外部自己暗号化ドライブをリバースしてハッキングするのが私の昔からの趣味です。 過去にはZalman VE-400、Zalman ZM-SHE500、Zalman ZM-VE500などのモデルで練習する機会がありました。 つい最近、同僚が別の展示品を持ってきてくれました。パトリオット (アイゴ) SK8671 は、LCD インジケーターと PIN コードを入力するためのキーボードという典型的な設計に従って構築されています。 そこから出てきたのが…

1.はじめに
2. ハードウェアアーキテクチャ
– 2.1. メインボード
– 2.2. 液晶表示板
– 2.3. キーボードボード
– 2.4。 ワイヤーを見てみると
3. 攻撃手順のシーケンス
– 3.1. SPI フラッシュ ドライブからデータ ダンプを取得する
– 3.2. 通信の盗聴

1.はじめに

Корпус

パッキング

ディスクに保存されている暗号化されているデータへのアクセスは、PIN コードを入力した後に実行されます。 このデバイスについてのいくつかの紹介メモ:

• PIN コードを変更するには、ロックを解除する前に F1 を押す必要があります。
• PIN コードには 6 ～ 9 桁の数字を含める必要があります。
• 15 回の間違った試行の後、ディスクはクリアされます。

2. ハードウェアアーキテクチャ

まず、デバイスを部品に分解して、どのようなコンポーネントで構成されているかを理解します。 最も面倒な作業はケースを開けることです。多数の微細なネジとプラスチックが必要です。 ケースを開けると、次のものが表示されます (半田付けした XNUMX ピンのコネクタに注目してください)。

2.1. メインボード

メインボードは非常にシンプルです。

最も注目すべき部分 (上から下まで見てください):

• LCDインジケーター用コネクタ(CN1)。
• ツイーター (SP1);
• PM25LD010 (仕様) SPI フラッシュ ドライブ (U2)。
• Jmicron JMS539 コントローラー (仕様) USB-SATA (U1) 用。
• USB 3 コネクタ (J1)。

SPI フラッシュ ドライブには、JMS539 のファームウェアといくつかの設定が保存されます。

2.2. 液晶表示板

液晶基板には目立ったものはありません。

のみ：

• 原因不明の LCD インジケーター (おそらく中国語フォント セットを使用)。 シーケンシャル制御付き。
• キーボードボード用のリボンコネクタ。

2.3. キーボードボード

キーボード ボードを調べると、事態はさらに興味深い方向に進みます。

ここの裏側には、リボン コネクタと Cypress CY8C21434 マイクロコントローラー PSoC 1 (以下、単に PSoC と呼びます) が見えます。

CY8C21434 は M8C 命令セットを使用します (「 ドキュメンテーション）。 [商品ページ]((http://www.cypress.com/part/cy8c21434-24ltxi) テクノロジーをサポートしていることを示します キャップセンス (静電容量式キーボード用の Cypress のソリューション)。 ここに、私が半田付けした XNUMX ピンのコネクタが見えます。これは、ISSP インターフェイスを介して外部プログラマを接続するための標準的なアプローチです。

2.4. ワイヤーを見てみると

ここに何が関係しているのか見てみましょう。 これを行うには、マルチメーターでワイヤーをテストするだけです。

膝に描かれたこの図の説明:

• PSoC は技術仕様に記載されています。
• 次のコネクタ (右側のコネクタ) は ISSP インターフェイスで、運命の意志により、インターネット上に書かれている内容と一致します。
• 一番右のコネクタは、キーボード ボードへのリボン コネクタ用の端子です。
• 黒い長方形は CN1 コネクタの図で、メイン基板を LCD 基板に接続するために設計されています。 P11、P13、および P4 は、LCD ボード上の PSoC ピン 11、13、および 4 に接続されています。

3. 攻撃手順のシーケンス

このドライブがどのようなコンポーネントで構成されているかがわかったので、次のことを行う必要があります。1) 基本的な暗号化機能が実際に存在することを確認します。 2) 暗号化キーがどのように生成/保存されるかを調べます。 3) PIN コードが正確にチェックされる場所を見つけます。

これを行うために、次の手順を実行しました。

• SPI フラッシュ ドライブからデータ ダンプを取得しました。
• PSoC フラッシュ ドライブからデータをダンプしようとしました。
• Cypress PSoC と JMS539 間の通信に実際にキーストロークが含まれていることを検証しました。
• パスワードを変更するときに、SPI フラッシュ ドライブに何も上書きされないことを確認しました。
• 8051 ファームウェアを JMS539 から元に戻すのが面倒でした。

