Hacker kraakt tpm-encryptie Infineon

Een aanpassing in de tpm-beveiligingschips van Infineon maakt de module en de daarop gebaseerde technologieën kwetsbaar. De beveiliging van de pc, Xbox 360-randapparatuur, satelliettelevisie en smartphones is daardoor onzeker.

Christopher Tarnovsky, eigenaar van Flylogic Engineering in Californië, heeft het na zes maanden voor elkaar gekregen een topmodel van de trusted platform module van Infineon te kraken. Door met zuur de behuizing van de chip op te lossen en met antiroestmiddel de verschillende lagen bedrading weg te halen, wist Tarnovsky uiteindelijk de core van zijn casing te ontdoen.

Om vervolgens een draadtap op de core aan te brengen, werd gebruik gemaakt van een naald. Met deze tap kon hij de instructies, die overigens niet gecodeerd zijn, tussen de chip en de computer eenvoudig uitlezen. Als laatste omzeilde hij de extra beveiligingsmechanismen van de chip.

Omdat de hack is gebaseerd op het tpm-topmodel van Infineon is ook de daarop gebaseerde technologie van het bedrijf kwetsbaar. Deze wordt onder meer gebruikt door Microsoft in zijn Xbox 360-consoles, in smartphones en in satellietontvangers.

Persbureau AP schrijft dat het hierdoor in theorie mogelijk moet zijn om satelliettelevisie zonder abonnement te bekijken. Ook zouden tekstberichten en e-mail op verloren of gestolen smartphones uitgelezen kunnen worden en zou het mogelijk zijn om zonder licentie Xbox 360-randapparatuur te ontwikkelen. Microsoft heeft bevestigd dat het bedrijf inderdaad gebruikmaakt van chips uit de stal van Infineon, maar voegt er aan toe dat eventuele toekomstige ongeautoriseerde accessoires mogelijk onveilig zijn.

Infineon heeft inmiddels laten weten dat het bedrijf al enige tijd wist dat zijn chips vatbaar zijn voor een dergelijke hack. Het probleem werd destijds echter terzijde geschoven gezien de gebruikte techniek slechts op kleine schaal toegepast kan worden. "Het risico is beheersbaar, want je kraakt hiermee slechts de gegevens van een enkele computer", aldus Joerg Borchert. De vice-president voegt daaraan toe dat de hack afhankelijk van de beschikbare informatie zeker effectief kan zijn, maar stelt ook dat dit niet hun verantwoordelijkheid is. "Ook al is onze tpm-encryptie te kraken, het is altijd nog beter dan een onbeveiligde computer." Het is niet duidelijk of tpm-technologie van andere fabrikanten ook kwetsbaar is voor de hack.

Christopher Tarnovsky bezig met smartcards op zijn werkplek in Californie

Door Remco van Kaam

Feedback • 09-02-2010 16:15 76

09-02-2010 • 16:15

76

Lees meer

'Vederlichte' Present-encryptie opgenomen in industriestandaard
'Vederlichte' Present-encryptie opgenomen in industriestandaard Nieuws van 28 februari 2012
Intel koopt mobiele divisie Infineon voor 1,4 miljard dollar
Intel koopt mobiele divisie Infineon voor 1,4 miljard dollar Nieuws van 30 augustus 2010
'Intel staat op het punt chipunit Infineon te kopen'
'Intel staat op het punt chipunit Infineon te kopen' Nieuws van 2 augustus 2010
'Insteekkaarten met eeprom kwetsbaar voor malware'
'Insteekkaarten met eeprom kwetsbaar voor malware' Nieuws van 20 november 2006
Kritiek op komende TPM voor gsm's
Kritiek op komende TPM voor gsm's Nieuws van 5 oktober 2005
Meer producten en artikelen
Computers Privacy Smartphones Microsoft Xbox Encryptie Hackers

Reacties (76)

-Moderatie-faq
76
76
51
4
0
7
Wijzig sortering
Verwijderd 9 februari 2010 17:50
Dit is een YouTube filmpje hoe hij het gedaan heeft:

How to Reverse-Engineer a Satellite TV Smart Card.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:04]

NL-RaVeR 9 februari 2010 16:21
Oke, hij heeft een chip gekraakt, maar ik snap nou niet helemaal wat je er nou verder mee kan? Zit er een soort van licentie in die chip of hoe moet ik dit zien.

