Si alguna vez tuviste una Nintendo Wii, es posible que hayas oído hablar de lo prolífica que fue la escena de modificación de consolas. Mientras que la piratería se propagó en la Nintendo DS, la propia Wii no se quedó muy lejos poco después de su lanzamiento. La Wii tenía una estructura muy similar a la GameCube, utilizando un procesador más potente pero similar e incluso una unidad de DVD muy similar. Esto significó que los modchips para GameCube se trasladaron rápidamente a la Wii, lo que permitió la piratería, y el homebrew de GameCube también pudo ejecutarse muy pronto en el ciclo de vida de la Wii. Sin embargo, lo que quizás no sepas es que, para llevar las cosas un paso más allá, fueron un par de pinzas las que lograron abrir realmente la Wii.

Si alguna vez has oído hablar de fail0verflow, ese equipo se conocía como Team Twiizers. Esta historia explica por qué se les llamó originalmente Team Twiizers.

Relacionado

En 2010 se unieron 1760 PlayStation 3 para crear una supercomputadora, pero eso no volverá a suceder

¿Sabías que la Fuerza Aérea de Estados Unidos una vez construyó una supercomputadora con PlayStation 3?

Publicaciones13

Nintendo fue inteligente al momento de ejecutar juegos de GameCube en la Wii

...algo así

En primer lugar, es importante entender cómo funcionaba la Nintendo Wii a la hora de jugara juegos de GameCube. Básicamente, cuando se iniciaba un juego de GameCube en la Wii, la consola se reiniciaba en un modo sandbox de GameCube que no tenía acceso al resto del sistema de la Wii. En este modo, la Wii era más o menos idéntica a una GameCube auténtica, lo que significa que los juegos conservaban una compatibilidad completa y Nintendo podía proteger el resto del sistema de lo que se estuviera ejecutando en el modo GameCube.

En el modo GameCube, la Wii podía seguir usando sus dos bancos de memoria, pero el chip externo (conocido como MEM2) de 64 MB solo lo usaba la Wii en el modo GameCube como RAM de audio (ARAM). Si bien puedes leer los 16 MB inferiores de esta memoria en el modo GameCube, los otros 48 MB están protegidos y, según Ben 'Bushing' Byer en25c3 en 2008, devolverán "basura aleatoria". Sin embargo, estos 48 MB nunca se borran y, con una manipulación cuidadosa, se puede usar una técnica conocida como "bit-banging" para mover datos entre líneas de dirección de modo que se puedan desplazar hacia los 16 MB de memoria accesibles. Esto se logró usando un par de pinzas y, como se vio, todas las claves de cifrado de la consola se almacenaron en esa memoria.

Cada consola tenía su propio conjunto de claves independientes, incluida una clave privada ECC y una clave pública ECC. ECC es un sistema de cifrado de clave pública similar a RSA. El almacenamiento NAND se cifraba con AES y también se firmaba para garantizar que no se pudiera modificar. El descubrimiento de la clave común de Wii (la clave de cifrado raíz que se utilizaba para cifrar todo en la Wii) era esencialmente el santo grial en ese momento. Si bien no se podía cambiar nada con ella, se podía ver todo.

Esto finalmente condujo al hackeo de Twilight.

The Legend of Zelda: Twilight Princess fue la última pieza del rompecabezas

Para iniciar un juego en la Wii, la Wii seguiría los siguientes pasos:

1. Verifique la firma RSA con el hash SHA-1 del título que se está lanzando
2. Si el SHA-1 está firmado por Nintendo, inicia el juego
3. De lo contrario, cancele la ejecución.

Sin embargo, la implementación de este sistema por parte de Nintendo tenía graves fallos. Los desarrolladores usaban la función Cstrncmppara comparar firmas, pero esta función finalizaba cuando encontraba un byte nulo. Esto significa que si el hash contenía "00" en cualquier parte, la comparación se detendría prematuramente. Este error existía en la mayoría de las capas de la Wii. Una entrada de todos ceros daba como resultado una salida de todos ceros, y si el hash SHA-1 que se estaba comparando se interpretaba como todos ceros, se consideraría igual a cualquier cosa. Como resultado, cualquier cosa se puede firmar de forma falsa para ejecutarse en la Wii siempre que el hash comenzara con 00.

