Реверс-инжиниринг *

У компании Tesla есть программа баг-баунти, приглашающая исследователей находить уязвимости безопасности в её автомобилях. Для участия мне нужно было настоящее «железо», поэтому я начал искать на eBay детали Tesla Model 3. Моя цель заключалась в том, чтобы компьютер и сенсорный экран Tesla заработали на моём столе, после чего я мог бы запустить операционную систему машины.

Компьютер машины состоит из двух частей: MCU (Media Control Unit, блока управления медиа) и autopilot computer (AP, компьютера автопилота), расположенных один поверх другого. В машине компьютер размещён перед пассажирским сиденьем, примерно за бардачком. Сама эта деталь размером с iPad и толщиной с 500-страничную книгу. Она заключена в металлический корпус с водяным охлаждением.

Поискав на Ebay «Tesla Model 3 MCU», я нашёл довольно много результатов в ценовом диапазоне $200 - $300. Изучая страницы товаров, я заметил, что многие из продавцов — компании-«утилизаторы», которые скупают разбитые машины, разбирают их и по отдельности продают детали. Иногда они даже выкладывают фотографии самих разбитых машин и позволяют фильтровать страницы товаров по деталям, извлечённым из одного автомобиля.

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

Утром 18 марта создатели приложения Telega активировали скрытую функциональность, позволяющую им перехватывать все данные между их приложением и сервером Telegram, пропуская их через свои сервера.

К сожалению, информации об этом мало, и поэтому была написана эта статья с подробным, повторяемым анализом данного механизма.

Всё началось с тупой идеи. 

У меня есть мышь Logitech MX Vertical, которая постоянно перемещается между моей домашней машиной, рабочим ноутбуком и другими устройствами. Однажды я задумался: у этой штуки есть флэш-память. Она обязана быть, иначе как мышь запоминает настройку DPI между подключениями? А можно ли в этой памяти хранить что-то ещё?

Ага, мне было скучно.

Я решил использовать мышь в качестве крошечного USB-накопителя. Так как она физически перемещается между компьютерами, то, строго говоря, способна и переносить между ними данные.

Несколько лет назад я решил купить электросамокат, чтобы ездить на работу. Я уже какое-то время пользовался прокатом самокатов, но устал от необходимости «охоты» на них или отсутствия их рядом с домом, когда мне нужно было ехать в офис.

Мой выбор остановился на Äike T. Не потому, что он оказался лучше других самокатов: на самом деле, его цена была даже выше других, и в этом ценовом сегменте рынка явно имелись скутеры с более высокими параметрами.

Однако я выбрал Äike, потому что его производили в моей стране, а мне нравится по возможности поддерживать местные компании. Äike («молния» на эстонском) был спроектирован и изготавливался в Эстонии, прямо в Таллине. Насколько я могу судить, разработчики использовали не так много стандартных компонентов. Конструкция была разработана с нуля, модуль IoT и аккумуляторные блоки тоже производили локально, и так далее. Нельзя сказать, что это однозначно лучше, ведь при этом усложняется обслуживание самоката, но сам продукт мне показался амбициозным.

Ещё одной причиной покупки стало то, что у производителя была сестринская компания Tuul («ветер» на эстонском), занимавшаяся прокатом электросамокатов. Это тоже были скутеры Äike, и из всех конкурентов мне больше всего нравились Tuul/Äike, поэтому я по возможности пользовался их прокатом.

В прошлом году компания Äike обанкротилась. В будущем это не предвещало ничего хорошего: станет всё сложнее находить запчасти, ведь они были нестандартными. Но возникли у меня и более актуальные опасения, связанные с возможностью пользоваться самокатом. У него нет ручной функции включения/отключения. Для включения и выключения, открывания аккумуляторного отсека, переключения в режим транспорта и так далее необходимо было приложение.

Купил портативный проектор HY-300 — оказался не самым "ярким" представителем. Через ADB и root добрался до прошивки, нашёл скрипт testgamma, который при каждой загрузке занижает яркость до 70%. Разобрался как работает gamma LUT в видеопроцессоре VOP, какие параметры реально влияют на картинку, а какие — пустышки. Пошаговая инструкция по выжиманию максимума из проектора.

В последние 3 года в мою жизнь вошли сварочные работы. У нас с женой в Краснодаре своя сварочная мастерская. Я – любитель. Жена - профессиональный сварной (аргон, полуавтомат).

В статье расскажу, о том, как починить механизм «качалки» (он же Top-Gun) компьютерных кресел. Удобная и инженерно-разумная вещь. Но в эксплуатации у неё вылезают болячки. Одни неприятные. Другие - опасные для здоровья.