3.1. SPI フラッシュ ドライブからデータ ダンプを取得する

この手順は非常に簡単です。

• プローブをフラッシュ ドライブの脚に接続します: CLK、MOSI、MISO、および (オプション) EN。
• ロジックアナライザーを使用してスニファーとの通信を「スニフ」します（私は使用しました） サレエロジックプロ16);
• SPI プロトコルをデコードし、結果を CSV にエクスポートします。
• 利用する デコード_spi.rb結果を解析してダンプを取得します。

このコントローラーは初期化段階でフラッシュ ドライブからすべてのファームウェアをロードするため、このアプローチは JMS539 コントローラーの場合に特にうまく機能することに注意してください。

$ decode_spi.rb boot_spi1.csv dump
0.039776 : WRITE DISABLE
0.039777 : JEDEC READ ID
0.039784 : ID 0x7f 0x9d 0x21
---------------------
0.039788 : READ @ 0x0
0x12,0x42,0x00,0xd3,0x22,0x00,
[...]
$ ls --size --block-size=1 dump
49152 dump
$ sha1sum dump
3d9db0dde7b4aadd2b7705a46b5d04e1a1f3b125 dump

SPI フラッシュ ドライブからダンプを取得した結果、SPI フラッシュ ドライブの唯一の役割は、8051 マイクロコントローラに組み込まれている JMicron 制御デバイスのファームウェアを保存することであるという結論に達しました。 残念ながら、SPI フラッシュ ドライブのダンプを取得しても役に立たないことが判明しました。

• PIN コードが変更されても、フラッシュ ドライブのダンプは変わりません。
• 初期化段階の後、デバイスは SPI フラッシュ ドライブにアクセスしません。

3.2. 通信の盗聴

これは、対象の時間/内容の通信をチェックする責任を負っているチップを見つける 1 つの方法です。 すでにご存知のとおり、USB-SATA コントローラはコネクタ CNXNUMX と XNUMX 本のリボンを介して Cypress PSoC LCD に接続されています。 したがって、プローブを XNUMX つの対応するレッグに接続します。

• P4、一般入出力。
• P11、I2C SCL;
• P13、I2C SDA。

次に、Saleae ロジック アナライザーを起動し、キーボードで「123456~」と入力します。 その結果、次の図が表示されます。

そこには XNUMX つのデータ交換チャネルが表示されます。

• チャネル P4 にはいくつかの短いバーストがあります。
• P11 と P13 では、ほぼ継続的なデータ交換が行われます。

チャネル P4 の最初のスパイク (前の図の青い四角形) を拡大すると、次のことがわかります。

ここでは、P4 にほぼ 70ms の単調な信号があることがわかります。これは最初はクロック信号の役割を果たしているように思えました。 しかし、時間をかけて推測を確認した結果、これはクロック信号ではなく、キーが押されたときにツイーターに出力されるオーディオ ストリームであることがわかりました。 したがって、信号のこのセクション自体には有益な情報は含まれていません。 ただし、PSoC がキー押下をいつ登録したかを知るためのインジケーターとして使用できます。

ただし、最新の P4 オーディオ ストリームは少し異なります。それは「無効な PIN」のオーディオです。

キーストローク グラフに戻り、最後のオーディオ ストリーム グラフを拡大すると (青い四角形を再度参照)、次の結果が得られます。

ここでは、P11 に単調な信号が見られます。 これがクロック信号のようです。 そしてP13はデータです。 ビープ音が終了した後にパターンがどのように変化するかに注目してください。 ここで何が起こるかを見るのは興味深いでしょう。

2 本のワイヤで動作するプロトコルは通常 SPI または I2C であり、Cypress の技術仕様では、これらのピンは IXNUMXC に対応すると記載されており、このケースではそれが当てはまります。

USB-SATA チップセットは常に PSoC をポーリングしてキーの状態を読み取ります。デフォルトでは「0」です。 次に「1」キーを押すと「1」に変わります。 PINコードを間違えた場合、「～」を押した直後の最終送信が異なります。 ただ、そこに実際に何が伝わっているのかは現時点では確認していません。 しかし、これが暗号化キーである可能性は低いと思われます。 とにかく、PSoC 内部ファームウェアを削除した方法を理解するには、次のセクションを参照してください。

出所： habr.com