BLACK HAT EUROPE 2022 – Londen – Onderzoeker Douglas McKee had geen geluk bij het extraheren van de wachtwoorden in een medisch patiëntmonitorapparaat dat hij zocht naar kwetsbaarheden. De GPU-wachtwoordkraker die hij had gebruikt om de lagen met inloggegevens op te halen die nodig waren om het apparaat te ontleden, bleek leeg. Pas een paar maanden later, toen hij ging zitten om de documentatie van het medische apparaat te lezen, ontdekte hij dat de wachtwoorden al die tijd in gedrukte vorm aanwezig waren geweest.
"Ik ben er eindelijk in geslaagd de documentatie te lezen, waarin duidelijk alle wachtwoorden in leesbare tekst in de documenten stonden", vertelde McKee, directeur kwetsbaarheidsonderzoek bij Trellix, hier vandaag in een presentatie. Het bleek dat de wachtwoorden ook hard in het systeem waren gecodeerd, dus zijn mislukte proces om wachtwoorden te kraken was een enorme overkill. Hij en zijn team ontdekten later bugs in het apparaat waardoor ze patiëntinformatie op het monitorapparaat konden vervalsen.
Het niet doornemen van documentatie is een veel voorkomende misstap van beveiligingsonderzoekers die zich graag willen verdiepen in de hardwareapparaten en software die ze bestuderen en reverse-engineeren, aldus McKee. Hij en zijn collega Philippe Laulheret, senior veiligheidsonderzoeker bij Trellix, in hun "Fail Harder: ondanks onszelf kritieke 0-dagen vindenTijdens de presentatie hier deelden ze enkele van hun oorlogsverhalen over fouten of misrekeningen die ze maakten in hun hackprojecten: ongelukken waarvan ze zeggen dat ze nuttige lessen zijn voor onderzoekers.
"Op alle conferenties waar we naartoe gaan, laten ze schitterende resultaten zien" en successen in veiligheidsonderzoek zoals zero-days, zei Laulheret. Bij het opsporen van kwetsbaarheden hoor je niet altijd de reeks mislukkingen en tegenslagen, aldus de onderzoekers. In hun geval was dat alles, van hardware-hacks die printplaten verbrandden tot heldere, langdradige shellcode die niet werkte.
In het laatste geval hadden McKee en zijn team een kwetsbaarheid ontdekt in de Belkin Wemo Insight SmartPlug, een Wi-Fi-compatibel consumentenapparaat waarmee op afstand aangesloten apparaten kunnen worden in- en uitgeschakeld. "Mijn shellcode kwam niet door naar de stapel. Als ik de XML-bibliotheek had gelezen, was het duidelijk dat XML tekens uitfiltert en dat er een beperkte tekenset is toegestaan door het XML-filter. Dit was weer een voorbeeld van verloren tijd als ik had gelezen via de code waarmee ik daadwerkelijk werkte", zegt hij. "Toen we het deconstrueerden, vonden we een bufferoverloop waarmee je het apparaat op afstand kon bedienen."
Ga er niet van uit: geschoold door app 'Veiligheid' voor afstandsonderwijs
In een ander project bestudeerden de onderzoekers een softwaretool voor afstandsonderwijs van Netop, Vision Pro genaamd, die onder andere de mogelijkheid biedt voor docenten om op afstand toegang te krijgen tot de machines van studenten en bestanden uit te wisselen met hun studenten. De op Remote Desktop Protocol gebaseerde functie leek eenvoudig genoeg: "Leraren kunnen inloggen met Microsoft-gegevens om volledige toegang te krijgen tot de computer van een leerling", legt McKee uit.
De onderzoekers waren ervan uitgegaan dat de inloggegevens op de draad waren gecodeerd, wat de logische best practice op het gebied van beveiliging zou zijn geweest. Maar terwijl ze hun netwerkopnamen van Wireshark in de gaten hielden, waren ze geschokt toen ze ontdekten dat de inloggegevens ongecodeerd over het netwerk reisden. "Vaak kunnen aannames de dood betekenen voor de manier waarop je een onderzoeksproject uitvoert", zegt McKee.
In de tussentijd raden ze aan om meerdere versies van een product dat u onderzoekt bij de hand te hebben, voor het geval er één beschadigd raakt. McKee gaf toe dat hij een beetje overijverig was bij het deconstrueren van de batterij en de interne onderdelen van de B Bruan Infusomat-infuuspomp. Hij en zijn team haalden de batterij uit elkaar nadat ze een MAC-adres hadden ontdekt op een sticker die erop was aangebracht. Ze vonden een printplaat en een flashchip, en uiteindelijk beschadigden ze de chip fysiek terwijl ze probeerden bij de software te komen.
"Probeer eerst het minst invasieve proces uit te voeren", zei McKee, en begin niet vanaf het begin met het openbreken van de hardware. "Dingen kapot maken maakt deel uit van het hardware-hackproces", zei hij.