Tevens is dit lijkt mij niet geschikt voor de allerdaagse gebruiker of zelfs een normale tweaker. Ophalen van de behuizing met zuur en ook nog is met een naald op de chip zelf data aftappen. Lijkt me nou niet een manier van 1, 2, 3 en hack done :P
Rob Coops
@NL-RaVeR9 februari 2010 16:44
Ik denk dan ook dat het niet zo zeer de manier om tot de hack te komen is maar meer de methode die vervolgens bedacht is om gebruik te maken van de gevonden zwakheden. Voor zo ver ik het verhaal begrijp is de chip bedoelt om een vorm van rights management te regelen. Wie mag er wel en wie mag er niet gebruik maken van bepaalde diensten van de CPU of de andere hardware. Als de truck gevonden is en men dus met een redelijk eenvoudig stukje code hun apparatuur zich voor kan laten doen als zijnde een legaal en toegestaan device dan kun je dus eigen apparatuur gebruiken in plaats van gebruik te moeten maken van de officiele sullen.

Neem bijvoorbeeld een XBOX360 controller, als je daar een eigen versie van kunt maken kun je dus macro's op nemen die in een keer die 99 combo hit uitvoert in die vecht game etc... vals spelen wel nee ik ben gewoon hele erg goed :) en het is niet te zien voor Microsoft dat het een macro is.
Een andere is natuurlijk de digitale televisie (als dan niet via de schotel) de manier waarop het nu werkt is dat alleen een kaart dis zich correct identificeert als zijnde een officiele kaart voor het coderen van kanalen A, D en Y de test van de tpm controller door staat en dus de kanalen ook laat decoderen. Als je de controller voor de gek kunt houden en dus gewoon alle kanalen op geeft als goedgekeurd door de verkoper van de kaart dan zal je dus alle kanalen kunnen decoderen zonder probleem.

Het lijkt me hele erg sterk dat je met zuur en en een naald op de die van de controller met gaan zitten pielen om de hack voor elkaar te krijgen. Als dat wel zo is dan is het natuurlijk echt niet de moeite waard omdat de kans dat iemand deze hack thuis op zijn zolder kamertje voor elkaar krijgt natuurlijk extreem klein is.
kidde @Rob Coops9 februari 2010 17:29
Xbox en digitale TV boeit niet zo hard, lullig voor MS en entertainmentbedrijven maar niet meer dan dat.
Bedrijven en overheden echter gebruiken deze TPM chip om hun bedrijfsgeheimen / privacy-gevoelige informatie te beschermen, en wanen zich 'veilig'.

Een spion die vroeger een laptop had gestolen met een TPM chip kon de harde schijf niet lezen. Nu dus wel.
tijgetje57 @kidde10 februari 2010 08:45
Jammer dat je dit nu verraad.

Gelukkig zijn wij tegenwoordig ook georganiseerd.

Een notebook daar zal je niks meer aan hebben. Wij hebben de TPM chip gewoon niet aan staan. Dus hoef je ook niks te kraken.

Je ze gewoon een beveiliging in de MBR van je hdd en alle info is dan veilig.
musiman @tijgetje5710 februari 2010 08:57
>ahum<
Nog zeker nooit gehoord van Evil Maid?

Eén ding is erger dan geen veiligheid en dat is schijn-veiligheid. Wanneer iemand zich veilig waant achter een beveiligingstechniek, gaat deze onzorgvuldiger om met data. In jouw geval (ik weet niet waar je werkt, maar er zijn een aantal bedrijven in NL die hele gevoelige data wensen te beveiligen) kan het zijn dat je een securitypolicy ingesteld hebt (gekregen) die niet deugt.
Wellicht wordt het tijd om bij mij een security training te volgen ;)
Plopeye @kidde9 februari 2010 20:34
Krijgen we nu dan eindelijk xbmc op de 360???
Verwijderd @NL-RaVeR9 februari 2010 21:28
Als je weet hoe het werkt kan je het simpel weg nabouwen, hoe moeilijk is dit nou om te snappen ?
Joerdgs 9 februari 2010 16:46
Hoe kan je je hardware tegen zo'n hack beschermen echt? :')
kidde @Joerdgs9 februari 2010 17:40
Nog meer boobytraps inbouwen, bijvoorbeeld 'zekeringen' die smelten door zuur in de buitenkant van de behuizing stoppen. Is chemisch gezien geloof ik niet zo lastig, maar net ietsje duurder.
pizzaislekker 9 februari 2010 16:21
"Ook al is onze TPM-encryptie te kraken, het is altijd nog beter dan een onbeveiligde computer."
Heerlijke uitspraak dit :P
CKSotos @pizzaislekker9 februari 2010 16:33
geweldige uitspraak ook op hun website ;)

http://www.flylogic.net/aboutus.html

We help create the most secure platforms of the 21st century
zerokill @CKSotos9 februari 2010 21:06
Lees de blog op die website. Ik heb afgelopen uur ff zitten surfen en die gast is oprecht geniaal. Het volgende filmpje laat zien hoe hij smartcard reverse engineered.

