EvilSploit — пакет инструментов для аппаратного взлома

hacking tools logo

Для аппаратного взлома нужно четко понимать внутренний механизм функционирования целевой железяки. Как правило, процесс аппаратного взлома начинается с реверсинга: сначала статического, затем динамического.

С аппаратной точки зрения статический реверсинг включает в себя раскрытие схемы соединений и дизассемблирование бинарника. Динамический реверсинг подразумевает нахождение способа подключиться к железяке в отладочном режиме, чтобы «демистифицировать» ее архитектуру в полевых условиях и затем провести фаззинг.

Для успешного реверсинга крайне важно идентифицировать порты доступа исследуемой железяки. Стандартный подход для идентификации — пакеты инструментов для поиска пинов, такие как Jtagulator.

Другой пакет инструментов — Shikra манипулирует портом инициализации. Однако он, во-первых, пестрит ошибками, а во-вторых, не заточен под хакеров.

Таким образом, важно найти способ заполнить пробел между идентификацией порта и манипулированием. Это позволит автоматизировать процесс аппаратного взлома и обеспечить возможность управления этим взломом — через скрипты, написанные на высоком неаппаратном уровне.

аппаратный взлом s evilsploit

В докладе представлен новый метод для идентификации портов и для манипулирования ими — посредством матрицы подключений (самая левая часть картинки). Помимо всего прочего, матрица подключений — это идеальный инструмент для анализа неизвестных сигналов, для SCA-атак (Side Channel Analysis — анализ обходных каналов) и FI-атак (Fault Injection — инъекция намеренных неисправностей). Идентификацию четырех JTAG-пинов (TMS, TDI, TDO, TCK) из общего количества 16 возможных пинов EvilSploit производит за 100 секунд.

После завершения идентификации «матрица подключений» автоматически перенастроит шаблон маршрутизации сигнала — к интерфейсной микросхеме для чипа. Теперь чип готов для управления и манипулирования любыми известными инструментами JTAG-отладки, такими как UrJtag или OpenOCD.

аппаратный взлом s evilsploit

Для UART процедура идентификации пинов (Tx и Rx) из 16 возможных пинов занимает 90 секунд. Опять же, после этого чип готов к управлению и манипулированию — любыми инструментами для UART-отладки, такими как Minicom или PuTTY. В качестве вспомогательного инструмента для SCA-атаки EvilSploit использует ChipWhisperer для восстановления секретного ключа для 3DES и SM4, которые используются этими чипами при шифровании.

В обоих случаях EvilSploit генерирует триггерные сигналы для ChipWhisperer — для запуска генерации семплов и контроля потраченного на их выполнение времени. Собранные семплы затем обрабатываются супероптимизированным MatLab-скриптом для восстановления секретного ключа; успешно восстанавливаются секретные ключи и для 3DES, и для SM4.

Что касается проблемы обхода схемы обнаружения, EvilSploit успешно убеждает ее, что к управляющим пинам ничего не подключено. Таким образом, манипуляция уровнем сигнала полностью доступна, даже в самых защищенных механизмах.

EvilSploit — a Universal Hardware Hacking Toolkit (PDF)

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *