Raspberry Pi ha annunciato i risultati del concorso Capture the Flag, che ha visto i ricercatori di sicurezza invitati a provare le protezioni hardware integrate nel suo microcontrollore RP2350 e ha confermato quattro vincitori e cinque vulnerabilità scoperte in modo indipendente.

“Tutti i chip presentano delle vulnerabilità e la strategia della maggior parte dei fornitori è quella di non parlarne. Riteniamo che ciò sia estremamente irresponsabile, quindi siamo entrati nello spirito DEF CON offrendo un premio di 10.000 dollari per un mese alla prima persona che recuperare un valore segreto dalla memoria programmabile una sola volta (OTP) sul dispositivo,” spiega il co-fondatore e amministratore delegato di Raspberry Pi Eben Upton. “Il nostro obiettivo era individuare tempestivamente i punti deboli, in modo da poterli risolvere prima che l’RP2350 venisse ampiamente utilizzato in applicazioni sicure. Nessuno ha reclamato il premio entro la scadenza, quindi a settembre abbiamo prorogato la scadenza fino alla fine dell’anno e abbiamo raddoppiato il premio a $ 20.000.”

Ora, i risultati di quella competizione estesa sono stati pubblicati – ed è una novità che Upton dice di essere solo “contento (più o meno)” di riportare: il sottosistema di sicurezza del chip, una nuova funzionalità dell’RP2350 non presente sul precedente RP2040, è stato sconfitto con ben cinque attacchi indipendenti, quattro dei quali considerati validi per la competizione.

Il primo di questi è stato reso pubblico all’inizio di quest’anno: un attacco con problemi di tensione scoperto dall’ingegnere Aedan Cullen. “Non è affatto un attacco difficile da effettuare”, affermò Cullen all’epoca, rivelando un attacco con glitch di tensione che riabilita i core RISC-V del microcontrollore che dovrebbero essere disabilitati quando il sottosistema di sicurezza è in uso. “È semplicemente un normale problema di alimentazione. Basta rilasciare USB_OTP_VDD per circa 50μs tra le letture CRIT0 e CRIT1OTP PSM, che sui miei chip sono circa 220-250μs dal caratteristico picco di corrente che segna l’inizio della sequenza OTP PSM.”

 

 

Confermando la vulnerabilità e imputandola a una “scelta sbagliata della parola di guardia” per la memoria programmabile una sola volta (OTP), Upton afferma che “non è attualmente disponibile alcuna mitigazione per questa vulnerabilità, a cui è stato assegnato il numero di errore E16” – ma che “è probabile che il problema venga risolto in una futura implementazione dell’RP2350.”

Un secondo attacco è arrivato da Marius Muench, che ha trovato una vulnerabilità di tipo “fault injection” che può essere sfruttata alterando la tensione di alimentazione del chip. “Anche se questa rottura può sembrare semplice in retrospettiva”, dice Muench, “la realtà è molto diversa. Identificare e sfruttare questo tipo di problemi è tutt’altro che banale. Nel complesso, questa sfida di hacking è stata per me un progetto di molti mesi, con molti morti- finisce esplorato lungo il percorso e innumerevoli iterazioni di codice di attacco e configurazioni per confermare o smentire potenziali risultati.” Questo, dice Upton, è un errore E20 e presenta “diverse attenuazioni efficaci”, quella consigliata è impostare il flag OTP BOOT_FLAGS0.DISABLE_WATCHDOG_SCRATCH.

Il terzo attacco è arrivato per gentile concessione di Kévin Courdesses: una debolezza nel percorso di avvio sicuro del chip, che si verifica subito dopo che il firmware è stato caricato in memoria e subito prima che il suo hash venga calcolato – sfruttabile, ancora una volta, alterando la tensione di alimentazione del chip. “L’inserimento di un singolo errore sincronizzato con precisione in questa fase può far sì che la funzione hash venga calcolata su un diverso segmento di dati”, afferma Upton, “controllato dall’aggressore. Se quei dati sono un firmware firmato valido, il controllo della firma passerà, e il firmware non firmato dell’aggressore verrà eseguito!” Si tratta di un errore E24 e, ancora una volta, non è nota alcuna attenuazione, ma dovrebbe essere risolto in una futura revisione del chip RP2350.

