< Return to Video

38C3 - Dialing into the Past: RCE via the Fax Machine – Because Why Not?

  • 0:00 - 0:05
    Translated by Robert Ylitalo
    (KYBS2001 course assignment at JYU.FI)
  • 0:05 - 0:14
    ♪ (38C3 intromusiikki) ♪
  • 0:20 - 0:22
    Korvaamme jo menetettyä aikaa.
  • 0:22 - 0:28
    Tervetuloa kaikki meidän esitykseen:
    "Matka menneisyyteen: RCE faksikoneen kautta, koska miksei?"
  • 0:28 - 0:35
    Tämä projekti vaati paljon enemmän työtä kuin osasimme odottaa,
    joten toivottavasti olette valmiita hyppäämään kyytiin.
  • 0:35 - 0:40
    Nimeni on Rick de Jager ja vieressäni on kollegani Carlo Meijer tässä 80-luvun henkisessä kuvassa.
  • 0:41 - 0:46
    Ja ennen kuin menemme liian pitkälle, haluamme aloittaa kiitoksella.
  • 0:46 - 0:49
    Suurin osa tästä työstä on saanut inspiraationsa aiemmasta CCC-esityksestä.
  • 0:49 - 0:53
    Fax-laitteiden hakkeroimisesta, jonka pitivät Eyal Itkin ja Yannif Balmas.
  • 0:53 - 0:58
    He tekivät hienoa työtä, ja se todella laittoi ajatuksen päähämme:
  • 0:58 - 1:04
    jos löydämme kirjan, jonka voi lukea faksin kautta, katsotaan kuinka vaikeaa se olisi ja hauskaa.
  • 1:04 - 1:11
    Eli vaikka uutuuden viehätys ei ollutkaan varsinainen motivaattori, miksi sitten juuri faksikone?
  • 1:11 - 1:18
    No, tämä kaunis faksilaite on ollut yksi Pwn2Own-kilpailun kohteista jo neljän vuoden ajan.
  • 1:18 - 1:23
    Olemme osallistuneet Pwn2Own-kilpailuun jo kolmena niistä vuosista.
  • 1:23 - 1:32
    Pwn2Own on nollapäiväkilpailu, jossa yritys julkaisee kohdelistan, ja kolme kuukautta
    etukäteen kilpailijat alkavat etsiä uusia haavoittuvuuksia.
  • 1:32 - 1:38
    Kilpailijat yrittävät löytää uusia nollapäivähaavoittuvuuksia, joilla saa ajettua koodia.
  • 1:38 - 1:41
    Pwn2Ownissa on eri kilpailusarjoja.
  • 1:41 - 1:46
    On työpöytäohjelmistoja kuten selaimet, virtuaalikoneet.
  • 1:46 - 1:48
    On autoihin liittyvä sarja, esimerkiksi autohakkerointi.
  • 1:48 - 1:54
    Ja sitten on IoT-sarja, jossa me kilpailimme, pääasiassa kulutuselektroniikkaa.
  • 1:54 - 2:03
    Syy miksi päätimme tutkia tulostimia oli se, että näimme jotain ZDI-blogissa.
  • 2:03 - 2:07
    Jos hakkeroit reitittimen ja siirryt toiseen laitteeseen,
  • 2:07 - 2:10
    kuten tulostimeen, saat 100K palkinnon.
  • 2:10 - 2:15
    Ajattelimme, että 100K, kuulostaa hyvältä, otetaanpa se kohteeksi.
  • 2:16 - 2:17
    Mutta palkintoraha ei lopu siihen.
  • 2:17 - 2:19
    Se ei ole pelkkä kiinteä 100K.
  • 2:19 - 2:22
    Pwn2Ownissa palkkio pienenee huomattavasti,
  • 2:22 - 2:25
    jos sinulla on sama haavoittuvuus kuin jollain toisella.
  • 2:25 - 2:28
    Ja tulostimilla on suuri hyökkäyspinta-ala.
  • 2:28 - 2:32
    Joten on epätodennäköisempää, että joku muu löytää saman bugin.
  • 2:32 - 2:37
    Voimme siis valita vaikeamman kohteen,
  • 2:37 - 2:41
    kuten muistinkorruptiobugin, vähentääksemme
    kilpailua
  • 2:41 - 2:48
    Moni voi tehdä "Command Injection"-bugin, mutta muistinkorruptio on tarkempi ja vaatii enemmän työtä.
  • 2:48 - 2:51
    Joten toiset eivät välttämättä tee samaa.
  • 2:51 - 2:59
    Meillä oli useita tulostimia valittavana, mutta valitsimme sellaisen, joka oli halpa mutta käytti salattua laiteohjelmistoa.
  • 2:59 - 3:02
    Joten sisääntulokynnys oli korkeampi.
  • 3:02 - 3:06
    Ensin piti ostaa laite, purkaa se ja samoin myös itse firmware.
  • 3:06 - 3:08
    Toivoimme, että muut kilpailijat...
  • 3:09 - 3:12
    valitsisivat helpomman kohteen eivätkä tekisi samaa kuin me.
  • 3:14 - 3:16
    Joten tässä on meidän päähenkilömme.
  • 3:16 - 3:19
    Lexmark 331 -sarja.
  • 3:19 - 3:23
    Se on ollut Pwn2Own-kohteena vuodesta 2021.
  • 3:23 - 3:29
    Aloitimme osallistumaan Pwn2Owniin vuonna 2022 ja olemme tehneet exploitin tähän jo kolme kertaa.
  • 3:29 - 3:32
    Se perustuu Yocto Linuxiin.
  • 3:32 - 3:35
    Kyseessä on varsin raskas käyttöjärjestelmä.
  • 3:35 - 3:38
    Siinä pyörii Rust-komponentteja ja Qt-sovelluksia.
  • 3:38 - 3:40
    Se on aika hieno.
  • 3:40 - 3:44
    Ja verrattuna muihin tulostimiin, sanoisin että Lexmark on tehnyt kohtalaista työtä
  • 3:44 - 3:46
    turvallisuuden suhteen.
  • 3:46 - 3:48
    Järjestelmässä on useita käyttäjiä.
  • 3:48 - 3:50
    Kaikki on melko hyvin ajan tasalla.
  • 3:50 - 3:55
    On myös yritetty käyttää sandboxausta systemd-komponenteilla.
  • 3:55 - 3:57
    Kaiken kaikkiaan suoriutuvat melko hyvin.
  • 3:58 - 4:01
    Silti hakkeroimme sen kolme kertaa, joten se ei ole täydellinen.
  • 4:02 - 4:10
    Ja mikä tärkeintä tälle päivälle, tässä laitteessa on faksituki, mitä emme valinneet tarkoituksella, mutta se vain sattui olemaan...
  • 4:10 - 4:11
    Sattumalta huomasimme sen.
  • 4:12 - 4:13
    Joten...
  • 4:13 - 4:15
    Rahan lisäksi, tekisimmekö tätä silti?
  • 4:15 - 4:20
    No, faksien kulta-aika taisi olla vuoteen 1999 asti.
  • 4:21 - 4:26
    Itse olen 25-vuotias, joten tuntuu että jäin fax-aikakaudesta paitsi.
