Fault Injection Attacks com Enfase em Ultrassom h2hc

Baixe o meu e-book sobre Ferramentas para Hardware Hacking em: https://juliodellaflora.com

1

00:00:01,650 --> 00:00:11,639

[Música]

2

00:00:13,130 --> 00:00:20,489

bom pessoal boa noite boa tarde gente já

houveram as apresentações não preciso

3

00:00:20,490 --> 00:00:25,559

ficar me prolongando muitas

apresentações ainda mais hoje que essa

4

00:00:25,560 --> 00:00:30,509

palestra ela teve que se encaixado em

ser recolhida e teoricamente essa

5

00:00:30,510 --> 00:00:35,909

palestra deveria ter mais ou menos 50

minutos a uma hora então eu vou tentar

6

00:00:35,910 --> 00:00:39,389

fazê lo com 40 minutos mas é um pouco

corrido ou diminuir uma introdução para

7

00:00:39,390 --> 00:00:44,878

vocês e gente levanta a mão aí quem já

ouviu falar default injecte um ataque em

8

00:00:44,879 --> 00:00:49,319

hardware ataque de injeção de falha de

hardware beleza umas quatro cinco

9

00:00:49,320 --> 00:00:54,718

pessoas seis legal bastante gente até a

minha idéia aqui é trazer um pouquinho

10

00:00:54,719 --> 00:00:59,189

desse universo relacionado eletrônica

tanto analógica ou digital e trazer para

11

00:00:59,190 --> 00:01:03,689

vocês uma fusão entre o universo

eletrônico o universo da computação mas

12

00:01:03,690 --> 00:01:07,739

mais especificamente na área da

segurança da informação segurança em

13

00:01:07,740 --> 00:01:12,658

hardware é um trending topic e agora que

aí o titular em voga então tem muita

14

00:01:12,659 --> 00:01:18,839

coisa de ot que a gente pode tratar

eu trouxe dois duas provas de conceito

15

00:01:18,840 --> 00:01:23,879

para apresentar a vocês que já estão

aqui meio em dourados e se tudo der

16

00:01:23,880 --> 00:01:28,079

certo vou conseguir mostrar ao vivo as

provas de conceito a vocês

17

00:01:28,080 --> 00:01:33,719

entretanto caso de algo errado elas

estão gravadas em formato gif formato de

18

00:01:33,720 --> 00:01:38,309

vídeo ao total eu tenho se não me engano

são quatro provas de conceito nessa

19

00:01:38,310 --> 00:01:42,118

palestra então uma palestra densa tem

bastante coisa apresentar para vocês e

20

00:01:42,119 --> 00:01:47,188

pouco tempo vamos correr lá é bom vocês

já viram a introdução no meu nome é

21

00:01:47,189 --> 00:01:52,648

julho de uma flora eu sou professor e

coordenador da pós-graduação em ética o

22

00:01:52,649 --> 00:01:58,408

hacking e cyber security na unis iv é

quem tiver interessado em uma poça e

23

00:01:58,409 --> 00:02:05,699

puxando jabá já sou também analista de

segurança da com viso é e aí estão as

24

00:02:05,700 --> 00:02:09,988

minhas referências nessa o bacharel em

computação e fiz especializações e fiz

25

00:02:09,989 --> 00:02:13,409

mestrado também na área

bom gente

26

00:02:13,410 --> 00:02:17,219

como começara iniciando aí com o

objetivo desse grupo de ataques é o que

27

00:02:17,220 --> 00:02:21,269

é objetivo do falte injection dos

ataques de injeção de falha né

28

00:02:21,270 --> 00:02:24,839

o objetivo do falte injection é

basicamente introduzir algum tipo de

29

00:02:24,840 --> 00:02:29,609

falha no alvo com o objetivo de buscar

algum tipo de alteração no comportamento

30

00:02:29,610 --> 00:02:33,509

daquele hardware

então é injetar uma falha para buscar

31

00:02:33,510 --> 00:02:36,089

uma alteração no comportamento padrão do

32

00:02:35,430 --> 00:02:38,309

hardware

esse tipo de falha geralmente ela é

33

00:02:38,310 --> 00:02:44,489

introduzida através de um tipo de

manipulação de condições ambientais e

34

00:02:44,490 --> 00:02:47,579

falasse porra julho mas que tipo de

condição ambiental

35

00:02:47,580 --> 00:02:51,659

vou trazer pra frente pra vocês vão ver

que é manipulação eletromagnética

36

00:02:51,660 --> 00:02:57,749

manipulação elétrica manipulação do

clock manipulação na luz entre outras

37

00:02:57,750 --> 00:03:03,989

vertentes default jackson mas o objetivo

é manipular variáveis do ambiente de

38

00:03:03,990 --> 00:03:08,789

forma que você consiga comprometer um

microcontrolador ou os demais

39

00:03:08,790 --> 00:03:14,879

componentes presentes no alvo

o que acontece é que não só você precisa

