[PS3] PS3 Hack por George Hotz
Fórum PSNation :: Geral :: Notícias
Página 1 de 1
26012010
[PS3] PS3 Hack por George Hotz
No interesse da transparência, eu decidi liberar a exploit. Esperemos que este inflame a cena PS3, e o pessoal organize e use para fazer coisas práticas, como o iPhone quando jailbreaks foi lançado pela primeira vez. Eu tenho uma vida para voltar e não posso continuar trabalhando nisso dia e noite.
Por favor, o seu documento de conclusões sobre a psDevWiki. Eles têm sido um grande recurso até agora, e com o poder de explorar esse dá, abre toneladas de coisas novas para documento. Eu gostaria de ver o HV perder chamadas preenchidos, os mapas de memória agradável, a cadeia de inicialização melhor documentados, e os progressos em um driver GPU 3D. E, claro, a busca por um software explorar.
Este é o cobiçado PS3 exploit, dá acesso à memória integral e, portanto, o acesso a partir do anel 0. Desfrute de lixeiras do seu hypervision. Isso é conhecido por trabalhar apenas com a versão 2.4.2, mas eu imagino que funciona em todas as versões atuais. Talvez mais tarde eu vou escrever como funciona
fonte:George Hotz
DicaGeorge Hotz, Anteriormente conhecido como um hacker iPhone, Anunciou que hacked o Playstation 3 e desde então explorar detalhes. Vários artigos foram escritos sobre isso, mas nenhum deles parece ter analisado o código real. Devido a diversos relatórios contraditórios, aqui está um pouco mais de análise para ajudar a compreender a explorar.
O PS3, assim como o Xbox360, depende de um hypervisor para execução de segurança. Ao contrário do 360, o PS3 permite aos usuários executar Linux ordinária, se o desejarem, mas ele ainda é executado sob a gestão do hypervisor. O hypervisor não permite que o kernel do Linux para acessar diversos dispositivos, tais como a GPU. Se foi encontrada uma maneira de comprometer o hypervisor, o acesso direto ao hardware é possível, e outros menos privilegiados código pode ser monitorado e controlado pelo atacante.
Hacking o hypervisor é Não passo o único necessárias para executar jogos pirateados. Cada jogo tem uma chave de criptografia armazenada em uma área do disco chamada ROM Mark. O firmware da unidade lê esta chave e transmite ao hypervisor usar para descriptografar The Game durante o carregamento. O hypervisor precisaria ser subvertida para revelar esta tecla para cada jogo. Outra abordagem seria comprometer o Blu-ray drive firmware ou saltar extrair as chaves e slave apenas o código de desencriptação, a fim de decifrar cada jogo. Depois disso, quaisquer medidas de software de protecção no The Game teria que ser desativado. Não se sabe o que é auto-protecção de medidas que podem ser ocultos sob a criptografia de um determinado jogo. Alguns autores podem confiar na criptografia por si só, outros poderiam implementar algo como SecuROM.
O código hypervisor roda tanto no processador principal (PPE) e um dos seus sete co-processadores Cell (SPE). O segmento SPE parece ser lançado no modo de isolamento, onde o acesso ao seu código privado e memória de dados está bloqueado, mesmo do hypervisor. As chaves raiz hardware usado para descriptografar o hypervisor bootloader e, em seguida, estão presentes apenas no hardware, possivelmente através da uso de eFUSEs. Isso também poderia significar que cada processador Cell tem algumas chaves únicas, e descriptografia não depende de uma chave única raiz global (ao contrário alguns artigos que afirmam que existe uma única chave raiz global).
George hack compromete o hypervisor após a inicialização do Linux através do otheros "recurso". Ele usou o exploit para adicionar arbitrária ler / escrever funções de acesso de memória RAM e despejar o hypervisor. Acesso ao lv1 é um primeiro passo necessário para montar outros ataques contra o firmware da unidade ou jogos.
