{"id":8147,"date":"2019-10-02T13:17:45","date_gmt":"2019-10-02T11:17:45","guid":{"rendered":"https:\/\/sii.pl\/blog\/?p=8147"},"modified":"2025-05-07T11:59:28","modified_gmt":"2025-05-07T09:59:28","slug":"o-bezpieczenstwie-urzadzen-wbudowanych-czesc-pierwsza-po-ciemnej-stronie-mocy","status":"publish","type":"post","link":"https:\/\/sii.pl\/blog\/o-bezpieczenstwie-urzadzen-wbudowanych-czesc-pierwsza-po-ciemnej-stronie-mocy\/","title":{"rendered":"O bezpiecze\u0144stwie urz\u0105dze\u0144 wbudowanych – cz\u0119\u015b\u0107 pierwsza. Po ciemnej stronie mocy"},"content":{"rendered":"\n

                                                                                                                                                                      Jak mawia\u0142 trener Piechniczek<\/p>\n\n\n\n

„Je\u015bli chcesz gra\u0107 w pi\u0142k\u0119 musisz my\u015ble\u0107 jak pi\u0142ka”<\/em>
AlcMan<\/p>\n\n\n\n

S\u0142owem wst\u0119pu<\/strong><\/h2>\n\n\n\n

Jeszcze nie tak dawno zar\u00f3wno projektanci, jak i u\u017cytkownicy system\u00f3w wbudowanych \u017cyli w b\u0142ogim prze\u015bwiadczeniu, \u017ce ich urz\u0105dzenia nie s\u0105 nara\u017cone na ryzyko utraty poufnych danych. Niewielkie, proste, cz\u0119sto przeno\u015bne systemy elektroniczne wydawa\u0142y si\u0119 by\u0107 poza zainteresowaniem atakuj\u0105cych.<\/p>\n\n\n\n

Z jednej strony cz\u0119sto nie przechowywa\u0142y one \u017cadnych wra\u017cliwych czy cennych informacji, a nawet je\u017celi, tak to samo zachowanie wspomnianych danych przez producenta w pami\u0119ci urz\u0105dzenia i sprz\u0119towe zabezpieczenie przed odczytem, uwa\u017cano za w pe\u0142ni wystarczaj\u0105ce.<\/p>\n\n\n\n

Z drugiej za\u015b ataki hakerskie d\u0142ugo uznawano za domen\u0119 wielkich system\u00f3w: bankowych, rz\u0105dowych, korporacyjnych. Przy ich wielko\u015bci oraz warto\u015bci przechowywanych w nich danych bled\u0142a warto\u015b\u0107 np. loginu i has\u0142a do WiFi, przechowywanego w naszym urz\u0105dzeniu wbudowanym.<\/p>\n\n\n\n

Wraz ze wzrostem ilo\u015bci urz\u0105dze\u0144 po\u0142\u0105czonych w naszym otoczeniu wzros\u0142a te\u017c podatno\u015b\u0107 ca\u0142ego systemu, ca\u0142ej otaczaj\u0105cej nas infrastruktury na luk\u0119 wywo\u0142an\u0105 utrat\u0105 wspomnianego ju\u017c has\u0142a.<\/p>\n\n\n\n

W ramach poni\u017cszego artyku\u0142u wybierzemy si\u0119, drodzy czytelnicy, na ciemn\u0105 stron\u0119 mocy, gdzie postaram si\u0119 przybli\u017cy\u0107 Wam szereg metod, jakimi pos\u0142uguj\u0105 si\u0119 osoby \u0142ami\u0105ce zabezpieczenia urz\u0105dze\u0144 wbudowanych celem wyci\u0105gni\u0119cia przechowywanych w nich danych.<\/p>\n\n\n\n

W drodze na ciemn\u0105 stron\u0119<\/strong><\/h2>\n\n\n\n

Czym kieruj\u0105 si\u0119 \u0142ami\u0105cy zabezpieczenia?<\/strong><\/h3>\n\n\n\n

Celem atakuj\u0105cego nie zawsze jest bezpo\u015bredni zysk na z\u0142amaniu zabezpieczenia. Bardzo cz\u0119sto kieruje nim zwyczajna ciekawo\u015b\u0107, ch\u0119\u0107 sprawdzenia swojej wiedzy i umiej\u0119tno\u015bci w starciu z projektantem systemu. Czasami przek\u0142ada si\u0119 to na pr\u00f3b\u0119 uruchomienia ukrytej\/dodatkowo p\u0142atnej funkcjonalno\u015bci.<\/p>\n\n\n\n

