Esta fue mi segunda prueba de penetración física aquí en TrustedSec y me emparejé con mi colega Paul Burkeland. Después de llegar al hotel, Paul dijo que necesitaba 16 pilas AA, así que nos fuimos al CVS local. Me sorprendió no sólo la necesidad de comprar 16 pilas AA, sino también el precio de 16 pilas AA en CVS.
Las pilas eran necesarias para un lector de tarjetas RFID de largo alcance (como los que se encuentran en los aparcamientos y se utilizan para subir una rampa o abrir una puerta tras obtener una "tarjeta de entrada"). Estos tipos de lectores de largo alcance pueden leer una etiqueta pasiva unidireccional desde una distancia de hasta 60 centímetros. Me sorprendió lo que me enseñó Paul. Era un lector casero que funcionaba con una placa Arduino y una pantalla LCD. Era un clonador móvil de tarjetas de identificación construido por Jason Ashton, de TrustedSec.
Muchos años después, acabé adquiriendo una Proxmark3 RDV4 para clonar placas. Cualquiera que tenga una Proxmark sabe que tiene que tocar la placa que está clonando para que funcione. Siempre he aspirado a construir mi propio clonador de insignias de 12" x 12". Por fin ha llegado ese día. Tened paciencia conmigo porque nunca he construido nada parecido. Te invito a que me sigas en mi viaje mientras me enfrento a este nuevo rompecabezas. Y quizás aprendas algo nuevo de mis pruebas y tribulaciones.
Contexto
Para que quede claro, no soy ingeniero eléctrico ni hacker. Pero me gustan los rompecabezas, arreglar cosas y aprender nuevas habilidades, como a la mayoría de los que estáis leyendo esto. Mi primera experiencia como "bujía" fue a los 10 años, cuando mi tío electricista me compró un multímetro y otras herramientas básicas. Me enseñó a utilizarlas, a manejar la electricidad con seguridad y a saber qué hacer y qué no hacer. A los 14 años, rehice el sótano de mis padres, incluida la electricidad, con la ayuda de un amigo de mis padres. Por aquel entonces, era el YouTube original.
En los tiempos que corren, algunos aparatos electrónicos han sido víctimas de la epidemia de condensadores de mediados de la década de 2000. Pude sustituir los condensadores defectuosos de mi televisor y mi equipo de música y alargar su vida útil 10 años. Todo esto lo hice gracias a las versiones antiguas y nuevas de YouTube.
Como muchos, soy un manitas autodidacta de la electricidad, así que espero no merecer el anillo de campeón de ingeniería eléctrica de Darwin :
Para construir... necesitas un plano, cimientos y materiales
¿Qué clonador estamos clonando y cuáles son mis necesidades? Encontré un artículo de Shain Lakin en phrack.me que es una versión clonada de El ladrón Tastic RFID de Bishop Fox. Este proyecto parecía sencillo porque el artículo de Shain era muy completo. También se construyó con una herramienta ESP RFID que incluye Wi-Fi incorporado y un navegador web para comprobar en secreto si ha clonado una insignia. ¿Y lo mejor? Utiliza pilas recargables 18650, así que no tienes que pagar un ojo de la cara por 16 pilas AA.
Poco después de descubrir la construcción de Shain, hablé con Jason Ashton sobre mis ideas para construir mi propio clonador. ¿La respuesta de Jason? Oh, he documentado completamente mi construcción en un blog que deberías visitar". Le dije a Jason que había encontrado el blog de Shain y que la construcción parecía fácil. Después de todo, basta con echar un vistazo a la lista de piezas necesarias para cada construcción. El montaje de Jason de 2018 está a la izquierda y el de Shain de 2022 a la derecha.
Tenía algunas ideas para mi construcción y quería consultar a Jason. Mi "lista de deseos" para la construcción incluye los siguientes elementos:
- Una fuente de alimentación USB en lugar de pilas recargables
- Uso de dos puertos USB, uno para alimentar el MaxiProx y el otro para alimentar la herramienta ESP RFID.
- Corte un cable USB para alimentar el MaxiProx y la Herramienta RFID ESP desde el banco de alimentación.
- Interruptor de sonido Jason para encender y apagar manualmente el altavoz
La primera preocupación de Jason era si el banco de alimentación USB podría suministrar suficiente energía. La construcción de Shain utilizó un módulo PowerBoost que aumentó la entrada de 5 voltios de las baterías a los 12 voltios requeridos por el HID MaxiProx. Yo estaba pensando en usar uno de los tres puertos USB en el banco de energía para el ESPKey y otro para alimentar el HID MaxiProx. A Jason no le importaba, pero le preocupaba diseccionar el cable USB y conseguir 12 voltios a través de los cables. Ambos dudamos si separar el cable USB y conectarlo al ESPKey y al HID MaxiProx.
