BLACK HAT EROPA 2022 – London – Peneliti Douglas McKee tidak beruntung mengekstraksi kata sandi di perangkat monitor pasien medis yang dia selidiki untuk mencari kerentanan. Alat pembobol kata sandi GPU yang dia jalankan untuk mengangkat lapisan kredensial yang diperlukan untuk membedah perangkat ternyata kosong. Tidak sampai beberapa bulan kemudian ketika dia duduk untuk membaca dokumentasi perangkat medis, dia menemukan bahwa kata sandinya ada di cetakan sepanjang waktu.
“Saya akhirnya sempat membaca dokumentasi, yang jelas memiliki semua kata sandi dalam teks biasa langsung di dalam dokumen,” McKee, direktur penelitian kerentanan di Trellix, menceritakan dalam presentasi di sini hari ini. Ternyata kata sandinya juga di-hardcode ke dalam sistem, jadi proses peretasan kata sandinya yang gagal sangat berlebihan. Dia dan timnya kemudian menemukan bug di perangkat yang memungkinkan mereka memalsukan informasi pasien di perangkat monitor.
Gagal mempelajari dokumentasi adalah kesalahan langkah yang umum dilakukan oleh peneliti keamanan yang ingin menggali perangkat keras dan perangkat lunak yang mereka pelajari dan merekayasa ulang, menurut McKee. Dia dan rekannya Philippe Laulheret, peneliti keamanan senior di Trellix, dalam “Gagal Lebih Keras: Menemukan 0-Hari Kritis Terlepas dari Diri Kita Sendiri” presentasi di sini, membagikan beberapa kisah perang mereka atas kesalahan atau kesalahan perhitungan yang mereka buat dalam proyek peretasan mereka: kecelakaan yang mereka katakan berfungsi sebagai pelajaran yang berguna bagi para peneliti.
“Di semua konferensi yang kami hadiri [mereka] menunjukkan hasil yang cemerlang” dan kesuksesan dalam penelitian keamanan seperti zero-days, kata Laulheret. Anda tidak selalu mendengar tentang rentetan kegagalan dan kemunduran saat mengendus vuln, kata para peneliti. Dalam kasus mereka, itu adalah segalanya mulai dari peretasan perangkat keras yang membakar papan sirkuit hingga kode shell bertele-tele yang gagal dijalankan.
Dalam kasus terakhir, McKee dan timnya telah menemukan kerentanan di Belkin Wemo Insight SmartPlug, perangkat konsumen berkemampuan Wi-Fi untuk menghidupkan dan mematikan perangkat yang terhubung dari jarak jauh. “Kode shell saya tidak masuk ke tumpukan. Jika saya telah membaca perpustakaan XML, jelas bahwa XML memfilter karakter dan ada kumpulan karakter terbatas yang diizinkan melalui filter XML. Ini adalah contoh lain dari waktu yang hilang jika saya telah membaca kode yang sebenarnya saya kerjakan, ”katanya. “Saat kami mendekonstruksinya, kami menemukan buffer overflow yang memungkinkan Anda mengontrol perangkat dari jarak jauh.”
Jangan BERANGGAP: Dididik oleh Aplikasi Pembelajaran Jarak Jauh 'Keamanan'
Dalam proyek lain, para peneliti mempelajari alat perangkat lunak pembelajaran jarak jauh oleh Netop yang disebut Vision Pro yang, antara lain, mencakup kemampuan guru untuk melakukan remote ke mesin siswa dan bertukar file dengan siswa mereka. Fitur berbasis Protokol Desktop Jarak Jauh tampaknya cukup mudah: “Fitur ini memungkinkan guru masuk menggunakan kredensial Microsoft untuk mendapatkan akses penuh ke mesin siswa,” jelas McKee.
Para peneliti berasumsi bahwa kredensial dienkripsi pada kawat, yang akan menjadi praktik terbaik keamanan logis. Namun saat memantau tangkapan jaringan mereka dari Wireshark, mereka terkejut menemukan kredensial berjalan melintasi jaringan tanpa enkripsi. “Sering kali asumsi bisa menjadi kematian dalam cara Anda melakukan proyek penelitian,” kata McKee.
Sementara itu, mereka merekomendasikan untuk memiliki beberapa versi produk yang Anda teliti jika ada yang rusak. McKee mengaku agak terlalu bersemangat dalam mendekonstruksi baterai dan bagian dalam pompa infus B Bruan Infusomat. Dia dan timnya membongkar baterai setelah melihat alamat MAC pada stiker yang ditempelkan padanya. Mereka menemukan papan sirkuit dan chip flash di dalamnya, dan mereka akhirnya merusak chip secara fisik saat mencoba membuka perangkat lunak di dalamnya.
“Coba lakukan proses yang paling tidak invasif terlebih dahulu,” kata McKee, dan jangan langsung membongkar perangkat keras dari awal. “Merusak sesuatu adalah bagian dari proses peretasan perangkat keras,” katanya.
