还珠格格野传:【海事安全篇:船舶黑匣子VDR是如何被黑掉的? 】—-冰冷的肉,日赚百元,车牌号码吉凶测试,网上做什么挣钱

网络干货 litianseo 6个月前 (06-24) 64次浏览 已收录 0个评论

正文:

  海事安全篇:船舶黑匣子 VDR 是如何被黑掉的?  
2014 年,IOActive 披露了影响多类 SATCOM 设备的一系列袭击,其中一些部署在船舶上的。毫无疑问,海上资产是应该重点关注的目标,但我们不能只把眼光放在船舶或者大型游轮的通讯设备上。为了应对这种情况,IOActive 提供了评估船舶系统和设备的安全态势的服务。
海事安全论
在港口、船舶和海事范围,有着各种设施和多种设备系统,它们对于各国各部门有着重要意义,我们需要花精力去保障它们的安全。
港口安全指的是保护这些海上资产不受盗版行为、恐怖主义,以及其他非法走私活动的侵害。然而,最近有些事件似乎表明,网络攻击这个行业似乎被低估了。随着威胁态势的发展,政府的流程和政策必须考虑改进,以适应这些新的攻击场景。
比如:
https://www.federalregister.gov/articles/2014/12/18/2014-29658/guidance-on-maritime-cybersecurity-standards
http://www.gao.gov/assets/670/663784.pdf
这篇文章描述了 IOActive 某项研究,这是一种船舶上的设备航行数据记录仪(VDR)。为了更加了解这些设备,我将解释下在 Furuno VR-3000 设备中发现的隐秘和漏洞。

什么是航行数据记录仪
http://www.imo.org/en/OurWork/Safety/Navigation/Pages/VDR.aspx
这玩意儿就相当于飞机的黑匣子,它会记录一些重要数据,如雷达图像、定位、速度和频段等等,这些是可以用来了解事故的根源的。
真实的事件
几年前,海盗行为每日都在上演,几乎每天都有相关新闻报道。因此,民族国家和渔业、船运公司决定派遣军队或者雇佣军,去保护他们的船队。
2012 年 2 月 15 日,意大利海军陆战队枪杀了 Enrica 商船上的两名印度渔民。据传,这群大兵以为自己被海盗袭击了。这次的恶性事件,直接导致意大利和印度之间外交关系极度恶化,并且一直持续到现在,事见:
https://en.wikipedia.org/wiki/Enrica_Lexie_case
神秘的是,由 VDR(航行数据记录仪)和传感器储存的,在事故发生那段时间的音频数据竟然损坏了,有关部门无法利用它调查出到底发生了什么。印度时报指出,航行数据记录仪或许本可以给当局提供事情发生的原委:

http://timesofindia.indiatimes.com/city/chennai/Lost-voice-data-recorder-may-cost-India-Italian-marines-case/articleshow/473559725pxs
奇怪的是,这次事件中遭到破坏的 VDR 是由 Furuno 生产的。Kerala 最高法院的文件介绍了这个事情:
http://indiankanoon.org/doc/187144571/
然而,我们不能肯定 Enrica 商船配备的是否是 VR-3000。这里备注一下,该船舶制造于 2008 年,而 Furuno 的 VR-3000 是于 2007 年发布的。
就在几周后,在 2012 年 3 月 1 日,一艘挂着新加坡国旗的货船 MV. Prabhu Daya,在 Kerala 海岸卷入了一场肇事逃逸事件。在这次事件中,有三个渔民死去,一个不知所踪后来被渔船救起。印度当局发起了对事件的调查,逮捕 MV. Prabhu Daya 的船长:

在此过程中,几家印度报纸报道了一个有趣的细节:

http://www.thehindu.com/news/national/tamil-nadu/voyage-data-recorder-of-prabhu-daya-may-have-been-tampered-with/article2982183.ece
那么,到底发生了什么呢?
从安全的角度来看,VDR 扮演了一个极其有趣的角色。如果你想监视船舶的活动情况,或者想破坏敏感数据。可能会把你的船员置于困难之地,而 VDR 则是事情的关键。
大家要知道,VDR 能提供给当局或者第三方取证调查所需要的重要信息。然而,如果黑客拥有精确改变数据的能力,也可以发动反取证攻击,就如前面提到的那次 Enrica 数据毁灭事件一样。
VR-3000 探究和 hack
这次像往常一般,我并没有去接触硬件。但是,我玩了点小花招,找出了目标 VDR 的固件和软件。下面要讲述的细节,是基于静态分析和用户模式 QEMU 仿真,这个已经在以前的博文中提过。
图:典型的 VR-3000 体系结构

