Hacklet 45 - Proyectos de ingeniería inversa

Tarde o temprano, todos terminamos poniéndonos nuestros sombreros de ingeniería inversa y hundiéndonos en un dispositivo. Es posible que esté tratando de mantener en funcionamiento equipos antiguos: el fabricante hace tiempo que desapareció y las piezas ya no están disponibles. Podría ser ese nuevo y dulce enrutador con firmware bloqueado. O tal vez solo tienes curiosidad. Cualquiera sea la razón, la ingeniería inversa es un esfuerzo gratificante. Algunos de nuestros proyectos favoritos de ingeniería inversa se leen como novelas de espías. En lugar de un abrigo y una daga, es un cifrado y un laúd. ¡Esta semana, Hacklet se centra en algunos de los mejores proyectos de ingeniería inversa en Hackday.io!

Empecemos con [Henryk Plötz] y una pantalla USB CO₂ económica de ingeniería inversa. Los dispositivos de detección y medición de monóxido de carbono son hoy en día elementos de seguridad para el hogar y se han vuelto bastante económicos. Las mediciones de dióxido de carbono son menos comunes y, como se esperaba, más caras. [Henryk] encontró un dispositivo por alrededor de € 80 que hizo lo que necesitaba. Se suponía que el conector USB incluido solo funcionaba, pero cuando se conectaba, el dispositivo aparecía en su caja de Linux. El programa de ventana adjunto mostró datos en vivo del detector, pero no había mucha información sobre el protocolo. ¡Es hora de sacar a un profesional de Ida e ir a la ciudad con ese software! [Henryk] luchó con el software de su monitor de CO₂ y fue bastante recompensado.

Entonces hay [Bob Blake] e ingeniería inversa del Maverick ET-732. [Bob] le encanta asar a la parrilla, pero odia cuidar a su fumador. Afortunadamente, existen sensores de temperatura inalámbricos construidos solo para ese propósito, pero tienen un alcance limitado y no puede tener varios receptores en la casa. [Bob] tenía como objetivo solucionar todo esto enviando sus datos desde un termómetro inalámbrico Maverick a la red para que pudiera comprobar su cocina desde cualquier lugar. Primero tuvo que revertir el protocolo utilizado por el sensor. Analizador de espectro contado [Bob] que la frecuencia de transmisión del sensor era de 433,92 MHz, lo que es común para transmisores baratos como este. [Bob] de hecho, tenía algunos receptores compatibles en su oficina, por lo que pudo capturar rápidamente algunos datos con su analizador lógico Saleae. ¡La verdadera diversión provino de comprender exactamente cómo se organizaron los datos!

Una venta aleatoria de Ebay ganó [Technics] lupa montada en la cabeza dulce, pero no hay forma de controlarla. Ingeniería de documentos inversa Life Optics M5 [Technics] esfuerzos para lanzar su nuevo capilar. Life Optics M5 es en realidad una versión renombrada del microscopio de bomba de cabezal Leica HM500. Estos dispositivos fueron diseñados originalmente para uso médico. Proporcionan una vista estéreo al cirujano o dentista que los usa, y también envían un video para que el resto del equipo lo use o grabe. La apertura de la caja de la cabeza del M5 reveló varios módulos, pero ningún medio obvio para controlar el zoom o el enfoque. La exposición de algunos de los cables misteriosos reveló lo que parece ser un flujo de datos en serie de 9600 baudios. Este es un proyecto completamente nuevo y lo esperamos con ansias. [Technics] próxima actualización para ver si se las arregla para luchar con su nuevo juguete!

Protección con contraseña de BIOS: es la desgracia de la existencia de cualquier comprador portátil. A veces, eliminar estas contraseñas es tan fácil como quitar la batería CMOS, otras veces, no tanto. [q3k] se encontró en la última situación con un paquete de portátiles Toshiba R100. y de ninguna manera iniciarlos. [q3k] sin embargo, no se rindieron: volaron el laúd y comenzaron la ingeniería inversa Toshiba R100 BIOS. El R100 es una máquina Pentium M-era, antigua pero todavía utilizable para muchos propósitos de piratería. Descartar la ROM-BIOS de la computadora portátil no dio la información [q3k] necesario, por lo que cambiaron al controlador TLCS-870 y construyeron una placa realmente agradable con Xilinx Spartan6 FPGA para ayudar en el esfuerzo. Resulta que el 870 solo se usa para la administración de energía. - [q3k] ahora dirigieron su atención al microcontrolador de Renesas, ¡que podría ser el droide que estaban buscando!

Creemos que los proyectos de ingeniería inversa están bastante furiosos, por lo que creamos una Lista de ingeniería inversa para organizarlos todos.

Por este Hacklet, como siempre, nos vemos la semana que viene. El mismo tiempo de pirateo, el mismo canal de pirateo, ¡te ofrece lo mejor de La-Tecnologia.io!

