Initiation au Hack PS3
Sous ce titre accrocheur, vous ne verrez pas comment hacker votre PS3 car c'est encore impossible a l'heure actuelle mais nous allons plutôt voir les méthodes de sécurité de la PS3.
Concepts Basiques du Hack
- Comment s'analyse un système pour le hacker?
Premièrement pour savoir analyser un système, nous devons faire une évaluation aussi bien subjective que visuelle; quand nous faisons l'analyse d'un système nous pouvons voir à quoi nous avons à faire. - Quels pourraient être les moyens d'attaque ?
Il n'y a pas vraiment d'attaque similaire entre différents systèmes; soit par le CD-ROm, la Memory Card (PS2), des sauvegardes de jeux (Wii), par des fichier images (TIFF est le plus commun) ou encore via des puces.
Quelles sont les étapes?
- Nous analysons tout les ports du systèmes (USB, Ethernet, CD-Rom, etc ...))
- Nous analyson l'architecture du système (son système d'exploitation et le code qu'il interprète)
- Nous analysons les éléments interne de la carte mère (CPU, GPU, RAM, NandFlash, HDD).
- Nous observons le contenu digital de ce que le système permet, sachant cela nous pouvons voir si il y a une quelconque type de protection et le type de média qui est nécessaire pour utilisé le code propriétaire
Exemple:
J'ai remarqué une chose, la clé USB s'illumine quand je met un jeu...
Cela signifie une chose, c'est que la procédure est à la recherche de quelque chose sur la clé USB.
Nous allons examiner cela, nous pouvons voir que maintenant il ya des dossiers qui n'y étaient pas auparavant, mais il ya beaucoup que je connais pas ... Nous allons supprimer 5 des 10 dossiers que nous avons trouvé.
Nous mettons à nouveau le jeu sur la Cle USB et curieusement la lumière qui clignotait avant ne clignote plus maintenant. Qu'avons-nous fait? Très facile nous avons simplement supprimer un fichier nécessaire au chargement qu'on peut modifier pour mieux attaquer ... Juste une question de localisation.
Après un certain temps à localiser le fichier qui fait clignoter la lumière , on l'examine et nous trouvons dedans un chemin d'accès C:xxxxx. Si on le change par un autre ... Que se passe-t-il ? Il peut se passer de multiple chose mais maintenant vous savez comment modifier et hacker un système parceque vous avez altérer la manière de charger un fichier.
Protection du disque
- Qu'est-ce que la zone de protection ?
Cette zone est une zone protégée du support optique (CD, DVD, BR) dans lequel les companies y place un code d'authentification - Pourquoi une copie ne fonctionne pas et un original si ?
Quand nous réalisons une copie d'un original, tout ne peut pas être gravé sur le disque vierge comme car le disque vierge a son propre code de produit dans la zone de protection ... Par exemple :
- Jeux Original >>> Sony Computer Entertaiment IDxxxxxx
- Disque Vierge >>> Recordable Disk Verbatim
Le cercle rouge est la zone de protection
Lorsque vous insérez le disque dans ce cas, la console PS3 lira la zone de protection, si ce n'est son interprétation c'est qu'il s'agit pas d'un jeu original, par conséquent la PS3 va le reconnaître comme un CD, DVD ou BD de données.
- Alors .... Comment faire pour lire la copie ?
Nous déplaçons la zone de sécurité pour qu'elle soit lu à un autre endroit du disque inutilisé et libre (on pourra utiliser les disques double couches). Puis on dit au lecteur de lire cette nouvelle couche comme si elle était originale, comme ça on ne lira pas la zone de protection par défaut non valide (le cercle rouge du BD Verbatim) mais on lira la réelle (le cercle rouge du jeu GTA IV) mais à un endroit différent.
Sécurité de la PS3
La PS3 est le système le plus sur à ce jour dans le monde, sa protection réside dans l'utilisation de dernières technologies tant sur le point logiciel que matériel.
Les protections de la PS3
- Lecteur BluRay.
- Protection contre les codes malicieux.
- Protection contre les failles qui entrainent un dépassement de capacité (buffer overflow).
- Protection contre la manipulation des fichiers systèmes.
1. Lecteur BluRay
Le lecteur BluRay compte plusieurs protections, dont les suivantes :
- Machine Java Virtuelle : Elle génère les certificats des disques introduits, ils sont par la suite conservé sur le Disque Dur.
- Zone de protection : Zone où se trouve la clef pour déchiffrer la KEYBD, ce qui fait que cette clef est similaire à la couche de protection (Layer Crypt BD), sans cette clef aucun déchiffrage possible.
