Коллектив авторов - Защита от хакеров корпоративных сетей

# dd if=/dev/wd1a of=fs.bin bs=1

30081024+0 records in

30081024+0 records out

30081024 bytes transferred in 379.838 secs (79194 bytes/sec)

После этого в файл fs.bin был переписан точный образ платы CompactFlash устройства NetStructure 7110. Теперь можно было приступить к извлечению строк любых печатных ASCII-символов и поиску любых интересных текстовых частей, сохраненных на плате:

strings fs.bin > fs.strings

Просматривая строки выводного текстового файла (в этом примере fs.strings), можно обнаружить отдельные команды сетевой конфигурации (ifconfig, route add) и некоторые жестко запрограммированные IP-адреса. Наибольшее значение имеет следующая строка, которая непосредственно идентифицирует записанные на плате CompactFlash данные. В данном случае плата является файловой системой операционной системы BSD, одной из разновидностей UNIX:

@(#) Copyright (c) 1990, 1993

The Regents of the University of California. All rights

reserved.

@(#)boot.c 8.1 (Berkeley) 6/11/93

/bsd

Зная, что на плате постоянной запоминающей памяти записана операционная система BSD, можно попытаться «смонтировать» плату к каталогу /mnt/fs (с указанием опции только для чтения, чтобы предотвратить случайную перезапись оригинальных данных платы). В результате может быть получен доступ к файловой системе.

# mount –r –a /dev/wd1a /mnt/fs

Если это удастся осуществить, с помощью команды ls – la /mnt/fs будет выведена следующая информация:

total 4290

drwxr-xr-x 5 root 100 512 Jan 2 1998 .

drwxr-xr-x 3 root wheel 512 Dec 24 08:23 ..

-rwxr-xr-x 1 root 100 64705 Sep 23 1999 boot

-rw-rw-r– 1 root 100 501972 Sep 24 1999 bsd.gz

-rw-rw-rw– 1 root 100 1253 Jan 2 1998 config.pgz

-rw-rw-rw– 1 root 100 1248 Jan 1 1998 configold.pgz

-rwxr-xr-x 1 root 100 292 Sep 24 1999 debug

drwxr-xr-x 2 root 100 512 Sep 24 1999 etc

-rw-rw-r– 1 root 100 3791468 Sep 24 1999 filesys.gz

drwxrwxr-x 2 root 100 512 May 16 1998 logs

drwxrwxr-x 2 root 100 512 Sep 24 1999 service

На плате файловая система записана в архивированном виде в файлах bsd.gz и filesys.gz. С помощью утилиты gunzip файловую систему можно будет разархивировать и приступить к подготовке монтирования образа следующим способом:

# vnconfig –cv /dev/vnd0c filesys

Использование команды vnconfig позволит подготовить файл образа к использованию его в виде файловой системы. В результате станет возможным обращаться к файлу образа как к диску. Введя команду disklabel vnd0, можно получить следующее:

# /dev/rvnd0c:

type: ST506

disk:

label:

flags:

bytes/sector: 512

sectors/track: 2048

tracks/cylinder: 1

sectors/cylinder: 2048

cylinders: 16

total sectors: 32768

rpm: 3600

interleave: 1

trackskew: 0

cylinderskew: 0

headswitch: 0 # microseconds

track-to-track seek: 0 # microseconds

drivedata: 0

8 partitions:

# size offset fstype [fsize bsize cpg]

a: 32768 0 4.2BSD 1024 8192 32 # (Cyl. 0–15)

c: 32768 0 unused 0 0 # (Cyl. 0–15)

Наконец, будет смонтировано неотформатированное устройство /dev/ vnd0c, созданное командой vnconfig:

# mount –r –a /dev/vnd0c /mnt/filesys

После успешной монтировки команда ls – la /mnt/filesys выведет следующее:

total 11

drwxr-xr-x 10 root 100 512 Sep 24 1999 .

drwxr-xr-x 7 root wheel 512 Dec 24 14:23 ..

-r-xr-xr-x 1 root 100 206 Sep 23 1999 .profile

drwxr-xr-x 2 root 100 1024 Sep 24 1999 bin

drwxr-xr-x 2 root 100 1024 Sep 24 1999 debug

drwxr-xr-x 2 root 100 512 Sep 24 1999 dev

drwxr-xr-x 2 root 100 512 Sep 24 1999 etc

drwxr-xr-x 2 root 100 512 Sep 24 1999 flash

lrwxr-xr-x 1 root 100 3 Sep 24 1999 sbin -> bin

drwxr-xr-x 5 root 100 1024 Sep 24 1999 shlib

drwxr-xr-x 2 root 100 512 Sep 24 1999 tmp

drwxr-xr-x 3 root 100 512 Sep 24 1999 var

В конечном счете будет создана структура каталогов, которая полностью соответствует стандартной структуре файловой системы. После ее успешной монтировки можно обращаться ко всей файловой системе (которая была записана на плате CompactFlash в заархивированном виде), перемещаться по всей структуре каталогов и по желанию читать файлы.