  • 4:27 - 4:29
    En ollut koskaan lähettänyt faksia ennen tätä projektia.
  • 4:29 - 4:32
    Tässä vaiheessa niitä on varmaan satoja takana.
  • 4:34 - 4:37
    Joten miten tätä oikein lähestyisi käytännössä?
  • 4:37 - 4:38
    No niin.
  • 4:38 - 4:45
    Ensimmäinen asia mitä tarvitaan on tietenkin firmware-kuva.
  • 4:45 - 4:48
    Ilman sitä tämä olisi täysin arvailua.
  • 4:49 - 4:56
    Sen jälkeen tarvitaan debuggausmahdollisuus,
  • 4:56 - 5:01
    koska muistinkorruptiobugin hyväksikäyttöön tarvitsee näkymän ohjelman sisäiseen tilaan ja toimintaan.
  • 5:01 - 5:09
    Suunnitelmana on siis saada hyvä debuggauskyvykkyys joko koodin ajolla tai JTAG-debuggerilla.
  • 5:09 - 5:15
    Ja sitten näiden avulla etsitään haavoittuvuus, exploitataan sitä ja kerätään palkinto,
  • 5:15 - 5:21
    niin kuin juuri sanoin.
  • 5:21 - 5:27
    Ja siirretään tämä haavoittuvuus faksin kautta toimivaksi ja pidetään hieno CCC-esitys.
  • 5:28 - 5:29
    Tässä siis ollaan nyt.
  • 5:30 - 5:30
    Hyvä on.
  • 5:30 - 5:33
    Keskitytään nyt siihen, miten saadaan firmware-kuva.
  • 5:33 - 5:37
    Ensimmäinen paikka josta etsiä on tietenkin Lexmarkin verkkosivut.
  • 5:37 - 5:40
    Sieltä voi ihan vain ladata firmware-kuvan.
  • 5:41 - 5:43
    Ja kun sen laittaa binwalkin läpi,
  • 5:44 - 5:49
    sieltä tulee vain sekasotkua, joten mietimme: mitä täällä oikein tapahtuu?
  • 5:49 - 5:53
    Kävi ilmi, että entropia oli aika korkea.
  • 5:53 - 5:55
    Sanoisin, että järjettömän korkea.
  • 5:55 - 5:59
    Tämä on selkeä merkki siitä, että tiedosto on salattu.
  • 5:59 - 6:01
    Valitettavasti.
  • 6:01 - 6:11
    Joten tässä vaiheessa oli selvää, että kuvan tutkiminen on turhaa, koska se on salattu eikä meillä ole avaimia, joten täytyy...
  • 6:12 - 6:14
    palata suunnittelupöydälle.
  • 6:14 - 6:19
    Hauska fakta, tulostimen firmware-päivitys itse asiassa tulostetaan.
  • 6:19 - 6:27
    Se on upotettu PostScript-dokumenttiin ja tulostat sen tulostimeen, ja se aloittaa itse päivityksen.
  • 6:28 - 6:34
    Seuraava vaihe oli siis hankkia itse laite.
  • 6:34 - 6:39
    Tässä on kuva tulostimesta autoni takakontissa.
  • 6:40 - 6:45
    Eli ostimme laitteen käytettynä ja se meni suunnilleen näin:
  • 6:45 - 6:52
    Juttelin hetken myyjän kanssa, ja hän ystävällisesti kysyi:
    "Oletko varma, että haluat ostaa tämän tulostimen?"
  • 6:52 - 6:56
    Sanoin, että totta kai, miksi en haluaisi?
  • 6:56 - 6:59
    No, mustekasetit ovat loppumassa.
  • 6:59 - 7:03
    Jos haluat tulostaa, ne ovat kalliita ja loppuvat pian.
  • 7:04 - 7:07
    joten ehkä kannattaisi etsiä toista.
  • 7:07 - 7:08
    Tulostaa?
  • 7:08 - 7:09
    Miksi ihmeessä tekisin niin?
  • 7:15 - 7:18
    Hyvä, nyt kun tulostin oli hallussamme...
  • 7:21 - 7:24
    Meillä oli uusi lelu käytössämme.
  • 7:24 - 7:31
    Tutkimme piirilevyä ja huomasimme siinä olevan JTAG-merkinnät —
    loistavaa, se helpottaa elämäämme huomattavasti.
  • 7:31 - 7:42
    Jos JTAG ei ole tuttu, se on rajapinta, jolla voi tutkia laitteen muistia,
    asettaa keskeytyspisteitä, muokata rekistereitä
  • 7:42 - 7:46
    käytännössä unelmatyökalu exploit-kehittäjälle.
  • 7:46 - 7:48
    Se olisi siis kultainen standardi.
  • 7:48 - 7:51
    Joten elämästämme oli tulossa todella helppoa.
  • 7:51 - 7:55
    Ajattelimme vain, että okei, mennään taas.
  • 7:55 - 7:57
    Ja niin teimmekin.
  • 7:57 - 7:59
    Kytkimme sen Raspberry Pi:hin.
  • 7:59 - 8:01
    Raspberry Pi:ssä on GPIO-portit.
  • 8:01 - 8:05
    Voit käyttää OpenOCD:tä puhumaan JTAGia kohteelle.
  • 8:05 - 8:09
    Tuki toimii suoraan, kaikki toimi kauniisti.
  • 8:09 - 8:11
    Pystyimme lähettämään ID-koodipyynnön.
  • 8:11 - 8:14
    Se vastasi takaisin ARM limitediltä.
  • 8:14 - 8:15
    Tiesimme olevamme oikeilla jäljillä.
  • 8:15 - 8:18
    Signaalissa ei ollut mitään ongelmaa.
  • 8:18 - 8:20
    Eli emme ole hulluja.
  • 8:20 - 8:25
    Päivän säätämisen jälkeen tajusimme, ettei se vastannut enää mihinkään muuhun.
  • 8:25 - 8:27
    Mitään kiinnostavaa ei tapahtunut.
  • 8:27 - 8:32
    He olivat luultavasti kytkeneet jotain pois päältä jossain ei-haihtuvassa asetuksessa.
  • 8:32 - 8:35
    Joten taas palattiin suunnittelupöydälle.
  • 8:35 - 8:42
    Seuraava vaihtoehto firmware-kuvan saamiseksi oli yksinkertaisesti juottaa tallennuspiiri irti piirilevyltä.
  • 8:42 - 8:44
    Tämä on aika suoraviivaista.
  • 8:44 - 8:50
    Viedään se kuumailmajuottimelle ja irrotetaan siru.
  • 8:51 - 8:55
    Sen jälkeen laitetaan se yleismalliseen EEPROM-lukijaan.
  • 8:55 - 8:58
    Käytimme tähän B-PROG C -laitetta.
  • 8:59 - 9:00
    Tämä oli...
  • 9:00 - 9:06
    muutaman vuoden takaa, kun olin vielä opiskelija ja leikin tämän parissa, laite on yhä tallessa.
  • 9:07 - 9:15
    Kävi ilmi, että tämä lukija todella pitää omista, suljetuista TSOP48-sovittimistaan.
  • 9:16 - 9:20
    Ja tietenkin meillä oli halpa kopio eBaysta, jota se ei sitten hyväksynyt.
