BLACK HAT EUROPE 2022 – London – Forsker Douglas McKee havde ikke held med at udtrække adgangskoderne i en medicinsk patientmonitorenhed, som han undersøgte for sårbarheder. GPU-kodeordskrækningsværktøjet, han havde kørt for at løfte de lag af legitimationsoplysninger, der var nødvendige for at dissekere enheden, kom op tom. Det var først et par måneder senere, da han satte sig ned for at læse det medicinske udstyrs dokumentation, at han opdagede, at adgangskoderne havde været lige der på print hele tiden.
"Jeg kom endelig rundt med at læse dokumentationen, som tydeligvis havde alle adgangskoder i klartekst lige i dokumenterne," fortalte McKee, direktør for sårbarhedsforskning hos Trellix, i en præsentation her i dag. Det viste sig, at adgangskoderne også var hårdkodet ind i systemet, så hans mislykkede adgangskodeknækningsproces var massivt overdrevet. Han og hans team opdagede senere fejl i enheden, der gjorde det muligt for dem at forfalske patientoplysninger på monitorenheden.
At undlade at undersøge dokumentationen er et almindeligt fejltrin hos sikkerhedsforskere, der er ivrige efter at grave i de hardwareenheder og software, de studerer og reverse engineering, ifølge McKee. Han og hans kollega Philippe Laulheret, senior sikkerhedsforsker ved Trellix, i deres "Fail Harder: Finde kritiske 0-dage på trods af os selv" præsentation her, delte nogle af deres krigshistorier om fejl eller fejlberegninger, de lavede i deres hackingprojekter: uheld, som de siger tjener som nyttige lektioner for forskere.
"På alle konferencer, vi går til [de] viser de skinnende resultater" og succeser inden for sikkerhedsforskning som nul-dage, sagde Laulheret. Det er ikke altid, man kommer til at høre om rækken af fejl og tilbageslag undervejs, når man opsnuser vulner, sagde forskerne. I deres tilfælde har det været alt fra hardware hacks, der brændte printkort til en sprød, til langhåret shellcode, der ikke kunne køre.
I sidstnævnte tilfælde havde McKee og hans team opdaget en sårbarhed i Belkin Wemo Insight SmartPlug, en Wi-Fi-aktiveret forbrugerenhed til fjerntænding og slukning af enheder, der er tilsluttet den. "Min shellcode nåede ikke igennem til stakken. Hvis jeg havde læst XML-biblioteket, var det klart, at XML frafiltrerer tegn, og der er et begrænset tegnsæt tilladt gennem XML-filteret. Dette var endnu et eksempel på tabt tid, hvis jeg havde læst gennem den kode, jeg faktisk arbejdede med,« siger han. "Da vi dekonstruerede det, fandt vi et bufferoverløb, der gjorde det muligt for dig at fjernstyre enheden."
Gå ikke ud fra: Undervist af fjernundervisningsappen 'Sikkerhed'
I et andet projekt undersøgte forskerne et fjernundervisningssoftwareværktøj fra Netop kaldet Vision Pro, der blandt andet inkluderer muligheden for lærere til at fjerne ind i elevernes maskiner og udveksle filer med deres elever. Den Remote Desktop Protocol-baserede funktion virkede ligetil nok: "Det giver lærere mulighed for at logge ind ved hjælp af Microsoft-legitimationsoplysninger for at få fuld adgang til en elevs maskine," forklarede McKee.
Forskerne havde antaget, at legitimationsoplysningerne var krypteret på ledningen, hvilket ville have været den logiske bedste praksis for sikkerhed. Men mens de overvågede deres netværksfangster fra Wireshark, blev de chokerede over at opdage legitimationsoplysninger, der rejste på tværs af netværket ukrypteret. "Mange gange kan antagelser være døden for den måde, du laver et forskningsprojekt på," sagde McKee.
I mellemtiden anbefaler de at have flere versioner i hånden af et produkt, du undersøger, hvis en bliver beskadiget. McKee indrømmede, at han var en smule overivrig i at dekonstruere batteriet og det indre af B Bruan Infusomat-infusionspumpen. Han og hans team adskilte batteriet efter at have set en MAC-adresse på et klistermærke på det. De fandt et printkort og en flash-chip indeni, og de endte med at beskadige chippen fysisk, mens de forsøgte at komme til softwaren på den.
"Prøv at gøre den mindst invasive proces først," sagde McKee, og spring ikke ud i at bryde hardwaren op fra starten. "At bryde ting er en del af hardware-hacking-processen," sagde han.
