Geohot PS3 Exploit

[Alexmilk]

j'ai la grosse mais j'ai viré linux,je suis bon pour réinstaller ubuntu 8.1 et me tenir prêt

[Nivdeb]

Je pense qu'il est intéressant de clarifier certaines choses. Ce hack n'est pas similaire à, par exemple, ce que l'on appelle le hack JTAG sur la 360, rien ne dit que par ce moyen on arrivera à lire du code non-signé. C'est juste une porte ouverte pour aller explorer la sécurité de la PS3 de l'intérieur. Probablement que suite aux découvertes faites grace à cet exploit, d'autres types de hack ou même des puces verront le jour, mais ce hack en lui-même, jusqu'à preuve du contraire, n'a pas d'intérêt direct pour l'utilisateur lambda.

Donc, à mon sens, pas besoin de "se tenir prêt", à moins d'être un développeur chevronné!

Personnellement, j'ai une SLIM, donc la question est réglée!

Modifié 6 février 2010 par Nivdeb

[Zorg_Addict]

pas besoin de "se tenir prêt"

bin se tenir prêt dans le sens où il y a une nouvelle découverte via cette exploit , si

[sephirothff]

pas du tout , tu ne tirera rien de cet exploit si tu n'est pas devellopeur , rien ne dit que linux sera obligatoire pour lancer quelque chose , cet exploit comme dit plus ne sert pour le moment qu'a comprendre le fonctionnement de la sécutié integré a la console et pourra permettre de découvrir si une faille exploitable sera dispo.

si cette faille permet de lancer du code j'en connais pas beaucoup qui pourront la réaliser , même les habitué des bidouillages sur gueux seront peu a prendre le risque de désosser la console pour tester ça , que tu installe linux juste pour te rassurer et te dire je suis pret ne te servira pas a grand chose puisque rien est exploitable ne l'état , tout ce que tu va faire c'est perdre ton temps pour le moment

[Zorg_Addict]

pas du tout , tu ne tirera rien de cet exploit si tu n'est pas devellopeur , rien ne dit que linux sera obligatoire pour lancer quelque chose , cet exploit comme dit plus ne sert pour le moment qu'a comprendre le fonctionnement de la sécutié integré a la console et pourra permettre de découvrir si une faille exploitable sera dispo.

si cette faille permet de lancer du code j'en connais pas beaucoup qui pourront la réaliser , même les habitué des bidouillages sur gueux seront peu a prendre le risque de désosser la console pour tester ça , que tu installe linux juste pour te rassurer et te dire je suis pret ne te servira pas a grand chose puisque rien est exploitable ne l'état , tout ce que tu va faire c'est perdre ton temps pour le moment

installé linux n'est pas une perte de temps !

installé linux juste pour l'exploit oui si tu n'est pas développeur... ,

"rien ne dit que linux sera obligatoire pour lancer quelque chose" mais rien ne dit le contraire non plus...

de toute façon rien n'est encore sorti pour les utilisateur en attente d'un hack, mais se tenir prêt avec un ubuntu d'installer et un plus .

car avec LINUX , TOUT EST POSSIBLE.

[m_101]

Ca sert à rien d'attendre bêtement la sorti d'un hack quelconque, ça risque de prendre encore plusieurs semaines voir mois sauf si un génie se pointe ...

Par ailleurs, je déconseille à quiconque d'installer des binaires arbitraires sans aucunes vérifications préalables (surtout des modules kernel!!! ... bonjour les rootkits et autres saloperies en ring0 ...).

Ils ont vraiment mis le paquet dans la sécurité PS3 de ce que j'ai pu rapidement lire (non je ne compte pas me plonger dans la PS3).

Je vais donner des pistes auquelles j'ai pensé et où je me trompe sûrement (je débute vraiment après tout) donc veuillez m'excuser pour les erreurs ou imprécisions d'avance.

Faudrait que les gens arrêtent de kikoololler car c'est énormément de boulot et de matos nécessaires que peu de gens ont au final.

Vu l'achitecture du Cell, surtout au niveau de l'implémentation hardware de la sécurité .... il faut avoir de quoi faire du silicon hacking et à ce niveau de gravure on parle de microscopes électronique à balayage (plusieurs milliers d'euros) et pas mal de traitement d'image (qui va s'amuser à analyser ça à la main?).

