Защита от слива прошивки из Arduino, нужна ли?

Question

[Дмитрий Земсков]

Предыстория вопроса такова, некоторое время назад, я разрабатывал устройство на микроконтроллере, где помимо всего прочего требовалось обеспечить защиту от копирования\исследования прошивки, тк было доподлинно известно, что устройство будут пытаться скопировать. Ситуация осложнялась тем, что нужно было обеспечить возможность обновления прошивки, и мне таки пришлось ещё «изобрести» крипто загрузчик.
И тут-то я вспомнил про ардуино, который тоже шьётся через загрузчик, а это значит, что сам чип может быть надёжно защищён от записи\чтения\отладки путём физического уничтожения соответствующей структуры в кристалле.

Теперь, собственно вопрос, а оно кому-нибудь надо? Хотя бы гипотетически?
Интересны ли разработчикам на дурине, вопросы защиты их интеллектуальной собственности?

Это может быть виде специальной Arduino совместимой платы, отличающейся только незначительным изменением в схеме программирования, для работы как с обычными, так и с защищенными чипами.
Или платки вроде ArduinoPro или ArduinoProMini c защищёнными камнями, и специальным шнурком для программирования.

С одной стороны Arduino сплошной DIY и развлекуха, и защищать тут вроде нечего.
С другой, дурина широко используется для прототипирования, не профессиональными железячниками, и иногда попадает даже в коммерческие продукты!
Сам я прожженый железячнк, по этому не вполне понимаю тему Arduino, и прошу всех имеющих к ней практическое отношение высказать своё мнение.

Answer 1

[crrr]

Правильно выше товарищ написал. Есть родная защита. Если Вы планируете по какой-то причине использовать Arduino в качестве платформы для распространения своего ПО с защитой, то зашейте свой загрузчик идентичный оригинальному но с поддержкой криптографии. Можно, например, допилить DES или AES загрузчики из апноутов atmel… Но как-то смысл неуловимо исчезает…

Answer 2

[Дмитрий Земсков]

«LockBit на фузу, профит» А мы то не знали, что всё так просто :-)

Но спешу вас разочаровать, в Москве чтение залоченной атмеги вам обойдётся в пять тысяч рублей. Никаких ядрёных кислот, лазеров и микроскопов, всё гораздо прозаичнее, за двенадцать тысяч евро можно купить вот такое устройство, ну или сделать его самостоятельно на базе одного народного HV программатора…

Самое смешное в том, что в основе метода, лежит некая «логическая ошибка», удивительным образом свойственная различным производителям чипов. Точно таким же образом сбрасываются лок биты у ПИКов, Мотороллеров, и много ещё кого. Да-да, именно сбрасывается, то есть чип потом можно вернуть в устройство и он будет так же работать, но уже со включенным ISP, JTAG, OneWire :-)

Comments

[crrr]

Ну на счет снятия защиты я Вас разочарую :) Почитайте внимательно что там снимают, и вообще ссылки по теме, обнаружится, что в старых ревизиях микроконтроллеров fuse были плохо защищены, что программно, что физически. В новых контроллерах над ними даже доп слой металлизации имеется. Так что тут тот случай, когда снятие защиты обойдется дороже разработки аналога.

[Дмитрий Земсков]

Всё это байки, что бы набить себе цену, не думаю что кто-то реально брался за миероскоп, если всё можно обойтись и без него. Специально для дуринщиков повторяю, ОШИБКА ЛОГИЧЕСКАЯ, она становится очевидной если внимательно прочитать документацию на микроконтроллер касательно режимов его программирования. Что я собственно и сделал, попробовал и убедился на практике что это работает, поражая своей простотой, доступностью и очевидностью… Схемотехника некоторых HV программаторов позволяет проделывать этот фокус. А фирменные программаторы мало того что имеют всё необходимое, так ещё и дают возможность программно этим воспользоваться.
В общем, никаких шаманств и танцев с бубнами, считать за lockченную прошивку, не труднее чем вставить чип программатор.

Взрослые разработчики об этом знают, по этому в случаях когда прошивка представляет какую-либо ценность, они ампутируют или пережигают, ноги микроконтроллера. И вот тут-то микроскоп с контактами и пригодится >;-) Но я бы не сказал что это очень дорого и сложно, тк никакой там микрохирургии, просто «иголочками» в «точечки» попасть…

В общем, реальность метода даже не обсуждается, более того я планирую представить его публично на некоторых тематических мероприятиях, тк проблема гораздо шире и серьёзней чем просто слив прошивок из микроконтроллеров. Покупая чип с оговорённым функционалом, хочется что бы он этот функционал функционировал, или хотя бы предупреждать о том, что всего лишь формальный.

Answer 3

[crrr]

Ну нет, позвольте. Давайте примитивный пример. ATmega8AU. Ссылки на конторы или оборудование в студию. И не путаете -ли вы случайно снятие фьюз с чтением прошивки? А то HV программатором и фьюзы попереставлять можно, только вот «The Boot Lock Bits can be set in software and in Serial or Parallel Programming mode, but they can be cleared by a chip erase command only»
Я не отрицаю что это возможно гипотетически — только уверен что будь все так просто, багу бы закрыли 100 лет назад. Что и сделали, собственно.

Comments

[Дмитрий Земсков]

Не путаю, услуга называется обычно называется «чтение прошивки», но выполняется оно через снятие локбита. Микруху обычно клиенту не возвращают что бы продолжать гнать пургу про то, как там всё сложно, круто и дорого. Я поворотил процесс, ничего сложного в нём нет.
Цитата ваша верная, но дьявол как всегда прячется в деталях, есть команда стирания чипа, и она честно работает сбрасывая фьюзы вообще и локбит в частности только в самом конце операции. Прерывание операции, как в старые-добрые времена уже ничего не даст, ибо что бы читать, нужно снять лок бит, а снят он будет лишь тогда, когда уже читать будет нечего, всё вроде-бы правильно, НО есть один нюанс (а на самом деле их даже два) позволяющий уберечь информацию во время такого стирания, так что в итоге только лок бит сброшенным и окажется :-)

Это проверенный факт, причём проверенный не только на AVRах и не только на микроконтроллерах.
Так что невольно начинаешь думать, что это вовсе не баг, а скрытая фича. Но тем более она удивительна для AVRов которые команды чтения, таки выполет, даже лок бит установлен! Просто вместо значений из памяти, выводятся «случайные» значения! Зачем так было делать, непонятно, тк команду можно просто не выполнять, или выводить какие-то фиксированные значения? Ответ на этот вопрос знают лишь разработчики AVR…

[crrr]

Ну чтож, спасибо за информацию, буду экспериментировать на досуге, раз синхрофазотрон не понадобится :)

Answer 4

[crrr]

Специально погуглил. Нашел пару контор, которые предлагают услуги подобные, вот только нигде не увидел цен в 5тр и HV программатора. Помнится на хабаре была статья про реверс инжиниринг с анализом потребления итп, да возможно, вероятно, но, как я выше написал — «тут тот случай, когда снятие защиты обойдется дороже разработки аналога».