Weil es gerade durch die Nachrichten ging. Hier exemplarisch ein Projekt bei dem auch der Mikrocontroller ausgelesen wurde. Auf den letzten Seiten sieht man sogar den Chip wie er präpariert ist. http://www.ioactive.com/pdfs/IOActive_Advisory_CyberLock.pdf Nebenbei kann man auch noch lernen, wie man Sicherheit nicht macht. Das ist ein schönes Negativbeispiel. Schön ist dabei besonders Punkt 7, "While the issue has already been reported, we feel these issues are exacerbated due to the already known “magnet” bypass". Sprich man kann da auch einfach einen Magneten dran halten, und das Schloss geht auch auf.
Ja. Natuerlich kann man mit genuegend hohem Aufwand geschuetzte Chips auslesen. Das wussten wir schon. Und das bringt ? Und die Aussage dieses Hinweises ?
Jetzt Nicht schrieb: > Und die Aussage dieses Hinweises ? Das wenn jemand eine bessere Katze baut der andere eine bessere Maus baut.
Die zu verwendende Technologie ist aber nicht fuer jedermann zugaenglich. Und mit auslesen bin ich noch nicht so weit. Dann hab ich einen Hexdump. Noch nicht das ASM Listing mit generischen Variablen. Ich kann das Produkt vielleicht klonen, wenn ich alles identische Teile zum Original verwende. Mit den Fehlern auch noch drin. Da ist dann noch nichts mit verbessertem Produkt. Der Vergleich mit der Maus ist daher nicht so passend.
Jetzt Nicht schrieb: > Ja. Natuerlich kann man mit genuegend hohem Aufwand geschuetzte Chips > auslesen. Das wussten wir schon. Und das bringt ? Naja, man sieht hier deutlich, dass der Aufwand eben nicht so groß ist. Das kann man alles noch in einer Wohnung machen. Das Equipment kostet keine 1000 Euro.
Jetzt Nicht schrieb: > Die zu verwendende Technologie ist aber nicht fuer jedermann > zugaenglich. Doch, Mikroskope gibts gebraucht auf eBay, die entsprechenden Chemikalien kriegt man in der Apotheke. > Und mit auslesen bin ich noch nicht so weit. Dann hab ich > einen Hexdump. Noch nicht das ASM Listing mit generischen Variablen. Ja und? Den Hexdump kannst Du Dir mit Programmen wie IDAPro komfortabel anzeigen lassen. Wenn Du dann noch ein wenig Hirn reinsteckst kannst Du das Produkt komplett rückentwickeln. Zum Beispiel um gerade die Fehler zu finden und die zu beseitigen, oder um die Fehler auszunutzen. In der Windowswelt ist das ganz üblich, denn so werden Misfeatures aus Software entfernt. Mir geht es primär darum den Leuten zu zeigen, dass die Fuses so zu setzen, dass man den Chip nicht auslesen kann, in aller Regel nichts bringt. Nur der ehrliche Anwender wird dadurch, in aller Regel, benachteiligt.
Jetzt Nicht schrieb: > Der Vergleich mit der Maus ist daher nicht so passend. Der sehr alte Spruch fast ja auch nur die sehr alte Erkentniss in Worte wie Aufrüstung funktioniert. Ich verstehe immer nur nicht die völlige Fassungslosigkeit das auf die Verbesserung der einen Seite auch immer eine Verbesserung der anderen Seite erfolgt. Das ist so alt wie die Menschheit, warum sollte das im digitalen Zeitalter anders sein ? Christian Berger schrieb: > Das Equipment > kostet keine 1000 Euro. Wir reden hier immer noch über ein Türschloss. Ein Brecheisen kostet keine 1000€ und damit bekomme ich die Tür schneller auf. Christian Berger schrieb: > Mir geht es primär darum den Leuten zu zeigen, dass die Fuses so zu > setzen, dass man den Chip nicht auslesen kann, in aller Regel nichts > bringt. Nur der ehrliche Anwender wird dadurch, in aller Regel, > benachteiligt. Türen und Fenster zu schliessen bring auch nichts, denn wer rein will in mein Haus der schaft das auch. Nur ich als ehrlicher Nutzer werde benachteiligt weil ich immer in der Tasche kramen muß. Falsch. Ich kann nur den Aufwand erhöhen sich an meinem Eigentum zu vergreifen. Gerade im Bereich Controller ist der Aufwand Software auf diese Art zu stehlen oft viel größer als das einfach nachzuprogrammieren.
Zu dem Thema Reverse-Engineering gab es auf dem 25C3 Kongress auch einen guten Vortrag. Selbst als sicher geltende Verschlüsselungsalgorithmen (hier Mifare) sind halt nicht wirklich sicher wenn jemand ausreichend Arbeit hineinsteckt. Viele als sicher geltende Sachen wurden bestimmt auch schon von irgend welchen Regierungen oder anderen Gangstern entschlüsselt. http://events.ccc.de/congress/2008/Fahrplan/attachments/1218_081227.25C3.HardwareReversing.pdf
Olaf B. schrieb: > Selbst als sicher geltende Verschlüsselungsalgorithmen > (hier Mifare) sind halt nicht wirklich sicher wenn jemand ausreichend > Arbeit hineinsteckt. Das ist leider eines der schlechtesten Beispiele. Die Sicherheit hier bestand schon vorher nur aus NDA + Juristerei. Das Kryptoverfahren galt als unbekannt und ungetestet, sprich unsicher. Wer sich in der SW-Entwicklung damit mal auseinandergesetzt hat, hat auch damals mit Sicherheit auch schon sehen können, dass sich die Nonce auffällig oft wiederholt. Das ist nach eigener Erfahrung schon sehr sehr schnell zu beobachten.
Christian Berger schrieb: > Mir geht es primär darum den Leuten zu zeigen, dass die Fuses so zu > setzen, dass man den Chip nicht auslesen kann, in aller Regel nichts > bringt. Nur der ehrliche Anwender wird dadurch, in aller Regel, > benachteiligt. Schwachsinn! Natürlich bringt es was, weil es eben nicht jeder auslesen kann und den Kram einfach klonen. Das Equipment zu kaufen ist nicht alles... Und wie bitte wird denn der "ehrliche Anwender" benachteiligt?
Fuses setzen bringt auf jeden Fall, dass die ganze Internet-Hacker scheitern, die einfach mal etwas Aufmerksamkeit wollen, indem sie versuchen das Ding einfach direkt auszulesen. Zumindest wird der mediale Schadensfall so unwahrscheinlicher, und, man kann die Schuld auf Andere (Chiphersteller) schieben.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.