  • 9:20 - 9:28
    Ei mitään, mitä ohjelmistopaikka ei voisi korjata, mutta en kyllä suosittele tätä lähestymistapaa, ota mieluummin jotain vähemmän...
  • 9:28 - 9:32
    valitse laite, jossa on vähemmän kiristyksen kaltaisia vaatimuksia.
  • 9:32 - 9:37
    Onneksi lopulta saimme sen toimimaan ja saimme firmware-dumpin ulos.
  • 9:38 - 9:39
    Sehän on mukavaa.
  • 9:40 - 9:44
    Kävi ilmi, että he käyttävät UBI:a, eikä UBI ole kovin jännittävä.
  • 9:44 - 9:46
    Se on lohkonhallintajärjestelmä.
  • 9:46 - 9:51
    Eli vialliset lohkot, kulumantasoitus, kaikki hoidetaan ohjelmallisesti.
  • 9:51 - 9:56
    Se on kehys, joka on kirjoitettu erityisesti Linuxille, tietääkseni.
  • 9:57 - 10:01
    Siellä on squashFS-tiedostojärjestelmä, jonka voi suoraan purkaa.
  • 10:01 - 10:09
    Purku onnistui ja jäljelle jäi siisti root-tiedostojärjestelmä kaikilla binääreillä ja muulla sisällöllä.
  • 10:09 - 10:12
    Tässä vaiheessa meillä oli siis firmware-kuva.
  • 10:13 - 10:16
    Se on decryptoitu, mutta entä jos Lexmark julkaisee firmware-päivityksen?
  • 10:16 - 10:17
    Se olisi huono juttu.
  • 10:17 - 10:20
    Pitäisi tehdä koko homma uudelleen.
  • 10:20 - 10:26
    Joten löysimme myös laiteohjelmiston salausavaimet ja teimme oman purkutyökalun.
  • 10:26 - 10:31
    Seuraavalla kerralla kun Lexmark julkaisee päivityksen, voimme vain ladata sen,
    purkaa, ja kaikki toimii.
  • 10:31 - 10:35
    Saatat nyt miettiä, mitä tulostimelle tapahtui?
  • 10:35 - 10:38
    Koska siru oli irrotettu.
  • 10:38 - 10:40
    Tietysti juotin sen takaisin kiinni.
  • 10:43 - 10:45
    Ja tämä voi yllättää sinut,
  • 10:45 - 10:49
    mutta se toimii edelleen.
  • 10:55 - 11:03
    Nyt kun meillä on firmware-kuva, seuraava asia, mitä tarvitsemme, on debuggauskyvykkyys.
  • 11:04 - 11:13
    Kävi ilmi, että laitteessa on Secure Boot, joten emme voi vain muokata muistisirua ja lisätä siihen takaovea.
  • 11:13 - 11:25
    Lisäksi Lexmark ei pidä siitä, että loppukäyttäjät SSH-yhteydellä säätävät laitteen sisuskaluja, joten tarvitsimme exploitin.
  • 11:25 - 11:34
    Kävi ilmi, että NCC Group oli löytänyt exploitin jo vuotta aiemmin ja lähettänyt sen Pwn2Owniin sekä kirjoittanut siitä blogipostauksen.
  • 11:34 - 11:38
    Mutta siitä puuttui muutama tärkeä yksityiskohta.
  • 11:38 - 11:42
    Mutta pystyimme täydentämään puuttuvat kohdat juuri saamallamme firmware-kuvalla.
  • 11:42 - 11:46
    Tällä tavalla saimme root shellin itsellemme.
  • 11:46 - 11:48
    Jep, olimme aika tyytyväisiä siihen.
  • 11:49 - 11:56
    Nyt voimme tutkia firmwarea, debugata prosesseja esimerkiksi ajamalla GDB-palvelimen.
  • 11:56 - 11:59
    Joo, tämä on aika hyvä juttu.
  • 11:59 - 12:04
    Totta kai NCC Groupin bugi korjattiin uusimmassa firmware-päivityksessä.
  • 12:04 - 12:11
    Joten emme käyttäneet uusinta firmwarea, heti kun sen päivittää, bugi häviää ja joudut aloittamaan alusta.
  • 12:11 - 12:18
    Mutta sillä välin voimme käyttää tätä kyvykkyyttä löytääksemme haavoittuvuuksia, jotka toivottavasti ovat yhä olemassa seuraavassa versiossa.
  • 12:19 - 12:29
    Nyt kun meillä on debuggauskyky, on aika alkaa etsiä sitä varsinaista haavoittuvuutta, jonka haluamme lähettää Pwn2Owniin.
  • 12:31 - 12:33
    No niin, aluksi...
  • 12:34 - 12:39
    Ensimmäinen asia tällaisessa tilanteessa on kartoittaa koko hyökkäyspinta-ala.
  • 12:39 - 12:42
    Kuten diasta näkee, se on melko laaja.
  • 12:43 - 12:46
    On olemassa erilaisia protokollia, joita voi käyttää.
  • 12:46 - 12:50
    On kymmeniä ja kymmeniä skriptejä ja binäärejä, joita voi kutsua suoraan.
  • 12:50 - 12:55
    Vaikuttava määrä tuettuja tiedostomuotoja.
  • 12:55 - 12:58
    Eikä tämä edes ole koko lista, muuten.
  • 12:59 - 13:06
    PDF mahdollistaa myös kaikenlaisten kuvien ja tiedostojen, jopa fonttien upottamisen.
  • 13:06 - 13:13
    Lopulta valitsimme JBIG2-purkajan, joka on saavutettavissa PDF:n kautta.
  • 13:13 - 13:20
    Voit siis syöttää sisältöä siihen koodiin PDF:n kautta, tai myös faksin kautta.
  • 13:22 - 13:24
    Tässä vertailun vuoksi:
  • 13:24 - 13:36
    Tässä ovat tapaukset, jotka tiedämme viimeisten kolmen vuoden ajalta, muiden tiimien, ja ei pelkästään muiden vaan myös meidän hyökkäämät kohteet.
  • 13:36 - 13:39
    Kuten näette, ryhmittymiä muodostuu.
  • 13:39 - 13:43
    Jotkut tutkivat web-komponentteja ja CGI-skriptejä.
  • 13:43 - 13:49
    Jotkut taas keskittyvät PostScriptiin ja saavat siitä paljon irti.
  • 13:49 - 13:53
    Me suuntasimme JPX-dekooderiin, eli JPEG 2000:een.
  • 13:53 - 14:02
    Olemme kuulleet, että he aikovat poistaa koko komponentin tänä vuonna, koska JPEG 2000:lla on murrettu laite jo kolme kertaa peräkkäin.
  • 14:07 - 14:09
    Hyökkäyspinta-ala on siis käsitelty.
  • 14:09 - 14:11
    Siirrytäänpä pieneen yhteenvetoon.
  • 14:11 - 14:15
    Koska olemme murtaneet tämän laitteen nyt kolmena vuotena peräkkäin.
  • 14:15 - 14:17
    Halusimme antaa pienen yhteenvedon.
  • 14:17 - 14:27
    Ensimmäisenä vuotena teimme kaiken pohjatyön: purimme firmwaren, teimme purkutyökalun, ja hankimme pysyvyyden tulostimeen, jotta päivitys ei estäisi koodin suorittamista.
