It-treġġigħ lura u l-hacking ta' drives awto-kriptarji esterni huwa l-passatemp antik tiegħi. Fil-passat, kelli l-opportunità li nipprattika ma 'mudelli bħal Zalman VE-400, Zalman ZM-SHE500, Zalman ZM-VE500. Dan l-aħħar, kollega ġabli esebit ieħor: Patriot (Aigo) SK8671, li huwa mibni skond disinn tipiku - indikatur LCD u tastiera għad-dħul ta 'kodiċi PIN. Dak li ħareġ minnha...
1. Introduzzjoni
Djar
Ippakkjar
L-aċċess għad-dejta maħżuna fuq id-diska, li suppost hija kriptata, jitwettaq wara li ddaħħal il-kodiċi PIN. Ftit noti introduttorji dwar dan l-apparat:
- Biex tibdel il-kodiċi PIN, trid tagħfas F1 qabel ma tinfetaħ;
- Il-kodiċi PIN għandu jkun fih minn 6 sa 9 ċifri;
- Wara 15-il tentattiv żbaljat, id-diska titneħħa.
2. Arkitettura tal-ħardwer
L-ewwel, aħna jiddissezzjona l-apparat f'partijiet biex nifhmu minn liema komponenti jikkonsisti. L-aktar kompitu tedjanti huwa li tiftaħ il-każ: ħafna viti mikroskopiċi u plastik. Wara li fetħet il-każ, naraw dan li ġej (oqgħod attent għall-konnettur ta 'ħames pinnijiet li issaldjat):
2.1. Bord prinċipali
Il-bord prinċipali huwa pjuttost sempliċi:
Il-partijiet l-aktar notevoli tiegħu (ara minn fuq għal isfel):
- konnettur għal indikatur LCD (CN1);
- tweeter (SP1);
- Pm25LD010 () SPI flash drive (U2);
- Kontrollur Jmicron JMS539 () għal USB-SATA (U1);
- Konnettur USB 3 (J1).
Il-flash drive SPI jaħżen il-firmware għal JMS539 u xi settings.
2.2. Bord indikatur LCD
M'hemm xejn notevoli fuq il-bord LCD.
Biss:
- Indikatur LCD ta 'oriġini mhux magħrufa (probabbilment b'sett ta' font Ċiniż); b'kontroll sekwenzjali;
- Konnettur żigarella għall-bord tat-tastiera.
2.3. Bord tat-tastiera
Meta teżamina l-bord tat-tastiera, l-affarijiet jieħdu dawra aktar interessanti.
Hawnhekk, fuq in-naħa ta 'wara, naraw konnettur ta' żigarella, kif ukoll mikrokontrollur Cypress CY8C21434 PSoC 1 (minn hawn 'il quddiem sempliċement insejħulu PSoC)
CY8C21434 juża s-sett ta’ struzzjonijiet M8C (ara ). Fuq [paġna tal-prodott]( () huwa indikat li jappoġġja t-teknoloġija (soluzzjoni minn Cypress, għal tastieri abilità). Hawnhekk tista 'tara l-konnettur ta' ħames pins li issaldjat - dan huwa approċċ standard għall-konnessjoni ta 'programmatur estern permezz tal-interface ISSP.
2.4. Ħarsa lejn il-wajers
Ejja nsemmu x'hemm konness hawn. Biex tagħmel dan, ittestja l-wajers b'multimetru:
Spjegazzjonijiet għal din id-dijagramma mfassla fuq l-irkoppa:
- Il-PSoC huwa deskritt fl-ispeċifikazzjoni teknika;
- il-konnettur li jmiss, dak fuq il-lemin, huwa l-interface ISSP, li, bir-rieda tad-destin, jikkorrispondi għal dak li huwa miktub dwaru fuq l-Internet;
- Il-konnettur tal-lemin huwa t-terminal għall-konnettur taż-żigarella mal-bord tat-tastiera;
- Ir-rettangolu iswed huwa tpinġija tal-konnettur CN1, iddisinjat biex jgħaqqad il-bord prinċipali mal-bord LCD. P11, P13 u P4 huma konnessi mal-pins PSoC 11, 13 u 4, fuq il-bord LCD.
3. Sekwenza ta 'passi ta' attakk
Issa li nafu f'liema komponenti jikkonsisti din id-drajv, għandna bżonn: 1) niżguraw li l-funzjonalità bażika tal-kriptaġġ hija attwalment preżenti; 2) issir taf kif iċ-ċwievet ta 'encryption huma ġġenerati/salvati; 3) issib fejn eżattament il-kodiċi PIN se jiġi kkontrollat.
Biex tagħmel dan għamilt il-passi li ġejjin:
- ħa dump tad-dejta minn flash drive SPI;
- ippruvaw dump data minn PSoC flash drive;
- ivverifikat li l-komunikazzjoni bejn iċ-Ċipress PSoC u l-JMS539 fil-fatt fiha ċ-ċwievet ippressati;
- Żgurajt li meta tbiddel il-password, xejn ma jinkiteb fuq il-flash drive SPI;
- kien għażżien wisq biex ireġġa' lura l-firmware 8051 minn JMS539.