40

00:03:14,880 --> 00:03:19,949

ou pode manipular e introduzir falhas

nome que o controlador no processador

41

00:03:19,950 --> 00:03:25,229

você pode também introduzir falhas nos

dispositivos periféricos do

42

00:03:25,230 --> 00:03:29,339

microprocessador como por exemplo uma

memória flash você pode induzir falhas

43

00:03:29,340 --> 00:03:33,929

ou sistema microeletromecânico que o

chamado mês por exemplo os giroscópios e

44

00:03:33,930 --> 00:03:37,859

acelerômetros eu vou mostrar tudo isso

na palestra espero conseguir mostrar pra

45

00:03:37,860 --> 00:03:40,919

vocês tudo isso na palestra

vamos começar com um pouquinho de

46

00:03:40,920 --> 00:03:44,699

história eu já cortei bastante a

história inclusive uma história bem

47

00:03:44,700 --> 00:03:48,899

interessante mas eu cortei bastante ela

para poder caber ea idéia aqui é o

48

00:03:48,900 --> 00:03:53,639

seguinte pessoal

bom vocês conhecem um chip né esse é o

49

00:03:53,640 --> 00:04:00,029

chip de computador bem antigo da época

da década de 80 é década de 90 é alguns

50

00:04:00,030 --> 00:04:03,779

aí são chips da toshiba

vocês podem perceber que quando eu falo

51

00:04:03,780 --> 00:04:08,519

que o chip de computador

o que vocês acham que tudo isso o chip

52

00:04:08,520 --> 00:04:11,909

essa parte preta inteira é o chip do

computador

53

00:04:11,910 --> 00:04:17,208

na verdade o chip do computador é o o o

sistema realmente há o sistema

54

00:04:17,209 --> 00:04:22,918

eletrônico do micro controlador ou do

microprocessador ele essa pastilha

55

00:04:22,919 --> 00:04:26,789

pequena brilhante dentro do chip e toda

essa

56

00:04:26,790 --> 00:04:31,589

o lucro preto é chamado de

encapsulamento é onde o chip fica para

57

00:04:31,590 --> 00:04:38,369

ser protegido de eventuais problemas

eventuais distorções ou de enfim de

58

00:04:38,370 --> 00:04:42,449

qualquer tipo de problema ambiental que

venha a existir como calor é uma

59

00:04:42,450 --> 00:04:47,399

interferência entre outros

então a idéia aqui é que o que acontece

60

00:04:47,400 --> 00:04:52,979

lá em 1970 alguns pesquisadores

descobriram que quando eles encapsula

61

00:04:52,980 --> 00:05:00,059

vão certos circuitos eletrônicos é

algumas poucas partes de urânio eram

62

00:05:00,060 --> 00:05:05,699

colocadas sem querer dentro do

encapsulamento desses micro chips

63

00:05:05,700 --> 00:05:10,739

essas pequenas partes de urânio elas te

caiu nem vocês não sei se conhece o

64

00:05:10,740 --> 00:05:14,279

processo de caimento radioativo da 6ª

série nesta 7ª série

65

00:05:14,280 --> 00:05:20,489

o irã o urânio de cair se não me engano

catório e e libera uma partícula alfa e

66

00:05:20,490 --> 00:05:24,389

essa partícula ou só tem 2 e tem dois

prótons e dois nêutrons e ela é

67

00:05:24,390 --> 00:05:29,429

carregada com a partículas carregadas em

disparada de um elemento radioativo ela

68

00:05:29,430 --> 00:05:33,209

causa alteração no comportamento de um

microcontrolador ou de um

69

00:05:33,210 --> 00:05:35,759

microprocessador

olha que coisa maluca né os cientistas

70

00:05:35,760 --> 00:05:41,309

descobriram isso lá em 1970 depois de

ficarem quase loucos porque os chips são

71

00:05:41,310 --> 00:05:45,659

comportamentos diferentes do que o

imaginado eles não sabiam porque esses

72

00:05:45,660 --> 00:05:50,129

chips de um comportamento diferente e

descobriram que ali duas ou três partes

73

00:05:50,130 --> 00:05:55,289

por milhão de urânio já era suficiente

para gritar o chip para causar beach

74

00:05:55,290 --> 00:05:59,939

flip que seria beach flip é quando o

microcontrolador que é que aquela

75

00:05:59,940 --> 00:06:04,319

instrução aquele bicho seja zero mas

aquele biffle padre vira um então isso é

76

00:06:04,320 --> 00:06:10,889

uma corrupção ou freeze um flip the

beach isso acontecia já desde 1970 e já

77

00:06:10,890 --> 00:06:17,599

estudado desde 1970 inclusive sondas

espaciais que são muito suscetível

78

00:06:17,600 --> 00:06:21,509

suscetíveis a raios cósmicos possuem os

mesmos problemas

79

00:06:21,510 --> 00:06:28,349

uma sonda chamado fogos guti em 2014