В статье мы обсудим слабые места. Признаки проблем с ним. Как это чинить – простыми (и не очень) инструментами. И сделать надежнее (значительно)

По этой теме крайне мало разумных публикаций. А вопрос болезненный. Опишу как с этим справлялся я, преимущества ремонта. Что нужно (инструменты, расходники). Затраты и цены.

Мой ценник и потраченное время - в конце статьи.

А вы решайте, стоит ли чинить или менять узел?

Современные IoT-устройства, несмотря на компактные размеры и ограниченные ресурсы, представляют собой полноценные embedded-системы. Под пластиковым корпусом бюджетного гаджета часто скрывается стандартный Linux-компьютер с собственным ядром, драйверами, файловыми системами и сетевыми службами.

Статья посвящена проведению полного цикла реверс-инжиниринга типовой IP-камеры: от аппаратного анализа печатной платы до закрепления в операционной системе с root-правами.

Разберём путь от подключения к внутренним отладочным интерфейсам устройства до реализации устойчивого удаленного root-доступа по Wi-Fi. На примере IP-камеры Aceline AIP-O4 наглядно рассмотрим типовую архитектуру бюджетного IoT-девайса и классические ошибки, допускаемые вендорами при проектировании безопасности.

По правде сказать, портативные консоли — одни из самых интересных устройств для анализа схемотехники и инженерных решений. Ведь в отличии от тех же самых телефонов, игровые гаджеты нередко собраны на относительно распространенных и известных компонентах, из сервисных центров то и дело утекают схемы, а особо прожженные энтузиасты умудряются ретрассировать целые платы.

Сегодня я хотел бы поговорить об инженерном чуде Sony образца 2004 года - Sony PSP, и рассказать о том, что у неё скрывается под капотом...

Всем привет! Подытоживаю поиски решения, которые команда стартапа MyBox из Мастерской IT.ru вела с участием Хабра и независимых сообществ.

Задача от лидера продукта Вовы была такая: нужно заставить macOS предоставить удалённому узлу (через сеть, внутри одной машины проблем нет) подписанный Apple «аттестат», подтверждающий, что на устройстве запущено приложение с конкретным хешем бинарника. При этом macOS должна работать в режиме полной безопасности (SIP включён, приватные API не используются, понижение защиты не допускается). Детальнее в прошлой статье: https://habr.com/ru/articles/1006814/.

Накопили мешок не сработавших идей, собрали аргументацию от профи, почему рабочего решения не существует, и главное - пришли к гипотезе альтернативного архитектурного решения для продукта.

Приветствую всех!

Не так давно я уже рассказывал про раритетный венгерский домофон «Фамипия». И вот очередь дошла до другой панели этой же серии. По виду экземпляр очень похож на домофон «Сезам», отчего зачастую его путают именно с ним. Тем не менее, ничего общего с «тем» сезамом у него нет. «Питерский сезам», «сезам с оптическим ключом», «сезам с кнопкой освещения» — это всё он.

Самое время узнать, как он устроен, и попробовать его запустить. Именно этим мы сейчас и займёмся...

Разработчики, работающие с «грязными» данными регулярно сталкиваются с задачами, которые сами по себе несложны, но требуют небольших вспомогательных инструментов. Нужно декодировать строку Base64 из лога, проверить хеш файла, быстро попробовать XOR-ключ, разобрать бинарный фрагмент или понять, что скрывается внутри странной строки из сетевого дампа. Обычно для этого приходится комбинировать несколько утилит, писать короткие скрипты или искать подходящую библиотеку. В какой-то момент вокруг таких задач накапливается целый набор вспомогательных инструментов, каждый из которых решает лишь небольшой кусок проблемы.

Знакомьтесь, CyberChef - веб-приложение, разработанное в Government Communications Headquarters. Его нередко называют «кибер-швейцарским ножом» для работы с данными. В одном интерфейсе собрано несколько сотен операций: кодирование и декодирование строк, криптографические алгоритмы, работа с бинарными форматами, сетевые структуры, временные метки, анализ сертификатов и множество других преобразований. При этом инструмент не требует установки и работает прямо в браузере, хотя при необходимости его можно скачать и использовать локально.

Что если защита от копирования вообще не содержит ни одного условного перехода? Ретро-разбор библиотеки 2009 года, где вместо if (key == valid) используется вычисление адреса следующей функции, любая ошибка в данных уводит процессор в никуда.

Классический взломщик ищет в дизассемблере инструкции JZ/JNZ и инвертирует их ("Magic Jump"). Здесь этот приём не работает: нет точки принятия решения, нет и цели для патча. Вместо этого серийный номер диска, CRC32 исполняемого файла и системная дата складываются в единственно верный адрес перехода. Чуть изменил данные - получил Access Violation в случайном месте памяти.

После того, как вы настроили rexglue (https://habr.com/ru/articles/1002640/), можно переходить к следующему этапу.