  • 14:27 - 14:29
    Eli saimme pysyvän pääsyn.
  • 14:29 - 14:35
    Mutta ensimmäisenä vuonna käytimme tulostinbugia osana ketjua, jossa ensin hakkeroitiin reititin, ja sitten tulostin.
  • 14:35 - 14:45
    Valitettavasti reititinbugimme "murskattiin" päivityksessä. Bugi oli yhä olemassa, mutta päivitys muutti koodia niin paljon, ettei exploit enää toiminut vakaasti.
  • 14:45 - 14:45
    Ja valitettavasti...
  • 14:45 - 14:49
    se epäonnistui lavalla, mutta opimme silti paljon tulostimen hakkeroinnista.
  • 14:49 - 14:52
    Käytimme siihen paljon tunteja, eikä työ mennyt hukkaan.
  • 14:52 - 15:02
    Seuraavana vuonna palasimme takaisin, ja tiesimme että JPEG 2000 on heikko komponentti. Jos vain ajamme AFL:ää viisi minuuttia, löydämme uuden bugin.
  • 15:03 - 15:05
    Mahtavaa, meillä on bugi.
  • 15:05 - 15:07
    Olimme siis valmiita Pwn2Owniin.
  • 15:07 - 15:15
    Täytin lomaketta kilpailuun, ja muutamaa tuntia ennen lähetyksen deadlinea huomasimme, että uusi päivitys oli julkaistu.
  • 15:15 - 15:22
    Paniikissa asensin päivityksen ja huomasimme, että se sisälsi täysin uuden kryptauksen.
  • 15:22 - 15:28
    Vanha purkutyökalu ei toiminut, ja mikä pahinta, emme voineet palauttaa vanhaa versiota.
  • 15:28 - 15:30
    Joten olimme jumissa.
  • 15:30 - 15:32
    Esitimme vain lomakkeessa, että meillä on exploit.
  • 15:32 - 15:34
    Jep, kyllä meillä on exploit...
  • 15:35 - 15:39
    Se toimi edelleen, mutta offsetit olivat täysin erilaisia muistinkorruption vuoksi.
  • 15:40 - 15:44
    Meillä oli käytännössä kaksi, kolme päivää aikaa ratkaista ongelma.
  • 15:44 - 15:48
    Tajusin nopeasti, ettei meillä ole mitään mahdollisuutta murtaa sitä kryptoa kolmessa päivässä.
  • 15:48 - 15:55
    Joten sen sijaan otin yhteyttä Bl4stieen, koska tiesin, että hänellä oli tämä tulostin viime vuoden Pwn2Ownissa.
  • 15:55 - 15:57
    Tänä vuonna hän ei aikonut hyökätä siihen.
  • 15:57 - 15:59
    Ehkä hän voisi auttaa meitä.
  • 15:59 - 16:01
    Pahimmassa tapauksessa hän sanoisi ei, eikö niin?
  • 16:01 - 16:04
    Joten otin yhteyttä ja sanoin: exploitimme meni rikki.
  • 16:04 - 16:06
    Pwn2Owniin on vain muutama tunti aikaa.
  • 16:06 - 16:07
    Voisitko auttaa meitä?
  • 16:07 - 16:10
    Bl4stie, kunnon tyyppi kun on, sanoi: totta kai.
  • 16:10 - 16:11
    Mitä tarvitsette?
  • 16:11 - 16:16
    Sanoin: minulla on tämä backdoor, jolla saa pysyvyyden, voin antaa sen sinulle.
  • 16:16 - 16:19
    Jos vain asennat sen tulostimeesi.
  • 16:19 - 16:22
    Se saattaa rikkoa laitteen, mutta siinä tapauksessa ostamme sinulle uuden.
  • 16:22 - 16:26
    Mutta se saattaa myös antaa sinulle shellin uusimmalla firmwarella.
  • 16:26 - 16:34
    Ja jos se toimii, voisitko vain lähettää meille kansion /usr/bin sisällön,
    koska emme halunneet vielä kertoa, mitä binääriä olimme murtamassa.
  • 16:34 - 16:39
    Lähetä vain kaikki järjestelmän binäärit, me kyllä selvitetään loput.
  • 16:39 - 16:44
    Bl4stie oli vähän niin kuin, okei, nyt te kyllä pyydätte aika paljon.
  • 16:44 - 16:45
    Mitä minä saan tästä?
  • 16:46 - 16:50
    Vastasin, että no, se pysyvyys on varmasti hyödyllinen sulle ensi vuonna.
  • 16:50 - 16:56
    Saat meidän ikuisen kiitollisuutemme ja me ostetaan sulle drinkkejä Pwn2Ownissa.
  • 16:57 - 17:01
    No, vähän huijasimme Bl4stieta, hän sanoi, että kuulostaa hyvältä.
  • 17:01 - 17:04
    Koska Pwn2Ownissa on ilmainen baari.
  • 17:04 - 17:09
    Joten emme oikeastaan ostaneet Bl4stielle kovin montaa juomaa.
  • 17:15 - 17:21
    Mutta jatkaaksemme aikajanaa: Bl4stie pelasti meidät, exploit toimi, saimme siitä 20 000.
  • 17:21 - 17:26
    Ja seuraavana vuonna Bl4stie ei näköjään kantanut kaunaa, vaan liittyi meidän tiimiin Pwn2Ownissa.
  • 17:28 - 17:32
    Bl4stie hermostui uudesta kryptosta ja murtautui siihen ihan huvikseen.
  • 17:33 - 17:40
    Tämän vuoden Pwn2Ownissa julkaisimme kaksi uutta exploittia: toinen niistä on juuri se, jonka lähetämme faksin kautta nyt.
  • 17:42 - 17:48
    Kuten sanottu, exploit liittyy JBIG:een.
  • 17:48 - 17:51
    JBIG2 on saavutettavissa sekä faksin että PDF:n kautta.
  • 17:51 - 17:54
    Se on alun perin tarkoitettu fakseille.
  • 17:54 - 18:01
    Lexmark teki siihen oman kirjastonsa, mikä tarkoittaa käytännössä sitä, että siinä on todennäköisesti reippaasti bugeja.
  • 18:01 - 18:12
    Suunnitelma oli siis kirjoittaa exploit, laittaa se PDF:ään, se oli suht helppoa, vei noin viikon tienata rahaa Pwn2Ownista ja portata se faksille.
  • 18:12 - 18:13
    Koska kuinka vaikeaa se nyt voi olla?
  • 18:14 - 18:21
    Itse bugin yksityiskohdista en voi vielä puhua, koska valmistajalla on vielä muutama viikko aikaa julkaista korjaus.
  • 18:21 - 18:25
    Mutta haluan nopeasti puhua JBIG2:n heap shapingista.
  • 18:26 - 18:33
    JBIG2:lla on maine todella monimutkaisena formaattina ja tavallaan se onkin.
  • 18:33 - 18:39
    NSO Group käytti sitä yhdessä exploitissaan, jossa jouduttiin rakentamaan jopa oma CPU.
  • 18:39 - 18:44
    Mutta koska meidän suojaukset eivät ole kovin vahvat, meidän ei tarvinnut tehdä mitään sen kaltaista.
