疑问:POS 机 PCB 上奇怪的迷宫式布线
本帖最后由 atommann 于 2017-7-22 14:43 编辑昨天去面试一个 POS 机维修工作。
我拆开了一台 POS 机。
一块 PCB 上的走线让我很好奇,为什么要这样做?见下图:
Broadcom 的专用 ARM11 + RAM/ROM 一体芯片 ESMT FM64D1G12A,“迷宫板”的另一面是安装的通讯模块和一些电源相关的器件。主板和“迷宫板”通过 Zebra 条连接。
第一时间我想到的是 Hilbert Curve (希尔伯特曲线) https://en.wikipedia.org/wiki/Hilbert_curve
防破解????
有些保密存储器外面迷宫线保护,线短路就擦除内容
=======
虽然看不到图 等长线吗 打开外壳就会删除敏感信息,这种走线有防钻孔的作用 RAMILE 发表于 2017-7-22 12:52
防破解????
有些保密存储器外面迷宫线保护,线短路就擦除内容
是的,物理入侵防护措施。
还有一个方法就是内置一个硅胶按键开关,PCB装配好后开关被PCB顶住,相当于被按下,如果拆卸PCB,开关就会断开,软件就会检测到入侵,立即删除所有敏感数据。 华智融的 POS。
这种是 PCI 物理安全的保护机制,这些线是连接在一起的,靠的是硅胶开关顶住,一旦被拆机,就检测到拆机动作。
而这迷宫式的,是防钻孔,钻孔,相当于上面的拆机。 没见过,学习了 长知识了。。 mesh线! 长知识了。 惠州中京的PCB 真的长知识了 wxfje 发表于 2017-7-22 14:38
打开外壳就会删除敏感信息,这种走线有防钻孔的作用
为什么要在 PCB 上钻孔? atommann 发表于 2017-7-22 17:50
为什么要在 PCB 上钻孔?
同问,没看懂,为什么防钻孔?
另外硅胶开关,也是第一个拆开的时候,探清楚了位置;
拆第二个的时候,把硅胶开关,用夹具夹死,就可以迷奸了~~~ atommann 发表于 2017-7-22 17:50
为什么要在 PCB 上钻孔?
这部分内部覆盖保护的是所谓的敏感单元,例如秘钥、固件等信息。
要同过 POS 领域的安全认证的话,典型如 PCI 认证,在物理安全保护上,必须要做到:不能通过物理入侵的方式,获取到这部分敏感单元。 z123 发表于 2017-7-22 18:00
同问,没看懂,为什么防钻孔?
另外硅胶开关,也是第一个拆开的时候,探清楚了位置;
拆开的话,这种 MESH 线,就会触发安全保护单元,
此时,敏感的数据,会被擦除掉,例如秘钥数据,肯定要被立即擦除。 z123 发表于 2017-7-22 18:00
同问,没看懂,为什么防钻孔?
另外硅胶开关,也是第一个拆开的时候,探清楚了位置;
POS 领域,主要保护的金融数据的安全,也就是你不能通过任何途径(理想条件下),获取到明文数据,从而有机会造成金融犯罪。
一旦拆机的话,这些金融密钥,必然要被擦除,你拿到的就是一个砖头。 z123 发表于 2017-7-22 18:00
同问,没看懂,为什么防钻孔?
另外硅胶开关,也是第一个拆开的时候,探清楚了位置;
那是一个“上盖”,盖住下面的PCB,通过4个导电橡胶连接着下面的保密电路。
如果是普通铁盖,钻孔打开就可以物理接触到里面的CPU,而用这种PCB来保护的话,你钻孔就会破坏线路,触发保密电路销毁数据。 armok 发表于 2017-7-22 18:17
时间长了,触点老化,接触不好,就自动销毁数据了。
一直压着的,不像遥控器那样按下才接通,触点氧化的可能性小很多,而且这种不差钱的设备肯定是镀真金的PCB。 gzhuli 发表于 2017-7-22 18:13
那是一个“上盖”,盖住下面的PCB,通过4个导电橡胶连接着下面的保密电路。
如果是普通铁盖,钻孔打开就 ...