3.1. Teħid ta' dump tad-dejta minn flash drive SPI
Din il-proċedura hija sempliċi ħafna:
- qabbad sondi mar-riġlejn tal-flash drive: CLK, MOSI, MISO u (mhux obbligatorju) EN;
- "jxomm" komunikazzjonijiet ma 'sniffer bl-użu ta' analizzatur loġiku (li użajt );
- iddekodifika l-protokoll SPI u r-riżultati tal-esportazzjoni lejn CSV;
- tieħu vantaġġ biex teżamina r-riżultati u tikseb dump.
Jekk jogħġbok innota li dan l-approċċ jaħdem tajjeb speċjalment fil-każ tal-kontrollur JMS539, peress li dan il-kontrollur jgħabbi l-firmware kollu mill-flash drive fl-istadju tal-inizjalizzazzjoni.
$ decode_spi.rb boot_spi1.csv dump
0.039776 : WRITE DISABLE
0.039777 : JEDEC READ ID
0.039784 : ID 0x7f 0x9d 0x21
---------------------
0.039788 : READ @ 0x0
0x12,0x42,0x00,0xd3,0x22,0x00,
[...]
$ ls --size --block-size=1 dump
49152 dump
$ sha1sum dump
3d9db0dde7b4aadd2b7705a46b5d04e1a1f3b125 dumpWara li ħadt dump mill-flash drive SPI, wasalt għall-konklużjoni li l-uniku kompitu tiegħu huwa li taħżen il-firmware għall-apparat ta 'kontroll JMicron, li huwa mibni fil-mikrokontrollur 8051. Sfortunatament, it-teħid ta 'miżbla tal-flash drive SPI irriżulta li kien inutli:
- meta l-kodiċi PIN jinbidel, id-dump tal-flash drive jibqa l-istess;
- Wara l-istadju tal-inizjalizzazzjoni, l-apparat ma jaċċessax il-flash drive SPI.
3.2. Xomm komunikazzjonijiet
Dan huwa mod wieħed biex issib liema ċippa hija responsabbli għall-iċċekkjar tal-komunikazzjonijiet għall-ħin/kontenut ta 'interess. Kif diġà nafu, il-kontrollur USB-SATA huwa mqabbad maċ-Cypress PSoC LCD permezz tal-konnettur CN1 u żewġ żigarelli. Għalhekk, aħna nqabbdu s-sondi mat-tliet saqajn korrispondenti:
- P4, input/output ġenerali;
- P11, I2C SCL;
- P13, I2C SDA.
Imbagħad inniedu l-analizzatur tal-loġika Saleae u nidħlu fuq it-tastiera: "123456 ~". Bħala riżultat, naraw id-dijagramma li ġejja.
Fuqha nistgħu naraw tliet kanali għall-iskambju tad-dejta:
- hemm diversi tifqigħ qosra fuq il-kanal P4;
- fuq P11 u P13 - skambju ta' data kważi kontinwu.
Żomm fuq l-ewwel spike fuq il-kanal P4 (rettangolu blu fil-figura ta 'qabel), naraw dan li ġej:
Hawnhekk tista’ tara li fuq P4 hemm kważi 70ms ta’ sinjal monotonu, li għall-ewwel deherli li kellu rwol ta’ sinjal ta’ arloġġ. Madankollu, wara li qattajt xi żmien niċċekkja l-raden tiegħi, skoprejt li dan mhuwiex sinjal tal-arloġġ, iżda fluss tal-awdjo li joħroġ lit-tweeter meta ċ-ċwievet jiġu ppressati. Għalhekk, din it-taqsima tas-sinjal innifsu ma fihiex informazzjoni utli għalina. Madankollu, jista 'jintuża bħala indikatur biex tkun taf meta l-PSoC jirreġistra stampa ta' ċavetta.
Madankollu, l-aħħar stream awdjo P4 huwa ftit differenti: huwa l-awdjo għall-"PIN invalidu"!
Nirritornaw lejn il-graff tat-tasti ta' l-ikklikkjar, niżżum fuq l-aħħar graff tal-fluss awdjo (ara r-rettangolu blu mill-ġdid), irridu:
Hawnhekk naraw sinjali monotoni fuq P11. Allura jidher li dan huwa s-sinjal tal-arloġġ. U P13 hija data. Innota kif il-mudell jinbidel wara li jintemm il-ħoss. Ikun interessanti li tara x'jiġri hawn.
Protokolli li jaħdmu b'żewġ wajers huma ġeneralment SPI jew I2C, u l-ispeċifikazzjoni teknika fuq Cypress tiddikjara li dawn il-brilli jikkorrispondu għal I2C, li naraw li huwa minnu fil-każ tagħna:
Iċ-chipset USB-SATA kontinwament istħarriġ lill-PSoC biex jaqra l-istat taċ-ċavetta, li awtomatikament huwa "0". Imbagħad, meta tagħfas iċ-ċavetta "1", din tinbidel għal "1". It-trażmissjoni finali immedjatament wara li tagħfas "~" hija differenti jekk jiddaħħal il-kodiċi PIN ħażin. Madankollu, bħalissa ma ċċekkjejtx x'qed jiġi trażmess hemmhekk. Imma nissuspetta li din x'aktarx ma tkunx ċavetta ta' encryption. Xorta waħda, ara t-taqsima li jmiss biex tifhem kif neħħejt il-firmware intern tal-PSoC.
Sors: www.habr.com