SSTIC 2012 - IronHide

IronHide : plateforme d’attaque par entrées-sorties

Un petit rappel des travaux sur les attaques de type DMA permettant d’accéder en lecture/écriture. Cependant ces attaques sont dépendantes de l’architecture PCI qui est vouée à disparaitre. C’est pour cela qu’IronHide a été développé.

L’objectif d’IronHide est de fournir une plateforme permettant de générer des échanges quelconques avec le bus PCI Express (PCIe), le tout dans un contrôleur entièrement programmable, avec une conception suffisamment souple pour être adapté à d’autre formats de cartes que PCIe.

IronHide repose sur des IP-Core libres d’utilisation bien que propriétaires, et l’ensemble du code est disponible. Il permet actuellement de générer tout type de paquets PCIe. Le firmware est écrit en C, et donc est aisément customisable.

Le plus gros problème reste les performances en lecture/écriture. Une fois les problèmes de performance résolus, L’auteur pense insérer un linux embarqué pour faciliter la mise en oeuvre des attaques.

L’auteur nous fait ensuite une démo d’attaque par récupération des frappes au clavier pour montrer les capacités en lecture, puis l’envoi de frappes au clavier pour montrer les capacités en écriture.

Les travaux futures s’orienteront vers un IDS/NIDS dédié aux contrôleurs d’entrée-sortie.