BLACK HAT EUROPE 2022 – London – Forsker Douglas McKee hadde ingen hell med å trekke ut passordene i en medisinsk pasientmonitorenhet han undersøkte for sårbarheter. GPU-passordknekkingsverktøyet han hadde kjørt for å løfte lagene med legitimasjon som trengs for å dissekere enheten, kom opp tom. Det var først noen måneder senere da han satte seg ned for å lese dokumentasjonen til det medisinske utstyret at han oppdaget at passordene hadde stått der på trykk hele tiden.
"Jeg kom meg endelig rundt med å lese dokumentasjonen, som tydelig hadde alle passordene i klartekst rett i dokumentene," fortalte McKee, direktør for sårbarhetsforskning ved Trellix, i en presentasjon her i dag. Det viste seg at passordene også var hardkodet inn i systemet, så hans mislykkede prosess for å knekke passord var en enorm overkill. Han og teamet hans oppdaget senere feil i enheten som tillot dem å forfalske pasientinformasjon på monitorenheten.
Å unnlate å granske dokumentasjonen er et vanlig feiltrinn av sikkerhetsforskere som er ivrige etter å grave i maskinvareenhetene og programvaren de studerer og omvendt utvikler, ifølge McKee. Han og hans kollega Philippe Laulheret, senior sikkerhetsforsker ved Trellix, i deres "Fail Harder: Finne kritiske 0-dager til tross for oss selv" presentasjon her, delte noen av sine krigshistorier om feil eller feilberegninger de gjorde i hackingprosjektene sine: uhell som de sier tjener som nyttige lærdommer for forskere.
"På alle konferanser vi går til [de] viser de skinnende resultatene" og suksesser innen sikkerhetsforskning som zero-days, sa Laulheret. Det er ikke alltid man får høre om rekkene av feil og tilbakeslag underveis når man snuser opp vulner, sa forskerne. I deres tilfelle har det vært alt fra maskinvarehakk som brente kretskort til en skarp, til langdrakt skallkode som ikke klarte å kjøre.
I det sistnevnte tilfellet hadde McKee og teamet hans oppdaget en sårbarhet i Belkin Wemo Insight SmartPlug, en Wi-Fi-aktivert forbrukerenhet for eksternt å slå på og av enheter koblet til den. "Skallkoden min kom ikke gjennom til stabelen. Hvis jeg hadde lest XML-biblioteket, var det klart at XML filtrerer ut tegn og det er et begrenset tegnsett som er tillatt gjennom XML-filteret. Dette var nok et eksempel på tapt tid hvis jeg hadde lest gjennom koden jeg faktisk jobbet med, sier han. "Da vi dekonstruerte den, fant vi et bufferoverløp som gjorde at du kunne fjernstyre enheten."
Ikke anta: Utdannet av fjernundervisningsappen "Security"
I et annet prosjekt studerte forskerne et programvareverktøy for fjernundervisning fra Netop kalt Vision Pro som blant annet inkluderer muligheten for lærere til å fjerne inn i elevenes maskiner og utveksle filer med elevene. Den Remote Desktop Protocol-baserte funksjonen virket grei nok: "Den lar lærere logge på med Microsoft-legitimasjon for å få full tilgang til en elevs maskin," forklarte McKee.
Forskerne hadde antatt at legitimasjonen var kryptert på ledningen, noe som ville vært den logiske beste praksisen for sikkerhet. Men mens de overvåket nettverksfangstene deres fra Wireshark, ble de sjokkert over å oppdage legitimasjon som reiste over nettverket ukryptert. "Mange ganger kan antagelser være døden for måten du gjør et forskningsprosjekt på," sa McKee.
I mellomtiden anbefaler de å ha i hånden flere versjoner av et produkt du undersøker i tilfelle en blir skadet. McKee innrømmet at han ble litt overivrig med å dekonstruere batteriet og innsiden av B Bruan Infusomat-infusjonspumpen. Han og teamet hans tok fra hverandre batteriet etter å ha sett en MAC-adresse på et klistremerke på det. De fant et kretskort og en flash-brikke inni, og de endte opp med å skade brikken fysisk mens de prøvde å komme til programvaren på den.
"Prøv å gjøre den minst invasive prosessen først," sa McKee, og ikke hopp inn i å bryte opp maskinvaren fra starten. "Å bryte ting er en del av hardware hacking-prosessen," sa han.
