12.02.2014 | 17:34

Adam Haertle

Jak Linksys „szyfruje” pliki konfiguracyjne ruterów

Co robi normalny producent sprzętu i oprogramowania, w którym znaleziono stertę różnych błędów? Naprawia błędy i przeprasza. Co robi sprytny producent w tej samej sytuacji? Utrudnia badaczom przeprowadzanie kolejnych analiz.

Czy można próbować zabezpieczyć urządzenie przed niezależnymi próbami oceny poziomu jego bezpieczeństwa? Zawsze może próbować zaszyfrować jego oprogramowanie i pliki konfiguracyjne. Jeśli jednak robi się to nieudolnie, możecie się spodziewać efektów.

Historia błędów Linksysa

Może to być temat na osobny artykuł, ale ograniczając się tylko do błędów odkrytych w ostatnich miesiącach trzeba wspomnieć o roocie na WRT54GL (błąd w UPnP) oraz śmiesznej tylnej furtce na niestandardowym porcie w wielu modelach. Linksys najwyraźniej postanowił ograniczyć podobne publikacje w przyszłości. Zamiast jednak wzmocnić procedury kontroli jakości kodu źródłowego lub przeprowadzić rekrutację fachowców zajmujących się testami penetracyjnymi, poszedł drogą na skróty i wprowadził szyfrowanie oprogramowania wbudowanego.

Linksys WRT120N

Linksys WRT120N

Na efekty takiej decyzji nie trzeba było długo czekać. Craig, autor serwisu /dev/ttyS0, postanowił bliżej przyjrzeć się oprogramowaniu rutera WRT120N. Polecamy Wam lekturę opisu całego procesu omijania szyfrowania pliku oprogramowania, a tych, którzy się na nią nie skuszą, informujemy, że Craig dokonał identyfikacji oprogramowania podłączając się do portu szeregowego po czym zrzucił zawartość pamięci flash, przeprowadził analizę wsteczną bootloadera, znalazł procedurę zaciemniającą (bo trudno to nazwać szyfrowaniem) oprogramowanie i stworzył narzędzie, umożliwiające bezproblemowe odpakowanie „zaszyfrowanego” oprogramowania rutera (potem jeszcze aktywował port JTAG i zmodyfikował kod bootloadera, by móc z niego korzystać, ale to osobna historia).

Zaszyfrowaliśmy plik konfiguracyjny

W komentarzu do zmian w najnowszej wersji oprogramowania rutera Craig znalazł także ciekawy fragment:

Firmware 1.0.07 (Build 01)
- Encrypts the configuration file.

Ciekaw, jakie to szyfrowanie pliku konfiguracyjnego wymyślił Linksys, postanowił przyjrzeć się bliżej tej kwestii. Przeprowadził klasyczny atak ze znanym tekstem jawnym na algorytm szyfrujący. Skorzystał w tym celu z opcji stworzenia kopii bezpieczeństwa konfiguracji. Wygenerował dwie kopie – jedną z hasłem „admin”, drugą z hasłem „aa”, po czym porównał oba pliki wynikowe.

Porównanie dwóch wersji szyfrowania

Porównanie dwóch wersji pliku

Już na pierwszy rzut oka widać, że litera „a”, od której zaczynają się oba hasła, jest zaszyfrowana w ten sam sposób – zaszyfrowana ma postać 9E. Widać także, że w drugim haśle druga litera „a” również w formie zaszyfrowanej ma postać 9E. Widać zatem, że wynik szyfrowania nie zależy od pozycji znaku. Czy możliwe zatem, że całe to „szyfrowanie” to tak naprawdę funkcja XOR na poszczególnych bajtach? Łatwo to sprawdzić.

Wystarczy wykonać operację XOR na jawnym i zaszyfrowanym znaku, by otrzymać klucz szyfrujący. Zatem

61 XOR 9E = FF

(61 to wartość HEX dla „a”)

Widzimy zatem, że kluczem może być wartość FF. Przetestujmy to dla pozostałych znaków:

9E XOR FF = a
9B XOR FF = d
92 XOR FF = m 
96 XOR FF = i 
91 XOR FF = n

Jak zatem widać, „szyfrowanie” producenta ruterów Linksys okazało się warte dokładnie tyle, co jego wcześniejsze tylne furtki.

Powrót

Komentarze

  • 2014.02.12 20:31 bslawek

    lol

    Odpowiedz
  • 2014.02.12 21:44 tommy437

    lol

    Odpowiedz
  • 2014.02.12 21:57 JanuszMirek

    Oby tylko TP-Link nie zaczął iść w tę stronę, bo zabawa z OpenWRT może stać się znacznie trudniejsza.