Sua abordagem é inteligente e é conhecido como um "glitching ataque". Este tipo de ataque de hardware envolve o envio de um pulso de tensão cuidadosamente cronometradas, a fim de fazer com que o hardware para portar-se mal de alguma forma útil. Tem sido muito utilizado por hackers smart card para desbloquear cartões. Normalmente, os hackers teriam o tempo de pulso para direcionar uma condição para terminar o ciclo, causando um loop para continuar para sempre e despejar o conteúdo da ROM segredo para um ônibus acessível. A linha de clock é frequentemente glitched mas algumas linhas de dados são também um alvo útil. O calendário de pulso nem sempre tem de ser exacto hardware é projetado para tolerar algumas fora de especificação e condições do ataque geralmente pode ser repetido várias vezes até conseguir.
George ligado um FPGA para uma única linha de ônibus no seu PS3 memória. Ele programou o chip com uma lógica muito simples: envie um pulso de 40 ns, através do pino de saída, quando acionada por um botão. Isto pode ser feito com algumas linhas de Verilog. Embora a duração do pulso é relativamente curto (mas ainda cerca de 100 ciclos de clock de memória da PS3), o disparo é extremamente impreciso. No entanto, ele usou o software para configurar a memória RAM para dar uma maior probabilidade de sucesso do que ele apareça primeiro.
Seu objetivo era comprometer a tabela de hash (HTAB) a fim de obter acesso leitura / gravação para o segmento principal, que mapeia toda a memória, incluindo o hypervisor. A façanha é um módulo do kernel do Linux que chama várias chamadas de sistema no hypervisor para lidar com gerenciamento de memória. Ela atribui, deallocates, e depois tenta usar a memória como o desalocada HTAB para um segmento virtual. Se a falha com êxito desynchronizes o hypervisor do estado real da RAM, que irá permitir que o invasor para substituir o HTAB ativos e, assim, controlar o acesso a qualquer região de memória. Vamos decompô-lo um pouco mais.
O primeiro passo é alocar um buffer. A façanha, em seguida, solicita que o hypervisor criar lotes de mapeamentos duplicado HTAB apontando para esse buffer. Qualquer um destes mapeamentos podem ser usadas para ler ou escrever para a reserva, o que é bom desde que o kernel possui. Em termos Unix, pensar destes arquivos como vários identificadores para um único arquivo temporário. Qualquer identificador de arquivo pode ser fechado, mas enquanto um handle de arquivo aberto continua a ser, os dados do arquivo ainda pode ser acessado.
O próximo passo é liberar o buffer sem primeiro libertar todos os mapeamentos para ele. Isto é ok desde o hypervisor vai passar e destruir cada mapeamento antes de retornar. Imediatamente depois da chamada lv1_release_memory (), a explorar imprime uma mensagem para o usuário pressionar o botão disparador glitching. Porque existem tantos mapeamentos HTAB para esta reserva, o usuário tem uma boa chance de provocar a falha, enquanto o hypervisor é desalocando um mapeamento. A falha impede que, provavelmente, um ou mais do hypervisor de ciclos de escrita de bater memória. Estas gravações foram destinados para desalocar cada mapeamento, mas se falhar, o mapeamento permanece intacta.
Neste ponto, o hypervisor tem um HTAB com uma ou mais de leitura / gravação mapeamentos apontam para uma reserva que tenha desalocada. Assim, o kernel já não é o dono da reserva e, supostamente, não pode escrever a ele. No entanto, o kernel ainda tem um ou mais mapeamentos válidos apontando para a reserva e pode realmente modificar o seu conteúdo. Mas isso ainda não é útil, pois é apenas uma memória vazia.
A exploração em seguida, cria um segmento virtual e verifica se o HTAB associados está localizado em uma região que abrange o endereço do buffer libertados. Se não, ele mantém a criação de segmentos virtual até um faz. Agora, o usuário tem a habilidade de escrever diretamente a este HTAB vez do hypervisor o controlo exclusivo da mesma. A façanha escreve algumas entradas HTAB que lhe dará acesso completo para o segmento principal, que mapeia toda a memória. Uma vez que o hypervisor muda para este segmento virtual, o atacante agora controla toda a memória e, assim, o próprio hypervisor. A façanha instala dois syscalls que dão lido / escrever acesso a qualquer endereço de memória, em seguida, retorna de volta para o kernel.