Je vous invite à faire des recherches sur le cassage du MiFare par exemple, ils s'y sont pris de cette manière.

Hack PS3 vs hack Xbox 360

On compare souvent ce hack à celui de la Xbox 360, mais il y a des différences fondamentales qui vont faire que plusieurs axes d'attaques seront à chercher.

La Xbox 360 n'a pas l'air d'avoir de rootkey en hardware ou une possibilitée d'isolation ou bien encore le runtime secure boot.

Ce sont 3 coeurs basés sur le PPE (donc du PowerPC) dans le processeur Xenon.

Une injection de code a été effectuée dans le process de l'HVM avait été fait.

Pour les références :

- http://www.securityfocus.com/archive/1/461489

- http://www.xbox-scene.com/xbox1data/sep/EE...AkAzUotmeVt.php

- http://en.wikipedia.org/wiki/Xbox_360

- http://www.ibm.com/developerworks/power/library/pa-fpfxbox/

- etc

Le hack de la PS3 ne va pas se dérouler de la même manière que pour la Xbox 360.

Rien qu'après avoir lu cette réponse que bilmo me donnait et le lien joint.

Ca fait froid dans le dos les possibilitées de contrôle que peuvent avoir Sony sur toutes les PS3 (saleté de Trust Computing) ... mais bon ça c'est une autre histoire.

La PS3 et le CELL

La réponse de bilmo donne le lien d'une doc' sur la sécurité du CELL.

Y'a une question qui me taraude quand même ...

Que se passerait-t'il si avant l'isolation le code en mémoire est patché (runtime patching)? ... Au final, tout le code crypté est stocké en mémoire, et le code pour le décrypter aussi (de toute manière, il est impossible de faire de l'obfuscation "parfaite" vu qu'au final le code va tourner sur le processeur) ...

En ce qui concerne le runtime patching , l'ingénieur Kanna Shimizu a aussi mis en place une protection contre ce type d'attaque "Runtime secure boot" pour plus d'info je vous conseil de lire cette article trés intéresant http://www.ibm.com/developerworks/power/li...a-cellsecurity/.

Sony a vraiment mis le paquet en terme de protection sur la ps3.Biensur aucun systéme n'est infailliible,j'espére que ce hack de Geohot va agir comme un effet boule de neige.

On peut lancer du code avec les droits HVM (lv1_peek et lv1_poke), c'est vraiment du beau boulot .

Mais en lisant l'article en lien, on se rend compte qu'avant d'arriver à faire tourner du code à NOUS sans l'aide de l'hyperviseur y'a pas mal de chemin à faire ... je me trompe sûrement. Ces 2 conditions doivent être remplies pour exécuter du code (sans HVM) :

- passer l'authentification hardware du software (nécessite donc des clés de cryptage apparemment cryptées par la root key et l'algorithme de crypto), ce check peut se faire plusieurs fois

- il faut posséder la rootkey, car sans celui-ci, pas de décryptage des clés pour décrypter le code et donc d'exécution de code

Le premier check va empếcher le runtime patching de bourrin (bien qu'on ai actuellement un accès en RW dans toute la mémoire grâce à GeoHot et son exploit).

Si ce check est passé, on pourrait faire du runtime patching. Mais sans rootkey point de salut apparemment. (La technique de page swapping et autres babioles ne risquent pas de fonctionner non plus apparemment)

Si la rootkey est découverte, uns des avantages est que celui-ni ne pourra pas être patché dans les prochaines PS3 sous peine de rendre tous les anciens jeux PS3 inutilisable (en assumant que tous les execs sans cryptés avec des clés de crypto elles-mêmes cryptés par la rootkey).

Après si on a la rootkey, rien ne dit qu'on pourra crypter (aucune idée s'il y a obligation de crypter le code des apps') ou authentifier du soft.

Il y a des chances que ce soit un cryptage assymétrique car si Sony a bien bossé sa sécurité, elle ne s'aventurerait pas à filer une clé symétrique aux développeurs de jeux (un leak et tout le système s'écroulerait).

