Abo
  • IT-Karriere:

Toshiba-Notebooks: Reverse-Engineering mit Lötkolben und Pseudocode

Zwei Hacker wollten ein 14 Jahre altes Notebook zum Laufen bringen. Dabei löteten sie mehrere Chips ab, wühlten sich durch Bios-Code und fanden am Ende eine Sicherheitslücke in modernen Toshiba-Notebooks.

Ein Bericht von veröffentlicht am
Toshiba-Notebooks können mittels Challenge/Response-Code angegriffen werden.
Toshiba-Notebooks können mittels Challenge/Response-Code angegriffen werden. (Bild: Toshiba)

Eigentlich wollte der Hacker Serge Bazanski nur ein etwa 14 Jahre altes Toshiba Portégé R100 zum Laufen bringen. Weil das geschenkte Gerät mit einem Bios-Passwort gesichert war, das keiner kannte, wurde der Hacker kreativ - und fand mit seinem Bekannten Michał Kowalczyk nebenbei eine Sicherheitslücke in aktuellen Business-Notebooks des Herstellers.

Inhalt:
  1. Toshiba-Notebooks: Reverse-Engineering mit Lötkolben und Pseudocode
  2. Ein eigenes Breakout-Board aus dem Hackerspace des Vertrauens
  3. Der Lötkolben kommt erneut zum Einsatz

"Das war einfach so ein innerer Drang. Ich wollte in der Lage sein, das Gerät zu benutzen", erzählt Bazanski auf der Sicherheitskonferenz Recon in Brüssel. Dass er während des Prozesses einen Exploit entwickeln würde, der auch mit Geräten funktioniert, die mehr als zehn Jahre später erschienen sind, ahnte er am Anfang nicht.

Zunächst probierten die Hacker aus, was man üblicherweise macht, wenn ein Rechner ein Bios-Passwort hat: die CMOS-Batterie entfernen, die Kondensatoren leeren. Mit einem Schlüssel über die Pins von Chips fahren, die wie Flashspeicher aussehen, um damit eine falsche Checksumme zu erzwingen, damit das Passwort zurückgesetzt wird. Doch all das funktionierte nicht. Es waren also Reverse-Engineering-Fähigkeiten gefragt.

Tastenkombination schaltet Challenge frei

Mit einer Tastenkombination (Strg+Tab, Strg+Enter) gelang es ihnen, eine andere Ausgabe des Bildschirms zu provozieren. Statt der Passwortabfrage erschien ein Challenge-Code auf dem Bildschirm. Sie nahmen an, dass durch die Eingabe des Response-Codes das Passwort umgangen werden könnte, was sich als zutreffend erwies. "Das ist sicher eine Funktion für den Service von Toshiba", sagt Bazanski. Eine Art Backdoor also. Was fehlte also zum Hackerglück? Ein Key Generator, der den richtigen Response-Code ausgab. Dazu musste allerdings eine genaue Analyse des Bios her.

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. Allianz Lebensversicherungs - AG, Stuttgart

Den Chip zur Analyse einfach mit einem Lötkolben vom Board zu lösen, schien zunächst keine Option zu sein. Die Hacker versuchten also, die Bios-Updates des Herstellers zu analysieren. Tatsächlich fand sich in dem Installer für das Bios-Update die Datei BIOFCF6T.Com, in der das Bios-Update auf die Version 1.40 enthalten war. Das Problem: Die Dateien lagen in einem unbekannten Format vor. Außerdem handelt es sich bei dem Entpacker um eine 16-Bit-Exe, was den Umgang grundsätzlich erheblich verkompliziert.

Abhilfe schaffte ein Bios-Update eines verwandten Modells aus ähnlicher Zeit, das in einer 32-Bit-Version vorlag. Parallel zu der Untersuchung der Bios-Updates von Kowalczyk entschied sich Bazanski letztlich doch, den Flash-Speicher vom Motherboard des Notebooks zu entfernen, um den Inhalt des Bios auszulesen. "Es war ein langer, dunkler Abend und ich habe einfach damit angefangen", erzählt er.

Für alle angehenden Hardwarehacker hat Bazanski noch einen guten Tipp parat: "Wenn der Chip schmal ist und lang, dann ist es RAM. Ist er breit, aber an den Seiten kurz, ist es meist Flash. Wenn der Chip quadratisch ist: googeln!"

Doch mit googeln ist es in der weiteren Analyse natürlich nicht getan ...

Ein eigenes Breakout-Board aus dem Hackerspace des Vertrauens 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. Sandisk 512-GB-SSD für 55,00€, WD Elements Exclusive Edition 2 TB für 59,00€ und Abend...
  2. 31,99€
  3. 139,00€ (Bestpreis!)

0xDEADC0DE 12. Feb 2018

Closed Source ist Software hauptsächlich, weil der Hersteller etwas daran verdienen...

0xDEADC0DE 12. Feb 2018

Darfst net mich fragen... ich hatte damit auch keine Probleme.

p4m 11. Feb 2018

Hier geht es eher um den Weg als um die Lösung. Findet man in der Mathematik auch öfter...

d0351t 10. Feb 2018

Dem schließe ich mich auch an. Ein angenehm zu lesender Artikel. Sehr interessant. Mit...

derdiedas 10. Feb 2018

Danke, ich finde die Richtung die Golem geht richtig gut. So gestaltet man eine...


Folgen Sie uns
       


Snapdragon 850 - ARM64 vs Win32

Wir vergleichen native ARM64-Anwendungen mit ihren emulierten x86-Win32-Pendants unter Windows 10 on ARM.

Snapdragon 850 - ARM64 vs Win32 Video aufrufen
Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

    •  /