El plan
Una vez trazado el plan, empecé a pedir las piezas. Aquí está la primera serie de piezas que pedí (con hipervínculos y el precio pagado en el momento de la compra):
Y aquí están las piezas iniciales colocadas en la encimera de la cocina:
A pesar de lo emocionado que estaba por poner en marcha este proyecto, sabía que quería compartirlo con los demás, para que otros vieran mi proceso. Así que decidí hablar de ello con el equipo de Hardware Hacking de TrustedSec: mi camino de baldosas amarillas, por así decirlo.
Tengo que decirles que fueron como niños en una tienda de golosinas y enseguida empezaron a hacer todas las preguntas adecuadas mientras yo trastabillaba con mis peticiones:
- ¿Qué modelo de MaxiProx utiliza?
- ¿Cuáles son las necesidades energéticas de MaxiProx?
- ¿Cuáles son las especificaciones de la batería USB?
- ¿Cómo se suministrarán los alimentos?
- ¿Has calculado el número de vatios-hora (Wh) necesarios?
Necesidades energéticas, cambio de fuente de energía y otras compras
Según las especificaciones de alimentación del MaxiProx, la potencia requerida durante el funcionamiento de pico es de 12 voltios a 1,2 amperios. La fuente de alimentación recomendada es de 12 voltios a 2 amperios.
Ahora que conozco los requisitos de energía, necesito saber cuánta energía suministra el paquete de baterías USB. La primera batería que utilicé fue una Anker PowerCore 13000. La Anker tiene dos puertos USB-A, cada uno de los cuales suministra 5 voltios a 3 amperios.
Podía usar el módulo boost, pero también tenía otra batería USB con un puerto USB-C PD (Power Delivery). Los puertos USB con PD permiten la comunicación entre el dispositivo que se va a cargar y la fuente de alimentación. El dispositivo que se va a cargar comunica sus necesidades de energía a la fuente de alimentación. La fuente de alimentación suministra entonces la energía específica necesaria al dispositivo que se va a cargar.
El pack de baterías con USB-C PD es interesante porque el único puerto proporciona los 12 voltios necesarios a 1,5 amperios. También se carga rápidamente a través del mismo puerto USB-C y, como ventaja añadida, tiene el tamaño adecuado para el MaxiProx.
El equipo TrustedSec Hardware Hacking me llamó la atención sobre una tarjeta USB-PD trigger. El disparador USB-PD requiere un cierto voltaje de la fuente de alimentación PD. La ventaja de esta tarjeta es que no tienes que diseccionar un cable USB para conectarlo al MaxiProx. Además, puedo suministrar los 12 voltios necesarios al MaxiProx sin ningún problema y sin necesidad del módulo de refuerzo.
Así que volví a pedir más piezas. Lo que acabé pidiendo fue un cable USB-C a USB-C de 12 pulgadas de largo (como encontré un buen precio, en realidad pedí un paquete de tres), un paquete de dos disparadores PD y un tornillo de mariposa #6-32 de 5/8 pulgadas de largo. El tornillo de mariposa permite abrir y cerrar el MaxiProx sin utilizar un destornillador.
Construcción, pruebas, frustración
Así que tengo un plan, tengo mis piezas y me siento impaciente y preparado. Vamos a montarlo todo. En primer lugar, determino la ubicación de cada elemento:
Tiene buen aspecto y todo encaja. Ahora es el momento de preocuparse de cómo se van a enrutar los cables. Hay un canal justo encima de la batería y debajo del ESPKey que está a la derecha de la tarjeta USB PD trigger. Tengo la intención de pasar los cables de la tarjeta USB PD trigger al interruptor y luego a lo largo de este canal.
Este diagrama muestra la disposición inicial de los cables:
Para pasar los cables por el canal, primero tengo que desenterrar la parte inferior del canal. Podría haberlo hecho con una Dremel o una multiherramienta oscilante, pero decidí hacerlo a mano con una sierra y unos alicates de punta.
Es hora de conectarlo. Hay tres cosas que hacer antes de que pueda alimentarlo. En primer lugar, y lo más importante, tengo que asegurarme de que el MaxiProx está configurado para 12V y no 24V como se muestra en la "HID MaxiProx Requisitos de alimentación" figura. En el MaxiProx hay un puente justo al lado del bloque de terminales (TB1) en el que se conecta la fuente de alimentación. Las conexiones P1 y P2 suministran 12V y las conexiones P2 y P3 suministran 24V. Como necesitamos 12V, tenemos que conectar P1 y P2 con el puente. También he añadido un cable de lazo para conectar la tierra a la pantalla.