Vu que selon la doc' plus haut la rootkey ne sort pas du Hardware Crypto Facility, les clés de cryptos passent dans "en clair" sur les bus et dans les LS (local store), là il faut encore du matériel adapter ...

Une chose intéressante à remarquer par rapport au mode isolation des SPE est la zone qui reste open pour la communication, quelles données sont donc transmisent dans ces zones?

Autres pistes de réflexion

Quid des save games?

Si les clés des jeux sont cryptés, patcher le firmware des drives bluray va pas servir si ce n'est les régions DVD ou BluRay je me trompe?

Et à propos des states du software?

Y-a-t'il d'autres protections en software comme le DEP, ASLR, W^X, ...? Il y a de fortes chances que ce soit du BSD qui tournent en dessous en plus (scan nmap + fingerprinting, méthode pas à 100% sûr mais ça donne déjà des indicatifs ).

L'exploit

J'avouerais que je n'ai pas pu analyser en détail comme il faut l'exploit vu que je ne connait pas les méandres techniques de la PS3 (address ranges, ASM, etc).

L'exploit est néanmoins asser intéressant en lui même, il se déroule en 3 étapes.

first_stage : Une disruption de la HVM concernant l'allocation d'addresse range virtuelles

second stage : Patching de la Hash Table.

install_hvcall : le nom est asser explicite .

Tout ce que je peux apporter comme brique c'est le diff du code de xorlooser par ailleurs (que chaque développeur sait normalement faire) :

diff -ru ps3_exploit/src/exploit.c ps3_exploit_fixed/src/exploit.c--- ps3_exploit/src/exploit.c	2010-02-07 01:30:34.052144679 +0100+++ ps3_exploit_fixed/src/exploit.c	2010-02-07 01:30:42.724645449 +0100@@ -505,7 +505,9 @@   }    void install_hypercall() {-	unsigned long lpar, crap;+	unsigned long lpar, crap, offset, invalid_call_addr, sc_table_addr;+	u32* addr32;+	unsigned long* addr64; 	 hexdump(0xD000080080000000, 0x10); @@ -525,10 +527,49 @@	 unsigned long real_address = get_real_address_from_lpar(lpar)<<12; 	 add_segment();-	unsigned long* hv_call_table = 0x500000000037C598;-	hv_call_table[16] = real_address;-	hv_call_table[20] = real_address+0x8;-	printk(KERN_ERR "calling hypercall test got %16.16lx\n", lv1_peek(0x2401FC00000));+++	// This bit was added by xorloser to find the address of the syscall table+	// instead of using a version specific harcoded address.+	// +	// This first looks for the lv1_invalid_hvcall handler function,+	// then finds references to this handler which should be entries+	// in the syscall table. It then gets the start of this table to+	// use as the syscall table address.++	printk(KERN_ERR "searching for syscall table\n");+	sc_table_addr = 0;+	for(offset=0; offset<4*1024*1024 - 16; offset+=4) {+	  addr32 = (u32*)(0x5000000000000000 + offset);+	  if( addr32[0] == 0x38600000 &&+		  addr32[1] == 0x6463ffff &&+		  addr32[2] == 0x6063ffec &&+		  addr32[3] == 0x4e800020 ) {+		invalid_call_addr = offset;+		printk(KERN_ERR "found lv1_invalid_hvcall at %lx\n", invalid_call_addr);+		for(offset=0; offset<4*1024*1024 - 16; offset+=8) {+		  addr64 = (unsigned long*)(0x5000000000000000 + offset);+		  if(	addr64[0] == invalid_call_addr &&+			  addr64[1] == invalid_call_addr &&+			  addr64[2] == invalid_call_addr &&+			  addr64[3] == invalid_call_addr ) {+			sc_table_addr = offset - (20*8);+			printk(KERN_ERR "found syscall table at %lx\n", sc_table_addr);+			break;+		  }+		}+		break;+	  }+	}+	printk(KERN_ERR "syscall table search completed\n");++	// Only add new syscalls if the syscall table was found.+	if(sc_table_addr) {+	  unsigned long* hv_call_table = (unsigned long*)(0x5000000000000000 | sc_table_addr);+	  hv_call_table[16] = real_address;+	  hv_call_table[20] = real_address+0x8;+	  printk(KERN_ERR "calling hypercall test got %16.16lx\n", lv1_peek(0x2401FC00000));+	}   }    volatile int init_module() {

Qu'en pensez-vous?