- Couche de protection (Layer Crypt BD): Cette couche est utilisée par la "technologie" BluRay. Les fichiers sont détruits par un algorithme mathématique, ce qui les rend illisibles.
- Certificats de sécurité : Ils doivent être identique à ceux de la zone de protection, sans quoi le jeux ne démarre pas.
- BDRom Mark: Cette protection se limite en une lecture toutes les X secondes de la zone de protection pour vérifié que le disque n'as pas été remplacé par une copie, si la clef n'est pas détectée à la lecture, cela stoppe automatiquement tous les processus du jeux.
2. Protection contre les codes malicieux
La PS3 est protegé contre les codes malicieux (non signés, validés par SONY) tant par l'execution de ce fichier que l'utilisation via des moyen de communication.
- Pour exécuter un code, il doit premièrement apparaitre dans la liste TID (Titre Identifiés), ces titres ont un nombre qui les identifient (BCES00001) sans le TID le fichier n'est pas exécuté.
- Les archives ne peuvent pas être manipulées car elles possèdent un HASH, c'est un système mathématique qui se calcul en utilisant la date de création, la taille, le type d'archive, l'extension, la liste est longue etc ... Il peut être de 128bits ou 16 digits, dans le monde aucun HASH n'est identique à l'autre... C'est pourquoi nous ne pouvons connaitre le contenu de l'archive.
- La liste des TID est tout le temps actualisé, et est conservé dans le SPE isolé. (Commentaires plus loin)
- Nous ne pouvons remplacé dans la RAM un executable même si il est identifié par le SPE isolé.
- Un executable PS3 (ELF) possède plusieurs protections :
- Il est signé et vérifié par HASH.
- La PS3 tente d'executer le ELF en calculant le HASH, si il coincide, il initialise SPE.
- Le SPE charge le fichier ELF grace à un chargeur interne (Executable de Linux)
- Il charge le premier ELF (Executable visible) et l'isole (Impossible de l'attaquer)
- Quand il est décrypté par le SPU (Processeur interne du SPE) nous obtenons un autre ELF “Le caché” et déchiffré, lequel s'exécute dans le PPU (Procesador Central del Cell) et initialise l'exécution de l'application.
3. Protection contre les failles qui entrainent un dépassement de capacité. (buffer overflow)
Une des autres protections reside dans son Systeme d'Exploitation (OS), il utilise un microkernel qui travaille séparément, cela signifie que ce kernel se trouve à un endroit et les modules qui déclenchent certains évènements se trouvent à une autre place.
- Ce type de système profite à qui ?
Par exemple, si un jeux a supprimé le module en responsable du chargement des textures, sons ou événements programmés ne se chargeront pas automatiquement, il se lance alors un système connus comme "CheckStop", ce système se déclenche séparément du kernel ou des modules pour que le kernel reprenne les rênes du système ce qui déclenche une opportunité pour sortir du problème, dans ce cas nous retournons directement au menu principal comme protocole de sécurité.
Si vous débranchez votre Clef USB pendant que vous écoutez de la musique, la premiere chose qu'il va se produire c'est la séparation du module par le kernel et la réinitialisation du module, de cette manière le système se réinitialise point par point automatiquement ainsi nous n'avons jamais les erreurs typiques de Windows.
4. Protection contre la manipulation des fichiers du sytème.
Le système de la PS3 compte sur une sécurité sur laquelle la XBOX360 comptait aussi, mais cette sécurité est un peu plus forte, et elle n'arrive toujours pas a tomber.
- Les niveaux d'exécution du LV0, LV1 et LV 2.
- Le niveau 0 ou BootStrap
Ce niveau envoie un fichier CIF/HASH/FIR au SPE, cela est isolé puis grâce à la Master Key, qui est intégrée dans une ROM dans le CELL, le fichier est décrypté. Alors apparait les KEYS des loaders 1 et 2, ces loaders decodent le LV1 et le LV2 en fonction de la LPAR (voir plus loin) où nous sommes - Le niveau 1 ou Hyperviseur
Ce niveau est le gestionnaire d'Hardware, c'est comme si vous aviez une usine qui contient plein de machines, les machines peuvent être utilisées par le gestionnaire mais pour cela il doit y avoir des travailleurs formés a l'utilisation de chacunes. - Le niveau 2 ou Superviseur
Ce niveau ne fonctionne que dans le menu principal, c'est le gestionnaire de Software. Pour communiquer avec l'hyperviseur le système travaille en harmonie, c'est lui qui donne les ordres a l'Hyperviseur pour le redémarrer, supprimer ou agir de quelques manières que ce se soit.. - Les LPAR
Ils sont comme des partitions virtuelle au sein de la RAM, elle sont attribuées pour chaque niveau.