É bem possível que alguém vai pacote este ataque em um modchip desde o glitch, enquanto um pouco estreita, não precisa ser muito precisamente cronometrados. Com um microcontrolador e um pouco de circuitos analógicos para o pulso, isso pode ser bastante confiável. No entanto, é mais provável que um erro de software será encontrado após a engenharia reversa do hypervisor de dumping e que é o que vai ser implantado para utilização pelas massas.
A Sony parece ter feito um grande trabalho com a segurança do PS3. Tudo se encaixa bem, sem pontos fracos óbvios. No entanto, o baixo nível de acesso dado ao miolo convidado OS significa que qualquer erro no hypervisor é provável que seja acessível ao código atacante devido à API amplo que oferece. Uma solução simples seria voltar a ler o estado de cada mapeamento depois de modificá-lo. Se a gravação falhou por algum motivo, o hypervisor iria ver isso e parar.
Será interessante ver como a Sony responde com atualizações futuras para evitar este tipo de ataque.
[Edit: corrigido a descrição do segmento de distribuição virtual baseada em um comentário por geohot.]
Texto de :Nate Lawson
Confirmado a necessidade da psp fat visto que na slim nao é possivel instalar o linux para correr este exploit
Julgo ser necessario teres o linux instalado na psp e uma ps3 modelo fat
Download ps3 exploit
Última edição por diven em 28/1/2010, 05:51, editado 1 vez(es)
diven- New User
- Número de Mensagens : 89
Localização : portugal
Inscrição : 11/09/2009
[PS3] PS3 Hack por George Hotz :: Comentários
Muito interessante, vamos ver o que vão fazer, logo vai surgir programas, espero q legais, dei uma mexida na tradução
Imagino que o desbloqueio vai custar mais caro que o PS3 agora no começo, principalmente porque é algo beem complicado.
O primeiro passo à se dar agora é criarem um plugin que permita boot de "discos de backup".
Achei muito maneiro isso, pelo que entendi, ele pode modificar à memoria ram, então será possível fazer uma CFW Enabler pro PS3. Como ele disse que tem acesso à memoria e a CPU, eu suponho que seja somente a memoria ram, então, ao menos inicialmente, o desbloqueio seria bem parecido com o desbloqueio do PSP 3000, ou seja, não seria definitivo, só rolaria enquanto estivesse ligado e teria que ser refeito sempre que a memoria ram fosse resetada.
Não acho que ele tenha mexido na Flash0 do PS3, porque senão ele provavelmente teria brickado ela, acho que ele não se arriscou tão longe.
O primeiro passo à se dar agora é criarem um plugin que permita boot de "discos de backup".
Achei muito maneiro isso, pelo que entendi, ele pode modificar à memoria ram, então será possível fazer uma CFW Enabler pro PS3. Como ele disse que tem acesso à memoria e a CPU, eu suponho que seja somente a memoria ram, então, ao menos inicialmente, o desbloqueio seria bem parecido com o desbloqueio do PSP 3000, ou seja, não seria definitivo, só rolaria enquanto estivesse ligado e teria que ser refeito sempre que a memoria ram fosse resetada.
Não acho que ele tenha mexido na Flash0 do PS3, porque senão ele provavelmente teria brickado ela, acho que ele não se arriscou tão longe.
Só espero que isso funcione direito, vamos ver oq pode acontecer qd sairem plugins interessantes.
Eu acompanho o "trabalho" de GeoHot faz um tempo só que no mundo iPhone. Ele realmente é muito bom no que faz. Tanto que no atualmente o desbloqueio e o destrave (jailbreak) mais usado em iPhones e iPod touchs é através do método próprio criado por ele.
Se ele se empenhar ele consegue fazer o que quer com o PS3. Pena que pelo entendi do texto, ele vai parar e provavelmente vai continuar nesse mundo iPhone (Desse ele não sai, pode ter certeza!)
Se ele se empenhar ele consegue fazer o que quer com o PS3. Pena que pelo entendi do texto, ele vai parar e provavelmente vai continuar nesse mundo iPhone (Desse ele não sai, pode ter certeza!)
