No interesse da transparência, eu decidi liberar a exploit. Esperemos que este inflame a cena PS3, e o pessoal organize e use para fazer coisas práticas, como o iPhone quando jailbreaks foi lançado pela primeira vez. Eu tenho uma vida para voltar e não posso continuar trabalhando nisso dia e noite.

Por favor, o seu documento de conclusões sobre a psDevWiki. Eles têm sido um grande recurso até agora, e com o poder de explorar esse dá, abre toneladas de coisas novas para documento. Eu gostaria de ver o HV perder chamadas preenchidos, os mapas de memória agradável, a cadeia de inicialização melhor documentados, e os progressos em um driver GPU 3D. E, claro, a busca por um software explorar.

Este é o cobiçado PS3 exploit, dá acesso à memória integral e, portanto, o acesso a partir do anel 0. Desfrute de lixeiras do seu hypervision. Isso é conhecido por trabalhar apenas com a versão 2.4.2, mas eu imagino que funciona em todas as versões atuais. Talvez mais tarde eu vou escrever como funciona


fonte:George Hotz

DicaGeorge Hotz, Anteriormente conhecido como um hacker iPhone, Anunciou que hacked o Playstation 3 e desde então explorar detalhes. Vários artigos foram escritos sobre isso, mas nenhum deles parece ter analisado o código real. Devido a diversos relatórios contraditórios, aqui está um pouco mais de análise para ajudar a compreender a explorar.

O PS3, assim como o Xbox360, depende de um hypervisor para execução de segurança. Ao contrário do 360, o PS3 permite aos usuários executar Linux ordinária, se o desejarem, mas ele ainda é executado sob a gestão do hypervisor. O hypervisor não permite que o kernel do Linux para acessar diversos dispositivos, tais como a GPU. Se foi encontrada uma maneira de comprometer o hypervisor, o acesso direto ao hardware é possível, e outros menos privilegiados código pode ser monitorado e controlado pelo atacante.

Hacking o hypervisor é Não passo o único necessárias para executar jogos pirateados. Cada jogo tem uma chave de criptografia armazenada em uma área do disco chamada ROM Mark. O firmware da unidade lê esta chave e transmite ao hypervisor usar para descriptografar The Game durante o carregamento. O hypervisor precisaria ser subvertida para revelar esta tecla para cada jogo. Outra abordagem seria comprometer o Blu-ray drive firmware ou saltar extrair as chaves e slave apenas o código de desencriptação, a fim de decifrar cada jogo. Depois disso, quaisquer medidas de software de protecção no The Game teria que ser desativado. Não se sabe o que é auto-protecção de medidas que podem ser ocultos sob a criptografia de um determinado jogo. Alguns autores podem confiar na criptografia por si só, outros poderiam implementar algo como SecuROM.

O código hypervisor roda tanto no processador principal (PPE) e um dos seus sete co-processadores Cell (SPE). O segmento SPE parece ser lançado no modo de isolamento, onde o acesso ao seu código privado e memória de dados está bloqueado, mesmo do hypervisor. As chaves raiz hardware usado para descriptografar o hypervisor bootloader e, em seguida, estão presentes apenas no hardware, possivelmente através da uso de eFUSEs. Isso também poderia significar que cada processador Cell tem algumas chaves únicas, e descriptografia não depende de uma chave única raiz global (ao contrário alguns artigos que afirmam que existe uma única chave raiz global).

George hack compromete o hypervisor após a inicialização do Linux através do otheros "recurso". Ele usou o exploit para adicionar arbitrária ler / escrever funções de acesso de memória RAM e despejar o hypervisor. Acesso ao lv1 é um primeiro passo necessário para montar outros ataques contra o firmware da unidade ou jogos.

Sua abordagem é inteligente e é conhecido como um "glitching ataque". Este tipo de ataque de hardware envolve o envio de um pulso de tensão cuidadosamente cronometradas, a fim de fazer com que o hardware para portar-se mal de alguma forma útil. Tem sido muito utilizado por hackers smart card para desbloquear cartões. Normalmente, os hackers teriam o tempo de pulso para direcionar uma condição para terminar o ciclo, causando um loop para continuar para sempre e despejar o conteúdo da ROM segredo para um ônibus acessível. A linha de clock é frequentemente glitched mas algumas linhas de dados são também um alvo útil. O calendário de pulso nem sempre tem de ser exacto hardware é projetado para tolerar algumas fora de especificação e condições do ataque geralmente pode ser repetido várias vezes até conseguir.