Реинжиниринг генератора пароля

Во время исследования восстановленной из файла filesys.gz файловой системы было замечено, что ряд существовавших на CompactFlash прикладных программ были удалены. К этим приложениям относились прикладные программы, которые включали файлы gdb и tcpdump. Оба эти файла были найдены в каталоге /debug. В каталоге /bin был записан файл xmodem, который мог использоваться для загрузки в удаленный компьютер по линиям связи дополнительных инструментальных средств устройства. К подобным инструментальным средствам относится ряд диагностических прикладных программ (cr_diag для платы Rainbow CryptoSwift Accelerator, ser_diag для последовательного порта, exp_diag для сетевой интерфейсной карты и lm_diag для синхронизации системы).

Известны и другие прикладные программы, специально разработанные для устройства Intel NetStructure 7110. К ним относятся, например, программы saint, ipfWasm, ipfWcmp, gen_def_key и gp. Выводимые программой gp строки позволяют понять использование строк с MAC-адресом или интерфейсом Ethernet, что само по себе интересно и гарантирует успех дальнейшего исследования.

Usage: gp [aa:bb:cc:dd:ee:ff | ifname]

С помощью компилятора rec, специально созданного для решения задач реинжиниринга (www.backerstreet.com/rec/rec.htm), было определено, что приложение gp, получив MAC-адрес, преобразует его к используемому по умолчанию паролю администратора. К счастью, приложение gp было откомпилировано со всеми допустимыми опциями отладки, что существенно облегчило процесс реинжиниринга. В каждом устройстве NetStructure пароль администратора образован из MAC-адреса сетевой интерфейсной платы, установленной в устройство. Во время начальной загрузки устройства и перед каждым подключением к системе MAC-адрес передается пользователю через последовательный порт пульта управления. Пароль администратора может быть введен с пульта управления через последовательный порт, если у злоумышленника есть физический доступ к машине, или удаленно, если модем подключен к устройству NetStructure и сконфигурирован для удаленного доступа. Этот пароль отменяет любые параметры настройки и позволяет получить полный контроль над устройством. Программа проверки идеи и ее исходный текст доступны по адресу www.atstake.com/research/tools/ipivot.tar.gz. Она демонстрирует возможности преобразования MAC-адреса в пароль.

Резюме

В этой главе были рассмотрены различные вопросы хакинга аппаратных средств. Хакинг аппаратных средств может быть разделен на два этапа: атаки на корпус устройства и его механическую часть и атаки на электрическую схему устройства. Атаки на корпус устройства и его механическую часть направлены на исследование корпуса устройства и его защитные механизмы. Атаки на электрическую схему устройства направлены на реинжиниринг внутренних электрических схем устройства и их исследование. В зависимости от целей атаки и объекта нападения выбор способов реализации атаки может сильно различаться. Чаще всего хакинг аппаратных средств применяется для извлечения выгоды из получения доступа к системе защиты (типа поиска секретных данных или повышения собственных привилегий) или изменения функциональных возможностей устройства.

В пункте «Вскрытие устройства: атаки на корпус устройства и его механическую часть» были рассмотрены вопросы, связанные с защитными механизмами противодействия вскрытию устройства, его демонстративной защиты, обнаружения вскрытия и реакции устройства на него. Обычно эти защитные механизмы используются для предотвращения доступа к компонентам устройства и его данным. Были рассмотрены причины и методы вскрытия корпуса устройства, идентификации внешнего интерфейса, анализа любых используемых протоколов передачи данных, поскольку их порты часто используются для конфигурации устройства и извлечения представляющей интерес информации типа паролей или передаваемых в открытом виде данных. Также было рассказано об электромагнитных и радиочастотных излучениях устройств, их восприимчивости к электростатическому разряду. Поскольку все электронные устройства являются источником электромагнитных излучений, то это может быть использовано атаками пассивного мониторинга.

В пункте «Внутренний анализ устройства: атаки на электрическую схему» были рассмотрены вопросы реинжиниринга схем устройства и способы атак на них. Вероятно, изложенный в этом пункте материал является основным для хакинга аппаратных средств. Воссоздание электрической схемы устройства по печатной плате является решающим, самым полезным этапом при определении любых ошибок проектирования и направления возможных атак. В основном атаки ориентированы на извлечение данных из микропроцессоров или внешних компонент памяти, чтобы извлечь из устройства пароли или другую секретную информацию. Использование устройства в непредусмотренных условиях эксплуатации, например изменяя напряжение, температуру или параметры синхронизации, иногда приводит к неожиданным для разработчика результатам, из которых злоумышленник может извлечь выгоду. Также были рассмотрены современные методы хакинга аппаратных средств, включая способы удаления герметизации эпоксидной смолой, которая используется для предотвращения вскрытия и исследования устройства, анализ корпусов интегральных схем и кремниевых чипов, который может помочь для извлечения кода программы, состояния выполняемых устройством функциональных возможностей или криптографических компонент.