Ang pagbag-o ug pag-hack sa eksternal nga self-encrypting drive mao ang akong daan nga kalingawan. Kaniadto, nakahigayon ko nga magpraktis sa mga modelo sama sa Zalman VE-400, Zalman ZM-SHE500, Zalman ZM-VE500. Bag-o lang, usa ka kauban ang nagdala kanako og laing exhibit: Patriot (Aigo) SK8671, nga gitukod sumala sa usa ka tipikal nga disenyo - usa ka LCD indicator ug usa ka keyboard alang sa pagsulod sa PIN code. Mao nay nigawas...
1. Pasiuna
Housing
Упаковка
Ang pag-access sa datos nga gitipigan sa disk, nga kuno naka-encrypt, gihimo pagkahuman sa pagsulod sa PIN code. Pipila ka pasiuna nga mga nota sa kini nga aparato:
- Aron mausab ang PIN code, kinahanglan nimo nga pindota ang F1 sa dili pa maablihan;
- Ang PIN code kinahanglang adunay gikan sa 6 ngadto sa 9 ka numero;
- Human sa 15 ka sayop nga pagsulay, ang disk malimpyohan.
2. Arkitektura sa hardware
Una, gibahin namo ang device ngadto sa mga bahin aron masabtan kung unsa nga mga sangkap ang naglangkob niini. Ang labing kapoy nga buluhaton mao ang pag-abli sa kaso: daghang mga microscopic screw ug plastik. Sa pag-abli sa kaso, atong makita ang mosunod (pagtagad sa lima ka pin nga konektor nga akong gibaligya):
2.1. Main board
Ang main board yano ra:
Ang labing inila nga mga bahin niini (tan-awa gikan sa taas hangtod sa ubos):
- konektor alang sa LCD indicator (CN1);
- tweeter (SP1);
- Pm25LD010 () SPI flash drive (U2);
- Jmicron JMS539 controller () para sa USB-SATA (U1);
- USB 3 connector (J1).
Ang SPI flash drive nagtipig sa firmware alang sa JMS539 ug pipila ka mga setting.
2.2. LCD indicator board
Walay talagsaon sa LCD board.
Lamang:
- Ang timailhan sa LCD nga wala mailhi nga gigikanan (tingali adunay set sa font nga Intsik); uban ang sequential control;
- Ribbon connector alang sa keyboard board.
2.3. Keyboard board
Kung gisusi ang keyboard board, ang mga butang adunay labi ka makapaikag nga turno.
Dinhi, sa luyo nga bahin, nakita namon ang usa ka ribbon connector, ingon man usa ka Cypress CY8C21434 microcontroller PSoC 1 (pagkatapos niini tawgon lang namon kini nga PSoC)
Gigamit sa CY8C21434 ang set sa panudlo sa M8C (tan-awa ). Sa [panid sa produkto](() gipakita nga kini nagsuporta sa teknolohiya (solusyon gikan sa Cypress, alang sa capacitive nga mga keyboard). Dinhi imong makita ang five-pin connector nga akong gibaligya - kini usa ka standard nga pamaagi sa pagkonektar sa usa ka external programmer pinaagi sa ISSP interface.
2.4. Pagtan-aw sa mga alambre
Atong tan-awon kung unsa ang konektado dinhi. Aron mahimo kini, sulayi lang ang mga wire gamit ang multimeter:
Mga pagpatin-aw alang niini nga diagram nga gidrowing sa tuhod:
- Ang PSoC gihulagway sa teknikal nga detalye;
- ang sunod nga konektor, ang usa sa tuo, mao ang interface sa ISSP, nga, pinaagi sa kabubut-on sa kapalaran, katumbas sa kung unsa ang nahisulat bahin niini sa Internet;
- Ang pinakatuo nga konektor mao ang terminal alang sa ribbon connector sa keyboard board;
- Ang itom nga rektanggulo usa ka drowing sa CN1 connector, nga gidisenyo aron makonektar ang main board sa LCD board. Ang P11, P13 ug P4 konektado sa PSoC pins 11, 13 ug 4, sa LCD board.
3. Pagkasunod-sunod sa mga lakang sa pag-atake
Karon nga nahibal-an na namon kung unsa nga mga sangkap ang gilangkuban sa kini nga drive, kinahanglan namon nga: 1) siguroha nga ang sukaranan nga pag-andar sa pag-encrypt naa gyud; 2) hibal-i kung giunsa ang mga yawe sa pag-encrypt gihimo / gitipig; 3) pangitaa kung asa gyud susihon ang PIN code.
Sa pagbuhat niini akong gibuhat ang mosunod nga mga lakang:
- mikuha ug data dump gikan sa SPI flash drive;
- misulay sa paglabay sa datos gikan sa PSoC flash drive;
- gipamatud-an nga ang komunikasyon tali sa Cypress PSoC ug JMS539 sa tinuud adunay mga keystroke;
- Gipaneguro nako nga kung gibag-o ang password, wala’y ma-overwrite sa SPI flash drive;
- tapulan kaayo nga balihon ang 8051 firmware gikan sa JMS539.
