BLACK HAT EUROPE 2022 – London – Forskaren Douglas McKee hade ingen lycka med att extrahera lösenorden i en medicinsk patientövervakningsenhet som han sökte efter sårbarheter. GPU-lösenordsknäckningsverktyget som han hade kört för att lyfta upp de lager av referenser som behövdes för att dissekera enheten blev tomt. Det var inte förrän några månader senare när han satte sig för att läsa medicinproduktens dokumentation som han upptäckte att lösenorden hade legat där i tryck hela tiden.
"Jag kom äntligen runt och läste dokumentationen, som tydligt hade alla lösenord i klartext direkt i dokumenten", berättade McKee, chef för sårbarhetsforskning på Trellix, i en presentation här idag. Det visade sig att lösenorden också var hårdkodade i systemet, så hans misslyckade lösenordsknäckande process var en enorm överkill. Han och hans team upptäckte senare buggar i enheten som gjorde att de kunde förfalska patientinformation på monitorenheten.
Att misslyckas med att ta reda på dokumentationen är ett vanligt misstag av säkerhetsforskare som är ivriga att gräva i hårdvaruenheterna och mjukvaran de studerar och reverse engineering, enligt McKee. Han och hans kollega Philippe Laulheret, senior säkerhetsforskare på Trellix, i deras "Fail Harder: Hitta kritiska 0-dagar trots oss själva" presentation här, delade några av sina krigshistorier om misstag eller missräkningar de gjort i sina hackningsprojekt: missöden som de säger tjänar som användbara lärdomar för forskare.
"På alla konferenser vi går till visar de glänsande resultaten" och framgångar inom säkerhetsforskning som nolldagar, sa Laulheret. Man får inte alltid höra om raderna av misslyckanden och motgångar på vägen när man nosar på vulner, sa forskarna. I deras fall har det varit allt från hårdvaruhack som brände kretskort till en skarp, till långrandig skalkod som inte fungerade.
I det senare fallet hade McKee och hans team upptäckt en sårbarhet i Belkin Wemo Insight SmartPlug, en Wi-Fi-aktiverad konsumentenhet för att fjärrstyra på och stänga av enheter som är anslutna till den. "Min skalkod kom inte igenom till stacken. Om jag hade läst XML-biblioteket var det tydligt att XML filtrerar bort tecken och det finns en begränsad teckenuppsättning som tillåts genom XML-filtret. Detta var ytterligare ett exempel på förlorad tid om jag hade läst genom koden jag faktiskt arbetade med, säger han. "När vi dekonstruerade den hittade vi ett buffertspill som gjorde att du kunde fjärrstyra enheten."
Antag inte: Utbildad av distansutbildningsappen "Security"
I ett annat projekt studerade forskarna ett mjukvaruverktyg för distansundervisning från Netop som heter Vision Pro som bland annat inkluderar möjligheten för lärare att fjärrstyra elevernas maskiner och utbyta filer med sina elever. Den Remote Desktop Protocol-baserade funktionen verkade okomplicerad nog: "Den gör det möjligt för lärare att logga in med hjälp av Microsoft-uppgifter för att få full åtkomst till en elevs dator," förklarade McKee.
Forskarna hade antagit att referenserna var krypterade på tråden, vilket skulle ha varit den logiska säkerhetsmetoden. Men medan de övervakade deras nätverksfångst från Wireshark, blev de chockade över att upptäcka referenser som reser över nätverket okrypterade. "Många gånger kan antaganden vara döden för hur du gör ett forskningsprojekt," sa McKee.
Under tiden rekommenderar de att du har flera versioner av en produkt som du undersöker i handen om en skulle skadas. McKee erkände att han var lite övernitisk när det gällde att dekonstruera batteriet och interna delar av B Bruan Infusomat-infusionspumpen. Han och hans team tog isär batteriet efter att ha sett en MAC-adress på ett klistermärke som satt på det. De hittade ett kretskort och ett flash-chip inuti, och det slutade med att de skadade chippet fysiskt när de försökte komma åt programvaran på det.
"Försök att göra den minst invasiva processen först," sa McKee, och hoppa inte in i att bryta upp hårdvaran från början. "Att bryta saker är en del av hårdvaruhackningsprocessen", sa han.
