BLACK HAT EUROPE 2022 – London – Der Forscher Douglas McKee hatte kein Glück beim Extrahieren der Passwörter in einem medizinischen Patientenüberwachungsgerät, das er auf Schwachstellen untersuchte. Das GPU-Tool zum Knacken von Passwörtern, das er ausgeführt hatte, um die Anmeldeinformationen zu heben, die zum Analysieren des Geräts erforderlich waren, war leer. Erst einige Monate später, als er sich hinsetzte, um die Dokumentation des medizinischen Geräts zu lesen, entdeckte er, dass die Passwörter die ganze Zeit über dort gedruckt gewesen waren.
„Endlich bin ich dazu gekommen, die Dokumentation zu lesen, die eindeutig alle Passwörter im Klartext direkt in den Dokumenten enthielt“, erzählte McKee, Leiter der Schwachstellenforschung bei Trellix, heute in einer Präsentation hier. Es stellte sich heraus, dass die Passwörter ebenfalls fest in das System einprogrammiert waren, sodass sein fehlgeschlagener Prozess zum Knacken von Passwörtern ein massiver Overkill war. Später entdeckten er und sein Team Fehler im Gerät, die es ihnen ermöglichten, Patienteninformationen auf dem Überwachungsgerät zu fälschen.
Laut McKee ist es ein häufiger Fehltritt von Sicherheitsforschern, die die Hardware und Software, die sie untersuchen, zu untersuchen und rückzuentwickeln, zu unterlassen, sich mit der Dokumentation zu beschäftigen. Er und sein Kollege Philippe Laulheret, leitender Sicherheitsforscher bei Trellix, in ihrem „Härter scheitern: Kritische 0-Tage gegen uns selbst finden” Präsentation hier, teilten einige ihrer Kriegsgeschichten über Fehler oder Fehleinschätzungen, die sie in ihren Hacking-Projekten gemacht haben: Pannen, von denen sie sagen, dass sie Forschern als nützliche Lektionen dienen.
„Auf allen Konferenzen gehen wir hin, um [sie] die glänzenden Ergebnisse zu zeigen“ und Erfolge in der Sicherheitsforschung wie Zero-Days, sagte Laulheret. Man erfährt nicht immer von den Fehlern und Rückschlägen auf dem Weg, wenn man Schwachstellen ausspioniert, sagten die Forscher. In ihrem Fall war das alles, von Hardware-Hacks, die Platinen verbrannten, bis hin zu einem knackigen, langatmigen Shellcode, der nicht ausgeführt werden konnte.
Im letzteren Fall hatten McKee und sein Team eine Schwachstelle im Belkin Wemo Insight SmartPlug entdeckt, einem Wi-Fi-fähigen Verbrauchergerät zum ferngesteuerten Ein- und Ausschalten von daran angeschlossenen Geräten. „Mein Shellcode kam nicht zum Stack durch. Wenn ich die XML-Bibliothek gelesen hatte, war klar, dass XML Zeichen herausfiltert und dass ein begrenzter Zeichensatz durch den XML-Filter zugelassen ist. Dies war ein weiteres Beispiel für verlorene Zeit, wenn ich den Code, mit dem ich tatsächlich arbeitete, durchgelesen hätte“, sagt er. „Als wir es dekonstruierten, fanden wir einen Pufferüberlauf, der es Ihnen ermöglichte, das Gerät fernzusteuern.“
Nicht unterstellen: Geschult durch Fernlern-App „Sicherheit“
In einem anderen Projekt untersuchten die Forscher ein Software-Tool für Fernunterricht von Netop namens Vision Pro, das Lehrern unter anderem die Möglichkeit bietet, per Fernzugriff auf die Computer der Schüler zuzugreifen und Dateien mit ihren Schülern auszutauschen. Die auf dem Remote Desktop Protocol basierende Funktion schien einfach genug: „Sie ermöglicht es Lehrern, sich mit Microsoft-Anmeldeinformationen anzumelden, um vollen Zugriff auf den Computer eines Schülers zu erhalten“, erklärte McKee.
Die Forscher waren davon ausgegangen, dass die Anmeldeinformationen drahtlos verschlüsselt wurden, was die logische Best Practice für die Sicherheit gewesen wäre. Aber während sie ihre Netzwerkerfassungen von Wireshark aus überwachten, waren sie schockiert, als sie Anmeldeinformationen entdeckten, die unverschlüsselt über das Netzwerk übertragen wurden. „Annahmen können oft den Tod für die Art und Weise bedeuten, wie man ein Forschungsprojekt durchführt“, sagte McKee.
In der Zwischenzeit empfehlen sie, mehrere Versionen eines Produkts, das Sie recherchieren, zur Hand zu haben, falls eine beschädigt wird. McKee gab zu, beim Zerlegen der Batterie und des Innenlebens der Infusionspumpe B Bruan Infusomat etwas übereifrig geworden zu sein. Er und sein Team zerlegten die Batterie, nachdem sie eine MAC-Adresse auf einem daran angebrachten Aufkleber entdeckt hatten. Sie fanden eine Platine und einen Flash-Chip darin und beschädigten den Chip physisch, als sie versuchten, an die darauf befindliche Software zu gelangen.
„Versuchen Sie zuerst, den am wenigsten invasiven Prozess durchzuführen“, sagte McKee, und stürzen Sie sich nicht von Anfang an auf das Aufbrechen der Hardware. „Dinge zu zerstören ist Teil des Hardware-Hacking-Prozesses“, sagte er.