  • 18:44 - 18:47
    JPEG 2 on oikeastaan aika mukava formaatti heap shapingiin.
  • 18:47 - 18:56
    Se ei ole yhtä hyvä kuin PostScript, sillä siinä ei ole tulkkia, mutta se mahdollistaa joustavan koon allokaatiot ja tarkan hallinnan objektien elinkaaresta, voit varata ja vapauttaa mielesi mukaan.
  • 18:56 - 18:58
    Se antaa paljon vapautta.
  • 19:00 - 19:05
    Ja jos haluat tehdä massiivisen heap sprayn, voit käyttää toista pakkausformaatia pakkausformaatin sisällä.
  • 19:06 - 19:08
    Kuulostaa loogiselta, eikö?
  • 19:09 - 19:17
    Voit siis pakata kaiken sprayattavan datasi, lähettää sen JBIG2-pakatussa streamissa, ja se puretaan kohdelaitteessa, näin säästät siirtodatassa.
  • 19:17 - 19:21
    Me emme itse käyttäneet tätä, mutta se voisi auttaa, jos tarvitset valtavan sprayn.
  • 19:21 - 19:23
    Me käytimme lähinnä laajennuksia.
  • 19:23 - 19:32
    Laajennukset ovat valmistajakohtaisia segmenttejä, joita voi käyttää minkä tahansa ei-standardiin tarkoitukseen JBIG2-virrassa.
  • 19:32 - 19:34
    Lexmark ei käytä mitään ei-standardeja ominaisuuksia.
  • 19:34 - 19:38
    He toteuttavat vain kommentin, mikä on hyvin yleinen tapa...
  • 19:38 - 19:40
    laittaa debug-dataa JBIG2-virtaan.
  • 19:41 - 19:44
    Nämä ovat hyviä, koska ne ovat selkeitä ja hallittuja allokaatioita.
  • 19:44 - 19:52
    Käytännössä jos sanot, että tässä on kommentti ja tässä on data, tuo data päätyy suoraan heapille,
    eikä sinun tarvitse tehdä juuri mitään sen eteen.
  • 19:52 - 19:54
    Se on myös helppo toteuttaa.
  • 19:54 - 19:55
    Kirjaimellisesti "yksi yhteen" -malli.
  • 19:55 - 20:00
    Ei tarvitse tehdä rasterointia, outoa matematiikkaa tai pakkausta.
  • 20:00 - 20:03
    Todella mukava työskennellä.
  • 20:03 - 20:06
    Tältä näyttävät rakenteet Lexmarkin kirjastossa.
  • 20:06 - 20:11
    Ne sisältävät tyypin, osoittimen dataan ja koon.
  • 20:11 - 20:20
    Ja jokainen segmentti, ei vain kommentit, vaan myös vaikka bitmapin piirto sisältää tällaisen otsakkeen.
  • 20:20 - 20:23
    Tärkeintä meille: ne sisältävät paljon pointtereita.
  • 20:23 - 20:27
    Jos teet muistinkorruptiota, tämä on todella kätevä tapa tehdä sitä.
  • 20:28 - 20:31
    Tältä näytti meidän oma kirjastomme rakenteeltaan.
  • 20:31 - 20:35
    Todellisuudessa exploitin toteutus oli paljon monimutkaisempi.
  • 20:36 - 20:37
    Mutta siitä lisää myöhemmin.
  • 20:37 - 20:43
    Nyt esimerkiksi: kirjoitimme pienen funktiokirjaston, jolla luotiin kommentti tietyllä ID:llä.
  • 20:43 - 20:48
    Parseri näkee sen vain kommenttina, jossa on ID leads ja mukana tuleva data.
  • 20:49 - 20:51
    Ja tuo data päätyy suoraan muistiin.
  • 20:51 - 20:54
    Allokaatiosta et hallitse ensimmäistä 16 tavua täysin.
  • 20:54 - 20:57
    Siinä on ID, koko, tyyppi ja jotain muuta.
  • 20:57 - 20:58
    Mutta sen jälkeen saat datasi.
  • 20:58 - 21:00
    Ja tuo data voi olla niin suurta kuin haluat.
  • 21:00 - 21:02
    Siinä ei ole oikeaa rajoitusta.
  • 21:03 - 21:09
    Kun kaiken tämän yhdistää, syntyy PDF, joka sisältää exploitin ja näyttää jotakuinkin tältä.
  • 21:34 - 21:40
    Niille, jotka eivät puhu hollantia: alussa sanoin, että "Tämä toimii varmasti heti ekalla kerralla."
  • 21:40 - 21:42
    Ja no, se toimi.
  • 21:42 - 21:43
    Tässä oli meidän tulos Pwn2Ownissa tänä vuonna.
  • 21:43 - 21:48
    Tulimme kolmanneksi ja tienasimme yhteensä 95K
  • 21:48 - 21:49
    Ei pelkästään Lexmarkin bugista.
  • 21:49 - 21:51
    Lexmarkin bugi oli osa sitä.
  • 21:52 - 21:53
    Olimme siis varsin tyytyväisiä.
  • 21:53 - 21:58
    Nyt kun kaikki tämä on saatu hoidettua, meidän pitää vielä vähän viritellä faksia varten.
  • 22:00 - 22:09
    Ensimmäinen vaatimus faksin hyödyntämiselle on tietysti analoginen puhelinlinja.
  • 22:09 - 22:12
    Nostakaa käsi, jos teillä on sellainen.
  • 22:13 - 22:14
    Jep, ei meilläkään.
  • 22:14 - 22:16
    Selvä.
  • 22:18 - 22:19
    Okei, no siis...
  • 22:21 - 22:25
    Olen iloinen niiden puolesta, joilla on sellainen, mutta me emme kuulu heihin.
  • 22:25 - 22:30
    Miten sitten kehität faksin kautta toimivaa exploittia, jos sinulla ei ole analogilinjaa?
  • 22:30 - 22:43
    No, paniikissa juokset ympäriinsä ja kokeilet kaikkea satunnaista ja päädyt käytettyjen tavaroiden liikkeeseen, missä näet tämän laitteen hyllyssä.
  • 22:43 - 22:45
    Tämä on ISP-modeemi.
  • 22:45 - 22:46
    Satuin olemaan heidän asiakas.
  • 22:47 - 22:52
    Satuin leikkimään tällä laitteella pari vuotta sitten, joten osasin vähän käyttää sitä.
  • 22:52 - 22:56
    Tässä laitteessa on analogiset puhelinportit takana.
  • 22:57 - 23:01
    Toki ne ovat hyödyttömät, koska minulla ei ole tilausta analogisiin puhelinpalveluihin.
  • 23:03 - 23:12
    Miksi siis ostaa tällaista, ellei aio huijata sitä jotenkin käyttämään niitä portteja?
  • 23:12 - 23:17
    On olemassa todella loistava blogikirjoitus tyypiltä nimeltä Dan Man.
  • 23:18 - 23:21
    Nosta käsi, jos olet paikalla.
  • 23:21 - 23:26
    Hän selvitti, missä piirilevyn linjat kulkevat.
  • 23:26 - 23:30
    Laite käyttää EMMC:tä puhuakseen tallennuspiirien kanssa.