Por este Hacklet, como siempre, nos vemos la semana que viene. El mismo tiempo de pirateo, el mismo canal de pirateo, ¡te ofrece lo mejor de La-Tecnologia.io!

  • pelrun dice:

    Sí, Renesas uC es probablemente la contraseña de BIOS en esas placas Toshiba. Mi (modelo posterior) M405 recibió una placa base de reemplazo hace unos años (¡me niego a renunciar a esta máquina!) Pero vino con una contraseña configurada. Para poder iniciarlo, pero no configurarlo. ¡Reír!

    Resulta que hay un microcontrolador Renesas escondido debajo del zócalo PCMCIA que contiene la contraseña. Realmente no estaba preparado para arriesgarme a dañar la placa al intentar quitar el zócalo para llegar al chip. Afortunadamente para mí, no era necesario, ya que este modelo también se puede configurar desde un panel de Windows, y aunque todavía tenía autenticación de contraseña contra el microcontrolador, simplemente pude parchear y omitir el control por completo 🙂

    • Que no dice:

      Espero que usted y las personas mencionadas aquí hayan probado al menos los habituales 00000 y 1234 y demás.

      Entonces, por curiosidad: ¿cuántos códigos de la suerte del bote has probado?

      • pelrun dice:

        Fue hace años, no lo recuerdo.

    • Greenaum dice:

      ¡Ay, qué posible desperdicio de seguridad! Una mejor manera sería pedirle al microcontrolador que verifique la contraseña proporcionada con la interna. Pero, de nuevo, las lagunas suelen ser útiles cuando las cosas salen mal de esa manera. Una cosa buena es que Windows está tan mal escrito que algunos de los defectos sirven para solucionar los demás.

      • pelrun dice:

        Le pide a la UC que valide la contraseña, por lo que no pude recuperar la contraseña de la ventana ejecutable. Pero cuando el binario es pirateado para evitar por completo el control de la contraseña, felizmente me permite modificar la configuración de la biografía. No puedo cambiarlos todos, pero lo suficiente como para que no sea un número.

  • RoGeorge dice:

    ¡Gran idea con la lista de ingeniería inversa, gracias!

    Una cosa más, supongo que esto es un error: no se puede acceder a la Lista de ingeniería inversa a través de https://la-tecnologia.io/list/, porque no está en la primera página con listas, y cuando presiono el siguiente botón en eso página, en lugar de obtener la página siguiente con listas, obtengo mi página de flujo https://la-tecnologia.io/myFeed.

    • Adam Fabio dice:

      Eso es extraño: el enlace correcto es https://la-tecnologia.io/lists

  • aventura de muerte dice:

    En los satélites toshiba posteriores, hay almohadillas expuestas sin marcar ubicadas cerca de la batería CMOS, que se pueden acortar para vaciar la eeprom que almacena las contraseñas del BIOS.

    • Greenaum dice:

      Hojeando al azar, me pregunté cuál era el punto de las almohadillas allí en un espacio donde nadie podía alcanzarlas. ¡Sincero! ¡Capitaliza, hombre!

  • rasz_pl dice:

    Toshiba R100 BIOS - Woop Woop para el espacio de piratería de Varsovia. Entre mí estaba el que mostraba verdadero EC (Mitsubishi M306K5F8LRP) a q3k; o) en la lista de correo electrónico del espacio hackers de Varsovia (archivo detrás del inicio de sesión de contraseña, por lo que no se puede vincular directamente :(). Esto casi mata el proyecto: P. También encontré actualizaciones de firmware EC / KBC, resultó que están comprimidas / encriptadas, y un chip EC los extrae / descifra internamente. No sabemos el método de cifrado / compresión utilizado (aprender), hay empresas que descartan los microcontroladores renacentistas y las capturas de pantalla en esos sitios sugieren que se está utilizando el análisis de potencia.

    Redford revierte el trabajo en la contraseña, editando solo pulidos en la lista de correo electrónico de hackerspace, así que traduciré:
    1 BIOS calcula MD5 desde el usuario de entrada, lo envía a EC a través del puerto 66h (http://wiki.laptop.org/go/Ec_specification#Port_66_Commands) en formato:
    byte de comando: 9E (utilizado cuando se comunica con EC en un contexto de seguridad)
    datos: 0x24
    2 comando 9F, recibe una respuesta de 3 bytes, verifica el bit 0x10 o 0x20 del último byte recibido, si se estableció, la contraseña era correcta.

