BLACK HAT EROPA 2022 – London – Peneliti Douglas McKee tidak beruntung mengekstraksi kata sandi di perangkat monitor pasien medis yang sedang ia selidiki kerentanannya. Alat pemecah kata sandi GPU yang dia jalankan untuk mengangkat lapisan kredensial yang diperlukan untuk membedah perangkat ternyata kosong. Baru beberapa bulan kemudian ketika dia duduk untuk membaca dokumentasi perangkat medis tersebut, dia menemukan bahwa kata sandinya selalu ada dalam cetakan.
“Saya akhirnya membaca dokumentasinya, yang jelas-jelas memuat semua kata sandi dalam teks biasa tepat di dalam dokumen,” McKee, direktur penelitian kerentanan di Trellix, menceritakan dalam presentasinya di sini hari ini. Ternyata kata sandinya juga dikodekan ke dalam sistem, jadi proses pemecahan kata sandinya yang gagal merupakan tindakan yang berlebihan. Dia dan timnya kemudian menemukan bug di perangkat yang memungkinkan mereka memalsukan informasi pasien di perangkat monitor.
Gagal meneliti dokumentasi adalah kesalahan umum yang dilakukan oleh peneliti keamanan yang ingin menggali perangkat keras dan perangkat lunak yang mereka pelajari dan rekayasa balik, menurut McKee. Dia dan rekannya Philippe Laulheret, peneliti keamanan senior di Trellix, dalam "Gagal Lebih Keras: Menemukan 0-Hari Kritis Terlepas dari Diri Kita Sendiri" presentasi di sini, berbagi beberapa kisah perang mereka atas kesalahan atau kesalahan perhitungan yang mereka buat dalam proyek peretasan mereka: kecelakaan yang menurut mereka menjadi pelajaran berguna bagi para peneliti.
“Di semua konferensi yang kami hadiri [mereka] menunjukkan hasil yang cemerlang” dan keberhasilan dalam penelitian keamanan seperti zero-day, kata Laulheret. Anda tidak selalu mendengar tentang rangkaian kegagalan dan kemunduran saat mengendus kerentanan, kata para peneliti. Dalam kasus mereka, semuanya terjadi mulai dari peretasan perangkat keras yang membakar papan sirkuit hingga kode shell yang panjang dan gagal dijalankan.
Dalam kasus terakhir, McKee dan timnya telah menemukan kerentanan di Belkin Wemo Insight SmartPlug, perangkat konsumen berkemampuan Wi-Fi untuk menghidupkan dan mematikan perangkat yang terhubung dengannya dari jarak jauh. "Kode shell saya tidak masuk ke tumpukan. Jika saya telah membaca perpustakaan XML, jelas bahwa XML memfilter karakter dan ada kumpulan karakter terbatas yang diizinkan melalui filter XML. Ini adalah contoh lain dari waktu yang hilang jika saya membaca melalui kode yang sebenarnya saya kerjakan," katanya. "Saat kami mendekonstruksinya, kami menemukan buffer overflow yang memungkinkan Anda mengontrol perangkat dari jarak jauh."
Jangan Berasumsi: Disekolahkan dengan Aplikasi Pembelajaran Jarak Jauh 'Keamanan'
Dalam proyek lain, para peneliti mempelajari perangkat lunak pembelajaran jarak jauh dari Netop yang disebut Vision Pro yang, antara lain, mencakup kemampuan guru untuk melakukan remote ke mesin siswa dan bertukar file dengan siswanya. Fitur berbasis Protokol Desktop Jarak Jauh tampaknya cukup mudah: "Fitur ini memungkinkan guru untuk masuk menggunakan kredensial Microsoft untuk mendapatkan akses penuh ke mesin siswa," jelas McKee.
Para peneliti berasumsi bahwa kredensial dienkripsi melalui kabel, yang merupakan praktik keamanan terbaik yang logis. Namun saat memantau tangkapan jaringan mereka dari Wireshark, mereka terkejut menemukan kredensial yang melintasi jaringan tidak terenkripsi. “Sering kali asumsi dapat mematikan cara Anda melakukan proyek penelitian,” kata McKee.
Sementara itu, mereka merekomendasikan untuk memiliki beberapa versi produk yang Anda teliti jika ada yang rusak. McKee mengaku terlalu bersemangat dalam mendekonstruksi baterai dan bagian dalam pompa infus B Bruan Infusomat. Dia dan timnya membongkar baterai tersebut setelah menemukan alamat MAC pada stiker yang ditempel di baterai tersebut. Mereka menemukan papan sirkuit dan chip flash di dalamnya, dan mereka akhirnya merusak chip tersebut secara fisik saat mencoba mengakses perangkat lunak di dalamnya.
“Cobalah melakukan proses yang paling tidak invasif terlebih dahulu,” kata McKee, dan jangan langsung membuka perangkat keras dari awal. “Merusak sesuatu adalah bagian dari proses peretasan perangkat keras,” katanya.