  • 23:30 - 23:41
    Hän selvitti pinoutin, juotti siihen johtoja ja suunnitteli hienon piirilevyn microSD-kortin muotoon.
  • 23:41 - 23:46
    Juotti johdot kiinni, kytki kaiken yhteen.
  • 23:47 - 23:49
    Ja nyt modeemista tulee ulos tällainen härveli.
  • 23:49 - 23:51
    Sen voi laittaa SD-kortinlukijaan.
  • 23:52 - 23:55
    Ja sen voi vaan mountata käyttöön.
  • 24:04 - 24:08
    Aivan mahtava saavutus.
  • 24:08 - 24:10
    Kaikki kunnia hänelle.
  • 24:10 - 24:15
    Vuonna 2019 olin vähän mukana tässä projektissa.
  • 24:15 - 24:21
    Lähetin hänelle työkalun, jolla pystyi purkamaan laitteen varmenteet.
  • 24:21 - 24:24
    Ei liity mitenkään tähän esitykseen.
  • 24:24 - 24:31
    Mutta vastalahjaksi hän lähetti minulle noita hienoja SD-kortin muotoisia piirilevyjä.
  • 24:31 - 24:33
    Minulla on niitä vieläkin.
  • 24:34 - 24:44
    Eli juotin piuhat kiinni, kytkin kaiken ja mounttasin root-tiedostojärjestelmän yhden iltapäivän aikana.
  • 24:44 - 24:50
    Tässä laitteessa ei ole secure bootia, joten backdoor vaan sisään — ja root shell modeemilla.
  • 24:50 - 24:52
    Aika siistiä.
  • 24:54 - 25:00
    Mutta että saisimme modeemin oikeasti käyttämään analogiporttejaan ilman...
  • 25:01 - 25:04
    ilman että se on kytketty ISP:lle...
  • 25:04 - 25:07
    Se vaati paljon suostuttelua.
  • 25:08 - 25:16
    En todellakaan suosittele tätä kenellekään, varsinkin nyt jälkikäteen ajatellen, olisi voinut vain ostaa SIP-yhdyskäytävän sadalla dollarilla.
  • 25:17 - 25:20
    Mutta minä tein tämän omalla tavallani.
  • 25:20 - 25:23
    Lopulta se kuitenkin toimii.
  • 25:24 - 25:25
    Tässä on meidän kokoonpano.
  • 25:25 - 25:31
    Ylhäällä on Raspberry Pi, jossa pyörii Asterisk, se hoitaa koko hommaa.
  • 25:31 - 25:35
    Sitten on modeemi, joka puhuu Asteriskin kanssa ethernetin yli.
  • 25:35 - 25:40
    Vasemman puoleinen puhelinlinja on läppärimme, jossa on 56k modeemi.
  • 25:40 - 25:42
    Oikealla on meidän faksi.
  • 25:43 - 25:51
    Voit vain soittaa numeroon 101, se on numero, jonka valitsin faksia varten ja kuulet valintaäänen ja faksin piippauksen.
  • 25:51 - 25:59
    Tällä setillä saimme lähetettyä, no, Rick sai lähetettyä elämänsä ensimmäisen faksin.
  • 25:59 - 26:01
    Näytti suunnilleen tältä.
  • 26:01 - 26:03
    Olemme erittäin ylpeitä.
  • 26:03 - 26:04
    Okei.
  • 26:05 - 26:07
    Tänään oli suuri onnistuminen.
  • 26:08 - 26:11
    Joten nyt voimme lähettää fakseja.
  • 26:12 - 26:17
    Katsotaanpa tätä teknologian ihmettä, jonka olemme saaneet haltuumme.
  • 26:17 - 26:20
    Tässä Wikipedian yleiskatsaus.
  • 26:20 - 26:24
    Kiinnitä erityistä huomiota siihen, kuinka monta tuhatta bittiä sekunnissa voi lähettää.
  • 26:26 - 26:28
    Tätä pystymme nyt tekemään.
  • 26:29 - 26:36
    Kaikki perusasiat on kunnossa: exploit toimii, faksi toimii, mitä muuta voisi haluta?
  • 26:36 - 26:38
    Voimme vain lähettää exploitin.
  • 26:38 - 26:47
    Tässä näkyy Pwn2Own-exploittimme se oli 3,5 megatavua, eikä faksin siirtonopeus riitä, kun heap spray on noin iso.
  • 26:48 - 26:54
    Sen lähettäminen faksin matalilla nopeuksilla veisi noin kaksi tuntia, osittain muiden bugien vuoksi.
  • 26:56 - 26:59
    En usko, että demolle jäisi tilaa, eikö?
  • 26:59 - 27:02
    Joten meidän täytyi keksiä jotain muuta.
  • 27:02 - 27:10
    Päätimme kirjoittaa exploitin kokonaan uusiksi ja oikeasti miettiä heap shapingia, sen sijaan että täytetään kaikki binit.
  • 27:10 - 27:13
    Saimme sen kutistettua noin 9 000 tavuun...
  • 27:13 - 27:17
    Lähetys kesti noin 10 sekuntia, mikä vaikutti hyväksyttävältä.
  • 27:17 - 27:22
    Seuraava ongelma oli, että Lexmark ei toteuttanut JBIG2:ta standardin mukaisesti.
  • 27:22 - 27:33
    He käyttivät epästandardiominaisuutta, jolla faksivalmistajat voivat ilmoittaa: "Hei, olen tämän mallin faksi ja tuen tätä erikoiskoodausta."
  • 27:33 - 27:39
    Jos toinen saman valmistajan faksi lähettää faksin, ne voivat käyttää tätä erikoiskoodausta.
  • 27:40 - 27:48
    Kukaan muu ei tue tätä kuin toinen saman merkin faksi, eikä meitä huvittanut ostaa toista faksia hyökkäyksen lähettämiseen.
  • 27:48 - 27:50
    Joten kirjoitin oman faksiasiakkaan.
  • 27:51 - 27:53
    En suosittele tätä kenellekään.
  • 27:55 - 27:56
    Tai no, valehtelen vähän.
  • 27:56 - 28:01
    Paikkasin e-faxin, komentorivityökalun Linuxille, joka lähettää fakseja.
  • 28:01 - 28:06
    Se on kirjoitettu joskus vuonna 1999 — hyvä vuosi muuten.
  • 28:06 - 28:08
    Tarvitsimme tuen raakadatalla lähettämiseen.
  • 28:08 - 28:17
    Oletuksena se tukee vain juoksupituuskoodattua dataa, mikä sopii normaaliin faksaukseen, mutta exploit tarvitsee tarkempaa hallintaa.
  • 28:17 - 28:26
    Meidän piti myös asettaa epästandardi tila, jolla kerrotaan faksille: "Hei, olen myös Lexmark-faksi ja tuen JBIG:iä."
  • 28:27 - 28:35
    Meidän olisi pitänyt toteuttaa virheenkorjaustilat, koska standardi sanoo niin, muuten tulee ongelmia.
  • 28:35 - 28:40
    Mutta me valitsimme ongelmat ja se silti toimi.
  • 28:41 - 28:45
    Tämä tuo mukanaan uuden ongelman, jota kutsun nimellä "high-stakes faxing".