    Odpowiedz
  • 2014.02.12 22:08 Kasia

    Byście napisali lepiej jak aktualnie anonimowi ddosuja GSHQ :)

    Odpowiedz
    • 2014.02.12 22:14 Adam

      O tym to niech na Onecie napiszą…

      Odpowiedz
      • 2014.02.12 22:17 Kasia

        Na pewno by było ciekawsze niż art „MON: Proszę nie nazywać hakerami naszych specjalistów”

        Odpowiedz
        • 2014.02.12 22:19 Adam

          Ile zdań można napisać o jednym ataku DDoS, o którym wiadomo tyle, że jest? A jak się artykuły nie podobają, to nie czytaj – nikogo nie zmuszamy :)

          Odpowiedz
          • 2014.02.12 22:26 Kasia

            Chodzi o ogół pewnie to usuniesz ale zobacz jak wygląda sprawa na tych stronach: http://www.ehackingnews.com/, http://thehackernews.com/

          • 2014.02.12 22:50 Adam

            Mam na liście subskrypcji, ale ich wpisy o DDoSach i deface’ach nie wnoszą niczego ciekawego – są identyczne i zmienia się tylko URL. Co innego gdyby ktoś napisał o nowej technice DDoS albo szczegółach włamania – to chętnie poczytam.

          • 2014.02.13 11:21 JackN

            COFAM SUBA! :D

    • 2014.02.13 09:53 Kasia

      Ale historia ładna, bo to był odwet za to że GCHQ ddosowało ich irca, albo news że ostatnio miał najmocniejszy ddos na cloudflare.

      Odpowiedz
      • 2014.02.13 11:06 Adam

        To, że GCHQ DDoSowało Anonymous, to jest news i o tym pisaliśmy (akurat źródłem nie był żaden z tych portali, tylko NBC). Tak samo atak na CF tez jest ciekawy i też pierwotnym źródłem nie był żaden z tych portali… :)

        Odpowiedz
    • 2014.02.15 10:50 Mroczny Kobziarz

      Lepiej poczekać, aż media zaczną podawać nazwiska kolejnych łebków przy aresztowaniach :)

      Odpowiedz
  • 2014.02.13 09:55 Bolo

    Czyli mówiąc krótko, moim zdaniem Cisco to amatorzy. Kiedyś Linksys robił najbardziej stabilne routery domowe. Po przejęciu przez Cisco (chyba cisco wystraszyło się umacniającej się konkurencji, lidera urządzeń domowych, która w przyszłości mogła by im namieszać w segmencie biznesowym, więc kupili ich za drobne) zaczęła się prowizorka i robienie wała z klientów (zrezygnowali z urządzeń biznesowych, a w segmencie domowych postawili na zysk kosztem jakości). Na koniec sprzedali wsio Belkinowi, który ma już totalnie wszystko w dupie. Aby sprzedać a później niech martwi się klient. Tak oto rozpoznawalna i wybijająca się solidna marka, stała się synonimem kwitnącej lipy

    Odpowiedz
    • 2014.02.13 13:09 Jerema Wiśniowiecki

      a moze kiedys mniej ludzi weryfikowalo takie rzeczy. Dzis to modny temat.

      Odpowiedz
  • 2014.02.13 12:08 Łukasz

    Bolo i tu się w 100% z tobą zgadzam. Sam pamiętam jak zawsze polecałem Linksysa bo to naprawdę dobry sprzęt tylko szkoda że BYŁ

    Odpowiedz
  • 2014.02.13 13:54 MS

    Dziękuję. Dzięki tym radom włamałem się na serwery Pentagonu z których właśnie pisze.

    Odpowiedz
  • 2014.02.13 14:39 Elrood

    Ech, szkoda że zapomnieliście dodać że to wersja z drugiej połowy 2012 roku….
    „Oprogramowanie sprzętowe
    06/28/2012

    Ver.1.0.07 (Build 02)”

    czyli wbrew sugestii z tymi błędami akurat nie ma to nic wspólnego.

    Odpowiedz
    • 2014.02.13 14:48 Adam

      Słuszna uwaga, że biorąc pod uwagę chronologię, z tymi akurat błędami nie ma nic wspólnego. Zapewne ma zatem coś wspólnego z poprzednimi błędami – bo po co „szyfrować” firmware rutera?

      Odpowiedz
  • 2014.02.13 18:29 Mroczny Kobziarz

    A może to jest szyfrowanie? One-time Pad, z bardzo krótkim kluczem i używanym w kółko :)

    Odpowiedz
  • 2014.02.13 23:58 Robert

    Ktoś tu był leniwy :D

    Odpowiedz
  • 2014.02.22 13:14 minus1

    Wybaczcie ale zapytam? To w końcu szyfrują pliki konfiguracyjne (tzw. config), czy image softu, bo to zasadnicza różnica. Jakoś widzę bardzo mały związek z config’iem i reverse engineering’iem obrazu firmware urządzenia

    Odpowiedz
    • 2014.02.22 13:22 Adam

      I to, i to.

      Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak Linksys „szyfruje” pliki konfiguracyjne ruterów

Komentarze