caiu na rússia é o projeto foi foi

80

00:06:28,350 --> 00:06:31,799

cancelado e eles acharam que foi um

ataque que é um ataque dos estados

81

00:06:31,800 --> 00:06:37,379

unidos entretanto eles descobriram que

foram raios cósmicos que ultrapassaram a

82

00:06:37,380 --> 00:06:41,909

camadas de blindagem da sonda e

acharam o circuito dela é não

83

00:06:41,910 --> 00:06:45,719

operacional

isso acabou com o projeto de bilhões de

84

00:06:45,720 --> 00:06:48,899

dólares da rússia

simplesmente porque eles não mediram e

85

00:06:48,900 --> 00:06:54,179

não conseguiram fazer o isolamento

apropriado para os raios cósmicos aqui

86

00:06:54,180 --> 00:06:59,099

dentro da nossa atmosfera os raios

cósmicos são bem menores né mas quando a

87

00:06:59,100 --> 00:07:03,059

gente fala de projetos espaciais a gente

tem que levar isso em consideração tudo

88

00:07:03,060 --> 00:07:06,719

isso é apenas uma introdução para que

vocês entendam um pouco o que é esse tal

89

00:07:06,720 --> 00:07:11,189

de ataque de injeção de falha quando

você injeta falha do hardware como eu

90

00:07:11,190 --> 00:07:14,609

falei pra vocês

existem alguns tipos de injeção de falha

91

00:07:14,610 --> 00:07:19,769

alguns deles são por exemplo luz branca

você consegue injetar falhas e citando

92

00:07:19,770 --> 00:07:24,719

certos componentes com luz branca você

consegue disparar feixes de laser e

93

00:07:24,720 --> 00:07:29,459

também inoperável e não utilizar certos

componentes de acordo com a freqüência

94

00:07:29,460 --> 00:07:35,039

do laser com acordo de acordo com a

potência também o clock falte jackson é

95

00:07:35,040 --> 00:07:39,179

quando você modifica altera ou cria

gritos no clock e só vou mostrar pra

96

00:07:39,180 --> 00:07:45,899

vocês na prática é temperatura tensão e

eletromagnetismo segue pela mesma linha

97

00:07:45,900 --> 00:07:51,539

tem certo chips que aquecendo esse chip

ele cria comportamento anômalo por

98

00:07:51,540 --> 00:07:57,059

exemplo tem certo chips que você aquece

e esse chip ele para de gravar

99

00:07:57,060 --> 00:08:00,959

instruções ou para de lei instruções de

uma determinada temperatura então ele

100

00:08:00,960 --> 00:08:05,159

começa só ler instruções ou começa só

agravará instruções em determinada

101

00:08:05,160 --> 00:08:10,109

temperatura tem vários projetos e várias

pesquisas científicas acerca de gestões

102

00:08:10,110 --> 00:08:16,019

de falha com temperatura também há uma

outra coisa que eu ia falar para vocês é

103

00:08:16,020 --> 00:08:20,789

a gente vai abordar um novo tipo de

ataque que começou a ser conhecido nos

104

00:08:20,790 --> 00:08:27,569

últimos anos que são ataques baseados em

ultra som em som de outra freqüência ea

105

00:08:27,570 --> 00:08:32,609

idéia aqui pessoal é que eu comecei a

estudar esse tema quando eu me deparei

106

00:08:32,610 --> 00:08:40,709

com os etf chamado rick waugh km2 em

2016 inclusive pelo site live flow onde

107

00:08:40,710 --> 00:08:47,639

o dono do do blog e o dono do canal do

youtube live overflow ele fazia um rap

108

00:08:47,640 --> 00:08:53,239

aqui pessoal se jogam ctf levanta a mão

aí quem joga já jogou joga stf

109

00:08:53,240 --> 00:08:58,249

esse ct é que você teve baseada em

hardware muito interessante você precisa

110

00:08:58,250 --> 00:09:02,719

da plaquinha do hardware para você

conseguir jogar e você faz o upload do

111

00:09:02,720 --> 00:09:08,028

firmware para conseguir quebrar consegui

achar essas flex que acontece que esse

112

00:09:08,029 --> 00:09:13,309

risco é o rock m2 de 2016

ele não foi jogado por nenhum time

113

00:09:13,310 --> 00:09:16,669

brasileiro então não tem percebido pelo

gráfico não tem nenhum time brasileiro

114

00:09:16,670 --> 00:09:23,629

que jogou pra ser mais exato uma das

chances de encerrar km2 é uma chamada

115

00:09:23,630 --> 00:09:29,389

glitch ataque fiesta que era um falso

injection um ataque de injeção de falhas

116

00:09:29,390 --> 00:09:34,969

que custava 100 pontos ele dava 100

pontos para quem conseguisse quebrar o

117

00:09:34,970 --> 00:09:40,219

que acontece nesse falte get on aqui eu

tenho um arduino já vou começar a parte

