Startseite > Hardware > Der PlayStation-3-Hack und seine Folgen

Sonys Epic Fail

Der PlayStation-3-Hack und seine Folgen

19. Januar 2011, 11:43 Uhr |

Fortsetzung des Artikels von Teil 3

Schwerwiegende Sicherheitsfehler

Einigen Hackern, die Linux zurück auf die Konsole bringen wollten, also nicht an Raubkopien interessiert waren, war diese Kompromittierung der Firmware 3.41 nicht genug, sie wollten volle Kontrolle und Linux nativ und möglichst ohne Einschränkungen (also auch mit voller 3D-Unterstützung, die bei „OtherOS“ fehlte) installieren – unabhängig von der eingesetzten Firmware-Version. Ein paar bereits aus der Wii-Hacking-Szene bekannte Leute schlossen sich zur Gruppe „fail0verflow“ zusammen – und präsentierten ihre Erkenntnis 2010 auf dem 27ten Chaos Communication Congress in Berlin („27C3“) am 29.12.2010 in einem Vortrag mit dem Titel „Console Hacking 2010 – PS3 Epic Fail“ .

"marcan", "sven" und "bushing" vom Hackerteam "fail0verflow" erläuterten Ende 2010 auf dem 27ten Chaos Communication Congress in Berlin die Fehler bei der Umsetzung des PlayStation-3-Sicherheitskonzepts.

„bushing“, „marcan“, „sven“ und „segher“ demontierten das Sicherheitskonzept der PS3 Stufe für Stufe und deckten eklatante Sicherheitsfehler auf. So arbeite die Festplattenverschlüsselung auf Sektorebene, wobei für jeden Sektor der gleiche Schlüssel und Initialisierungsvektor verwendet wird, sodass sich der Schutz leicht aushebeln lässt, indem man unverschlüsselte und verschlüsselt gespeicherte Daten miteinander vergleicht. Sie erläuterten auf der Konferenz auch die Sicherheitsprobleme mit dem Hypervisor und die Funktionsweise des PSJailBreak-Sticks: Nur 20% seien damit gehackt, aber 100% erreicht von dem, was Sony nicht will, nämlich das Abspielen von Backups von Festplatte, so „marcan“.

Der Cell-Prozessor selbst liefert von der Hardware her eine gute Möglichkeit, Verschlüsselungen knacksicher zu implementieren: Soll Code entschlüsselt werden, kann diese Aufgabe an einen der SPEs übertragen werden, weil die SPEs selbst auch über eigenen kleinen Speicher verfügen, in den Daten für die Verarbeitung abgelegt werden können. Im sogenannten „SPU Isolation Mode“ hat dann der PPE-Kern keinen Zugriff mehr auf diese Daten. Der Trick von fail0verflow: Die PS3 verfügt über eine sogenannte Revocation List, in die Sony alles eintragen kann, was nicht mehr ausgeführt werden darf, weil es z.B. kompromittiert worden ist. Beim Kopieren dieser (verschlüsselten) Revocation List in den SPU-Speicherbereich überprüft Sony jedoch fälschlicherweise nicht die Länge dieser Liste, sodass die Hacker einen Teil des Level-2-Loaders überschreiben konnten – mit eigenem Code, der schließlich wichtige Keys ausspuckte, die zum Entschlüsseln von Binärdateien benötigt werden.

Auch die Revocation an sich ist wirkungslos: Beim Start der PlayStation 3, so stellten die Hacker fest, werden zunächst alle Module bis zum Hypervisor (Level 1) geladen – und dann erneut geladen, um ihre Gültigkeit zu überprüfen. Daher ist es möglich, der Konsole zunächst „falsche“ bzw. modifizierte Module unterzujubeln und ihr dann für die Überprüfung die gültigen zuzustecken. Das Sicherheitssystem denkt dann, alle Module seien in Ordnung, und startet die Konsole mit den modifizierten Modulen.

Was jedoch wirklich fatal ist und zum „Epic Fail“-Begriff führte, ist die Implementierung des ECDSA-Algorithmus, der für die Signierung der Binärpakete verwendet wird. Für eine wirksame Verschlüsselung muss immer eine Zufallszahl mit in die Berechnung einbezogen werden – genau das hat Sony jedoch aus unerklärlichen Gründen nicht gemacht. Die Folge: Es lässt sich der geheime private Schlüssel zurückrechnen, mit dem Sony seine Software signiert.

Das Ergebnis von fail0verflows bisheriger Arbeit wurde einen Tag später auf der Konferenz und später in einem YouTube-Video demonstriert, das Sie im Folgenden sehen können: „AsbestOS“, ein Linux, das nativ und alternativ zu GameOS (und OtherOS) auf der PS3 läuft, auch auf der PS3 Slim. An einem Bootloader, um wahlweise AsbestOS oder GameOS zu starten, wurde zu Redaktionsschluss noch gearbeitet. fail0verflow kündigten an, den Sourcecode der von ihnen entwickelten Tools in den Folgetagen auf ihrer Website zu veröffentlichen.