é... parece q ainda tá complicado... vamos ver quem vai ser o doido q vai dar continuidade ao trabalho dele e criar algo um pouco mais prático... rs
Só lembrando:
"-Eu disse que isso iria acontecer."
Agora parece que destravaram a caixa de pandora do ps3, quem será que vai abrir primeiro, se realmente isso funciona, não tenho um ps3 aqui para testar, então quanto tempo vai demorar para aparecer o primeiro programa homebrew do ps3!
Mas o legal é que conseguiram!
"-Eu disse que isso iria acontecer."
Agora parece que destravaram a caixa de pandora do ps3, quem será que vai abrir primeiro, se realmente isso funciona, não tenho um ps3 aqui para testar, então quanto tempo vai demorar para aparecer o primeiro programa homebrew do ps3!
Mas o legal é que conseguiram!
Isso ta me parecendo mais como se ele tivesse já peidando.
anyway, ta ai algo que um cara repassou da arquiteta de segurança do Cell
"Altough it's nice to capture all these HV calls and stuff from a plain (not encrypted) lv1 binary, but this will never lead to a hacked PS3.
Let's have a look.
The major security architecture on the PS3 is called the "Secure Processing Vault" and is the most important thing regarding "hacking" the PS3.
There is NO WAY for the PPU or even the HV to gain access to the SPU, which is an application running inside of an isolated SPU.
Well you can kick out the isolated SPU, like geohot mentioned, but this gives you nothing, as ALL the encryption and execution of applications (HDD encryption, app encryption, decryption, executing, signature checking, root key extraction) happens inside the isolated SPU.
To run homebrew on the PS3 you would have to reassemble the whole functionality from the SPU inside a binary running on the PPU.
For this you will need the root key. The root key is stored in hardware (not even close to the things on the iPhone). The root key cannot be extracted by any software or hardware means and is essential to ALL encryption/decryption, executing and checking routines.
The only way to get the root key is inside of an isolated SPU, as it is kick-starting the hardware encryption facility. There is no other way to do that !
Let's just assume that geohot or some other guys are able to break into the local store of the isolated SPE. There they will just find some encrypted binaries.
The key for decryption is encrypted by the root key !
You won't get anywhere without the root key.
Let's assume that someone managed to do all those stuff from the isolated SPU on the PPU and creates a CFW.
There is still a secure booting environment. The first module loaded/bootet is integrity checked by the hardware crypto facility utilizing the root key. So you have also to address this booting stuff. Again, no root key, no booting.
So there's always runtime patching you might ask ? Not possible on the PS3 because the hardware crypto facility is able to check the signatures whenever it wants to. And which part is responsible for this ? Exactly, the isolated SPU.
So if you kick out the isolated SPU the system will not boot/run anymore.
The PS3 is neither an PSP nor an iPhone. It's the most secure system architecture of this time !
The girl behind this stuff, Kanna Shimizu, is not somebody. Messing around with this is not like saying Bruce Schneier is a n00b.
Btw.: forget about all those stories, that certain hackers are or will be employed by SONY. That's nothing more than another urban legend.
@geohot It is OBVIOUS that the HV is PPC. The Cell BE is a PPC architecture, you know Better read those IBM papers in first place !
Kanna Shimizu
Cell Broaband Engine Security Architect
PhD Stanford
MSc. Computer Science from Oxford University
(Creditos ao Fábio da comunidade Elite PS3 no orkut)
anyway, ta ai algo que um cara repassou da arquiteta de segurança do Cell
"Altough it's nice to capture all these HV calls and stuff from a plain (not encrypted) lv1 binary, but this will never lead to a hacked PS3.
Let's have a look.
The major security architecture on the PS3 is called the "Secure Processing Vault" and is the most important thing regarding "hacking" the PS3.
There is NO WAY for the PPU or even the HV to gain access to the SPU, which is an application running inside of an isolated SPU.
Well you can kick out the isolated SPU, like geohot mentioned, but this gives you nothing, as ALL the encryption and execution of applications (HDD encryption, app encryption, decryption, executing, signature checking, root key extraction) happens inside the isolated SPU.
To run homebrew on the PS3 you would have to reassemble the whole functionality from the SPU inside a binary running on the PPU.