George ligado um FPGA para uma única linha de ônibus no seu PS3 memória. Ele programou o chip com uma lógica muito simples: envie um pulso de 40 ns, através do pino de saída, quando acionada por um botão. Isto pode ser feito com algumas linhas de Verilog. Embora a duração do pulso é relativamente curto (mas ainda cerca de 100 ciclos de clock de memória da PS3), o disparo é extremamente impreciso. No entanto, ele usou o software para configurar a memória RAM para dar uma maior probabilidade de sucesso do que ele apareça primeiro.

Seu objetivo era comprometer a tabela de hash (HTAB) a fim de obter acesso leitura / gravação para o segmento principal, que mapeia toda a memória, incluindo o hypervisor. A façanha é um módulo do kernel do Linux que chama várias chamadas de sistema no hypervisor para lidar com gerenciamento de memória. Ela atribui, deallocates, e depois tenta usar a memória como o desalocada HTAB para um segmento virtual. Se a falha com êxito desynchronizes o hypervisor do estado real da RAM, que irá permitir que o invasor para substituir o HTAB ativos e, assim, controlar o acesso a qualquer região de memória. Vamos decompô-lo um pouco mais.

O primeiro passo é alocar um buffer. A façanha, em seguida, solicita que o hypervisor criar lotes de mapeamentos duplicado HTAB apontando para esse buffer. Qualquer um destes mapeamentos podem ser usadas para ler ou escrever para a reserva, o que é bom desde que o kernel possui. Em termos Unix, pensar destes arquivos como vários identificadores para um único arquivo temporário. Qualquer identificador de arquivo pode ser fechado, mas enquanto um handle de arquivo aberto continua a ser, os dados do arquivo ainda pode ser acessado.

O próximo passo é liberar o buffer sem primeiro libertar todos os mapeamentos para ele. Isto é ok desde o hypervisor vai passar e destruir cada mapeamento antes de retornar. Imediatamente depois da chamada lv1_release_memory (), a explorar imprime uma mensagem para o usuário pressionar o botão disparador glitching. Porque existem tantos mapeamentos HTAB para esta reserva, o usuário tem uma boa chance de provocar a falha, enquanto o hypervisor é desalocando um mapeamento. A falha impede que, provavelmente, um ou mais do hypervisor de ciclos de escrita de bater memória. Estas gravações foram destinados para desalocar cada mapeamento, mas se falhar, o mapeamento permanece intacta.

Neste ponto, o hypervisor tem um HTAB com uma ou mais de leitura / gravação mapeamentos apontam para uma reserva que tenha desalocada. Assim, o kernel já não é o dono da reserva e, supostamente, não pode escrever a ele. No entanto, o kernel ainda tem um ou mais mapeamentos válidos apontando para a reserva e pode realmente modificar o seu conteúdo. Mas isso ainda não é útil, pois é apenas uma memória vazia.

A exploração em seguida, cria um segmento virtual e verifica se o HTAB associados está localizado em uma região que abrange o endereço do buffer libertados. Se não, ele mantém a criação de segmentos virtual até um faz. Agora, o usuário tem a habilidade de escrever diretamente a este HTAB vez do hypervisor o controlo exclusivo da mesma. A façanha escreve algumas entradas HTAB que lhe dará acesso completo para o segmento principal, que mapeia toda a memória. Uma vez que o hypervisor muda para este segmento virtual, o atacante agora controla toda a memória e, assim, o próprio hypervisor. A façanha instala dois syscalls que dão lido / escrever acesso a qualquer endereço de memória, em seguida, retorna de volta para o kernel.

É bem possível que alguém vai pacote este ataque em um modchip desde o glitch, enquanto um pouco estreita, não precisa ser muito precisamente cronometrados. Com um microcontrolador e um pouco de circuitos analógicos para o pulso, isso pode ser bastante confiável. No entanto, é mais provável que um erro de software será encontrado após a engenharia reversa do hypervisor de dumping e que é o que vai ser implantado para utilização pelas massas.

A Sony parece ter feito um grande trabalho com a segurança do PS3. Tudo se encaixa bem, sem pontos fracos óbvios. No entanto, o baixo nível de acesso dado ao miolo convidado OS significa que qualquer erro no hypervisor é provável que seja acessível ao código atacante devido à API amplo que oferece. Uma solução simples seria voltar a ler o estado de cada mapeamento depois de modificá-lo. Se a gravação falhou por algum motivo, o hypervisor iria ver isso e parar.

Será interessante ver como a Sony responde com atualizações futuras para evitar este tipo de ataque.

[Edit: corrigido a descrição do segmento de distribuição virtual baseada em um comentário por geohot.]

Texto de :Nate Lawson

Confirmado a necessidade da psp fat visto que na slim nao é possivel instalar o linux para correr este exploit


Julgo ser necessario teres o linux instalado na psp e uma ps3 modelo fat

Download ps3 exploit