  • 28:46 - 28:49
    Kun vastaanotat faksin, se tallennetaan levylle.
  • 28:49 - 28:59
    Eli jos muste loppuu, virta katkeaa, paperi loppuu tai taapero sammuttaa faksin, niin faksi on silti tallessa.
  • 28:59 - 29:04
    Mutta jos vastaanotetaan viallinen JBIG-virta...
  • 29:04 - 29:08
    sen ei tarvitse olla exploit tai aiheuttaa segfaulttia, kunhan se on virheellinen...
  • 29:08 - 29:10
    se kaataa faksipalvelun.
  • 29:10 - 29:13
    Sitten tulostin huomaa kaatumisen ja käynnistyy uudelleen.
  • 29:13 - 29:15
    Ennen kuin ehtii poistaa faksia.
  • 29:15 - 29:18
    Joten kun parseri osui ensimmäistä kertaa faksin kautta...
  • 29:18 - 29:23
    olin itse etäyhteydellä ja aika tyytyväinen, mutta Carlo ei, koska tulostin meni boottauslooppiin.
  • 29:23 - 29:27
    Veikkaan, että se näytti suunnilleen tältä:
  • 29:27 - 29:29
    Avaa faksijono, parsi JBIG, boottaa.
  • 29:29 - 29:32
    Avaa jono uudelleen ja se syöksyy pimeyteen, jota en toivoisi pahimmalle vihollisellenikaan.
  • 29:32 - 29:41
    Faksipalvelu kaatuu, käynnistyy uudelleen, kaatuu taas ja niin edelleen... pimeää polkua pitkin.
  • 29:42 - 29:46
    Mutta saimme toimivan exploitin faksin kautta.
  • 29:47 - 29:52
    Katsotaanpa, mitä tällä voisi oikeasti tehdä, jos tarkoitus olisi aiheuttaa vahinkoa.
  • 29:52 - 29:56
    Eli ketkä nykyään oikeasti käyttävät faksia?
  • 29:57 - 30:05
    Lähinnä alat, joissa tarvitaan laillisesti sitovia tai muuten tärkeitä allekirjoituksia tai asiakirjoja.
  • 30:05 - 30:10
    Esimerkiksi terveydenhuolto käyttää faksia yhä resepteihin, potilastietoihin jne.
  • 30:10 - 30:17
    Erään kyselyn mukaan 90 % lääkärin vastaanotoista käyttää yhä faksia jollain tavalla.
  • 30:17 - 30:20
    Myös kiinteistönvälitys käyttää joskus edelleen faksia.
  • 30:20 - 30:27
    Vuokrasopimuksiin halutaan joskus oikea allekirjoitus, ei kryptografista, vaan sellaista joka menee faksilla.
  • 30:27 - 30:33
    Myös julkinen hallinto ja lakiala saattavat käyttää sitä lähinnä samoista syistä.
  • 30:33 - 30:39
    Puhelinlinjoilla on toisinaan erityistä oikeudellista suojaa.
  • 30:39 - 30:42
    Ja siksi fakseja edelleen käytetään.
  • 30:42 - 30:47
    Lopuksi myös pankkisektori käyttää faksia satunnaisesti.
  • 30:47 - 30:52
    Tosin kuulin, että Deutsche Bank aikoo luopua fakseista ensi vuonna.
  • 30:53 - 30:55
    Eli meillä on vielä pari kuukautta aikaa ajaa tämä exploit.
  • 30:57 - 31:00
    Hyökkääjän näkökulmasta etuja on aika paljon.
  • 31:00 - 31:04
    Hyökkäyspinta on edelleen iso — kyse on kuitenkin asiakirjaparsinnasta.
  • 31:05 - 31:08
    Mutta ei tarvitse miettiä palomuureja tai NATeja, koska...
  • 31:08 - 31:10
    kuka nyt suojaisi faksikoneensa palomuurilla?
  • 31:11 - 31:19
    Kohteet valikoituvat itsestään, koska jos joku haluaa vastaanottaa asiakirjoja faksilla, ne ovat luultavasti tärkeitä asiakirjoja.
  • 31:19 - 31:24
    Jos siis salakuuntelet faksilaitteen kautta dokumentteja, saat käytännössä parhaat palat.
  • 31:26 - 31:36
    Lisäksi tätä voi rahastaa toisellakin tavalla jos saat haltuun faksin, sillä on puhelinnumero, jolla voi soittaa maksullisiin numeroihin.
  • 31:36 - 31:37
    Eli jos...
  • 31:38 - 31:41
    Ajattele tätä matalan teknologian kryptolouhijana.
  • 31:41 - 31:45
    Hakkeroit kasan fakseja ja soitat maksullisiin numeroihin.
  • 31:46 - 31:47
    Toki haittojakin on.
  • 31:47 - 31:53
    Ensinnäkin, joudut kehittämään exploitin faksia varten, en suosittele sitä kenellekään.
  • 31:53 - 31:58
    Kenttä on sirpaleisempi ja voi olla vaikeaa tunnistaa, millainen faksi on kyseessä.
  • 31:58 - 32:07
    Meidänkin exploitin kohdalla voimme päätellä, että kyseessä on Lexmarkin faksi, koska neuvottelemme epästandardista laajennuksesta.
  • 32:07 - 32:13
    Mutta emme silti tiedä, mikä ohjelmistoversio on kyseessä. Ihmiset, jotka käyttävät faksia, eivät todennäköisesti päivitä niitä.
  • 32:14 - 32:20
    Ja jos käytämme väärää offsetia tässä exploitissa ja se kaatuu, faksi menee käynnistyslooppiin.
  • 32:20 - 32:29
    Yksi etu jäi mainitsematta: jos hakkeroit faksin, ja se on verkossa, kuten todennäköisesti on, jos sitä käytetään myös tulostimena...
  • 32:29 - 32:33
    ...voit käyttää sitä ponnahduslautana sisäverkkoon.
  • 32:35 - 32:38
    Selvä, nyt on demon aika.
  • 32:40 - 32:42
    Oletko valmis?
  • 32:44 - 32:48
    Aloitetaan shellillä läppärissä ja sitten vaihdan tämän kameran näkymään.
  • 33:33 - 33:35
    Olen kuunnellut tätä ääntä satoja kertoja.
  • 33:36 - 33:38
    Ajattelin, että sinäkin voit kuulla sen kerran.
  • 33:38 - 33:39
    Haluatko painaa nappia?
  • 33:39 - 33:41
    Joo, toki.
  • 33:41 - 33:44
    Muutaman sekunnin kuluttua se alkaa käsitellä tehtävää.
  • 33:44 - 33:45
    Ne ovat eri säikeitä.
  • 33:45 - 33:48
    Se on jo vahvistanut, että se vastaanotti faksin.
  • 33:48 - 33:51
    Se käynnistyy pian, ehkä kuulette sen.
  • 33:53 - 33:55
    Pitäisi tapahtua hetkenä minä hyvänsä.
  • 33:58 - 34:00
    Todella luotettavaa teknologiaa.
  • 34:01 - 34:03
    Noniin, nyt se toimii.
  • 34:22 - 34:24
    Mutta emme ole vielä valmiita.
