上一篇：33C3 intro

---

33C3 Day 1 (2016.12.27 Tue)

Opening

約 15 分鐘的開場，
有興趣的人可以直接看這個影片：https://media.ccc.de/v/33c3-8429-33c3_opening_ceremony

---

How do I crack satellite and Cable Pay TV

講者很屌得直接 reverse engineering 一台機上盒，
噢不，講一台好像不是很精確，
因為講者最後放了張照片，
他的小貨車後車廂放滿了好幾台這機器。
期間花了許多時間，
到完全瞭解機上盒的電路板每個元件到底在做哪些事情，
最後自己重新焊接電路板上的線路達到目的，
可以不用付錢直接爽爽看，
非常精彩。

影片在此：https://media.ccc.de/v/33c3-8127-how_do_i_crack_satellite_and_cable_pay_tv

---

Lock Picking Workshop

身為一個 Hacker，
其中一項必備技能就是開鎖(Lock Picking)，
想知道緣由的人可以參考博客來-黑客列傳：電腦革命俠客誌(25週年紀念版)。
主要就是早期可以用電腦的機會非常少，
放電腦的機房晚上又會上鎖沒人用，
一群熱愛電腦的駭客覺得這樣很浪費，
於是自學開鎖技能把上鎖的機房打開，
進去裏面偷用電腦。

參加之前就有耳聞 CCC 有一個 Lock Picking 的 workshop，
可以讓你現場練習如何開鎖，
一直想要瞧瞧看，
所以聽完第一場演講後就跑來參加了。

位置不多，
但想要參加的人挺多的，
所以排隊排了一下才等到有位置可以坐。
現場會有人做簡單的教學，
拿透明的鎖頭講解鎖頭的基本原理並示範基本的 Raking 跟 Picking 開鎖技巧，
這些其實在 youtube 搜尋一下就有了，
但難是難在自己實際操作，
根據現場教學的人的說法是：「基本上不是用看的，比較像是用聽的和靠感覺的。」

一開始我拿了一個挺普通的鎖頭嘗試，
花了超過半小時的時間都開不了。
只好放棄然後拿被空出來的透明鎖頭練習，
能夠順利解鎖透明鎖頭 5 次以後，
大概掌握到訣竅之後，
就轉回嘗試不透明的一般鎖頭，
後來成功開啟了兩個，
從頭到尾從坐下到離開大概花了兩個小時吧，
現場還有些難度較高且種類不同的鎖頭我沒時間嘗試。

Workshop 現場就有在販賣開鎖工具組，
最便宜的一組要價是 15 歐，
之後比較貴的就是工具多一點然後加上個皮套件的包裝這樣，
我覺得挺有趣的，
所以就買了最便宜的 15 歐那組。

---

Untrusting of CPU: A proposal for secure computing in an age where we cannot trust our CPUs anymore

這場演講主要就是在講說他設計了一個系統可以增加電腦計算的可靠性與安全性，
但前面主要都是在講說到底電腦有哪些缺陷造成其不可靠性及不安全性，
但我聽起來是挺枯燥的，
講了半個小時大概都沒有講到重點，
期間也有不少人相繼離席，
後來我也覺得沒什麼收穫，
所以也在中途離開去逛社群攤位了。

有興趣的人一樣可以參考影片： https://media.ccc.de/v/33c3-8014-untrusting_the_cpu

---

逛攤位

CCC 把他們的社群稱為 Assembly 而不是 Community，
就是一群人組合在一起的意思嘛。

現場有非常多各式各樣的社群，
除了開鎖的以外，
還有 VR、互動裝置、焊接、電子看板、3D 列印、雷射雕刻、無線電、嵌入式裝置...等等，
也有程式語言相關的 Rust, Python, Ruby，
現場甚至有個傢伙在使用 Commodore 64。
還有很多一直盯著 IBM ThinkPad 螢幕不斷飛快敲打鍵盤的傢伙，
但你不知道他們在幹嘛就是。
會場到處都可以看到有人席地而坐，
然後就開始 coding 或開始討論程式碼，
當然也有很多人是聊各式各樣和資訊相關的議題與技術就是。

這部份在最後一篇的總結會再描述的詳細些。

---

Woolim - Lifting the Fog on DPRK's Latest Tablet PC

這個應該是我第一天聽到最酷的議程了，
講的是他們透過了一些特殊管道拿到了一台北韓政府發給北韓人民使用的平板電腦，
然後他們透過哪些方法去逆向工程這台平板，
發現了哪些有趣的東西，
例如：

• 這個平板其實是中國製造的。
  • 所以裏面有 Google 拼音輸入法。
• 這個平板會在使用者每次開啟 App 的時候都做截圖，然後把截圖送到北韓官方的伺服器。
  • 他們有去 trace 往哪邊送，但發現 IP 基本上都是使用內網 IP。
• 這個平板產生的檔案無法分享給其他同款平板的使用者，也無法分享給其他北韓的電子裝置，也無法接收來自其他國家的檔案。
  • 他們去研究其加密及如何實作的機制

甚至還拿到了這個平板的廣告影片，
現場就播放了這個廣告影片給大家看，
廣告影片的時間挺長的，
我估計大概有 5 分鐘吧，
廣告的內容就在講說這個平板有哪些功能，
然後畫面很像台灣七零年代的感覺。

影片在此 https://media.ccc.de/v/33c3-8143-woolim_lifting_the_fog_on_dprk_s_latest_tablet_pc

Woolim

• Name of waterfall in DPRK
• One of probably 4 Tablet PCs from DPRKs
• Manufacturer
  • Hoozo in China
  • Z100
• SImilar products sell for ~180 EUR to ~260 EUR
• Software from/modified by DPRK
• 南韓朋友幫忙拿到 Woolim 在北韓的廣告影片，現場播放。
  • 背景音樂也太熱血 XDDD
  • 廣告超級久啊，大概快五分鐘了吧。

  • Don't drive and watch TV (XDDD

  • Free Warranty service
  • Remember RedStar AV (Anti-virus)

Hardware

• System Information
  • Allwinner A33 [ARMv7] SoC
  • 8GB SK Hynix flash
  • MicroSD and power plug
  • Not so responsive touchscreen
  • no communication interfaces
• USB peripherals available
  • Modem
  • WiFi
  • LAN
  • DVB-T
  • HDMI [?]