For this you will need the root key. The root key is stored in hardware (not even close to the things on the iPhone). The root key cannot be extracted by any software or hardware means and is essential to ALL encryption/decryption, executing and checking routines.
The only way to get the root key is inside of an isolated SPU, as it is kick-starting the hardware encryption facility. There is no other way to do that !
Let's just assume that geohot or some other guys are able to break into the local store of the isolated SPE. There they will just find some encrypted binaries.
The key for decryption is encrypted by the root key !
You won't get anywhere without the root key.
Let's assume that someone managed to do all those stuff from the isolated SPU on the PPU and creates a CFW.
There is still a secure booting environment. The first module loaded/bootet is integrity checked by the hardware crypto facility utilizing the root key. So you have also to address this booting stuff. Again, no root key, no booting.
So there's always runtime patching you might ask ? Not possible on the PS3 because the hardware crypto facility is able to check the signatures whenever it wants to. And which part is responsible for this ? Exactly, the isolated SPU.
So if you kick out the isolated SPU the system will not boot/run anymore.
The PS3 is neither an PSP nor an iPhone. It's the most secure system architecture of this time !
The girl behind this stuff, Kanna Shimizu, is not somebody. Messing around with this is not like saying Bruce Schneier is a n00b.
Btw.: forget about all those stories, that certain hackers are or will be employed by SONY. That's nothing more than another urban legend.
@geohot It is OBVIOUS that the HV is PPC. The Cell BE is a PPC architecture, you know Better read those IBM papers in first place !
Kanna Shimizu
Cell Broaband Engine Security Architect
PhD Stanford
MSc. Computer Science from Oxford University
(Creditos ao Fábio da comunidade Elite PS3 no orkut)
quantas horas vcs acham q vai demorar pra ter um Firmware novo pro PS3 e todos os jogos online TODOS só vaum rodar se tiver com ele?
Budius escreveu:quantas horas vcs acham q vai demorar pra ter um Firmware novo pro PS3 e todos os jogos online TODOS só vaum rodar se tiver com ele?
Não dou um mês pra isso acontecer..
Na verdade, deu uma mais um aprofundada nesse assunto.
O intuito "real" desse desbloqueio é pra poder usar ampliar as possibilidades do Linux do PS3, já que devido às travas de segurança ele é limitado, se conseguirem vence-las, será possível ter total acesso e desfrutar completamente do poder de processamento, tanto processamento computacional como processamento gráfico.
Imaginem agora poder rodar o Wine no linux, ou até mesmo o Windows, e jogar Gears of War no PS3...
Seria o maior OWNED da história dos video-games.
O intuito "real" desse desbloqueio é pra poder usar ampliar as possibilidades do Linux do PS3, já que devido às travas de segurança ele é limitado, se conseguirem vence-las, será possível ter total acesso e desfrutar completamente do poder de processamento, tanto processamento computacional como processamento gráfico.
Imaginem agora poder rodar o Wine no linux, ou até mesmo o Windows, e jogar Gears of War no PS3...
Seria o maior OWNED da história dos video-games.
Permissões neste sub-fórum
Não podes responder a tópicos
18/5/2018, 00:43 por lentini800
» Problema com psp (ajuda pff)
3/4/2018, 15:48 por gilbaroni
» desbloqueio nintendo dsi 1.4.5
27/2/2018, 17:18 por andersonrpg1
» [Tutorial] Free MCBoot - Destravamento de PS2 pelo Memory Card
3/1/2018, 06:46 por cmendes
» Meu psp da interferência quando uso o fane de ouvido
26/9/2016, 22:30 por yversow sant'anna
» Urgente pfv
23/9/2016, 21:21 por Charlesluchina10
» Um problema que ainda não achei igual.
18/9/2016, 20:13 por andersonrpg1
» Identificando versão e geração da placa-mãe do seu PSP
22/8/2016, 14:26 por kirakiller
» Meu psp não ler os jogos e nem carrega a bateria
6/8/2016, 23:31 por WILLIAMBRS
» Wallpaper "Transparente"
24/7/2016, 09:53 por nardo motta