Dodatkowym aspektem mo\u017ce by\u0107 te\u017c ch\u0119\u0107 skompromitowania producenta. Znalezienie luki w zabezpieczeniach i wykazanie, \u017ce za pomoc\u0105 wykradzionych danych jest si\u0119 w stanie podszy\u0107 pod u\u017cytkownika i regulowa\u0107 temperatur\u0119 w jego mieszkaniu, mo\u017ce by\u0107 wystarczaj\u0105cym powodem do utraty zaufania do danej marki produkt\u00f3w. Co przek\u0142ada si\u0119 na straty finansowe producenta.<\/p>\n\n\n\n

Warto te\u017c wspomnie\u0107 o pr\u00f3bie skopiowania urz\u0105dzenia w cz\u0119\u015bci b\u0105d\u017a w ca\u0142o\u015bci. Kopiuj\u0105c rozwi\u0105zania sprz\u0119towe, uk\u0142ad scalony b\u0105d\u017a jego fragment i wchodz\u0105c w posiadanie wykradzionych\/odczytanych z pami\u0119ci plik\u00f3w binarnych, atakuj\u0105cy jest w stanie rozpocz\u0105\u0107 produkcj\u0119 urz\u0105dzenia bez po\u015bwi\u0119cania \u015brodk\u00f3w na jego opracowanie.<\/p>\n\n\n\n

Metody i wektory atak\u00f3w<\/strong><\/h2>\n\n\n\n

Wszelka elektronika, b\u0119d\u0105ca w posiadaniu u\u017cytkownika ko\u0144cowego (a wi\u0119c laptopy, karty p\u0142atnicze, dekodery, smartfony, inteligentne lod\u00f3wki, elektroniczne g\u0142owice termostatyczne) jest potencjalnie nara\u017cona na atak z wykorzystaniem szeregu stosunkowo prostych metod i technik.<\/p>\n\n\n\n

Do wykonania wi\u0119kszo\u015bci z nich nie jest potrzebne zaawansowane oprzyrz\u0105dowanie b\u0105d\u017a akademicka wiedza. Wymagana jest znajomo\u015b\u0107 podstaw dzia\u0142ania elektroniki, umiej\u0119tno\u015b\u0107 pos\u0142u\u017cenia si\u0119 przyrz\u0105dami laboratoryjnymi w postaci oscyloskopu, zasilacza, generatora przebieg\u00f3w. Przydatna te\u017c jest pewna doza szcz\u0119\u015bcia, bowiem niekt\u00f3re z opisanych ni\u017cej atak\u00f3w powiod\u0105 si\u0119 w pojedynczych przypadkach, na konkretnym egzemplarzu rz\u0105dzenia. Inne za\u015b egzemplarze b\u0119d\u0105 na atak odporne b\u0105d\u017a od razu ulegn\u0105 uszkodzeniu.<\/p>\n\n\n\n

Side channel analysis<\/strong><\/h2>\n\n\n\n

(polskoj\u0119zyczny odpowiednik tego poj\u0119cia nie istnieje\/jest potworkiem j\u0119zykowym)<\/p>\n\n\n\n

Za pomoc\u0105 szeregu nieskomplikowanych technik obejmuj\u0105cych:<\/p>\n\n\n\n

    \n
  • pomiar chwilowego zu\u017cycia energii<\/li>\n\n\n\n
  • pomiar czasu wykonania operacji dla r\u00f3\u017cnych parametr\u00f3w wej\u015bciowych<\/li>\n<\/ul>\n\n\n\n

    Potencjalny atakuj\u0105cy stara si\u0119 zdoby\u0107 informacj\u0119 na temat:<\/p>\n\n\n\n

      \n
    • ilo\u015bci poprawnych cyfr w podanym przez niego numerze PIN\/ilo\u015bci poprawnych znak\u00f3w w podanym ha\u015ble (przy za\u0142o\u017ceniu, \u017ce nie korzystamy z obliczania funkcji skr\u00f3tu z has\u0142a)<\/li>\n\n\n\n
    • warto\u015bci zwracanych przez funkcje, szczeg\u00f3lnie je\u017celi zwracaj\u0105 warto\u015bci typu 0x00\/0xFF<\/li>\n\n\n\n
    • wag Hamminga przetwarzanych przez CPU warto\u015bci<\/li>\n<\/ul>\n\n\n\n

      Do wykonania tego typu ataku wystarczy prosty uk\u0142ad, sk\u0142adaj\u0105cy si\u0119 z zasilacza laboratoryjnego, oscyloskopu i rezystora o niewielkiej warto\u015bci, wpi\u0119tego w szereg z zasilaniem atakowanego uk\u0142adu scalonego.<\/p>\n\n\n\n