3.1. Pagkuha ug data dump gikan sa SPI flash drive
Kini nga pamaagi yano ra kaayo:
- ikonektar ang mga probe sa mga bitiis sa flash drive: CLK, MOSI, MISO ug (opsyonal) EN;
- "sniff" nga mga komunikasyon sa usa ka sniffer gamit ang logic analyzer (gigamit nako );
- pag-decode sa SPI protocol ug pag-eksport sa mga resulta ngadto sa CSV;
- pahimuslan aron ma-parse ang mga resulta ug makakuha og dump.
Palihug timan-i nga kini nga pamaagi labi ka maayo sa kaso sa JMS539 controller, tungod kay kini nga controller nagkarga sa tanan nga firmware gikan sa flash drive sa pagsugod sa yugto.
$ decode_spi.rb boot_spi1.csv dump
0.039776 : WRITE DISABLE
0.039777 : JEDEC READ ID
0.039784 : ID 0x7f 0x9d 0x21
---------------------
0.039788 : READ @ 0x0
0x12,0x42,0x00,0xd3,0x22,0x00,
[...]
$ ls --size --block-size=1 dump
49152 dump
$ sha1sum dump
3d9db0dde7b4aadd2b7705a46b5d04e1a1f3b125 dumpAng pagkuha sa usa ka dump gikan sa SPI flash drive, nakahinapos ako nga ang bugtong tahas niini mao ang pagtipig sa firmware alang sa JMicron control device, nga gitukod sa 8051 microcontroller. Ikasubo, ang pagkuha sa usa ka dump sa SPI flash drive nahimong walay kapuslanan:
- kung giusab ang PIN code, ang flash drive dump nagpabilin nga pareho;
- Pagkahuman sa yugto sa pagsugod, ang aparato dili maka-access sa SPI flash drive.
3.2. Pag-sniff sa mga komunikasyon
Kini usa ka paagi aron mahibal-an kung unsang chip ang responsable sa pagsusi sa mga komunikasyon alang sa oras / sulud sa interes. Sama sa nahibal-an na nato, ang USB-SATA controller konektado sa Cypress PSoC LCD pinaagi sa connector CN1 ug duha ka ribbons. Busa, among gikonektar ang mga probe sa tulo ka katugbang nga mga bitiis:
- P4, kinatibuk-ang input/output;
- P11, I2C SCL;
- P13, I2C SDA.
Dayon among ilunsad ang Saleae logic analyzer ug mosulod sa keyboard: "123456~". Ingon nga resulta, atong makita ang mosunod nga diagram.
Niini atong makita ang tulo ka mga channel sa pagbayloay sa datos:
- adunay daghang mugbo nga pagbuto sa channel P4;
- sa P11 ug P13 - halos padayon nga pagbayloay sa datos.
Pag-zoom in sa unang spike sa channel P4 (asul nga rektanggulo sa miaging numero), atong makita ang mosunod:
Dinhi imong makita nga sa P4 adunay hapit 70ms sa usa ka monotonous nga signal, nga sa sinugdan daw ako nagdula sa papel sa usa ka signal sa orasan. Apan, human sa paggahin og pipila ka panahon sa pagsusi sa akong tagna, akong nadiskobrehan nga kini dili usa ka signal sa orasan, apan usa ka audio stream nga output ngadto sa tweeter sa diha nga ang mga yawe gipugos. Busa, kini nga seksyon sa signal mismo wala maglangkob sa mapuslanon nga kasayuran alang kanamo. Bisan pa, mahimo kini gamiton ingon usa ka timailhan aron mahibal-an kung ang PSoC nagparehistro sa usa ka yawe nga press.
Bisan pa, ang labing bag-o nga P4 audio stream usa ka gamay nga kalainan: kini ang audio alang sa "dili balido nga PIN"!
Pagbalik sa keystroke graph, pag-zoom sa katapusang audio stream graph (tan-awa pag-usab ang asul nga rectangle), atong makuha:
Dinhi atong makita ang monotonous signals sa P11. Busa morag kini ang signal sa orasan. Ug P13 ang datos. Tan-awa kung giunsa pagbag-o ang pattern pagkahuman matapos ang beep. Makapainteres nga makita kung unsa ang mahitabo dinhi.
Ang mga protocol nga nagtrabaho sa duha ka wire kasagaran SPI o I2C, ug ang teknikal nga detalye sa Cypress nag-ingon nga kini nga mga pin katumbas sa I2C, nga atong nakita nga tinuod sa atong kaso:
Ang USB-SATA chipset kanunay nga nag-poll sa PSoC aron mabasa ang estado sa yawe, nga sa default mao ang "0". Unya, kung imong gipugos ang "1" nga yawe, kini mausab sa "1". Ang katapusan nga pagpasa dayon pagkahuman sa pagpindot sa "~" lahi kung ang sayup nga PIN code gisulod. Bisan pa, sa pagkakaron wala pa nako masusi kung unsa gyud ang gipasa didto. Apan nagduda ko nga kini dili tingali usa ka yawe sa pag-encrypt. Bisan pa, tan-awa ang sunod nga seksyon aron masabtan kung giunsa nako gikuha ang internal firmware sa PSoC.
Source: www.habr.com