Les attaques directes par le bus firewire se perfectionnent

Par Ludovic Blin, secuobs.com
Le 12/03/2007

---

Résumé : Le chercheur Adam Boileau a perfectionné l’attaque firewire présentée lors de la conférence Cansecwest 2005. Celle-ci peut désormais fonctionner sur les plate-formes Windows. - Lire l'article



Le bus firewire, habituellement utilisé pour brancher divers types de périphériques (souvent des disques durs) sur un système, recèle des possibilités inexploitées. En effet, cette technologie, au contraire par exemple de l’USB, est un véritable bus permettant d’utiliser d’une part les fonctions de « bus master » (le périphérique contrôle directement les accès à la mémoire) et d’autre part les transferts isochrones (permettant une vitesse « garantie » de transfert, ce qui explique son utilisation par de nombreux périphériques vidéo).

Ces fonctionnalités avancées ont pour conséquence la possibilité de lire et d’écrire dans la mémoire central d’un système à partir d’un périphérique firewire, et cela sans passer par le microprocesseur. Cette possibilité avait notamment été étudiée lors d’une présentation de Maximilian Dornseif à la conférence Cansecwest 2005 dénommée « Owned by an iPod ». Cependant, un des inconvénients de la technique présentée était l’impossibilité de la faire fonctionner sur les systèmes Windows.

Ce problème est maintenant résolu, la solution ayant été présentée par Adam Boileau lors de la conférence Ruxcon 2006. En effet, une simple ligne de commande peut suffire à activer cette possibilité en environnement Microsoft. Il s’agit en fait d’une déclaration spécifiant que le périphérique inséré peut utiliser le DMA (Direct Memory Access), qui se fait en utilisant l’outil romtool. En effet, les spécifications OHCI définissent deux CSR (Config Status Register), « Asynchronous Filter » et « Physical Filter », qui s’ils sont définis à 0, ne permettent pas d’utiliser le DMA. Une simple modification à ce niveau permet au périphérique d’utiliser ces fonctions.

Au-delà des éventuelles utilisations litigieuses de cette technique, insertion de code malveillant par simple branchement d’une « clé » firewire notamment, plusieurs applications plus légitimes sont possibles. En effet, la possibilité d’un accès physique à la mémoire, peut par exemple permettre de réaliser une image de cette dernière, sans passer par le processeur central, dans le cadre par exemple d’une analyse après incident. Cela peut permettre de récupérer relativement aisément le code ayant compromis un système, encore à chaud.

Les données obtenues doivent cependant être reconstruites pour être utilisables. De la même manière il est par exemple possible de récupérer des mots de passes stockés en mémoire (BIOS par exemple, ou autre). Il est également intéressant d’apprendre que les 16 derniers caractères tapés au clavier avant l’entrée du système en mode protégé (et donc au démarrage) sont conservées dans la zone de données du BIOS. Cette possibilité peut ainsi permettre de récupérer la phrase de passe d’un disque dur intégralement encrypté par exemple à l’aide de PGP Wholedisk (cette phrase étant demandée au démarrage).

Les expérimentations menées par les chercheurs utilisent des systèmes Linux dotés de scripts python émulant le comportement de périphériques firewire. Sous Linux, il est possible de désactiver le DMA en chargeant le module OHCI de la manière suivant : modprobe ohci1394 phys_dma=0.

lien