      \"Z<\/a>
      Ryc. 1 Z lewej – przyk\u0142ad algorytmu szczeg\u00f3lnie podatnego na wyciek informacji poprzez analiz\u0119 czasu otrzymania odpowiedzi. Z prawej – chwilowe zu\u017cycie energii (w formie spadku napi\u0119cia na szeregowej rezystancji) w zale\u017cno\u015bci od wag Hamminga sumowanych sk\u0142adnik\u00f3w<\/figcaption><\/figure>\n\n\n\n

      Error injection<\/strong><\/h2>\n\n\n\n

      W tym przypadku, atakuj\u0105cy stara si\u0119 wyj\u015b\u0107 poza dopuszczalne ramy, zdefiniowane przez producenta urz\u0105dzenia i sprowokowa\u0107 je do nieprawid\u0142owego dzia\u0142ania za pomoc\u0105:<\/p>\n\n\n\n

        \n
      • manipulacji napi\u0119ciem zasilaj\u0105cym (zbyt wysokie\/zbyt niskie)<\/li>\n\n\n\n
      • przegrzewania\/skrajnego och\u0142adzania urz\u0105dzenia<\/li>\n\n\n\n
      • emisji zak\u0142\u00f3ce\u0144 elektromagnetycznych (wy\u0142adowa\u0144) w bezpo\u015bredniej blisko\u015bci urz\u0105dzenia<\/li>\n<\/ul>\n\n\n\n

        Za ich pomoc\u0105 atakuj\u0105cy mo\u017ce sprowokowa\u0107 urz\u0105dzenie do nieokre\u015blonego dzia\u0142ania, mog\u0105cego skutkowa\u0107:<\/p>\n\n\n\n

          \n
        • b\u0142\u0119dami w odczycie danych z pami\u0119ci nieulotnych (np. odczytywaniem zer zamiast warto\u015bci faktycznie zapisanych)<\/li>\n\n\n\n
        • pomijaniem przez CPU kilku instrukcji w chwili wyst\u0105pienia zak\u0142\u00f3cenia<\/li>\n\n\n\n
        • losow\u0105 zmian\u0105 zawarto\u015bci kom\u00f3rek pami\u0119ci RAM<\/li>\n<\/ul>\n\n\n\n

          Ataki tego typu s\u0105 niezwykle tanie – na dobr\u0105 spraw\u0119 wystarczy zasilacz laboratoryjny, \u017car\u00f3wka 50W ze szk\u0142em powi\u0119kszaj\u0105cym, czy te\u017c piezoelektryczna zapalarka wymontowana z zapalniczki. We wszystkich powy\u017cszych przypadkach jest to dzia\u0142anie na przys\u0142owiowe chybi\u0142-trafi\u0142 i niesie ze sob\u0105 realne ryzyko nieodwracalnego uszkodzenia danego urz\u0105dzenia.<\/p>\n\n\n\n

          Tym niemniej mo\u017cliwo\u015b\u0107 zmiany zawarto\u015bci kom\u00f3rki pami\u0119ci\/rejestru (np. u\u017cywanego do zwracania wyniku dzia\u0142ania funkcji) jest kusz\u0105ca dla atakuj\u0105cego, nawet je\u017celi musi wykona\u0107 atak wiele razy pod rz\u0105d, aby co\u015b za jego pomoc\u0105 osi\u0105gn\u0105\u0107.<\/p>\n\n\n\n

          \"Zobrazowanie<\/a>
          Ryc. 2 Zobrazowanie skutku podgrzania pami\u0119ci RAM powy\u017cej 100-120 stopni Celsjusza (statystycznie dla 10 na 32 bit\u00f3w)<\/figcaption><\/figure>\n\n\n\n

          Physical attacks<\/strong><\/h2>\n\n\n\n

          Ataki fizyczne wymagaj\u0105 zastosowania bardziej wyrafinowanych metod – poza samym wylutowaniem mikrokontrolera z p\u0142ytki drukowanej wymagane jest jeszcze wyci\u0105gni\u0119cie struktury krzemowej z uk\u0142adu scalonego.<\/p>\n\n\n\n

          Mo\u017cemy do tego u\u017cy\u0107 zar\u00f3wno kwasu azotowego jak i promieniowania laserowego np. za pomoca urz\u0105dzenia do laserowego grawerowania. Aby zobrazowa\u0107 efekt pos\u0142u\u017c\u0119 si\u0119 kr\u00f3tkim filmikiem, przygotowanym przez firm\u0119 Controllaser (controllaser.com<\/a>)<\/p>\n\n\n