FaultyCat

FaultyCat es la «llave de golpe» de la auditoría de hardware. Envía pulsos electromagnéticos de alta energía a los dispositivos objetivo, lo que puede provocar fallos en ellos, revelando a menudo claves de cifrado, eludiendo controles de seguridad o reiniciando mecanismos de protección.

Al iniciar una auditoría de hardware, el FaultyCat debería ser la primera herramienta a la que recurra: puede utilizarse para comprobar rápidamente si el dispositivo objetivo está protegido y, en caso contrario, provocar un fallo para revelar secretos o eludir la protección.

Basado en un producto de código abierto (el PicoEMP), el FaultyCat cuenta con funcionalidades adicionales, pero sigue siendo económico, fácil de usar y seguro. La versión 2.2 añade funcionalidades ampliadas.

Es portátil y autónomo —funciona con 3 pilas AA—, por lo que nunca se quedará sin energía.
El controlador Raspberry Pi integrado es totalmente accesible y programable por el usuario para funciones personalizadas.

¿Qué es el hacking de hardware?

Las técnicas de auditoría de hardware pueden agruparse en dos categorías: ataques de canal lateral (SCA) e inyección de fallos electromagnéticos (EMFI). La técnica que se necesite dependerá en gran medida del dispositivo objetivo. Si el chip está bloqueado pero se tiene acceso a sus líneas de alimentación, reloj y datos, los ataques de canal lateral serían posibles y eficaces.

Sin embargo, si el objetivo está protegido —fortificado contra ataques de canal lateral—, o si sus líneas de alimentación, reloj y datos no están expuestas, o si no puede modificar el dispositivo, la EMFI sería la mejor opción.

Los ataques de canal lateral capturan datos privilegiados utilizando una fuente desprotegida o inesperada. Imagine a dos personas hablando en una sala insonorizada de cristal: la lectura de labios nos permite deducir lo que se está diciendo a través de las señales visuales —un «canal lateral»— en lugar de escucharlo, el «canal protegido». En el ámbito del hardware, un ejemplo común es la extracción de claves de cifrado mediante la monitorización de microfluctuaciones en el consumo de energía cuando el procesador las está calculando.

Los ataques de canal lateral no son necesariamente pasivos: la extracción de canal lateral puede inducirse provocando fallos en el dispositivo objetivo: un pico breve de potencia o la manipulación de la línea de reloj del objetivo pueden provocar un comportamiento inesperado, lo que conduce a fugas. En el contexto de la sala acristalada: apagar las luces o golpear el cristal puede provocar un comportamiento diferente en las personas que hablan; estas pueden revelar información diferente o inesperada.

La inyección de fallos electromagnéticos (EMFI) crea fallos en un sistema objetivo sin tocarlo, dirigiendo pulsos electromagnéticos de alta energía hacia el chip. Estos pulsos pueden provocar fallos y comportamientos inesperados. Sincronizar los fallos para que coincidan con procesos importantes del chip puede permitir saltarse o eludir el comportamiento normal, como la verificación de contraseñas.

Existen dos enfoques para la EMFI: utilizar dispositivos ultraprecisos y ultrasensibles (como el ChipSHOUTER) para crear experimentos altamente precisos y repetibles. El segundo enfoque consiste en utilizar un dispositivo sencillo diseñado para enviar grandes pulsos eléctricos que provoquen un comportamiento inesperado.

La wiki de FaultyCat contiene amplia información sobre los fallos de EMFI y lo que se puede lograr con ellos; haga clic aquí para obtener más información.

Ciclo de vida de la auditoría de hardware

La clave para comprender la auditoría de hardware es el ciclo de vida. Por lo general, el objetivo final es el control total del dispositivo: volcar el firmware, los bootloaders u obtener un shell de root.

Si su dispositivo objetivo no tiene protección, puede concentrarse en la extracción del firmware.
Si el objetivo está bloqueado, tendrá que desbloquearlo, normalmente mediante ataques de canal lateral y herramientas.
Del mismo modo, si está protegido, tendrá que utilizar EMFI para eludir la protección y, a continuación, utilizar ataques de canal lateral para desbloquear el objetivo, antes de extraer el firmware.

La siguiente tabla ofrece un resumen del ciclo de vida de la auditoría de hardware.

Dispositivos reforzados

Restricciones

Protección reforzada Sin trazas expuestas No se puede modificar el hardware

Enfoque

EMFI

Herramientas

ChipShouter FaultyCat

Técnicas

Inyección de fallos No invasivo, no destructivo

Inversiones de bits, corrupción de registros Condiciones inesperadas forzadas

Saltos de rutinas e instrucciones Fallo que da lugar a código no autorizado

Dispositivos protegidos

Restricciones

Sin interfaces abiertas Protección del firmware

Puntos débiles

Líneas de alimentación expuestas Líneas de reloj expuestas

Enfoque

Técnicas de canal lateral

Herramientas

ChipWhisperer HuskyPlus

Técnicas

Análisis de potencia para la extracción de claves y secretos

Glitching de potencia: rutinas de protección de bypass

Glitching de reloj para eludir rutinas de protección

Dispositivos sin protección

Restricciones

Interfaces sin etiquetar Chip sin documentar

Puntos débiles

Seguridad mediante la opacidad

Enfoque

Enumeración de pines
Extracción de firmware

Herramientas

WHIDBoard, MACOBox, BusPirate

Técnicas

Enumeración de pines Detección automática de líneas

Analizador lógico Convertir capturas en datos

Compatibilidad con múltiples protocolos: conéctese a cualquier interfaz

Detección automática de velocidad Detectar velocidades automáticamente

Caso práctico: Hacking de una ECU de automóvil

Presentación práctica y detallada en la que se utiliza un producto similar a FaultyCat para extraer información secreta de un circuito controlador de automoción mediante glitching.