Je vous remerci de m'avoir lu.

m_101

[nvg]

Vraiment nice ton texte et très intéressant j'ai tout lu mais j'ai rien compris haha Mais se qui es drôle a dire c'est que sa m'intéresse quand même

[sephirothff]

très bonne synthese m_101

[novice91]

vivement que les semaines avance pour voir les avancer ce concretiser

[bilimoo]

Bonjour,

1/ m 101, la longueur de ton post reflète à la qualité de celui-ci.

2/ Je viens de jeter un oeil sur le forum espagnol, ça me paraissait également intéressant:

ça parlait des 40ns: ICI

3/ [Tutorial] How to run Geohots PS3 exploit by xorloser (avec installation de Ubuntu v8.10)

Modifié 7 février 2010 par bilimoo

[Alexmilk]

bon j'ai réinstallé une distrib linux ubuntu 8.04 sur ma fat

je viens de vous lire

alors bon j'ai réinstallé car cela me plaît de voir ma fat être capable de faire beaucoup de choses

concernant l'exploit certes je vais surveiller mais je ne suis pas non plus en bleu de travail et prêt à mette les mains dans le camboui

[omlet]

le mieux serait que sony verrouille nunux avec connexion sur le PS Network

[niho]

yas pas une video qui monte l exploit sous libuntu avec toute les modife ca m interresse je suis posseseur d une ps3 sous linux

[momoprod]

cela ne te servira a rien a moins que tu soit un Dev. Sinon je t'invite a lire les quelques pages du topic

[m_101]

Bonjour,

1/ m 101, la longueur de ton post reflète à la qualité de celui-ci.

2/ Je viens de jeter un oeil sur le forum espagnol, ça me paraissait également intéressant:

ça parlait des 40ns: ICI

3/ [Tutorial] How to run Geohots PS3 exploit by xorloser (avec installation de Ubuntu v8.10)

Merci, je ne pensais pas que mon post serait aussi intéressant ...

Néanmoins, le post sur les forums espagnol est pas mal.

La solution de monter un circuit avec un transistor pour lancer une impulsion de 40 ns peut être bien moins chère qu'un FPGA ou un PIC (mais on peut en trouver à 30 euros aussi). Dans tous les cas, faudra avoir de quoi faire un circuit (insolateur, incubateur pour graver, les composants et un fer à souder avec de l'étain bien entendu).

Ceux qui n'ont pas le matériel pour faire celà peuvent envoyer le typon à des sociétés spécialisés ensuite elles vous renvoient le circuit gravé (reste plus qu'à souder).

Selon la société et les frais de port, ça peut au final revenir plus cher ou au même que d'acheter une carte programmable (à base de FPGA ou de PIC) ...

Sur le forum Gueux, j'imagine que certains s'y sont mis à fond depuis la sortie de l'exploit, je serais bien curieux de voir les avancées et les dumps .

Sur ce,

Bonne journée,

m_101

[bilimoo]

euh arrete moi si je me trompe mais toujours besoin d'ouvrir la console pour en profiter???

Voilà ta réponse (blog de xorloser : PS3 Exploit Hardware)

[piopio]

bonjour

sur ps3new, il parle qu'ils ont reçu un sx28 pour pouvoir dumper l'hyperviseur de la ps3.

peut être une bonne avancée pour nous?

[lincruste]

@piopio

Il n'en feront rien d'utile, comme d'habitude. La réputation de Ps3news pour les annonces fallacieuses n'est plus à faire...

[sephirothff]

disons que ps3news obtient beaucoup de matos (ils ont du fric pour en meme temps) mais n'en fait pas grand chose a part le montrer , je doute que des avancées viennent de chez eux en premier. dans tout les cas on est encore oin de quoi que ce soit pas la peine de courir apres les infos elle tomberont bien un jour ou l'autre

[Nivdeb]

Alors, d'après ce que j'ai lu et pour résumer du point de vue d'un non-dévloppeur:

Le hack de Geohot est très compliqué à reproduire, il ne marche, semble t'il qu'une fois sur X et demande du matos et des connaissances que peu de monde semble avoir réussi à rassembler.

