1. Как была сломана сама приставка (как был извлечен Master AES ключ), что в свою очередь привело к появлению софтверных хаков.
2. Как работают модчипы, их поколения и фейл Nintendo.
Итак начнем.
1.1 Первый хак.
Все началось с апдейтов …
На каждом диске находится копия системного меню (прошивки) консоли, но при попытке декомпиляции в режиме PowerPC не было получено никаких результатов. Почему? Потому что это ARM код, но возникает проблема. ARM процессора нигде на плате нет. Оказывается, ARM процессор “спрятан” внутри графического процессора Hollywood. Его назвали Starlet. Он отвечает за всю безопасность консоли от внешних вмешательств и операции IO.
Но как был расшифрован раздел с апдейтами, если не было Master AES ключа, спросите вы?
Исследование дисков проводились значительно позже, уже после того как был извлечен Master AES ключ. А ключ был извлечен … паяльником;)
Как известно на Wii есть возможность запускать игры от GameCube, и Homebrew , но GameCube имел лишь 16 мб памяти, а Wii в свою очередь имеет 64 мб. Берем распайку памяти Samsung и видим что с помощью короткого замыкания некоторых адресных линий мы можем подвигать доступны GameCubьу 16 мегабайт памяти по всему адресной пространства. В чем фишка? А фишка в том, что при запуске Starlet сохраняет Master AES ключ в памяти. Вы наверное уже догадались, что было дальше. Экран памяти методом научного тыка переместил таким образом, что с помощью последовательного порта запаянного к шине джойстика GameCube удалось слить дамп этих 16 мб памяти и извлечь Matser AES ключ. В принципе все это достаточно сложно, но тут назревает одно большое НО. Всего этого можно было избежать если убрать совместимость с GameCube. За все время которое я пользуюсь Wii я ниразу не пользовался режимом совместимости. Зачем нинтендо влечет совместимость старой (да еще к тому неудачной) консоли, я не понимаю. К тому-же если убрать все эти старые слоты расширения и порты джойстиков диаметром с палец, консоль была бы еще истонченной чем сейчас. Могила для защиты вырыта, но самое интересное впереди. Пора опускать гроб.
1.2 Как работают модчипы. Как был взломан привод приставки.
Все началось, опять же с GameCube.
На плате GameCube был коннектор послидновного порта UTS Serial Port (Undocumented Top Secret Serial Port: D). С доступом к нему была проблема. На нем установлен пароль. НО пароль подбирался обычной временной атакой . Во исполнение неправильных команд шло чуть больше времени, и так байт за байтом был подобран пароль: “MATSHITA DVD-GAME”. WTF? What where they thinking?
На Wii эту дыру в безопасности профиксилы. Они поменяли пароль и удалили старый коннектор последовательного порта. Новый пароль стал: “matshita dvd-game”, а коннектор был заменен на ножки микросхемы: D. What where they thinking?
Модчипы работают по принципу замены блока памяти который отвечает за аутентификацию и повод “думает” в диск уже прошел аутентификацию. Никаких особых вмешательств не требуется. Чип викнуе серию команд на UTS Port. Эти чипы называются чипами первого поколения (1st Generation). Они работали буквально на 1 микросхеме без плат и дополнительного обвеса на приводах с чипами DMS/D2A/D2B.
На некоторых приводах с чипом D2B в чипа были отрезаны ножки к которым паяются провода модчипа
Этот вид примитивной защиты не дал результатов. 20 минут с напильничком и можно магическим образом получить доступ к ножкам. FAIL.
С выпуском приводов на базе D2C, Matsushita (производитель приводов) заблокировала доступ к записи памяти привода, но пропустила тот факт, что между чипом защиты / авторизации и основным чипом существует открытое пространство в виде дорожек на плате. Бам. Модчипы второго поколения патчилы не память поводу, результат (0 или 1) получавший основной чип из памяти. Из памяти получается 0, а к чипа доходит 1. Это поколение модчипив уже значительно сложнее (у меня в приставке раз такой и установлен). На модчипи уже находится микропроцессор (чаще Actel) и кварцевый генератор. В некоторых чипах также является чип памяти для дополнительных функций. Вся серия приводов с такой защитой имела чипы D2C/D2E.
Некоторые приводы с чипом D2E были немножко залиты эпоксидной смолой
Но кто бы подумал, что с другой стороны платы существуют другие места к которым можно запаять чип. И снова FAIL.
Последние приводы комплектуются чипом D2 Nothing. Чипа защиты фактически нет на плате. Matsushita объединили оба чипа в 1
Но и здесь нашли решение. Проблема в том, что между основной платой и поводом существует открытое пространство в виде шлейфа соединения. Не трудно догадаться, что случилось дальше. Модчип вешается на шлейф между платой и приводом. Ответ привода основной плате патчиться так, что консоль думает, что диск оригинальный и позволяет его запуск (ведь повод только говорит консоли, до диск не правильный, а сама прошивка уже решает что запускать его не надо). FAIL!
В ответ Nintendo решила изменить формат выдачи данных приводом и код на Starlet. На данный момент только 1 чип поддерживает этот вариант, но через несколько недель появятся и другие.
Вот и все. В следующей части я опишу принципы взлома приставки на программном уровне. А в последующих статьях опишу, как взламываются китайские телефоны, их ломать очень просто.