118

00:09:40,220 --> 00:09:46,369

prática que para mostrar pra vocês

vou mostrar como cara do bairro flor é o

119

00:09:46,370 --> 00:09:52,579

colega do meu flow fez a a a estrutura

de ataque dele e como eu tentei fazer a

120

00:09:52,580 --> 00:09:57,019

minha baseado na falha de conseguir

reproduzir dele eu conseguir fazer uma

121

00:09:57,020 --> 00:10:01,729

maneira mais simples de conseguir obter

essa flag simplesmente que eu falhei e

122

00:10:01,730 --> 00:10:06,169

obter a flec da maneira mais complexa

que foi a maneira que ele obteve mostrar

123

00:10:06,170 --> 00:10:13,249

aqui para vocês o seguinte eu vou abrir

a câmera do notebook para que vocês

124

00:10:13,250 --> 00:10:21,398

consigam ver então o pessoal

125

00:10:29,670 --> 00:10:32,389

a tirada

126

00:10:33,490 --> 00:10:42,639

percebam e gente aqui um arduino ano né

vocês já ouviram falar ele está

127

00:10:42,640 --> 00:10:48,599

confirmado é especial onde ele está com

uma instrução lupi quando eu coloco ele

128

00:10:48,600 --> 00:10:52,419

e fico lendo a porta serial percebo aqui

que eu estou lendo a porta serial

129

00:10:52,420 --> 00:10:59,889

através de um conector conversor néon

rs232 de um adaptador de serial pra usb

130

00:10:59,890 --> 00:11:05,319

quando eu uso esse adaptador eu consigo

ler o console serial do edu ilan e

131

00:11:05,320 --> 00:11:10,778

através daí eu sei que ele dá uma

instrução de locke que eu vou fazer aqui

132

00:11:10,779 --> 00:11:15,039

agora eu vou conectar o meu e do hino e

meio difícil que vocês percebam que

133

00:11:15,040 --> 00:11:21,219

ficar com o microfone em conectar as

coisas mas a idéia aqui vamos lá eu

134

00:11:21,220 --> 00:11:25,619

conectar o meu eduíno conectar o rs 232

135

00:11:27,100 --> 00:11:34,299

eu já fiz a cagada aqui conectar até

agora mostrar pra vocês o console seria

136

00:11:34,300 --> 00:11:36,838

ao que ele está fazendo

137

00:11:45,660 --> 00:11:50,729

aqui o pessoal que eu vou fazer

por conectar através do comando screen

138

00:11:50,730 --> 00:11:55,489

já ouviram falar desse comando não é pra

acessar o terminal

139

00:12:05,250 --> 00:12:11,439

então deve ter te y é eu preciso dar um

ponto aqui achou ele o w

140

00:12:11,440 --> 00:12:15,419

é o wc h usb né

141

00:12:15,600 --> 00:12:24,969

o pará alpa a vontade que acontece aqui

pessoal é ele tenha um balde rede de 19

142

00:12:24,970 --> 00:12:29,799

200 então vou colocar aqui o banco de

leite 19 200 e vamos ver o que acontece

143

00:12:29,800 --> 00:12:37,569

percebam aí o chip da lockheed que

acontece aqui ou agora sim ficou show de

144

00:12:37,570 --> 00:12:44,739

bola embora não vão precisar segurar o

microfone vai ser linda tabela ainda não

145

00:12:44,740 --> 00:12:48,429

ligou

percebam aí que tá em locke

146

00:12:48,430 --> 00:12:52,569

vocês conseguem imaginar que dentro do

arduino tem uma instrução onde ele está

147

00:12:52,570 --> 00:12:56,769

dentro de um loop e para conseguir a

flag é preciso sair desse lupi

148

00:12:56,770 --> 00:13:00,459

agora imagine como é que eu saio do loop

no hardware que eu posso fazer para

149

00:13:00,460 --> 00:13:06,099

tirar o o software é executado dentro do

hardware de um loop é um negócio meio cá

150

00:13:06,100 --> 00:13:10,479

brozzo nessa nova etapa dentro do raio é

que eu faço com isso tá executado direta

151

00:13:10,480 --> 00:13:21,449

ram times é tão direto o que puder fazer

gol e continuou no loc aqui

152

00:13:23,810 --> 00:13:28,129

o que acontece pessoal é que não leve

overflow ele utilizou uma técnica

153

00:13:28,130 --> 00:13:36,249

chamada voltas falte jackson que é onde

você faz é a atenção cair para baixo da

154

00:13:36,250 --> 00:13:43,989

operação padrão do hardware

então vamos ver lá quando eu chego aqui

155

00:13:43,990 --> 00:13:50,119

funcionando já o microfone ainda não

deva continuar não tá tranquilo por

156

00:13:50,120 --> 00:13:59,559

enquanto é tranquilo daqui a pouco eu

tenho que então percebeu em gent funil

157

00:13:59,560 --> 00:14:06,949

que acontece aqui pessoal é que essa

imagem ela mostra o usuário leve ao fogo

158