Para garantizar que el hash comience con 00, puedes manipular los datos dentro del archivo que se está firmando hasta que el hash SHA-1 comience con 00. Una vez que lo haga, puedes usar ese archivo en cualquier Wii y será aceptado. Esto significa que no solo puedes ejecutar juegos no firmados, sino que también puedes instalar tu propio menú de sistema, módulos IOS individuales y tu propio cargador de arranque boot2, todo lo cual sería confiable para el sistema.

Sin embargo, el equipo Twiizers aún necesitaba una forma de obtener software modificado en la Wii de alguien. La recopilación de claves y la comprensión de cómo el sistema verificaba las firmas hicieron que esto fuera relativamente simple. Crearon un exploit de desbordamiento de búfer que aprovechó un error enThe Legend of Zelda: Twilight Princess. El error estaba relacionado con cómo el juego no verificaba la longitud del nombre de Epona. Si bien el juego evitaría que ingresaras un nombre que fuera demasiado largo manualmente, un archivo de guardado especialmente diseñado con un nombre excesivamente largo podría enviar instrucciones para cargar un archivo en una región de memoria que manejaba la ejecución, lo que causaba que el juego se bloqueara mientras seguía esas instrucciones.

En este caso, tendrías que iniciar el juego, cargar el archivo de guardado, caminar hacia atrás y el juego iniciaría "boot.elf" desde la raíz de la tarjeta SD. Este archivo normalmente sería el instalador de Hackmii, que instalaría tanto el Homebrew Channel como BootMii, un reemplazo de boot2, en tu Wii. Al igual que el archivo de guardado, el Homebrew Channel y BootMii podrían estar firmados de manera que el sistema los considere confiables.

El hack de Twilight fue el primer hack público para la Nintendo Wii que cualquiera podía usar en una consola modificada, y Nintendo tardó bastante en solucionar este error. Aunque el hack de Twilight quedó obsoleto unos años más tarde y fue reemplazado por otros métodos como Bannerbomb, el trabajo realizado por el equipo Twiizers puso en marcha el proyecto. Todo empezó con un par de pinzas. Sus esfuerzos permitieron que otros desarrolladores siguieran su ejemplo y encontraran nuevas formas de modificar la consola. Una vez que se obtuvo el acceso inicial, se hizo más fácil analizar la consola e identificar otras posibles vulnerabilidades de seguridad.

Relacionado

Es difícil construir una PC para juegos que supere a las consolas, pero puedes estar bastante cerca por $600

Las consolas son geniales en lo que hacen, pero intenté construir una PC para juegos que las supere por el mismo precio. Así fue como resultó

Publicaciones

Hoy en día, las consolas son significativamente más complejas.

Hoy en día, hacer jailbreak y modding es mucho más difícil

Si bien las consolas de Nintendo han sido atacadas varias veces en el pasado, las consolas modernas son mucho más seguras que nunca. Si bien la Nintendo Switch se vio comprometida inicialmente debido a un exploit de Tegra, las versiones más recientes de la Switch requieren un modchip para ejecutar software no autorizado. En cuanto a laPlayStation 5y la Xbox Series S y X, ambas consolas han tenido problemas de seguridad en el pasado, pero Sony y Microsoft han mantenido en gran medida la seguridad de estas consolas mediante actualizaciones y parches continuos.

Aunque modificar una consola puede ser muy divertido y una experiencia increíblemente educativa, historias como estas ponen de relieve lo fascinante que puede ser el mundo de la seguridad informática. Con algo tan sencillo como un par de pinzas, una consola entera (como la Wii) fue comprometida mediante la manipulación física de las líneas de dirección dentro de un chip, lo que permitió el posterior volcado de datos. Hay innumerables historias extrañas e intrigantes en el mundo de la tecnología, pero la historia de la Nintendo Wii sigue siendo una de las más cautivadoras para mí.