  • 34:24 - 34:28
    Kuten ehkä huomasitte, tässä on puhelin.
  • 34:29 - 34:31
    Mitä tapahtuisi, jos soittaisimme faksiin?
  • 34:31 - 34:33
    Valitaan 101.
  • 34:49 - 34:52
    Tietenkin täytyy olla tapa toistaa tämä.
  • 34:52 - 34:55
    Entä jos kokeillaan valintasävyjä?
  • 35:09 - 35:12
    Hyvä, suljen linjan nyt.
  • 35:28 - 35:31
    Tämän myötä haluan kiittää teitä osallistumisesta.
  • 35:36 - 35:37
    Paljon kiitoksia.
  • 35:37 - 35:38
    Paljon kiitoksia.
  • 35:38 - 35:41
    Mahtava esitys ja hieno toteutus.
  • 35:46 - 35:50
    Meillä on pari minuuttia aikaa, aivan todella nopeita kysymyksiä, yksi tai kaksi.
  • 35:50 - 35:53
    Jos sinulla on kysyttävää, tule mikrofonin luo.
  • 35:53 - 35:57
    Jos haluat poistua salista, tee se nopeasti.
  • 35:57 - 36:00
    Meillä on tiukka aikataulu, tiedättehän, aikataulusuunnitelma.
  • 36:00 - 36:03
    Jep, siinä kaikki.
  • 36:03 - 36:04
    Kysymyksiä?
  • 36:06 - 36:07
    Sillä välin vielä yksi asia.
  • 36:07 - 36:14
    Meillä on tämä faksilaitteisto esillä järjestäjien assembly-alueella CTF-hallissa ehkä tunnin kuluttua.
  • 36:14 - 36:18
    Jos haluat tulla pelaamaan Doomia, olet erittäin tervetullut.
  • 36:20 - 36:22
    Saanen esittää ehkä tyhmän kysymyksen.
  • 36:22 - 36:28
    Eilen näimme, että sähköinen potilastiedosto on aika sekaisin...
  • 36:29 - 36:35
    Ja tiedämme, että tämänkaltainen tiedonsiirto ei toimi.
  • 36:35 - 36:37
    Joten tiedämme myös, ettei FAX toimi.
  • 36:37 - 36:44
    FAX on myös täysin kelvoton terveysdatan siirtämiseen.
  • 36:44 - 36:48
    Mitä suosittelisit Saksan terveysministerille?
  • 36:50 - 37:00
    No, se on aina hankalaa. Faxilla on mielestäni tällainen erityinen laillinen asema, jota se ei todellakaan ansaitse.
  • 37:01 - 37:06
    Pitäisi siirtyä nykyaikaisempiin standardeihin, jotka on mahdollista suojata kunnolla.
  • 37:06 - 37:18
    En tunne tarkemmin mainitsemaasi sähköistä terveydenhuoltojärjestelmää, mutta faksin kanssa olen leikkinyt viime kuukausina, eikä tämä ole oikea tie.
  • 37:18 - 37:20
    Ei ole, kiitos.
  • 37:21 - 37:24
    Meillä olisi yksi kysymys sinulle.
  • 37:24 - 37:25
    Ole hyvä.
  • 37:25 - 37:26
    Hei.
  • 37:26 - 37:27
    Kiitos.
  • 37:28 - 37:34
    Kuulin huhuja, että olit vielä painimassa printterin kanssa eilen yön pikkutunneilla.
  • 37:35 - 37:38
    Joten kysyisin: kuinka monta tuntia nukuit viime yönä, Garda?
  • 37:40 - 37:41
    Yllättävän monta.
  • 37:41 - 37:42
    Oh!
  • 37:42 - 37:45
    Luulen että hävisin vedon, mutta kiitos.
  • 37:45 - 37:49
    Kysymys numero yksi.
  • 37:49 - 37:50
    Hei vaan.
  • 37:50 - 37:53
    Kiitos erittäin mielenkiintoisesta esityksestä.
  • 37:53 - 37:56
    Olet sanonut aikaisemmin, että
  • 37:56 - 37:58
    tarvitset analogisen linjan...
  • 37:58 - 37:59
    Tarkoittaako se sitä, että...
  • 37:59 - 38:04
    Voice over IP -faksi ei olisi altis tällaiselle hyökkäykselle?
  • 38:05 - 38:07
    Ei, se olisi silti altis.
  • 38:07 - 38:11
    Kaikki tavat, joilla voit osua tähän parseriin, ovat alttiita.
  • 38:11 - 38:12
    Me teimme sen PDF:n kautta.
  • 38:12 - 38:14
    VoIP toimii yhtä lailla.
  • 38:14 - 38:17
    Me vain halusimme tehdä sen analogisesti, koska se vaikutti siistiltä.
  • 38:17 - 38:19
    Selvä, kiitos.
  • 38:20 - 38:21
    Kiitos.
  • 38:21 - 38:23
    Kysymyksiä netistä?
  • 38:25 - 38:28
    Hyvä, sitten on aika päättää tämä sessio.
  • 38:28 - 38:29
    Tämä oli ilo.
  • 38:29 - 38:30
    Hyvää päivänjatkoa.
  • 38:30 - 38:33
    Nauttikaa kongressista.
  • 38:33 - 38:33
    Ja kiitos.
  • 38:33 - 38:35
    Näkemiin ja hyvästi.
  • 38:39 - 38:44
    ♪ (38C3 outromusiikki) ♪
  • 38:44 - 38:49
    Translated by Robert Ylitalo
    (KYBS2001 course assignment at JYU.FI)
Title:
38C3 - Dialing into the Past: RCE via the Fax Machine – Because Why Not?
Description:

Remember the days when faxes were the pinnacle of office tech, and the sound of a paper getting pulled in was as satisfying as a fresh cup of coffee? Well, it's time to dust off those memories and reintroduce ourselves to the quirky world of printers and their forgotten fax interfaces – yes, those relics that make us all feel like we're in an '80ies sci-fi movie – and specifically, how they can unlock a new frontier in printer security exploits!

In this talk, we'll show you how we leveraged a printer bug that we found at Pwn2Own Ireland this year to gain remote code execution. Over its fax interface. You might think, "Who cares about faxes?" – but what if I told you that lurking within this vintage feature is a potential pathway for remote code execution? That's right, while everyone else is busy patching the latest vulnerabilities in trendy software and half the world is obsessed with cloud security, we'll be having a blast with tech that should've been retired to the attic long ago, exploiting a feature that's older than some of the attendees!

We'll explore how this vintage tech can be the gateway to some serious mischief. Think of the possibilities: municipalities, banks, courts, you pick your favorite bureaucracy. Unfortunately, we can't do any of those things -- that'd be naughty -- so we're restricted to doing the stupidest things we can think of in our live demos. In case you're wondering: of course we'll be running doom on this thing, proving that even the most outdated tech can still pack a punch, as we take control over this device in style. Expect a mix of technical insights and many moments of "why would you do that?".

So join us in this wild ride through simpler times -- who knew the key to world domination lays in a dusty fax machine?

Rick de Jager, Carlo Meijer
more » « less
Video Language:
English
Duration:
38:49

Finnish subtitles

Revisions Compare revisions

Our website uses cookies for analysis purposes.