00:14:06,950 --> 00:14:11,809

e ele está fazendo utilizando um

hardware fpga para simular uma queda de

159

00:14:11,810 --> 00:14:17,179

tensão quando ele simula esta queda de

tensão ele faz com que certos locais o

160

00:14:17,180 --> 00:14:22,639

microcontrolador funcionem e certos

locais não isso causa certos tipos de

161

00:14:22,640 --> 00:14:28,639

bichos flip e esses bichos clipes é por

padrão vão acabar quebrângulo então ao

162

00:14:28,640 --> 00:14:34,159

objetivo dele é desligar muito

rapidamente a atenção da alimentação do

163

00:14:34,160 --> 00:14:38,479

micro controlador e ligar novamente de

maneira que eu consiga pular um loop

164

00:14:38,480 --> 00:14:47,479

então observe eu vou tentar pular lupi

eu tenho que dizer pra vocês não foi

165

00:14:47,480 --> 00:14:52,639

legal ótico tem que dizer para vocês que

percebam aí ele tem um osciloscópio né a

166

00:14:52,640 --> 00:14:59,899

mesma questão a lot tal e percebam

naquele pedaço pequeno em branco que ele

167

00:14:59,900 --> 00:15:06,079

deu uma queda de tensão essa queda de

tensão é o que propicia a essa falha é o

168

00:15:06,080 --> 00:15:10,219

ataque dessa falha eu também tentei

fazer isso aí tem um gif

169

00:15:10,220 --> 00:15:15,859

eu construí com arduino mas quali e

miseravelmente porque o meu arduino ele

170

00:15:15,860 --> 00:15:21,499

conseguia injetar falhas detenção de 125

nanossegundos eu precisava de mais ou

171

00:15:21,500 --> 00:15:28,159

menos 2 e eu precisava de mais ou menos

64 anos segundos para entrar no loop e

172

00:15:28,160 --> 00:15:31,789

quebrar esse look então não conseguir

fazer com meu irmão mas percebo que a

173

00:15:31,790 --> 00:15:36,379

técnica ali e saía um osciloscópio e

esse é o seu os coppio ele está ligado

174

00:15:36,380 --> 00:15:39,909

maior domínio

estou fazendo atenção cair põe

175

00:15:39,910 --> 00:15:44,749

nanossegundos não é por menos de

milésimos - de de décimos de milésimo

176

00:15:44,750 --> 00:15:48,648

segundo né

então o que acontece

177

00:15:48,649 --> 00:15:53,119

só pra falar pra vocês o amigo do

liverpool conseguiu fazer por volta de

178

00:15:53,120 --> 00:15:57,499

paul jackson eu tentei não consegui

a explicação do voltante fort jackson

179

00:15:57,500 --> 00:16:03,079

tac já expliquei pra vocês é como é que

funciona e mostra pra vocês que tentei

180

00:16:03,080 --> 00:16:08,148

coloquei lá o microcontrolador direto na

placa alimentei direto na placa mesmo

181

00:16:08,149 --> 00:16:11,629

assim eu não tinha velocidade suficiente

para fazer isso tá

182

00:16:11,630 --> 00:16:15,319

o tempo estava se esgotando e eu pensei

assim bom se eu não conseguir fazer por

183

00:16:15,320 --> 00:16:19,159

voltas

que tal fazer por clock com que a idéia

184

00:16:19,160 --> 00:16:24,139

do clube falta em jackson então ele gera

uma base uma uma variação aí que ela é

185

00:16:24,140 --> 00:16:29,119

baseada na má interpretação do clock

vocês sabem que o bloco tem um tempo

186

00:16:29,120 --> 00:16:33,919

definido por se chamar clock como bom

senso porque tem um clock de 16

187

00:16:33,920 --> 00:16:39,049

a mega hits estão 16 milhões de vezes

188

00:16:38,180 --> 00:16:41,329

por segundo

milhões e milhões na mega hertz aquilo

189

00:16:41,330 --> 00:16:46,789

hair 16 milhões de vezes por segundo

a idéia aqui é o injetar pequenas

190

00:16:46,790 --> 00:16:52,879

variações de clock

pra quê quando o injete e se coloque a

191

00:16:52,880 --> 00:16:58,579

instrução que está sendo executada e não

termine de ser executado em uma nova

192

00:16:58,580 --> 00:17:03,559

instrução passe a ser executada isso

cria um pânico geral no software não

193

00:17:03,560 --> 00:17:08,659

sabe mais o que fazer porque ele não

terminou de executar a instrução n e eu

194

00:17:08,660 --> 00:17:14,088

já bati o martelo do clock eles executar

o n mais um tão isso deixa o software

195

00:17:14,089 --> 00:17:19,698

completamente maluco porque o hardware é

baseado em confiança e eu tô trazendo

196

00:17:19,699 --> 00:17:24,529

ali um oscilador de cristal que

teoricamente teria que oscilará 16 mega

197

00:17:24,530 --> 00:17:30,709