Ps3news a semble t'il récupéré le matos. Au début ils n'arrivaient qu'à avoir du code corrompu, mais ils ont fait beaucoup de progrès, et ils semblent arriver à récupérer le code de l'hyperviseur, lv0, lv1. j'avoue que rien de spécial n'est jamais venu de ps3news, mais le truc différent c'est qu'ils semblent décidés à rendre public (par des intermédiaires, car c'est du code qui n'est absolument pas libre de droit) leur dump, ce qui va permettre à beaucoup de monde de se pencher dessus, alors qu'à l'heure actuelle, peu de monde a accès au dump et à fortiori des gens qui ne lachent absolument aucune info sur leurs avancées.

Je suis persuadé que quand toute la scène aura accès à ces fichus dump, ca va commencer à bouger, et peut-être à attirer des développeurs d'autres plateformes attirés par la possibilité de se donner la gloire du hack "final" (contrairement au hack de Geohot qui est le premier pas du hack de la console).

Voila, si je me trompe corrigez moi.

a+

[sofyan]

la derniere fois que ps3news a publier un truk, ca a briker je ne sais combien de psp.....

[sephirothff]

, effectivement c'était pas glorieux a l'époque

[titus360]

disons que ps3news obtient beaucoup de matos (ils ont du fric pour en meme temps) mais n'en fait pas grand chose a part le montrer , je doute que des avancées viennent de chez eux en premier. dans tout les cas on est encore oin de quoi que ce soit pas la peine de courir apres les infos elle tomberont bien un jour ou l'autre

Salut,

On parle d'un site bidon là.... c'est pas navigable ps3news Depuis j'ai trouvé un autre en fr. Y'a des outils de firmware, de hdd.... ça c'est bon

http://www.ps3gen.fr/telechargement/

C'est juste pour motiver certain

@++

PS: j'ai le OpenPS2Loader_0.6... (sur ps3 c'est le top pour avoir du 1080 en 60hz sur les jeux ps2. C'est la seul chose que j'ai pas trouvé sur leur site.

Modifié 11 février 2010 par titus360

[momoprod]

disons que ps3news obtient beaucoup de matos (ils ont du fric pour en meme temps) mais n'en fait pas grand chose a part le montrer , je doute que des avancées viennent de chez eux en premier. dans tout les cas on est encore oin de quoi que ce soit pas la peine de courir apres les infos elle tomberont bien un jour ou l'autre

Salut,

On parle d'un site bidon là.... c'est pas navigable ps3news Depuis j'ai trouvé un autre en fr. Y'a des outils de firmware, de hdd.... ça c'est bon

http://www.ps3gen.fr/telechargement/

C'est juste pour motiver certain

@++

PS: j'ai le OpenPS2Loader_0.6... (sur ps3 c'est le top pour avoir du 1080 en 60hz sur les jeux ps2. C'est la seul chose que j'ai pas trouvé sur leur site.

Ok je vois pas le rapport avec l'exploit ? Et au fait t'arrive a swaper tes jeux ps3 ??? MDR toi...

[titus360]

ouais c'est marrant . Pas pour moi. C'est des outils qui vont être repris encore et encore. Mais tu es assis aussi encore et encore sur ton canapé comme un pépé je pari ? :P

Autre chose, en attendant, qui passe la retro ps2 en 60 hertz sur console PAL sur le forum ? Personne n'a fait de sujets ! c'est peut être pas un "exploit geohot" mais bon, la rétro est exploité au moin mec

a bon entendeur..... jviens pas me la joué, je m'occupe plus de la 360 et j'ai l'impression que sur ps3 y'a que des loosers a mort dans les news ! Au moin quand je fais un truc, je partage et je viens pas me la raconte ds un premier temps ! ( pour le hs c'est tu tapes openps2 0.6 sur google et c'est bon ! Je dirais rien de plus... je suis occupé a faire bien des trucs sur ps3 et 360 )

D'ailleurs qui a dump ces nands sur ps3 ? Je voulais installé la infectus et tester l'outil. J'attends de voir sliders et sa ps3 dans un premier temps.

Sliders58 si tu m'entends !! (ça c'est un pro du swap, le 1er sur 360 !!!)

Modifié 11 février 2010 par titus360