Herstellung BadUSB Arbeit für Sie - DerbyCon - Adam Caudill
Letzte Woche Brandon Wilson und ich wurden bei DerbyCon sprechen ausgezeichnet. auf die Arbeit in vielen USB auf der Phison Controller tun Thumbdrives fanden wir haben. Dies war mein erstes Mal bei DerbyCon gesprochen - es ist ein großes Ereignis, mit einem fantastischen Team machte die Magie geschehen.
Video (was ich habe nicht in der Lage, mich zu bringen zu sehen):
Wir haben drei Demos - sie einfach genug waren, dass ich nicht glaube, es war ein Risiko Fragen zu haben. Nun, Lektion gelernt.
Die Maschine, die wir verwendet wurde, war ein frisches Installation von Windows nur für das Gespräch - obwohl in der Eile, es gibt ein paar Unterschiede zwischen ihm waren und die Maschine, die wir mit dem Testen hatten. In der Panik zu versuchen, das Gespräch in dem kurzen 25-minütigen Slot getan, verwechselte ich diese Unterschiede für ein Versagen eines der Demo.
Benutzerdefinierte HID Firmware
Die erste der drei Demos war eine völlig eigene Firmware, die sich als HID-Gerät präsentiert (und als Massenspeichergerät, wenn auch ohne Datenträger - das Firmware-Updates einfacher zu machen ist) - die Demo ohne Probleme ging.
Ich hätte mir gewünscht, die Werkzeuge und den Update-Prozess zu zeigen, obwohl es einfach keine Zeit war. Brandon arbeitet an Videos, die auf YouTube gepostet werden, die Schritt für Schritt durch jede Demo Schritt geht.
Das Team hinter dem Rubber Ducky sparte uns viel Zeit, dank der Werkzeuge, die sie gebaut hatten - wie wir in der Lage waren, die gleichen codierten Format unterstützen sie verwendet.
Die versteckte Partition ist ein großer Patch, da es keine Möglichkeit gibt, zu sagen, dass es sie gibt - alles funktioniert wie erwartet, kein Grund zu vermuten, dass etwas verändert wurde.
Es teilt den NAND-Raum in zwei Partitionen und die Firmware liegen über die Größe, um anzuzeigen, dass nur die Hälfte des Raumes ist. Der „public“ Abschnitt ist die erste, das ist angebracht, und nur eine bestimmte Aktion wird die zweite, versteckte Partition verursacht sichtbar werden.
Es ist eine einfache Änderung, aber es sendet eine klare Botschaft, dass es mehr als das Auge mit diesen Geräten erfüllt. der einzige Weg, aus einer Forensik Perspektive, um sicherzustellen, dass das, was Sie bekommen, richtig und vollständig ist, ist das NAND direkt dump - ohne den Controller ermöglicht es zuzugreifen.
Passwortschutz Bypass
Diese Demo schien schief zu gehen, aber es eigentlich perfekt ausgeführt - ich war einfach zu viel in Eile, obwohl zu denken, was geschieht, und warum habe ich nicht sehen, was ich erwartet habe.
Als ich das Gerät eingesteckt, erwarte ich zwei Laufwerke von ihm zu sehen - ein „public“, die anderen ausgehängt. Ich sah nur einen. Zwei Dinge schief ging hier:
- „Zeigen Leere Laufwerke im Explorer“ - Mit dem Standard-Windows zeigt nicht unmontiert austauschbare Laufwerke in „My Computer“; Dies ist eine Einstellung, die ich immer zu ändern, und erwartete, dass das deaktivierte Laufwerk zu sehen. Da dies eine neue Installation wurde die Standardeinstellung noch gesetzt - der Antrieb war da, ich konnte einfach nicht sehen. Dies warf mich ab.
- Kennwort falsch - Während die Demo ich in einigen zufälligen Junk, um das Passwort-Feld des „Lock“ Tool eingegeben hat, und anstatt es das Laufwerk wie erwartet Entriegeln es gab mir den falschen Passwort-Dialog. Das Problem hier ist ein Fehler in dem Phison Code, wenn ein Kennwort mehr als 16 Zeichen liefern lange es es als ein schlechtes Passwort behandelt. So war es funktioniert, aber das Passwort, die ich geliefert war zu lang, dass Fehler ausgelöst wird.
Wir testeten später das Laufwerk wieder, und sicher genug - es einwandfrei funktioniert, solange das zufällige Passwort nicht länger als 16 Zeichen war.
Die Patch funktioniert durch den Puffer zu verändern, die die Daten einmal empfangen über USB speichert; es zwingt sie zu 16 „A“ s, so dass jedes Passwort funktioniert. Weil, wie es funktioniert, muss der Patch angewendet werden, bevor der Benutzer sein Passwort setzt - sonst wird es nur die Daten unzugänglich machen.
Das war schmerzhaft.
Während die Rede bezeichnen I 7 und 8 Modi wie verschlüsselt - das wahrscheinlich falsch ist, zumindest auf den Geräten wir demoed. Die beiden Modi sind durch ein Passwort geschützt, und nach einiger Dokumentation sind verschlüsselt, und nach anderen Unterlagen sind sie nicht.
Die Frage kam in einem Gespräch nach dem Vortrag auf - wir haben nicht die Zeit hatten in diese Funktion mehr, da dann zu graben, aber es sieht aus wie es ohne Verschlüsselung nur eine Kennwortprüfung ist.
Das Ändern des Passworts Patch wurde in der letzten Minute hinzugefügt, eine weitere Demo zu ersetzen, die uns nicht gefallen hat - wir den USB-Befehl identifiziert wird gesendet, und geflickt es. Aus Zeitgründen haben wir graben nicht in das Merkmal, das Dokument zu überprüfen (von einem Gerätehersteller) war richtig; nachdem die Frage aufgeworfen wurde, gruben wir in ein wenig mehr und für andere Dokumentation und Code sah die Forderung zu unterstützen - es ist wie das Dokument sieht wir Referenzierung war nicht korrekt.
So sieht es aus wie ich misspoke - der Patch funktioniert immer noch wie erwartet, obwohl die Funktion selbst weniger Schutz zu bieten scheint, als wir ursprünglich gedacht. Es tut uns leid!
Die Kodex - Text & Tabellen
Wir haben alles, was auf dem Repo jetzt, und wir haben einige zusätzliche Dokumentation zum Wiki hinzugefügt.
Das ist nicht einfach zu tun - der Code ist kompliziert zu schreiben, und die Mühe, den Patches zu verwenden und Custom Firmware ist ein bisschen mehr als Ich mag würde. Wir haben auch zu dokumentieren Dinge ausprobiert, wie wir können, hoffentlich ist es einfach genug, um zu verstehen.
Nächste Schritte
Wir hoffen, dass diese Freigabe wird Push-Gerät auf signiertes Firmware-Updates zu bestehen, produziert und dass Phison Unterstützung für signiertes Updates zu allen Controller hinzufügen, wird es verkauft.
Phison ist nicht der einzige Spieler hier, obwohl sie die häufigsten sind - ich würde gerne sie bei der Verbesserung der Sicherheit für diese Geräte, die Führung sehen nehmen. Sie haben die Möglichkeit, aufzustehen und Nutzer zu schützen - als häufigster Anbieter dieses Controller, ich würde wirklich lieben, sie nehmen dies als eine Gelegenheit, um zu sehen, die Industrie zu führen.
Was wir veröffentlicht kratzt nur an der Oberfläche dessen, was hier getan werden kann - bis unterzeichnet Updates durchgesetzt werden, gibt es nicht abzusehen, welche Spiele diese Geräte spielen könnte.