Скачиваем iruka-demo, демо-версию с дельфином https://github.com/rexglue/demo-iruka

В умных часах Xiaomi используется весьма необычный процессор BES2500BP, о котором почти нет публичной документации. Однако разбор OTA-прошивки неожиданно показал знакомую архитектуру — внутри скрывается ядро STM32U5 с FreeRTOS. Это позволило провести полноценный реверс системы, разобраться в механизме загрузчика и диагностировать критическую проблему.

В статье показаны техники, как удалось отследить падение в HardFault, понять логику загрузчика и разработать собственный механизм Recovery

Если вам интересен reverse engineering прошивок, архитектура SoC, внутренняя структура смарт-часов и практические методы восстановления устройств, прошу под кат

В 1970 году 512 бит памяти были инженерным компромиссом, а ожидание «своего» бита — нормальной частью работы системы. В этой статье — разбор микросхемы Intel 1405 с фотографиями кристалла, вскрытого вручную, и подробным анализом того, как устроен регистр сдвига на уровне транзисторов и поликремниевых дорожек. Заодно посмотрим, почему такая память оказывалась дешевле статического ОЗУ, как она применялась в Datapoint 2200 и зачем для неё понадобился отдельный мощный драйвер тактовых сигналов. Это взгляд внутрь эпохи, когда архитектурные решения буквально были видны под микроскопом.

Часть 1: Обход защиты

Однажды меня попросили прочитать файлы с расширением .xcm программы холтер-мониторинга и вывести из них кардиограмму на график. Всё бы ничего, но формат файлов оказался кастомным и не подходил под стандарты ни одним байтом. Без оригинальной программы разобраться в том, как их читать, было невозможно.

Я попросил прислать мне саму программу, но мне ответили, что без аппаратного ключа она не работает. Ключ при этом находится в Бразилии, и прислать его не могут, так как он нужен медикам для работы. «Присылайте так, разберусь», — сказал я. Была мысль глянуть, что там да как статически, а если получится — заставить её работать без ключа и смотреть уже в динамике.

И этот заголовок - не кликбейт. Подвергнув реверс инжинирингу клиент российского мессенджера MAX удалось подтвердить самые худшие предположения.

В сети начали появляться сообщения о странных обращениях мессенджера MAX к Telegram и WhatsApp, из-за чего в сети начали выдвигаться предположения касательно природы и целей этих запросов. Но одно дело предполагать, другое дело знать. Мало ли это какая-то интеграция или случайный аналитический модуль. Поэтому чтобы понять самому и рассказать вам я решил посмотреть внутрь клиента и понять что и зачем он делает.

TL;DR - содержит шпионский модуль, который сделали разработчики MAX для слежки за теми кто использует VPN, они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление.

Привет, Хабр! Пишу от лица Мастерской IT.ru по запросу команды MyBox и ее лидера Вовы. Ребята столкнулись с задачей, которая тяжко решается - так что предлагаем ее спецам с Хабра за, естественно, награду. Подарим Mac Mini на 1 ТБ SSD за успешное решение.

Что за задача?

Есть проект MyBox - защищенное персональное облако на базе Apple Mac mini. Устройство должно уметь предоставить удалённому узлу подписанный Apple «аттестат», подтверждающий, что на устройстве запущено приложение с конкретным хешем бинарника.

У нас в «Лаборатории Касперского» есть команда анализа защищенности, занимающаяся поиском уязвимостей в самых разнообразных системах. В ней работают эксперты, способные исследовать практически любое устройство (и публикующие технические заметки о своих находках). Но в жизни практически каждого исследователя безопасности прошивок однажды наступает момент, когда он или она сталкивается с новым или не особо известным микроконтроллером или свежей процессорной архитектурой с кастомными расширениями. В последнее время такие моменты наступают все чаще — за прошедшие несколько лет рынок наполнился огромным количеством новых чипов из Поднебесной, в частности, на базе RISC-V, со своими собственными расширениями и реализациями ядер. И вот не так давно на анализ нашим исследователям попало устройство c таким чипом на базе RISC-V, c базовым набором инструкций RV32I и расширением P (причем еще и не последней версии), добавляющим короткие SIMD-операции (Packed-SIMD Instructions).

То, что наши эксперты видели его впервые — абсолютно нормально. Но, по всей видимости, его впервые видел и IDA Pro — инструмент, которым пользуются наши исследователи. Поэтому им пришлось не только изучить ранний черновик расширения P (оно же Packed-SIMD Extension), но также реализовать поддержку IDA Pro ряда инструкций из него и произвести лифтинг, то есть трансляцию инструкций в промежуточное представление или язык, понятные декомпилятору. Именно этим опытом они и решили поделиться в данной статье.

Но прежде чем переходить к описанию решения этих задач, стоит понять, с чем мы имеем дело, поэтому начать следует со знакомства с документацией по архитектуре RISC-V.