En segundo lugar, había que ajustar el disparador PD al voltaje correcto. (Algunos disparadores PD requerían puntos de soldadura para obtener el voltaje deseado, pero yo opté por la placa que tiene interruptores DIP).
La parte inferior de la placa contiene la matriz para configurar los interruptores DIP para dar el voltaje requerido. Como necesitaba 12 voltios, tuve que configurar los interruptores DIP para que el interruptor 1 (S1) estuviera encendido, el interruptor 2 (S2) apagado y el interruptor 3 (S3) encendido.
Y, como siempre, comprueba la configuración antes de enchufarlo. Si nunca has utilizado un multímetro, esto es lo que necesitas saber otro vídeo de Aftotechmods que es un buen y rápido vídeo de cuatro minutos y 30 segundos que cubre todo lo que necesitas saber.
Y en tercer lugar, el módulo Power Buck necesita ser configurado para suministrar el voltaje adecuado a la herramienta ESP RFID. Como Shain ha configurado el módulo Power Buck a 5 voltios, yo estoy haciendo lo mismo. He comprado una variante del módulo PowerBoost que tiene un indicador de voltaje incorporado. Este indicador puede ser conmutado usando un botón negro al lado de la pantalla para mostrar el voltaje de entrada y salida. El primer paso es encontrar los terminales de cable etiquetados como VIN+ y VINO- al módulo de refuerzo PD para alimentar el módulo Power Buck. Asegúrese de que no hay nada conectado al VOUT aún no se han configurado. Además, la tensión de salida debe configurarse antes de conectar la Herramienta RFID ESP.
Una vez suministrada la alimentación, el indicador de tensión integrado muestra la tensión registrada en la entrada de la tarjeta. Para ver la tensión que sale de la tarjeta, pulsa una vez el botón del indicador de tensión. Ahora ajuste el voltaje a 5 voltios como ha hecho Shain girando el tornillo del potenciómetro en sentido contrario a las agujas del reloj. Una vez realizado este ajuste, se puede conectar la tarjeta a la herramienta ESP RFID.
Antes de conectar mi ESP RFID Tool, comprobé que la tensión de entrada al módulo Power Buck era correcta y ajusté la tensión de salida. Lo confirmé antes de cablearlo, aunque en la foto no se aprecia.
De momento, voy a cablear provisionalmente todo menos el interruptor, para ver si todo funciona.
Así que, está encendido, y ahora voy a probar si puede leer una tarjeta. Y lo hace... más o menos. ¿Lee la tarjeta? Sí. La comprobación de los registros de la herramienta RFID ESP con una tarjeta RFID de prueba muestra que funcionó.
¿Pero me da un largo alcance? Por supuesto que no. Para que el MaxiProx lea la tarjeta, o cualquier tarjeta, la tarjeta debe estar siempre muy cerca de la antena. Cualquiera que sea el caso, funciona, hasta cierto punto. ¿Cuál es el problema? ¿Está el MaxiProx desgastado y descolorido por el sol? ¿Tiene un chip o un condensador defectuoso? ¿Quizás el firmware? ¿La fuente de alimentación es incorrecta? ¿Hay algo que interfiere con la señal inalámbrica, como la batería USB o la ubicación de la llave ESP RFID?
A estas alturas, ¿quién sabe? ¡Pero vamos a averiguarlo! Para terminar este proyecto, necesito resolver el problema de alcance del MaxiProx mientras conecto el interruptor, monto todas las placas, aseguro la batería e instalo el interruptor de sonido. Así que estad atentos al siguiente blog (o blogs, quizás). Hasta pronto, y adelante con total seguridad ¡equipo pirata!
Agradecimientos
Ser querido es algo maravilloso, y quería dar las gracias a quienes me han ayudado a lo largo del camino. Quiero que sepan que el impacto de su buena voluntad aún no ha terminado. Y como este proyecto aún no ha terminado, la lista seguirá aumentando. Por ahora, gracias a Jason Ashton, pionero hacker de TrustedSec. Gracias también a los miembros del equipo de hacking de hardware de TrustedSec que me han ayudado (Rob Simon, Philip DuBois, Robert Lee y Dennis Shannon) en mis momentos de necesidad sin ser demasiado duros conmigo.