大师画图就一目了然了。上下两面都是PCB板,很难拆开时候维持触电不断电。 看这个板子,绕来绕去最终线条要到芯片引脚,应该不会检测线路长度或电感电容,仔细分析后不知道是否有办法可以接飞线,借助特殊的微型机器人或像腹腔镜一样的东西。 还有传说中的冷冻保存断电RAM数据的方法呢。 huangqi412 发表于 2017-7-22 18:36
大师画图就一目了然了。上下两面都是PCB板,很难拆开时候维持触电不断电。 看这个板子,绕来绕去最终 ...
你再仔细看一下,除了上下,四周还有竖起的PCB保护着,是个全包围状态。 哇,长见识了。
但,如何把电源去掉,内部电路没有电源,如何销毁数据? atommann 发表于 2017-7-22 18:48
哇,长见识了。
但,如何把电源去掉,内部电路没有电源,如何销毁数据? ...
内部应该有电池的。 gzhuli 发表于 2017-7-22 18:43
你再仔细看一下,除了上下,四周还有竖起的PCB保护着,是个全包围状态。 ...
线连接的应该是左边的pcb芯片吧。侧板估计也是防钻的? 如果只是作为一种挑战,提供订制工具不考虑成本,我觉得仅这个图,应该还是有巧匠废掉好几个样品后有办法钻孔短路线条开盖的。 看了一些文档,果然是 anti-tamper meshes
http://sec.cs.ucl.ac.uk/users/smurdoch/talks/ccc08tamper.pdf
Security Failures in Smart Card Payment
Systems: Tampering the Tamper-Proof
Hardware Reverse Engineering
Lecture 15: Anti-tamper technologies
芯片上也有 mesh
http://security.cs.rpi.edu/courses/hwre-spring2014/Lecture15_Antitamper.pdf
有纽扣电池给保密部分供电,我们就做类似设备 68336016 发表于 2017-7-22 19:36
有纽扣电池给保密部分供电,我们就做类似设备
我也看到里面有钮扣电池,但在 PCB 的边缘处。
别处是否还有钮扣电池,不得而知,我当时没有仔细研究。 atommann 发表于 2017-7-22 18:48
哇,长见识了。
但,如何把电源去掉,内部电路没有电源,如何销毁数据? ...
这种cpu是安全cpu,有专门存储敏感数据的ram,如果cpu掉电,敏感数据就没了 本帖最后由 z123 于 2017-7-22 20:50 编辑
security 发表于 2017-7-22 18:06
POS 领域,主要保护的金融数据的安全,也就是你不能通过任何途径(理想条件下),获取到明文数据,从而有 ...
除非还要检测迷宫的电阻电感电容什么的,一有变化,也是要销毁的~~
不然的话:
开第一块,记住硅胶开关位置;目测或者利用万用表通断档位,找到IC引脚的对应关系;
开第二块,用夹具夹住硅胶,开了外壳;用飞线理清这些关系,在IC引脚处焊接好,然后割断迷宫的PCB走线,要干嘛就干嘛。。。。。 z123 发表于 2017-7-22 20:44
除非还要检测迷宫的电阻电感电容什么的,一有变化,也是要销毁的~~
不然的话:
夹住导电胶,两块PCB分不开,分开PCB,导电胶必然和触点断开,没你说的那么简单。 本帖最后由 security 于 2017-7-22 21:12 编辑
z123 发表于 2017-7-22 20:44
除非还要检测迷宫的电阻电感电容什么的,一有变化,也是要销毁的~~
不然的话:
这种是安全 cpu 的安全检查模块。
一旦任意一个触点断开,就会清除安全 RAM,这部分是电池供电,用于存储金融交易的密钥,也就是敏感数据。
模块硬件细节,我不了解细节的,因为我只是一个软件工程师。
我只能告诉你,没有那么简单能攻破,因为这是通过 PCI 安全认证的必经之路,而 PCI 安全认证,是金融领域的最高级别的安全认证。多数人能想到的破解点,都会被堵上的。 security 发表于 2017-7-22 21:04
这种是安全 cpu 的安全检查模块。
一旦任意一个触点断开,就会清除安全 RAM,这部分是电池供电,用于存储 ...
