherlich noch länger werden. Im Moment gilt der Dank Jason Ashton, dem Pionier des TrustedSec-Elektrohackens. Danke auch an die Mitglieder des TrustedSec Hardware Hacking-Teams, die mir in meinen schwierigen Zeiten geholfen haben (Rob Simon, Philip DuBois, Robert Lee und Dennis Shannon), ohne zu hart mit mir ins Gericht zu gehen.
