FaultyCat

Il FaultyCat è la "chiave a urto" dell'audit hardware. Invia impulsi elettromagnetici ad alta energia nei dispositivi di destinazione, che possono causarne il malfunzionamento, rivelando spesso chiavi di crittografia, aggirando i controlli di sicurezza o resettando i meccanismi di protezione.

Quando si avvia un audit hardware, il FaultyCat dovrebbe essere il primo strumento a cui ricorrere: può essere utilizzato per verificare rapidamente se il dispositivo di destinazione è protetto e, in caso contrario, provocarne un malfunzionamento per rivelare segreti o aggirare la protezione.

Basato su un prodotto open-source (il PicoEMP), FaultyCat offre funzionalità aggiuntive, pur rimanendo economico, facile da usare e sicuro. La versione 2.2 aggiunge funzionalità estese.

È portatile e autonomo – è alimentato da 3 batterie AA – quindi non rimarrete mai a corto di energia.
Il controller Raspberry Pi integrato è completamente accessibile e programmabile dall’utente per funzionalità personalizzate.

Che cos'è l'hacking hardware?

Le tecniche di auditing hardware possono essere raggruppate in due categorie: attacchi side-channel (SCA) e iniezione di guasti elettromagnetici (EMFI). La tecnica da utilizzare dipende in gran parte dal dispositivo di destinazione. Se il chip è bloccato ma si ha accesso alle sue linee di alimentazione, di clock e di dati, gli attacchi side-channel sarebbero possibili ed efficaci.

Tuttavia, se il dispositivo di destinazione è protetto, ovvero è stato rinforzato contro gli attacchi a canale laterale, oppure le sue linee di alimentazione, di clock e dati non sono esposte, o non è possibile modificare il dispositivo, l'EMFI sarebbe la soluzione più indicata.

Gli attacchi a canale laterale acquisiscono dati privilegiati utilizzando una fonte non protetta o inaspettata. Immaginate due persone che parlano in una stanza insonorizzata con pareti di vetro: la lettura labiale ci permette di dedurre ciò che viene detto tramite gli indizi visivi – un “canale laterale” – anziché ascoltarlo, il “canale protetto”. Nell’hardware, un esempio comune è l’estrazione delle chiavi di crittografia monitorando le microfluttuazioni nel consumo energetico mentre il processore le sta calcolando.

Gli attacchi side-channel non sono necessariamente passivi: l’estrazione tramite side-channel può essere indotta creando un glitch nel dispositivo bersaglio: un breve picco di potenza o la manipolazione della linea di clock del bersaglio possono provocare un comportamento inaspettato, che porta a fughe di informazioni. Nel contesto della stanza di vetro: spegnere le luci o picchiettare sul vetro può provocare un comportamento diverso da parte delle persone che parlano – potrebbero rivelare informazioni diverse o inaspettate.

L'iniezione di guasti elettromagnetici (EMFI) crea guasti in un sistema bersaglio senza toccarlo, dirigendo impulsi elettromagnetici ad alta energia nel chip. Questi impulsi possono causare glitch e comportamenti inaspettati. Sincronizzare i glitch con importanti processi del chip può consentire di saltare o aggirare il comportamento normale, come la verifica della password.

Esistono due approcci all'EMFI: l'utilizzo di dispositivi ultraprecisi e ultrasensibili (come il ChipSHOUTER) per creare esperimenti altamente accurati e ripetibili. Il secondo approccio consiste nell'utilizzare un dispositivo semplice progettato per inviare impulsi elettrici di grande intensità al fine di provocare comportamenti inaspettati.

Il wiki di FaultyCat contiene informazioni dettagliate sull'EMFI Glitching e sui risultati che è possibile ottenere: clicchi qui per ulteriori informazioni.

Ciclo di vita dell'audit hardware

La chiave per comprendere l'audit hardware è il ciclo di vita. In genere, l'obiettivo finale è il controllo totale del dispositivo: il dumping del firmware, dei bootloader o l'ottenimento di una shell root.

Se il dispositivo di destinazione non dispone di protezione, è possibile concentrarsi sull'estrazione del firmware.
Se il dispositivo è bloccato, sarà necessario sbloccarlo, in genere tramite attacchi e strumenti di tipo Side-Channel.
Allo stesso modo, se è protetto, sarà necessario utilizzare l'EMFI per aggirare la protezione e quindi ricorrere ad attacchi Side-Channel per sbloccare il dispositivo, prima di estrarre il firmware.

La tabella seguente fornisce una sintesi del ciclo di vita dell'audit hardware.

Dispositivi protetti

Restrizioni

Protezione rinforzata Nessuna traccia esposta Impossibile modificare l'hardware

Approccio

EMFI

Strumenti

ChipShouter FaultyCat

Tecniche

Iniezione di errori Non invasivo, non distruttivo

Inversione di bit, danneggiamento dei registri Condizioni impreviste forzate

Salti di routine e istruzioni Glitch in codice non autorizzato

Dispositivi protetti

Restrizioni

Nessuna interfaccia aperta Protezione del firmware

Punti deboli

Linee di alimentazione esposte Linee di clock esposte

Approccio

Tecniche di canale laterale

Strumenti

ChipWhisperer HuskyPlus

Tecniche

Analisi della potenza per l'estrazione di chiavi e segreti

Glitching di potenza per aggirare le routine di protezione

Glitching di clock per aggirare le routine di protezione

Dispositivi non protetti

Restrizioni

Interfacce senza etichetta Chip non documentato

Punti deboli

Sicurezza tramite oscurità

Approccio

Enumerazione dei pin
Estrazione del firmware

Strumenti

WHIDBoard, MACOBox, BusPirate

Tecniche

Enumerazione dei pin Rilevamento automatico delle linee

Analizzatore logico Conversione delle acquisizioni in dati

Supporto multiprotocollo Collegamento con qualsiasi interfaccia

Rilevamento automatico della velocità Rilevare automaticamente le velocità

Caso di studio: Hacking di una centralina automobilistica

Presentazione approfondita e pratica che utilizza un prodotto di tipo FaultyCat per estrarre informazioni riservate da un circuito di controllo automobilistico.