Software

• Android 4.4.2
• Kernel 3.4.39
• Build: Sep 10, 2015
• Preinstalled applications
  • Camera
  • "Education"
  • Games
  • Browser
• Built-in apps
  • 谷歌拼音輸入法
  • Flash
  • ...
  • Microsoft Office
  • ODF
  • 有個類似 SimCity 的 App，可以畫房屋的建築圖。
  • Cooking Application
  • TraceViewer
    • Took pictures whenever you open the app and send to server.
  • Internal Storage
    • 無法開啟外來的檔案，會顯示：It is not signed file.

Application Demos

• NAC
  • Probably used for a access to Kwangmyong
  • PANA / PPPoE / Dialup
  • Login credentials
  • Different access points for different groups
• Red Flag
  • Schedules thread
  • Takes screenshots in the background
  • Logs the Browser history
  • Get IMEI, IMSI and android_id
  • Copies key material
  • "Integrity Check" for files

Gaining Access

• They really lock the tablet excellently.
• The obvious things
  • ADB enabled? => NO
  • Can we enable it? => NO
  • Developer options? => NO
  • Can we install APKs? => NO
  • Is there a recovery/reset mode? => NO
• The more advanced things
  • File open dialogs in Apps
  • Attacks via archives
    • Symlinks
    • Directory Traversal
  • Suspicious shell commands in configuration files
  • Java Deserialization for Tetris
    • Wrote by a Chinese guy
    • Got the source code
    • Serialize Java object into SD card
  • Flash application
  • XLS macro injections
  • even more...
  • None of these works
• Exploits? Vulnerabilities?
• Avoid Hardware Tampering
• Might find a way
  • PhoenixCard
    • Create Bootable Images for Allwinner Devices
    • Put this SD card in and it actually worked.
• After the bootable SD card worked.
  • Linux kernel, but no way to access memory.
• What to do next?
  • Test Environment
    • Cheap (about 30 bucks) A33 Tablet with similar functionality
    • It worked and dumped out the storage layout.

Distribution of Media files in DPRK: Achieving absolute control

• Multiple Ways of Tracing Media Distribution
  • Watermarking introduced in Red Star OS
    • Append simple watermarks to media files
  • Compatible code available on Woolim
• Red Star OS Watermarking Recap
  • Plaintext: WMB48Z789B3AZ97
  • takeshixx/redstar-tools
• Tracking the Distribution of Media Files
  • Create social networks
  • Construct connections between dissidents
  • Track down sources
  • Shutdown
• Woolim is More Restrictive than Red Star OS
  • Introduces file signatures
    • Using asymmetric cryptography [RSA]
    • Goal: PREVENT the distribution of media files
  • Government has full control over signatures
    • Absolute control over media sources
• Signature Checking
  • Java interface with native JNI library [gov.no.media.Sign]
    • Called by apps e.g. during file opening/saving
    • Sometimes concealed as "License checks"
  • Multiple ways of signing
    • NATSIGN
    • SELFSIGN
  • Files without proper signatures are forbidden.
• Java Native Interface Libraries
  • Check if file has a proper signature
  • Used by various applications, e.g.:
    • FileBrowser.apk
    • Gallery2.apk
    • Music.apk
    • ...
• NATSIGN
  • Files that have been approved by the government
    • Also referred to as "gov_sign"
  • Files are signed with a 2048 bit RSA key
• SELFSIGN
  • Combination of
    • Symmetric encryption [Rijndael 256]
    • Asymmetric signatures [RSA]
    • Hashing [SHA224/SHA256]
  • Device identity stored in /data/local/tmp/legalref.dat
    • Comprised of IMEI and IMSI
    • Each device's... legal reference
  • Files created on the device itself can be opened
    • Camera images, office documents, PDFs, etc.
  • Signatures
    • RSA signature of file hash
    • Encrypted device identity
      • Rijndael 256 (key and blocks)
      • IMEI and IMSI
    • Trailer
      • Signature size
      • ASCII suffix "SELFSIGN"
    • FIxed size of 792 bytes
• File types affected by signing
  • All kinds of media files
  • Text and HTML files
  • Even APKs...

Absolute Control of Woolim's Media Sources

• NATSIGN
  • Approved by the government
• SELFSIGN
  • Created on the device itself
• Can not be shared to
  • Other Woolim tablet PCs
  • Other devices in DPRK
  • Rest of World

Supporters

ISFINK

Future Work

• Free some of the stuff from the tablet
  • Dictionaries
  • Books

Q&A

• OS occupied about 1GB on Woolim
• Won't provice the dump of this device because it may put the owner of this device in danger.

補充

對北韓有興趣的人，
可以參考壹電視新聞台的陳雅琳記者於 2016 年進入北韓的報導，
個人覺得搭配這個演講看應該會挺有趣的。

• 「探祕北韓」特別報導（上集） - YouTube
• 「探祕北韓」特別報導（下集） - YouTube

---

下一篇：33C3 (2)