Home » ARCADE » Namco System ES1 Hackeado

Namco System ES1 Hackeado

Aunque ya se sabia desde hace años que este hardware era sensible a ser hackeado, no ha sido hasta hace poco (aunque llevo escribiendo la entrada mucho tiempo) donde se confirma de forma pública que este hardware arcade se ha vulnerado y que en un futuro podría dar sus frutos en cuanto a hackeo se refiere liberando algún dumpeo jugable del sistema en el futuro (que yo sepa aun no hay ninguno liberado para PC, pero si que están los HDDs desencriptados en trackers privados)

Para los que no conozcáis el sistema Namco ES1 deciros que esta basado en arquitectura de PC (como la gran mayoría de sistemas arcades modernos) y que consta de las siguientes características:

  • Placa Base: Supermicro C2SBM-Q (Intel Q35 + ICH9DO)
  • CPU: Intel Core2 Duo CPU E8400 @ 3.00GHz
  • RAM: 2×512 MB DDR2 800 MHz 1.8V
  • Video: NVIDIA GeForce 9600 GT con 512 MB GDDR3
  • HDD: Seagate Barracuda 7200.12 160 GB (ST3160318AS) o Hitachi Deskstar 7K1000.C 160 GB (HDS721016CLA382)
  • Sistema Operativo: Arcade Linux (based on Debian 4.0)

 

 

namcoes12
 

Como podéis apreciar por las especificaciones técnicas este sistema tiene un sistema operativo basado en Linux que es una tónica constante en muchos sistemas arcade para no facilitar que la mayoría de usuarios (el S.O. predominante es Windows) puedan intentar manipular los archivos.

Todo ello va embutido en una ‘envoltura’ de metal que recubre todo el hardware de manera que sea mas difícil dañarlo o que se llene de suciedad

 

namcoes11
 

Este sistema tiene un total de 9 juegos arcade y como es habitual en muchos hardwares de  nueva hornada, la gente suele creer que este sistema solo posee 4 juegos debido a que los otros quedaron relegados solo al mercado japones, siendo imposibles de ver en otras regiones (a menos que el dueño de los recreativos tenga pasta para aburrir y consiga traerlos desde alli).

El catalogo de este sistema esta compuesto por:

  • Dead Heat
  • Dead Heat Riders
  • Tank! Tank! Tank!
  • Nirin
  • Dark Escape 3D
  • Dark Escape 4D
  • Maximum Heat 3D
  • Sailor Zombie AKB48 Arcade Edition
  • Wangan Midnight Maximum Tune 4

 

Todo esto que os voy a contar es un resumen de lo que habría que hacer para vulnerar las protecciones de la placa, si queréis leer el articulo original dirigios a este enlace:

 

LINK TO THE ORIGINAL AND TOTALLY EXPLAINED ARTICLE
 

Hablando del sistema de protección de esta placa arcade podemos diferenciar 3 niveles distintos:

El primero de ellos es el TPM el cual encripta los ficheros con un serial y les da un valor que lo lleva al PCR (Platform Configuration Registers). Normalmente los proveedores, en este caso la misma Namco ejecuta la maquina por vez primera antes de dársela al cliente, lo cual hacer que comience el proceso de encriptación para que el juego solo funcione en esa maquina y no en ninguna otra. Asimismo se crea una partición donde residirán el juego, los datos guardados y si existen también las actualizaciones

 

namcoes13
 

La segunda fase es la protección anti-copia del HDD. Si nosotros copiamos un disco de este sistema tal cual nos encontramos con que luego ese disco clonado no funciona de ninguna de las maneras en el sistema de Namco. Esto es debido a que el numero que lleva el disco para ser identificado esta lleno de ceros y eso cuando se extrapola a windows es un problema ya que no le gusta esto y te cambia toda la identificación del disco por otra distinta a la del original, así que la placa arcade identifica a la hora de desencriptar que no es un disco valido y no se puede cargar el juego.

Esto esta hecho a drede ya que en Linux cada disco lleva una numeración (DISK SIGNATURE) propia, la cual además no puede llevar ceros.

 

$ cmp -l mbr_working mbr_broken | gawk ‘{printf “%08X %02X %02X\n”, $1-1, strtonum(0$2), strtonum(0$3)}’

000001B8 00 4B

000001B9 00 4D

000001BA 00 17

000001BB 00 CC

 

El TPM encargado de encriptar los ficheros solo es usado por el sistema operativo, mientras que el juego usa un DONGLE (la tercera de las trabas con que nos encontramos) especifico que debe de estar conectado a la placa para que esta detecte que esta conectado y poder ejecutar el juego sin trabas. Este dongle es el menor de los problemas de protección porque como la placa solo mira si esta conectado puede ser evitado con un simple parche o incluso cambiando la configuración del fichero del juego.

Aparte el código de seguridad implementado en el sistema solo tiene dos posibles variantes (que encima se conocen) que cambian dependiendo del juego pero aunque no se conociesen pueden ser obtenidos mediante lo que comúnmente se conoce como fuerza bruta en informática.

Una vez sabemos todo esto lo que hay que hacer es desencriptar la información que lleva el HDD con diferentes herramientas (que no todas van a funcionar) hasta que demos con una que nos permita desencriptar los ficheros. Una vez encontrado el método por el cual vamos a poder ver la información de la RAM necesitamos encontrar la llave AES para que esta nos permita desencriptar los archivos.

Esto seria un ejemplo de posibles AES keys:

$ aeskeyfind memdump_0x0-0x100000000_20160524-172534.bin f322ee68145f5f32dea7252b2de00ff30003bb2775b7164f7211ba56fbe2012a 7523dfd705d26ce4f34ee872ec88f7ede80ac8ea0f104d3aba4a5d38bfa5849f 103687fef032a17e830b6709c29bd805

 

Si alguna de estas keys es valida tendríamos en nuestras manos la posibilidad de tener un disco HDD con un juego del sistema plenamente funcional, sea porque se halla roto o sea porque lo queremos clonar, simplemente tendríamos que hacer que el disco volviese a su estado natal borrando las keys, asi el disco duro volverá a encriptar todo el contenido como cuando los desarrolladores de Namco lo prueban por primera vez en la maquina y lo encriptan para su uso exclusivo en ella.

 

namcoes1hddencrypt
 

La intención del post es aumentar la información de las personas que siguen el día a día de los dumpeos arcades, como ya digo no hay liberado nada y los HDDs están desencriptados en trackers privados (no estan todos)

Deja una respuesta

Tu dirección de correo electrónico no será publicada.