Il quarto e ultimo progetto vincitore proviene dai ricercatori di IOActive, ed è l’unico che richiede un investimento importante in hardware avanzato per poterlo sfruttare: “Un aggressore in possesso di un dispositivo RP2350, così come l’accesso ad apparecchiature di deprocessamento dei semiconduttori e ad un sistema di ionizzazione focalizzato beam (FIB), potrebbe estrarre il contenuto delle celle bit antifusibile come testo in chiaro nel giro di pochi giorni,” spiega l’azienda. “Mentre un sistema FIB è uno strumento scientifico molto costoso (che costa diverse centinaia di migliaia di dollari, più spese operative correnti di decine di migliaia all’anno), è possibile affittarne uno in un laboratorio universitario per circa 200 dollari l’ora per la macchina o circa due o tre volte questo cifra per la macchina più un operatore addestrato per farla funzionare.”

 

 

“La mitigazione suggerita per questo attacco è quella di impiegare una tecnica di ‘chaffing’, memorizzando {0, 1} o {1, 0} in ciascuna coppia di celle di bit, poiché l’attacco nella sua forma attuale non è in grado di distinguere tra questi due” afferma, Upton nota in merito alla vulnerabilità, che non si ritiene sia esclusiva dell’RP2350 e a cui non è stato assegnato un numero errato. “Per proteggersi da un’ipotetica versione dell’attacco che utilizza l’editing del circuito per distinguere tra questi stati, si raccomanda che le chiavi e gli altri segreti siano archiviati come blocchi più grandi di dati alterati, dai quali il segreto viene recuperato tramite hashing.”

Infine, un quinto attacco è stato portato a termine con successo da Thomas Roth a Hextree, in collaborazione con Colin O’Flynn a NewAE. Nonostante una commissione dello stesso Raspberry Pi non fosse quindi considerata una valida partecipazione al concorso, il lavoro del ricercatore ha rivelato una vulnerabilità all’iniezione di guasti elettromagnetici (EMFI) che potrebbe corrompere la memoria OTP e portare a potenziali attacchi temporali sul canale laterale. Ulteriori indagini hanno rivelato un modo per aggirare le protezioni utilizzando “guasti temporizzati con precisione” utilizzando EMFI. La vulnerabilità, denominata erratum E21, presenta ciò che Upton descrive come “diverse attenuazioni efficaci”, anche se una di queste comporta la perdita della capacità di eseguire il flashing del nuovo firmware tramite USB.

“Anche se le regole specificano un unico premio di 20.000 dollari per il ‘miglior’ attacco”, nota Upton, “siamo rimasti così colpiti dalla qualità delle proposte che abbiamo scelto di pagare l’intero premio per ciascuno di essi. Come previsto, abbiamo abbiamo imparato molto, in particolare abbiamo rivisto al ribasso la nostra stima dell’efficacia del nostro schema di rilevamento dei glitch; Terremo in considerazione queste lezioni mentre lavoriamo per rafforzare i futuri chip e anticipare i futuri passi avanti dell’RP2350.”

Upton si è anche impegnata a seguire una seconda competizione capture the flag, questa volta concentrandosi su un’implementazione interna dell’algoritmo crittografico AES che si ritiene sia più resistente agli attacchi del canale laterale. Maggiori informazioni sono disponibili sul sito web di Raspberry Pi, inclusi, ove disponibili, collegamenti a documenti che descrivono in dettaglio ciascuno degli attacchi.

 

Kit consigliati:

• Kit elegoo uno r3
• Arduino starter kit