Par exemple la LPAR_PS3 s'occupe que vous ayez un certain type de ressource que vous ne pouvez outrepasser, comme ne pas pouvoir lancer de jeux PS2, ne pas pouvoir démarrer Linux (LPAR_LINUX). Nous dirons que ce sont des options définies où il y a chaque ressources virtuelles pour protéger le système, en résumant : les limitations implantées
Il y a en plusieurs : LPAR_LINUX (Linux), LPAR_PS2 (Emulateur de PS2), LPAR_PS3 (XMB oo Menu principal).
METLDR... Qu'est-ce que c'est et qui le cherche ?
Le METLDR est le moteur d'initialisation des loaders permettant l'authentification et le lancement des LV0/1/2.
Il travaille sous le nom de secure_loader, cela veut dire qu'il s'exerce et prépare un SPU unique pour travailler, conformément à ce qui a été dis seule le SPU1 a cette capacité pour « traiter » le METLDR les autres « entrent » avec les privilèges adéquat pour faire le travail habituel du SPU avec la master key.
Cela nous limite à pouvoir utiliser seulement un SPU pour toute les taches, mais n'oublions pas une chose importante, le SPU dédié à ceci est déjà utilisé … nous ne pouvons ainsi pas l'utiliser.
Pour utiliser les autres il faut réaliser ces 3 étapes dans l'ordre :
- Initialiser et calibrer SPU.
- Changer d'état ( Isolation ).
- Authentification et utilisation de la master key.
Pour que le Kernel se montre il faut que nous travaillons sur la marque : lpar_ps3
- Dans le cas contraire le METLDR ne devrait pas déchiffrer la lv2 avec lpar_linux.
- Le METLDR s'authentifiera et s'exécutera si la regle 1 est valide, cette règle est qu'il se focalisera sur travail du SPU1 dédié, dans le cas contraire l'execution du METLDR pour déchiffrer sera nulle.
Le METLDR charge les ldr, mais ces ldr doivent être authentifiées avec un hash qui contient son propre METLDR.
METLDR pèse 60Ko, les stockages local des SPU en comptent 256Ko.
Los loaders pour le déchiffrage chargent lv0 (Toujours),lv1 (Toujours) et le lv2(Seulement pour la lpar_ps3). Les loaders propres déchiffrent le lv0, lv1 y el lv2.
Le lv2 est déchiffré par la lpar_ps3 elle conserve en local_store du SPU isolé l'idstorage, cet idstorage stock les hash des executables valides.
Un SELF possède une clef interne, le SELF se compose de :
- SCE> header self
- ELF> Loader du SPU
Normalement lorsque nous regardons un SELF avec un éditeur hexadecimal nous voyons d'entrée le header du ELF, cet ELF que nous voyons est l'app du SPU, cette app a été hashé et introduite dans l'idstorage ; si elle passe le controle automatiquement elle est déchiffrée et exécutée par le PPU révélant ainsi les ELF internes reels.
...FAQ sur le METLDR...
Quoi d'intéressant dans le METLDR ?
Grâce a lui on pourra obtenir le kernel de la PS3.
Avec le METLDR on peut lancer des SELF ou PKG ?
Non, le METLDR a une seule fonction ... c'est d'initialiser les loaders et leur authentifications, et tout le reste ne sont que des fantaisies.
Alors que pouvons nous faire avec le METLDR ?
la première chose à savoir est d'interpréter le METLDR, quand vous saurez faire ça, vous répondrais vous même a cette question.
Pour fini ... Pourquoi Geohot & Compagnie n'ont pas donné de détail sur le METLDR ? Que nous cache t-on ?
Sans dire toutes les étapes, ce qu'il ont fait est de maintenir le status de la passivité, cela signifie qu'ils ne connaissent que le sujet, mais ils se trompent ... parceque bien qu'ils se taisent et qu'ils ne disent pas tout, il y a d'autre chose que nous ne cachons pas et que nous disons :
- Si on n'utilise pas le SPU dédié pour le loader sécurisé on ne peut pas continuer. (
- Si on élimine pas les restrictions que impose l'Hyperviseur au LPAR_LINUX nous ne pourrons pas obtenir le kernel, comme le kernel examine l'environnement dans lequel il travaille.
- Si nous ne faisons pas un reboot du SPU dédié alors que nous appliquer les changements ci-dessus à l'HyperViseur, alors on ne pourra extraire le kernel.
Pour finir, ce mode que vous voyez est temporaire car elle est dépourvue de toute sorte de persistance... C'est pourquoi nous élaborons une idée de faire un hardware qui fera toutes ces étapes dans le game_os de façon persistante pendant le Boot.
Source : DemonHades
[/url]
x 2
