Security Professionals - ipfw add deny all from eindgebruikers to any

Flipper Zero..

24-10-2022, 07:35 door informatiebeveiliger, 11 reacties
Laatst bijgewerkt: 24-10-2022, 07:41
Er is sinds een aantal maanden een apparaatje in omloop waarmee eenvoudig toegangscontrolesystemen gemanipuleerd kunnen worden. Dit apparaatje heet de Flipper Zero..

Zie https://flipperzero.one/

Vraag is zijn er toegangscontrolesystemen te koop die NIET gemanipuleerd kunnen worden met de met de Flipper Zero?
Reacties (11)
24-10-2022, 09:20 door Anoniem
ja, in februari was er een kickstarter voor deze tamagotchi voor hardware hackers.
alle toegangssystemen die geen DS1990A, RFID, onder de 1GHz radio en infrarood gebruiken zullen beschermd zijn.
de rest was al brak voor dit dingetje kwam hoor.
24-10-2022, 09:37 door Anoniem
Ja, er zijn er genoeg die niet geopend kunnen worden. Om een idee te krijgen welke merken/typen door de Flipper geopend kunnen worden kun je kijken naar de GitHub pagina van de Flipper Unleashed firmware. Deze geeft een opsomming van de protocollen die worden ondersteund.

Geloof niet alle (TikTok) filmpjes die je ziet: veel mensen zijn alleen uit om views/likes te scoren. Een groot deel van de filmpjes is dus in scene gezet.

Kijk dus naar de documentatie van de firmware om te zien wat er mogelijk is. Andere devices waar je naar kunt kijken:
- Yard Stick One;
- HackRF;
- PandwaRF.
24-10-2022, 09:41 door Anoniem
De meeste simpele toegangscontrolesystemen gaan alleen uit van het serienummer van een token (NFC card, radio) Dan is een eenvoudige replay (wat dit apparaatje lijkt te kunnen) voldoende.

Voor geavanceerdere systemen wordt een challenge-response gebruikt: het token/de sleutel/de NFC card verstuurt iets, het toegangscontrolesysteem stuurt een challenge, en het token/de sleutel/de NFC card voert een cryptografinsche bewerking uit en stuurt het antwoord.

Als zo'n toegangscontrolesysteem goed is ingericht, én de cryptografische key is niet bekend, dan kan zo'n flipperding er ook niets mee.

Q
02-11-2022, 15:06 door Anoniem
Letop, er zijn momenteel meerdere websites actief. Die de flipperzero aanbieden, maar nooit leveren. Hierbij maken ze gebruik van gestolen bedrijfsgegevens, waardoor het lijkt dat dit een Nederlandse Website is.

Ga altijd naar flipperzero.one, en gebruik de door hun gebruikte verkoopkanalen.

C
02-01-2023, 15:43 door Anoniem
Moet ik hier denken aan elke stereo toren (radio), elke pc(mac), elke router (tussenrouter), en zelfs je eigen gas/afzuiger? Lijkt me allemaal vrij illegaal, je zou hem maar net moeten kunnen zien
04-01-2023, 13:49 door Erik van Straten
Door Dominic Alvieri in https://twitter.com/AlvieriD/status/1609945425871609858, herschreven door mij:
@flipper_zero [1] - echt
@fIipper_zero [2] - fake

[1]: https://twitter.com/flipper_zero - echt
[2]: https://twitter.com/fIipper_zero - fake
Zie je het verschil? Nb. er is een verschil te zien, althans op mijn scherm. Maar ik moet wel héél goed kijken.

Dezelfde tekst met een niet-proportioneel lettertype:
@flipper_zero [1] - echt
@fIipper_zero [2] - fake

[1]: https://twitter.com/flipper_zero - echt
[2]: https://twitter.com/fIipper_zero - fake

Dezelfde tekst met een niet-proportioneel lettertype en de links niet-clickable gemaakt:
@flipper_zero [1] - echt
@fIipper_zero [2] - fake

[1]: https://twitter.com/flipper_zero - echt
[2]: https://twitter.com/fIipper_zero - fake

Vervolgens vind je in die Twitter pagina's (grotendeels identiek, in het 2e plaatje in https://www.bleepingcomputer.com/news/security/ongoing-flipper-zero-phishing-attacks-target-infosec-community/ zie je ze naast elkaar) de volgende links naar de websites:
flipperzero.one [3] - echt
flipperzero.one [4] - fake

[3] https://t.co/ZxeJq8Lcjj - echt - stuurt door naar [5]
[4] https://t.co/5Qs2uqNOEI - was fake - stuurt nu ook door naar [5]

Kennelijk heeft Twitter ondertussen [4] aangepast waardoor beide t.co links op [5] uitkomen:
[5] https://flipperzero.one/ - echt
DV certificaat van Let's Encrypt

Als ik Bleeping Computer goed begrijp, verwees de oude [5] naar:
[6] https://flipper-zero.shop/ - fake
DV certificaat van Let's Encrypt

Hoeveel "informatiebeveiligers" moeten nog in dit soort identiteitsfraude trappen voordat voldoende mensen inzien dat authenticatie op internet FUNDAMENTALLY FLAWED is, en er steeds grotere ongelukken gaan gebeuren als we hier op voortbouwen?

Zoals een gedigitaliseerd identiteitsbewijs in onze smartphones? https://tweakers.net/nieuws/204604/irma-ontwikkelaar-sidn-neemt-deel-aan-eu-pilot-voor-digitale-identiteitswallet.html?showReaction=18254976#r_18254976
04-01-2023, 14:10 door Anoniem
Dit apparaatje is hooguit gehyped tankzij tiktok, in werkelijkheid kan dit ding niet veel meer dan rfid badges clonen,(kan handig zijn als je in een bedrijf werkt en toegangspassen moet maken voor een 'outsider').
04-01-2023, 14:26 door majortom
Door Erik van Straten: Door Dominic Alvieri in https://twitter.com/AlvieriD/status/1609945425871609858, herschreven door mij:
@flipper_zero [1] - echt
@fIipper_zero [2] - fake

[1]: https://twitter.com/flipper_zero - echt
[2]: https://twitter.com/fIipper_zero - fake
Zie je het verschil? Nb. er is een verschil te zien, althans op mijn scherm. Maar ik moet wel héél goed kijken.
Op een normaal scherm met normale grootte idd nauwelijks/niet te zien (mijn standaard font laat geen verschil zien, pas na kopie in een andere tool met ander font kon je het verschil zien). Iedereen leest hier overheen. Zelfs dezelfde tekst met een niet proportioneel font is nauwelijks van elkaar te onderscheiden, in ieder geval als je snel leest.

Dat is met een heel aantal fonts altijd problematisch om de l, I, en 1 (de "el", "hoofdletter i" en cijfer "een") te onderscheiden, evenals de O en de 0. Attackers maken daar idd handig misbuik van. Daarom ook nooit zomaar op een URL klikken.

Overigens heb ik zojuist mijn flipper zero ontvangen, besteld via flipperzero.one. Duurt even, maar wel netjes geleverd.
04-01-2023, 15:04 door Erik van Straten
Door majortom: Daarom ook nooit zomaar op een URL klikken.
"Zomaar"? Wanneer wel en wanneer niet?
04-01-2023, 15:05 door Erik van Straten - Bijgewerkt: 04-01-2023, 15:10
sorry foutje
21-01-2023, 18:38 door Anoniem
Leuk TikTok speeltje waarmee iedereen zich een ware spion waant... leuk voor de kinderen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.