传说中的冷冻有用不 huangqi412 发表于 2017-7-22 21:10
传说中的冷冻有用不
我只能说,我没有听说过,也许有用吧。 真的是长知识了,谢谢以上各位的精彩解惑 大家都说是防止钻孔,可以是板子的右边正好有两个孔!这是怎么回事? 本帖最后由 xiezhenfai 于 2017-7-22 23:36 编辑
security 发表于 2017-7-22 21:14
我只能说,我没有听说过,也许有用吧。
pci规范里面明确规定了不能在某种特定环境下面这些保护措施失效,所以使用的安全cpu在高温或者低温,后备电池没电的情况下,钥匙需要被清掉,被动元件要温度范围在cpu的温度范围内都需要有效,简单来说就不能存在盲点。 gzhuli 发表于 2017-7-22 18:22
一直压着的,不像遥控器那样按下才接通,触点氧化的可能性小很多,而且这种不差钱的设备肯定是镀真金的PC ...
港真,现在黑白屏带2g无线模块的成本做到200以下了,利润一般都不超过30%,说出来都没人信。 z123 发表于 2017-7-22 20:44
除非还要检测迷宫的电阻电感电容什么的,一有变化,也是要销毁的~~
不然的话:
四面都围着了 ,你还想摸到cpu? gzhuli 发表于 2017-7-22 18:13
那是一个“上盖”,盖住下面的PCB,通过4个导电橡胶连接着下面的保密电路。
如果是普通铁盖,钻孔打开就 ...
eevblog上有一集拆解视频讲到这玩意,就是这个道理 xiezhenfai 发表于 2017-7-22 23:36
港真,现在黑白屏带2g无线模块的成本做到200以下了,利润一般都不超过30%,说出来都没人信。 ...
现在黑白屏的市场也小了吧。 gamalot 发表于 2017-7-22 23:46
eevblog上有一集拆解视频讲到这玩意,就是这个道理
你说的应该是这一期 https://www.youtube.com/watch?v=tCgtTPwlDSo
Forum 上的讨论 http://www.eevblog.com/forum/blog/eevblog-687-eftpos-pin-pad-terminal-teardown/msg558171/#msg558171 长知识了!学习了! 第一次看到这种布线,长知识了 gzhuli 发表于 2017-7-22 18:13
那是一个“上盖”,盖住下面的PCB,通过4个导电橡胶连接着下面的保密电路。
如果是普通铁盖,钻孔打开就 ...
大师,还有一点,那些像迷宫一样线上是有数据在通讯的(以前的只是固定电平),有发送和接收,想在那线上做手脚,CPU立即能探测到 z123 发表于 2017-7-22 20:44
除非还要检测迷宫的电阻电感电容什么的,一有变化,也是要销毁的~~
不然的话:
第一层防护通过结构件与硬件之间的各类触点实现,防止拆机非法安装侧录卡号、非法改造输入输出设备的东西。
第二层防护通过这种mesh走线将核心区域防护起来,包括备份电源,CPU,存储,国密芯片等涉及到敏感数据的地方,防止通过探针之类的手段对敏感数据信号线进行记录。
第三层防护属于安全处理器本身的设计,如果检测到CPU有开盖之类的操作以及环境依次,都会触发攻击状态。
硬件防护基本就这些了,不是说破解不了,哪怕是PCI和PIN认证的时候也只是设定不同等级的人员需要花多久的时间来破解,达到标准就是符合要求,没有绝对的事情。
另外业务软件上面的安全逻辑了解的话真的发现这银联订的这一套东西理论上真的不错,但落地情况就不好说了。 yfpbird 发表于 2017-7-23 11:13
第一层防护通过结构件与硬件之间的各类触点实现,防止拆机非法安装侧录卡号、非法改造输入输出设备的东西 ...