http://www.wired.com/poli...tarnovsky?currentPage=all

Dit zijn nou van die mensen die echt weten waar ze het over hebben en ontzettend originele oplossingen bedenken voor problemen. Het lijkt mij echt geweldig om een IC een keertje uit elkaar te halen om te fotograferen, of nog beter om een logic analyzer aan te sluiten.
Verwijderd @pizzaislekker9 februari 2010 16:33
Dit een logisch reactie. Alles is uiteindelijk te kraken.

Zie ook:
nieuws: 'Kasumi-encryptie voor 3g-mobieltjes binnen paar uur te kraken'
nieuws: Deel beveiliging gsm-verbindingen is gekraakt

Je zou zoiets, gedeeltelijk, kunnen voorkomen als je ASICS gebruikt die je zou kunnen omprogrammeren. Nadeel is dat de implementatie duurder wordt.
PinQ @Verwijderd9 februari 2010 16:57
Zulke devices heten FPGA's en CPLD's.
Dit zijn programmeerbare IC's waarin de logica (AND, OR, etc poorten) te programmeren zijn. In tegenstelling tot microcontrollers en microprocessoren wordt er in deze programmeerbare logica vrijwel alles parallel uitgevoerd ipv. sequentieel.

Waarom zou dit het probleem oplossen? Dat zie ik namelijk niet helemaal.
Telkens een 'firmware update' geven zodat het net iets anders werkt en hackers opnieuw moeten beginnen?

Dan krijg je weer het probleem dat niet geupdate devices kwetsbaar zijn e.d.

[Reactie gewijzigd door PinQ op 23 juli 2024 09:04]

Verwijderd @PinQ9 februari 2010 17:16
Zulke devices heten FPGA's en CPLD's.
Dit staat ook in de wiki link in mijn "post".
Telkens een 'firmware update' geven zodat het net iets anders werkt en hackers opnieuw moeten beginnen?
Klopt, dat is het enigste wat je kunt doen. Je hebt in ieder geval een mogelijkheid om te fixen, met de bestaande TPM chip van Infineon is dit meer mogelijk.
Dan krijg je weer het probleem dat niet geupdate devices kwetsbaar zijn e.d.
Klopt daarom zeg ik ook gedeeltelijk.

Zoiets kun je nooit helemaal voorkomen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:04]

souldemon @Verwijderd10 februari 2010 07:29
want dan zullen hackers ook echt niet meer weten waar ze het moeten zoeken,
zo gaat er geen belletje rinkelen dat je een bitstream de fpga in moet gaan blazen.
omdat een fpga bij opstarten leeg is.
YopY @pizzaislekker9 februari 2010 16:27
Microsoft heeft bevestigd dat het bedrijf inderdaad gebruikmaakt van chips uit de stal van Infineon, maar voegt er aan toe dat eventuele toekomstige ongeautoriseerde accessoires mogelijk onveilig zijn.
Is ook een goeie. "Ja oké, we gebruiken deze technologie, en je kunt er ongeautoriseerde accessoires mee maken... MAAR DOE DAT NIET WANT DAT KAN ONVEILIG ZIJN, ASDF!"
Psycho-18 @YopY9 februari 2010 16:36
ASDF ? Wat betekent dat ?

ontopic:
Dit is toch geen hack dat makkelijk toe te passen is. Men moet eerst inbreken in je huis, je smartphone open kraken, zuur toepassen, draadje erop, smartphone dicht, huis uit en wachten maar totdat er data binnenvloeit?

Als het een softwarematige hack was, dan zou ik het snappen... :9
Verwijderd @Psycho-189 februari 2010 17:05
Over de TPM = Trusted Platform Module
The nature of this security chip ensures that the information like keys, password and digital certificates stored within is made more secure from external software attacks and physical theft.
En de wiki van de Trusted Platform Module.
Men moet eerst inbreken in je huis, je smartphone open kraken, zuur toepassen, draadje erop, smartphone dicht, huis uit en wachten maar totdat er data binnenvloeit?
Hier heeft Microsoft waarschijnlijk een certificaat of een key in staan. Deze is gelijk is op iedere xbox 360. Als je deze kent kun je accessoires maken voor Microsoft zonder licentie gelden te betalen.