    Desafío / Respuesta
    1 La BIOS muestra "PC Serial" (almacenada como una cadena en una BIOS eprom, separada del código de la BIOS, probablemente generada durante una actualización de BIOS de fábrica)
    2 llena el búfer 16B con 8B rdtsc + primeros 8 bytes de MD5 (PC_SERIAL)
    3 agrega 1A delante de este búfer y lo envía a EC (1A parece ser una especie de subcomando)
    4 obtiene un búfer de 16B (alta entropía)
    5 se traduce en una cadena, se muestra en la pantalla como un desafío
    6 solicita una entrada correspondiente, se traduce en 16B
    7 agrega 1B antes y lo envía a EC
    8 obtiene un byte, 1 significa pasar

    Ahora, en este punto, mi sugerencia fue probar uno de esos:
    a / modificar BIOS, vea qué sucede si cancelamos este código
    b / cuelga un pequeño microcontrolador en un bus LPC, detecta el tráfico y captura las respuestas al comando 9F / 1B.

    Desafortunadamente, tanto REdford como q3k estaban más interesados ​​en un algoritmo de desafío / respuesta que en eludir una contraseña. Aquí todo el proyecto está muerto 🙁 Espero que chipwhisperer pueda revivirlo y hacer posible volver a leer el firmware EC.

    El firmware Renesas M306K EC es una operación de dos fases.
    "Parte 1": muy pequeña, por ejemplo 2528B.
    "Parte 2": resto de un archivo de firmware comprimido
    Ambos comprimidos (alta entropía) con una suma de comprobación de un byte. Tenemos firmware v1.10, v1.30, v2.30, v3.10, son iguales para todas las laptops Toshiba de esa era / modelo (todas las EC tienen el mismo firmware). Todas las versiones comparten los mismos primeros 7 bytes de la parte 1 (FEFF010408029E)

    Aquí hay un proyecto atascado, parece que q3k era demasiado vago para actualizar la escritura en la-tecnologia: P

  • tz dice:

    El MONÓXIDO de carbono es peligroso, pero hay oxígeno CO-uno. El dióxido de carbono es CO₂ - DOS oxígeno y es peligroso solo en grandes cantidades si bloquea el oxígeno en la atmósfera (el hielo seco es un ejemplo sublime). No comprobar compuestos problemas elementales.

    ¿A quién detecta el detector?

    • Que no dice:

      El CO2 te marea en un 1% y puede matarte entre un 7% y un 10%, más pesado que el aire, por lo que se acumula en espacios cerrados, un subproducto de la quema de gas natural, por lo que hay que prestar atención en el hogar.

      Sí, no es "tóxico" en sí mismo, pero es sofocante.

      Por último, pero no menos importante: la imagen de la pantalla de la cosa muestra claramente que dice CO2, así que haz los cálculos.

      ¿Sigo confundido? Siéntese en su coche en el garaje con la puerta cerrada, encienda el motor y espere un poco. j / k

      • idiosincrasia dice:

        ¿Qué pasa con los jardines donde el medio ambiente se ha complementado con CO2, un artículo aleatorio dice que las plantas pueden usar hasta 1600 ppm, estas personas usan máscaras de gas?

        "Por lo general, hay alrededor de 300 a 600 ppm (partes por millón) de CO2 en la atmósfera. La mayoría de las plantas pueden usar 1500 ppm en condiciones óptimas de crecimiento (Random artículo.) "

        • Chris C. dice:

          La concentración de CO2 en el aire se mide por volumen, ppmv, aunque normalmente se omite v. 1,000,000ppm = 100%, entonces 1,600ppm es solo 0.16%. No se necesita máscara de gas, puede experimentarlo indefinidamente sin ningún efecto nocivo. El aire dentro de edificios bien aislados con personas puede lograr esto por sí mismos.

        • idiosincrasia dice:

          Supongo que hacer mal algunas matemáticas lentas: basado en una muestra aleatoria de aire, en promedio 400 ppm de CO2 (0.04% del compuesto total) y 2 × 10 ^ 5 ppm de O2 (20% del compuesto total), pondría 300 -400 % de aumento de CO2 en ese rango óptimo de 1200ppm-1600ppm, dejando la cámara en 0.12% a 0.14% de CO2.

          Muy por debajo del umbral del 1% de CO2, lo que puede provocar mareos.

          Entonces, parece que una planta segura para las plantas debería brindar un entorno seguro para los humanos, especialmente si el jardín está controlado / ingresado en ciclos de intercambio de aire.

          • idiosincrasia dice:

            Recuerda, gracias =)

          • idiosincrasia dice:

            Parece que escribí ese rango de porcentaje incorrectamente de todos modos que "0.12% a 0.14%" debería corresponder con 1400-1600ppm, o 0.12% a 0.16%

        • Que no dice:

          Interesante palabra de wikipedia:
          "El cuerpo produce alrededor de 2,3 libras (1,0 kg) de dióxido de carbono por día por persona, que contiene 0,63 libras (290 g) de carbono".

          Cosas asombrosas (suponiendo que sea correcto, por supuesto)

Matías Jiménez
Matías Jiménez

Deja una respuesta

Tu dirección de correo electrónico no será publicada.