基本上,在 DCU(数据采集单元)里,有一个具有多种通信接口(如 USB、IEEE1394、LAN)的 linux 机器。在 DCU 里,还有一个备份硬盘,其中拷贝了部分 DRU(数据记录单元)的数据,这里的 DRU 是为了保护数据不被意外事件所侵害。
它还包含 flash 闪存,可以存储 12 小时的数据。这个单元存储了所有必要的导航数据,桥会话、VHF 会话的状态数据,以及雷达图像。
IMO(国际海事组织)建议厂商为所有在 2006 年 7 月 1 日后安装的 VDR 和 S-VDR 系统,提供一个将机器里面的数据提取到笔记本电脑的方法。我们需要制造商提供提取数据的软件,提取数据的指令,以及连接记录设备和计算机之间的线缆。
下列的文档提供了更详细的信息:
http://www.furunousa.com/ProductDocuments/VR3000%20Data%20Extraction%20Instructions%20for%20version%202.xx.pdf

http://www.furunousa.com/ProductDocuments/VR3000%20LivePlayer%20V4%20Operator's%20Manual%20%20for%20Version%202.xx.pdf

http://www.furuno.fr/Multimedia/VR3000_VR3000S_OME-G1.pdf

有趣的是,在花了几个小时反编译不同的二进制文件后,发现该设备明显不太安全,其中存在多个缓冲区溢出漏洞和命令执行漏洞。并且,升级固件的机制也是存在漏洞的,加密亦有缺陷。可以说,几乎整个设计都能被称为不安全的。
比如执行这个函数,从 Playback 软件里提取数据,可以绕过身份验证。对于那些想知道加密器是什么的,我只给出一个词:Scytale(某种密码):

在对该二进制服务的进一步挖掘后,我们发现了一个漏洞。它允许未经身份认证的黑客远程访问并攻击 VR-3000,以 root 权限任意执行命令。这个漏洞足以完全拿下设备,因为黑客可以远程访问、修改、删除储存在船舶设备里的数据,其中包括语音对话、雷达图像和导航数据:

VR-3000 可以在 windows 下软件 VDR Maintenance Viewer(客户端)的帮助下,进行固件更新,这是 Furuno 的专用软件。
VR-3000 固件(服务端)包含一个二进制模块,它用来实现固件更新逻辑(moduleserv)的一部分。
这个服务器监听的是 10110/TCP 端口:

在服务端(DCU)和客户端 (VDR Maintenance Viewer, LivePlayer 之类的),都会使用一个专用的面向连接的二进制协议。基本上,每个数据包都可能包含一连串的数据单元,根据自身的类型,将包含不同类型的数据。
图:一些支持的命令

Moduleserv 的几个控制消息,旨在控制固件升级的过程,让我们来分析下它是如何处理 SOFTWARE_BACKUP_START 的请求的:

一个由黑客控制的字符串,可以执行一个不会被正确过滤的命令。因此,这个漏洞允许黑客不经过身份验证,远程利用 root 权限执行任意命令。
图:“Moduleserv”v2.54 包处理

图:“Moduleserv”v2.54 绕过拦截进行系统调用

通过这一点,黑客可以任意修改储存在 DCU 里的数据,比如在桥上删除特定的会话,删除雷达图像、改变速度、定位数据。黑客也可以利用 VDR 监控船员,因为它至少在桥上是直接连到麦克风上的。
然而,DCU 被攻陷是不足以掩盖黑客的踪迹的,它只包含一个备份硬盘,这个本来风险就大。进行反取证的关键在于设备 DRU。存在漏洞的 DCU 让黑客获取了权限,同时也能删除、更迭 DRU 里面的数据。这个单元是由一个 IEEE1394 接口直连的,下图显示了 DRU 的结构:
图:DRU 的内部结构

漏洞的后续跟踪
在 IMO 的解决方案 MSC.233(90)出来前,VDR 没有遵循可以防止数据篡改的安全标准。考虑到我们演示的设备可以被黑客成功拿下,因此从设备里收集的数据都应该仔细评估和验证,检测潜在被篡改的迹象。
IOActive 负责任地进行了漏洞披露,在 2014 年 10 月告知了 ICS-CERT 漏洞相关的细节。ICS-CERT 与 JPCERT/CC 联手,联系了 Furuno 复现和验证了漏洞。Furuno 表示他们会争取在 2015 年的某个时间点,为用户提供补丁。然而,IOActive 现在并没有发现有细节表明补丁已经打上。
本文撰写参考
1. http://www.ioactive.com/alerts/maritime-vessel-ship-security-assurance.html
2. http://blog.ioactive.com/2013/09/emulating-binaries-to-discover.html
3. http://www.imo.org/en/KnowledgeCentre/IndexofIMOResolutions/Documents/MSC%20-%20Maritime%20Safety/333(90).pdf
*参考来源:ioactive,FB 小编 dawner 编译,转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)还珠格格野传,冰冷的肉

———————————-

相关阅读:
日赚百元,车牌号码吉凶测试,美女美穴靠逼图片 穿遥控蝴蝶走路受不了

  陈氏曰:虞部员外郎杨备撰,亿之弟也。

  【江湖续集】
“哎,等等!”陈宇梵忽然又出声叫 http://www.seoshenzhen.com/webjishu/4016/道,看着回身疑惑另外那名佣兵,陈宇梵轻咳一声略显尴尬另外问道:“是什么时候另外宴会?”
  【帝王世 http://www.seoshenzhen.com/webjishu/4018/纪】电刷震动盘网上做什么挣钱


喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址