Kortom je hoeft niet in te breken je moet "alleen" een xbox 360 hebben waarbij je de informatie uit TPM kunt halen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:04]

Psycho-18 @Verwijderd9 februari 2010 17:20
Is het voor hun dan niet veiliger om per xbox een random sleutel te maken die enkel zij kunnen controleren of het legitiem is?
Verwijderd @Psycho-189 februari 2010 17:28
Dat gaat "helaas" want dan krijg je dat een controller bij een xbox 360 kan horen en dat deze niet werkt op een andere xbox 360.

Een geautoriseerde controller moet op iedere xbox 360 werken.
Verwijderd @Verwijderd9 februari 2010 17:21
Daar is ook een leuk YouTube videootje van; http://www.youtube.com/watch?v=U0FAaah8jgY
Joerdgs @Psycho-189 februari 2010 16:43
Offtopic antwoord:
ASDF info: http://nl.wikipedia.org/wiki/Asdf

Vaak gebruikt als 'rage-reply' :)
MicGlou @Psycho-189 februari 2010 16:53
Een 'oud' hackers-grapje...

http://nl.wikipedia.org/wiki/Asdf
ErA 9 februari 2010 16:23
"Ook al is onze TPM-encryptie te kraken, het is altijd nog beter dan een onbeveiligde computer."
Eindelijk een keer een reele reactie.

Uiteindelijk blijkt alles wel te kraken of een of andere manier.

En de genoemde manier doet nu niet echt voor als een makkelijk, dus de gevolgens zullen minimaal zijn.
Barbapapa720 @ErA9 februari 2010 16:31
Dat de manier moeilijk is wil niet zeggen dat de uitkomst niet te gebruiken is. Als hij hiermee een module heeft weten te kraken kan dus elke tpm module op deze wijze gekraakt worden.

Ik weet niet of elk apparaat een eigen module/model/encryptie heeft maar anders denk ik dat er over een half jaar weer gratis naar alle satellietzenders gekeken kan worden.
notsonewbie @ErA9 februari 2010 16:33
Uhm,,,,, hij is nu in de kern gekomen en kan van daaruit dus net als zo vaak nu software maken die van buiten af die kern stuurt/uitleest zoals hij wil...
Eerst hard-cracken, reverse engineren, dan middels software...
Kevinp @notsonewbie9 februari 2010 17:32
En dan is er een nieuwe versie op de markt die 99% gebruikt.
Azzmodan @Kevinp9 februari 2010 21:26
Dus Microsoft gaat iedereen nu een nieuwe xbox geven en de oude vervangen? Zelfde voor dingen als satelliet decoders je kan moeilijk alle bestaande apparaten vervangen.
kidde @ErA9 februari 2010 17:35
Probleem ligt bij de eindgebruiker, TPM biedt schijnveiligheid. Daarom denken gebruikers dat hun data 'veilig' is, en zetten ze er zelf geen software-encryptie meer op. En die schijnveiligheid wordt natuurlijk dankbaar geadverteerd door Infinion, schijnveiligheid is immers hun verdienmodel.

Dus niet echt een reële reactie, reëler zou zijn geweest om klanten te adviseren extra veiligheidsmaatregelen te nemen en niet alleen op TPM te vertrouwen.
notsonewbie 9 februari 2010 16:31
""Het risico is beheersbaar, want je kraakt hiermee slechts de gegevens van een enkele computer""

Mja, als dat net die ene is met alle code's, wachtwoorden e.d.....
siepeltjuh @notsonewbie9 februari 2010 16:43
Ze vergeten erbij te zeggen dat met die gegevens van dei ene pc de gehele werking van de TOM module te achterhalen is.

Daarmee wordt het dus ook makkelijker te zoeken naar exploits in de software. De module is theoretisch ook te emuleren aangezien je nu de exacte werking te pakken hebt.

Daarmee is het dan mogelijk om die kennis te gebruiken en andere apparaten te hacken. Het is echt niet zo dat je om een xbox 360 (als voorbeeld) te hacken nu met zuur en een naald in de weer moet, het zal straks gewoon via een software emulatielaag mogelijk zijn.
Pinkys Brain @siepeltjuh9 februari 2010 17:17
TPM is zowieso al een open standaard.
kidde @siepeltjuh9 februari 2010 17:37
Emuleren is maar de vraag.