这一套可不是银联制定的,是翻译的{:lol:}
xhp0912 发表于 2017-7-23 11:30
这一套可不是银联制定的,是翻译的
这倒是,教会了徒弟,真饿死了师傅,EMV亏死了 学习了! z123 发表于 2017-7-22 20:44
除非还要检测迷宫的电阻电感电容什么的,一有变化,也是要销毁的~~
不然的话:
迷宫一样的PCB是个盖子,四周也有,完全包围在CPU的上面.大师的图示很明显了.你记住了位置也无法抄作. yfpbird 发表于 2017-7-23 11:52
这倒是,教会了徒弟,真饿死了师傅,EMV亏死了
说错了吧,是 PCI 亏死了吧。 {:titter:} 拆一台不行,,多拆两台,就知道石皮解(机型防护)方面,,,{:titter:} 长见识了。知道这是什么东西后,看到大家都在想着如何破了它,哈哈… 谢谢,楼上各位高手的点评,长知识了。 设计得周到。 为了防破解,什么招式都可以用上去 两三年前上家公司就是做这个的,可惜还没怎么接触就离开了,好像现在很多CPU都用STM32了!!! weare 发表于 2017-7-24 08:11
两三年前上家公司就是做这个的,可惜还没怎么接触就离开了,好像现在很多CPU都用STM32了!!! ...
传统主流的 POS 还是需要安全 ASIC。
STM32 是通用 CPU,只能用在低端或者外设上。 security 发表于 2017-7-24 08:24
传统主流的 POS 还是需要安全 ASIC。
STM32 是通用 CPU,只能用在低端或者外设上。 ...
可能吧!!!不过带我的师傅做的那款POS就是用ST的芯片,我记得很清楚的是第一批量产的时候出现不正常关机现象,单都下了好几千台,把整个公司领导都愁死了,天天追在屁股后面!!! weare 发表于 2017-7-24 15:59
可能吧!!!不过带我的师傅做的那款POS就是用ST的芯片,我记得很清楚的是第一批量产的时候出现不正常关 ...
升腾?联迪?新国内? security 发表于 2017-7-24 16:05
升腾?联迪?新国内?
这三家大部分人都人都知道,福州还有另外几家~~一家做一半直接做不下去砍掉了,一家为了进金融门口花光了公司的积蓄,机子做出来了几款,却没卖多少,最后研发团队撤出来开了另一家~~~在其中一家待过!! 涨姿势了,非常感谢~ 貌似是安全岛,周边应该有switch触发,防止拆机泄密 ,一般和安全加密芯片配套 weare 发表于 2017-7-25 10:55
这三家大部分人都人都知道,福州还有另外几家~~一家做一半直接做不下去砍掉了,一家为了进金融门口花光了 ...
砍掉的应该是三元达了。 涨知识了。。。
这曲线不错,但是板子看不是这曲线的 这种布线自动吗?手画不可能啊。
迷宫如何设计,估计有专门的规范 果然是一个很精密的设计,学习了。。。 好精密好复杂!
我好意外!我好惊喜! 涨知识了 斑马条用的太多了,2条足够了 guoliezhi 发表于 2017-7-27 08:29
这种布线自动吗?手画不可能啊。
就是手画的,要避开tap过孔之类的,除非有大片的空白区域,可以复制,粘贴相同的走线 真的是长知识了,谢谢以上各位的精彩解惑。。。 以前年填写蛇形走线,第一次看到这种走线,长知识了 mark!长见识了! 哇 好厉害 这么密!第一联想到“贪食蛇”~~~~~~~~~~~ 这种加密方式不错,学习了 长知识了! 长知识了。 666 真的涨知识啦 涨知识了 涨知识了,学习了 security 发表于 2017-7-22 15:10
华智融的 POS。
这种是 PCI 物理安全的保护机制,这些线是连接在一起的,靠的是硅胶开关顶住,一旦被拆机, ...
原来如化,长见识了 先把电池线给它搞断 学无止境啊 涨姿势~ 长见识了 长见识了 真的是长知识了,谢谢以上各位的精彩解惑... 诸位,有谁知道这里面提到的MESH线的布线怎么画的吗? go2deathward 发表于 2019-10-17 11:23
诸位,有谁知道这里面提到的MESH线的布线怎么画的吗?有人为 KiCad 写了一个画这种线的 plugin
https://forum.kicad.info/t/new-plugin-anti-tamper-mesh/28291
kicad
好东西
页:
[1]