hertz ele não está oscilando ele tem

picos de the clock aleatórios além dos

198

00:17:30,710 --> 00:17:35,329

16 mega hertz é exatamente isso que

estou mostrando nesse slide percebam ali

199

00:17:35,330 --> 00:17:39,109

que a seta azul é um pico de oscilação

anômala

200

00:17:39,110 --> 00:17:43,058

então é uma anomalia na freqüência de

geração do clock

201

00:17:43,059 --> 00:17:50,509

aí eu vou mostrar pra vocês ao vivo que

acontece quando a gente faz isso né

202

00:17:50,510 --> 00:17:58,599

dentro da minha da minha plataforma aqui

do meu arduino é eu agora eu tô voltando

203

00:17:58,840 --> 00:18:07,999

pro meu desktop gente sumiu

eu vou tentar não ficar trocando de tela

204

00:18:08,000 --> 00:18:13,549

viu gente trancada no problema pro

pessoal é que assim o troco né de tela e

205

00:18:13,550 --> 00:18:19,009

da ele não percebo aqui pessoal que ele

continua lá em locke e bloc do ok e

206

00:18:19,010 --> 00:18:24,139

blogs né

a idéia é o seguinte o que eu vou fazer

207

00:18:24,140 --> 00:18:27,829

aqui eu vou pegar o meu arduino que

acabei de mostrar pra vocês

208

00:18:27,830 --> 00:18:34,579

ele tem um pequeno cristal um pequeno

cristal oscilador de 16 mega hertz e eu

209

00:18:34,580 --> 00:18:38,749

vou fazer um curto circuito

nesse cristal oscilador de maneira que

210

00:18:38,750 --> 00:18:43,039

eu tente reverter a flag é que eu tenho

que sair do loop do lote para ver o que

211

00:18:43,040 --> 00:18:46,489

tem além desse no pico com tentar fazer

ao vivo não necessariamente vou

212

00:18:46,490 --> 00:18:49,369

conseguir mas vamos lá na esperança é a

213

00:18:48,470 --> 00:18:51,979

última que morre

não vou pegar aqui vou pegar uma agulha

214

00:18:51,980 --> 00:18:58,669

linha aqui um pedacinho de metal e vou

passar ele no meu é o oscilador do meu

215

00:18:58,670 --> 00:19:02,979

cristal oscilador percebam aí vamos ver

se vai dar certo

216

00:19:13,670 --> 00:19:20,089

é só porque a gente quer né aí lá

pessoal eu consegui pular um loop

217

00:19:20,090 --> 00:19:25,789

eu dei um erro na instrução ele

conseguiu pular o loop e além do loop

218

00:19:25,790 --> 00:19:31,039

dessa instrução que seria provavelmente

um raio é uma instrução aeiou é depois

219

00:19:31,040 --> 00:19:33,529

eu vou mostrar pra vocês um código

parecido com esse aqui porque não tem

220

00:19:33,530 --> 00:19:37,849

esse código porque é uma é uma chaminé

então eles não disponibilizam código mas

221

00:19:37,850 --> 00:19:44,659

percebam aí que tá escrito chip lockheed

né e a flag é o ai é mais rir

222

00:19:44,660 --> 00:19:49,009

quer dizer o que eu estou fazendo aqui

né não deveria estar aqui então eu pulei

223

00:19:49,010 --> 00:19:53,899

uma instrução

eu pulei um laço de repetição utilizando

224

00:19:53,900 --> 00:19:58,009

uma falha de hardware e só isso é uma

coisa mais global e não é uma coisa que

225

00:19:58,010 --> 00:20:02,059

vai meu deus do céu eu consigo fazer um

hardware funcionar da maneira que eu

226

00:20:02,060 --> 00:20:06,889

quero inclusive pessoal que desbloqueia

console tem esse tipo de técnica e muito

227

00:20:06,890 --> 00:20:12,229

tempo pessoal que desbloqueou xbox 360 é

mais ou menos a mesma técnica é pessoal

228

00:20:12,230 --> 00:20:17,839

é que burke o nintendo wii eo e depois o

suíte também utilizavam técnicas

229

00:20:17,840 --> 00:20:22,789

parecidas para conseguir o boot é para

conseguir acesso ao kernel loading do

230

00:20:22,790 --> 00:20:26,809

que beleza

vou tirar isso aqui continua pra vocês o

231

00:20:26,810 --> 00:20:30,949

próximo é utilizando um roteador fica um

pouco mais interessante que eu por ser

232

00:20:30,950 --> 00:20:37,839

uma rotina

então gente vou deixar o código aqui ó

233

00:20:38,560 --> 00:20:44,659

desse jeito pra num me ferrar de novo a

apresentação não é tão a idéia aqui eu

234

00:20:44,660 --> 00:20:50,059

fiz um código no arduino depois é

tentando simular esta challenge e

235

00:20:50,060 --> 00:20:54,679

percebam a ikea que faz esse código

mas basicamente nada né é um fórum

236

00:20:54,680 --> 00:21:00,139

dentro e outro fora e ele faz

incrementos depois ele vê o resto do j /

237

00:21:00,140 --> 00:21:05,029

sem se o resto foi 0 ele incremento um

computador quando o incremento esse

238

00:21:05,030 --> 00:21:11,899

contador em teoria ele precisa o

computador precisa dar sempre 2500 um

239

00:21:11,900 --> 00:21:17,719

número de 2.500 inteiro

percebo que acontece aqui no meu arduino

240

00:21:17,720 --> 00:21:22,239

isso já é um exemplo real e agora

infelizmente vou ter que mudar ea gente

241

00:21:22,240 --> 00:21:26,939

tem que fazer o slide ficar full screen

de novo

242

00:21:26,940 --> 00:21:33,209

mas percebo que acontece com o meu

arduino com esse código que é um código

243

00:21:33,210 --> 00:21:36,059

realmente feito um cenário real que pode

existir

244

00:21:36,060 --> 00:21:41,549

observe o que acontece quando utilizou a

mesma técnica no arduino num cenário

245

00:21:41,550 --> 00:21:44,099

real

aí já não é mais o racha flec já não é

246

00:21:44,100 --> 00:21:48,719

mais um ctf né

observe a little utilizando um pedaço de

247

00:21:48,720 --> 00:21:51,899

metal

esse pedaço de metal toco tocando ali as

248

00:21:51,900 --> 00:21:58,529

lides do do meu micro controlador é do

meu cristal senador e percebam que têm

249

00:21:58,530 --> 00:22:06,859

alguns locais que ele o controle ó tá

2425 ele não pode isso ele precisa dar

250

00:22:06,860 --> 00:22:12,299

2.500 ea ltda 2425 então eu pulei

pedaços do look

251

00:22:12,300 --> 00:22:17,809

eu pulei pedaços do incremento né e

então percebeu você consegue fazer um

252

00:22:17,810 --> 00:22:23,999

flip de beach um friso em the beach e

isso funciona também pra sistemas

253

00:22:24,000 --> 00:22:29,219

modernos de arquitetura moderna pode ser

a arm pode servir esportes e x86 vai

254

00:22:29,220 --> 00:22:32,399

funcionar da mesma maneira óbvio que

você tem que saber o que você vai

255

00:22:32,400 --> 00:22:36,209

cutucar né

mas a ideia mas a mesma isso aqui é o

256

00:22:36,210 --> 00:22:41,609

clock você pode fazer por temperatura

por voltas você pode fazer é utilizar o

257

00:22:41,610 --> 00:22:47,129

laser utilizar luz branca utilizar é ela

é o magnetismo entre outros

258

00:22:47,130 --> 00:22:53,849

aqui é o meu segundo cenário onde eu

mostro pra vocês como conseguir uma uma

259

00:22:53,850 --> 00:22:57,839

coisa bem interessante no roteador

através de uma falha que vai se basear

260

00:22:57,840 --> 00:23:02,819

não somente nome que o controlador no

processador mais vai se basear na

261

00:23:02,820 --> 00:23:08,449

transmissão na falha da transmissão

entre a memória flash e um processador

262

00:23:08,450 --> 00:23:16,579

da do do haiti do circuito dodô meu

embarcado no caso é um roteador

263

00:23:16,580 --> 00:23:23,189

a idéia aqui é o seguinte pessoal vou

pegar o roteador e vou ligar o meu

264

00:23:23,190 --> 00:23:31,139

roteador novamente aqui vou lá para a

interface serial de novo gente vai não

265

00:23:31,140 --> 00:23:38,729

dar nenhum problema e aqui vamos lá

vamos nós de novo deixou desligar esse

266

00:23:38,730 --> 00:23:50,668

e é o que eu vou fazer pessoal novamente

screen e barra deve perder y um ponto e

267

00:23:50,669 --> 00:23:58,709

aqui já é outro e se bené usb serial

aqui nós já 15 minutos putz

268

00:23:58,710 --> 00:24:04,019

aqui funciona assim o balde hate 11 52

00

269

00:24:04,020 --> 00:24:10,918

perceba o que acontece quando eu ligo

meu roteador ou ligar rotina normal né

270

00:24:10,919 --> 00:24:14,359

espera um pouquinho e tal

271

00:24:14,850 --> 00:24:18,899

vocês percebam que depois que ele fizer

todo o processo de boot ele vai cair

272

00:24:18,900 --> 00:24:22,979

numa num mano requisito de credencial e

senha

273

00:24:22,980 --> 00:24:27,209

esse requisito de credencial e senha eu

vou ter que colocar uma senha e um login

274

00:24:27,210 --> 00:24:31,439

e uma senha e pode ser que eu não saiba

esse login e sem que eu posso fazer para

275

00:24:31,440 --> 00:24:35,399

tentar vai passar esse roteador

levando em consideração que ele não tem

276

00:24:35,400 --> 00:24:39,689

uma interface de gee tag por exemplo é

porque os filmes do jpeg podem estar

277

00:24:39,690 --> 00:24:42,839

rompidos

não percebo o login e senha não sei o

278

00:24:42,840 --> 00:24:45,449

login e senha

o que eu posso fazer eu posso tentar

279

00:24:45,450 --> 00:24:52,259

gente é corromper as instruções que são

carregados da memória flash processador

280

00:24:52,260 --> 00:24:56,819

corromper essas instruções

eu talvez se eu tiver sorte eu caiu num

281

00:24:56,820 --> 00:25:01,439

console administrativo

o meu limite próximos pode cair numa

282

00:25:01,440 --> 00:25:05,819

chave ruth olha o que acontece então vou

ligar desligar e ligar de novo e agora

283

00:25:05,820 --> 00:25:12,599

eu vou pegar esse pedacinho aqui de

metal e voa a aterrar o chip select da

284

00:25:12,600 --> 00:25:18,119

minha memória flash com o data out são

dois pinos né township select ou aterrar

285

00:25:18,120 --> 00:25:25,199

esses dois e vejam o que acontece agora

liguei-lhe gay vou esperar um pouco e

286

00:25:25,200 --> 00:25:28,879

vou começar a induzir falhas daqui a

pouco

287

00:25:28,880 --> 00:25:34,009

beleza vou começar a reduzir falha agora

vamos ver se vai

288

00:25:35,680 --> 00:25:41,559

olá as quais foi o system erro então

estou causando erros no squash qual se

289

00:25:41,560 --> 00:25:48,369

tem um mês ele não reiniciar né

e se ele não entrar no boot infinito em

290

00:25:48,370 --> 00:25:50,789

um loop infinito

291

00:25:51,850 --> 00:25:56,289

pode ser que eu não consiga na primeira

vez ela não conseguindo a primeira vez

292

00:25:56,290 --> 00:25:59,039

vamos tentar de novo

293

00:25:59,500 --> 00:26:07,779

vamos lá vou esperar mais um pouquinho

né porque ele está carregando que não é

294

00:26:07,780 --> 00:26:13,599

pessoal e carrego quero beleza desemboca

carregado e reunificar francisco fala

295

00:26:13,600 --> 00:26:17,829

pessoal

isso é uma rotina um chute ou da oms

296

00:26:17,830 --> 00:26:21,539

aqui ó né

297

00:26:22,450 --> 00:26:28,569

olha que absurdo né

é incrível porque pensa só mandar um top

298

00:26:28,570 --> 00:26:35,049

que vocês venham rodando status que é

isso aqui

299

00:26:35,050 --> 00:26:39,639

o que acontece é pra dar uma uma ideia

geral para vocês é tem a ver com este

300

00:26:39,640 --> 00:26:44,679

processo que quando ele não consegue

carregar a o software padrão ele põe

301

00:26:44,680 --> 00:26:50,169

padrão administrativamente a a segunda

coisa que vai carregar seria uma ruschel

302

00:26:50,170 --> 00:26:55,389

então aí que eu fiz eu acabei de vai

passar a segurança do roteador é

303

00:26:55,390 --> 00:27:00,639

simplesmente fazendo um curto circuito

nos pinos netão percebam aí é mais ou

304

00:27:00,640 --> 00:27:04,629

menos essa idéia

bom gente agora eu quero passar

305

00:27:04,630 --> 00:27:07,319

rapidinho né

306

00:27:08,440 --> 00:27:14,109

só pra mostrar pra vocês

a beleza mas tem alguma coisa mais

307

00:27:14,110 --> 00:27:18,189

profissional pra gente mexer é tem sim

pra vocês começarem a brincar com isso

308

00:27:18,190 --> 00:27:24,039

eu sugiro pra vocês uma de vela por boyd

nelma uma placa desenvolvimento fpga

309

00:27:24,040 --> 00:27:29,199

geralmente muito boas a fazer qualquer

coisa com o ipva também um arduino pra

310

00:27:29,200 --> 00:27:33,969

você poder brincar com ele a arquitetura

a vr é interessante checar do rio há um

311

00:27:33,970 --> 00:27:40,089

nó james eo daee já é expresse planejar

é outra arquitetura e e obviamente seria

312

00:27:40,090 --> 00:27:44,829

interessante vocês têm um osciloscópio

para saber quando faz o ataque um

313

00:27:44,830 --> 00:27:48,379

analisador lógico para saber quando

quais são os momentos

314

00:27:48,380 --> 00:27:51,709

está carregando o que quer não está

carregando é que o boot carrega o piano

315

00:27:51,710 --> 00:27:54,019

e tal

e quais são os momentos que o qual se

316

00:27:54,020 --> 00:28:00,759

está fazendo é trocando informações nem

entre o processador e memória flash

317

00:28:00,760 --> 00:28:08,529

até aqui tudo bem barato tranqüilo aqui

já fica feio aqui é mais profissional

318

00:28:08,530 --> 00:28:14,419

então observe o preço

isso aqui é um equipamento do pessoal da

319

00:28:14,420 --> 00:28:17,449