De chip communiceert niet geëncrypteerd tussen A en B, en tussen die twee punten is 'ie gekraakt. Echter, vziw. communiceert de chip tussen B en randapperatuur wel geëncrypteerd, en daar is de chip nog niet gekraakt. Om zinvol te emuleren moet je de communicatie tussen B en de randapperatuur snappen, en niet tussen A en B.
kwakzalver 9 februari 2010 17:23
@mariourk

De essentie van beveiligen is het zodanig lastig maken dat men bij de buurman gaat hacken of het gewoon opgeeft.
Elke beveiliging is uiteindelijk te doorbreken. En elke beveiliging vormt een uitdaging.
Er zijn er genoeg die alleen hacken voor de overwinning

Beveiliging en hacken vormt gewoon een gezonde wedstrijd. Dat is dan ook in mijn ogen het grote voordeel van open source beveiliging en encryptie. Zodra iemand die hackt staat er een grote groep klaar om het lek te dichten.


De meeste hackers (90%) zijn hobby hackers die met gebruik van tools van alles weten te hacken.

Maar door deze hack is Tarnovsky weer op de kaart gezet en mag infineon zijn volgende chip uit de kast halen en presenteren. Zeker als je weet hoe je moet hacken dan leer je ook te beveiligen.

Leuk feitje: Als je de juiste 2 pootjes kortssluit van een tpm chip Dan haal je de beveiliging van een laptop af, maw: reset.
Verwijderd @kwakzalver9 februari 2010 17:41
Leuk feitje: Als je de juiste 2 pootjes kortssluit van een tpm chip Dan haal je de beveiliging van een laptop af, maw: reset.
Waarschijnlijk zijn dan alle keys en certificaten weg. Als de notebook dan opstart en zich authentiseert zal de TPM zeggen dat het niet mag omdat het certificaat of de key niet klopt. En start deze niet meer op c.q. boot niet meer.

Als het zo gemakkelijk zou zijn dan zou het zo gemakkelijk zij als een "BIOS reset".
kwakzalver @Verwijderd9 februari 2010 17:55
Wel natuurlijk laptop openschroeven en de juiste plek vinden. Maar het is of een reset module halen bij de fabrikant of het zelf doen. Voor de gewone gebruiker betekent dit opsturen naar de leverancier/fabrikant.

Wordt gedaan als er een startup wachtwoord op zit of als de harddrive aan het systeem gelocked is en niemand meer weet wat het ' geweldige' wachtwoord was.

Maar het principe is bijna hetzelfde als een bios reset.

En ja ik had een reset module te leen, maar wilde zelf wel weten of dit werkte.
En het gaat uitstekend.
Verwijderd @kwakzalver9 februari 2010 18:01
En dit wordt als security feature verkocht. |:(

De eerste de beste crimineel die in gestolen notebooks handelt weet dit zeer waarschijnlijk ook wel.
Als dit klopt is dit zo goed als geen extra security t.o.v. een bios password.
MSalters @Verwijderd9 februari 2010 22:23
Het doel is om de data te beschermen, niet de hardware. Na de reset is de masterkey weg om de harddisk te lezen. Je kunt 'm alleen herformateren. Daarna is de schijf te helen voor een paar euro.

Dit is dus nuttig als de informatie meer waard is als de hardware. Bijvoorbeeld als er privacy-gevoelige data op staat; een mailing naar 10.000 klanten is al duurder dan een nieuwe laptop.
Verwijderd 9 februari 2010 16:21
Hmmm, dezelfde hack techniek zoals die bij de Nagravision smartcard hack werd gebruikt.

Knap, dat je op die manier fysiek chips kunt hacken!
mace @Verwijderd9 februari 2010 16:27
Niet alleen dezelfde techniek, maar dezelfde vent!
Verwijderd @mace9 februari 2010 16:47
Verrek! Had ik nog niet eens gezien :) Hij schijnt in 't verleden ook verantwoordelijk te zijn geweest voor de Seca smartcard hack, maar da's nooit echt bewezen...
zerokill @Verwijderd9 februari 2010 21:08
filmpje van hoe hij die smartcards had gehacked op wired: erg interesant!
http://www.wired.com/poli...tarnovsky?currentPage=all
Japperrrr 9 februari 2010 16:19
zou wel mooi zijn als je daalijk van chinese websites omgebouwde schotels zou kunnen bestellen :+
mashell @Japperrrr10 februari 2010 00:07
Hoe bedoel je ? Een Babi Pangang schotel met patat? Wat je wilt lijkt me een gekraakte ontvanger, die schotelantenne kan gewoon blijven zoals die is.
YellowOnline 9 februari 2010 16:30
Wow, dat is wel een hardcore hack vind ik. Hoedje af voor die man.
Verwijderd @YellowOnline9 februari 2010 16:37
Vooral ook het geduld, ik zou gewoon een vijl pakken en beginnen te rossen. Maar verbaasd ben ik er niet over, de WII is ook door hardware toevoeging gehacked in eerste instantie (wiikey)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq