Haker nie udaje się wygrać

BLACK HAT EUROPE 2022 – Londyn – Badacz Douglas McKee nie miał szczęścia w wydobywaniu haseł w medycznym urządzeniu monitorującym pacjenta, które badał pod kątem luk w zabezpieczeniach. Narzędzie GPU do łamania haseł, które uruchomił, aby podnieść warstwy danych uwierzytelniających potrzebnych do przeanalizowania urządzenia, okazało się puste. Dopiero kilka miesięcy później, kiedy usiadł, aby przeczytać dokumentację urządzenia medycznego, odkrył, że hasła były tam w druku przez cały czas.

„W końcu przeczytałem dokumentację, która wyraźnie zawierała wszystkie hasła w postaci zwykłego tekstu bezpośrednio w dokumentach” — powiedział McKee, dyrektor ds. badań nad lukami w zabezpieczeniach w firmie Trellix, w dzisiejszej prezentacji. Okazało się, że hasła były również zakodowane w systemie, więc jego nieudany proces łamania haseł był ogromną przesadą. On i jego zespół odkryli później błędy w urządzeniu, które pozwoliły im sfałszować informacje o pacjencie na urządzeniu monitorującym.

Zdaniem McKee, niepowodzenie w przeglądaniu dokumentacji jest częstym błędem popełnianym przez badaczy bezpieczeństwa, którzy chcą zagłębić się w urządzenia sprzętowe i oprogramowanie, które badają i poddają inżynierii wstecznej. On i jego kolega Philippe Laulheret, starszy badacz ds. bezpieczeństwa w firmie Trellix, w swoim „Porażka trudniejsza: znajdowanie krytycznych dni zerowych wbrew sobie” tutaj, podzielili się niektórymi swoimi historiami wojennymi dotyczącymi błędów lub błędnych obliczeń, które popełnili w swoich projektach hakerskich: wpadki, które, jak mówią, służą jako przydatne lekcje dla badaczy.

„Na wszystkich konferencjach, na które jeździmy, [oni] pokazują świetne wyniki” i sukcesy w badaniach nad bezpieczeństwem, takie jak zero-day, powiedział Laulheret. Badacze stwierdzili, że nie zawsze można usłyszeć o ciągach niepowodzeń i niepowodzeń po drodze, gdy wyszukują luki. W ich przypadku było to wszystko, od hacków sprzętowych, które spaliły płytki drukowane, po ostry, długi kod powłoki, który nie zadziałał.

W tym drugim przypadku McKee i jego zespół odkryli lukę w Belkin Wemo Insight SmartPlug, urządzeniu konsumenckim z obsługą Wi-Fi do zdalnego włączania i wyłączania podłączonych do niego urządzeń. „Mój kod powłoki nie docierał do stosu. Gdybym przeczytał bibliotekę XML, byłoby jasne, że XML odfiltrowuje znaki, a filtr XML dopuszcza ograniczony zestaw znaków. To był kolejny przykład straconego czasu, gdybym przeczytał kod, nad którym faktycznie pracowałem” — mówi. „Kiedy go zdekonstruowaliśmy, znaleźliśmy przepełnienie bufora, które umożliwiło zdalne sterowanie urządzeniem”.

Don't ASSume: Szkolony przez aplikację do nauki na odległość „Bezpieczeństwo”

W innym projekcie naukowcy badali narzędzie programowe firmy Netop do nauki na odległość o nazwie Vision Pro, które umożliwia nauczycielom między innymi zdalne korzystanie z komputerów uczniów i wymianę plików z uczniami. Funkcja oparta na protokole Remote Desktop Protocol wydawała się dość prosta: „Pozwala nauczycielom logować się przy użyciu poświadczeń Microsoft, aby uzyskać pełny dostęp do komputera ucznia” — wyjaśnił McKee.

Badacze założyli, że dane uwierzytelniające zostały zaszyfrowane na drucie, co stanowiłoby najlepszą logiczną praktykę w zakresie bezpieczeństwa. Ale podczas monitorowania przechwytywania ich sieci z Wireshark byli zszokowani odkryciem poświadczeń podróżujących przez sieć w postaci niezaszyfrowanej. „Wiele razy założenia mogą doprowadzić do śmierci sposobu, w jaki prowadzisz projekt badawczy” – powiedział McKee.

W międzyczasie zalecają posiadanie wielu wersji badanego produktu na wypadek uszkodzenia jednego z nich. McKee przyznał, że był trochę nadgorliwy w dekonstrukcji baterii i elementów wewnętrznych pompy infuzyjnej B Bruan Infusomat. On i jego zespół rozebrali baterię po zauważeniu adresu MAC na przyklejonej do niej naklejce. Znaleźli w środku płytkę drukowaną i chip flash, a ostatecznie fizycznie uszkodzili chip, próbując dostać się do oprogramowania.

„Spróbuj najpierw wykonać najmniej inwazyjny proces” — powiedział McKee i nie zaczynaj od samego początku otwierania sprzętu. „Psucie rzeczy jest częścią procesu hakowania sprzętu” – powiedział.