Her şey ofisimize test için gelen Keenetic DSL modemle başladı. Modemi test edecektik etmesine ama ofiste DSL altyapımız yoktu. Çareyi Baran’ın evindeki DSL hattını kullanmakta bulduk. Ancak orada da şöyle bir sorunla karşılaştık: İnternet servis sağlayıcısının verdiği kullanıcı adı ve şifreyi bilmiyorduk. Bu bilgiler, Türk Telekom’un verdiği TP-Link VC220-G3u modemin içine gömülüydü. Tek yapmamız gereken o şifreyi oradan almaktı. Basit görünüyor değil mi? Ama bu bizi bir ay sürecek inanılmaz bir maceraya sürükledi.
Bölüm 1: Kapı Duvar (Yazılımsal Denemeler)
Önce “eski usul” yöntemleri denedik. Tarayıcıdan sayfa kaynağını inceledik, JavaScript ile gizlenmiş alanları açmaya çalıştık, arayüzden config dosyasını yedekleyip şifreyi oradan okumayı denedik. Ama nafile. TP-Link dersine iyi çalışmıştı; config dosyası şifreliydi ve web arayüzü hiçbir açık vermiyordu. Yazılımla kapıdan giremiyorsak, biz de bacadan, yani donanım tarafından girmeye karar verdik.
Bölüm 2: Donanıma İlk Dokunuş (UART ve Hüsran)
Hemen bir Raspberry Pi ve UART bağlantısı için gerekli kabloları temin ettik. Cihazın içini açtık, pinleri tespit ettik ve şemayı çıkardık. Raspberry Pi üzerinden modemin boot loglarını, yani açılış kayıtlarını izlemeye başladık.
Amacımız bootloader üzerinden root shell’e, yani en yetkili komut satırına düşmekti. Ancak üretici burayı da inanılmaz kısıtlamıştı. Neredeyse her komut cihazı kilitliyor, modemi yeniden başlatmak zorunda kalıyorduk. İnternetteki varsayılan şifreler çalışmıyordu, TFTP sunucusu kurup dosya çekme denemelerimiz başarısız oldu. Hatta donanımı aynı olan başka modemlerin kaynak kodlarını bile inceledik ama sonuç koca bir sıfırdı.
Bölüm 3: Büyük Operasyon (NAND Okuma ve Karakuş Elektronik)
UART kapısı da yüzümüze kapanınca, “Madem yazılımı vermiyorsun, biz de çipi söker alırız” dedik. Hedefimiz NAND çipini söküp, içindeki veriyi (Dump) donanımsal olarak okumaktı. Ancak çip WSON-8 tipindeydi, yani bacakları alttaydı ve standart klipslerle tutturmak imkansızdı.
Burada işi uzmanına bırakmaya karar verdik. Hasan Merkit’in tavsiyesiyle yollara düştüm. Çağlayan’dan çıktım, Küçükçekmece’de Baran’ı aldım ve ver elini Büyükçekmece, Karakuş Elektronik.
Samet Bey bizi kırmadı. Sıcak hava tabancasıyla o hassas çipi yerinden söktü. Başta okuyucu cihaz çipi tanımasa da datasheet’leri inceleyip doğru profili buldu ve veriyi çekmeyi başardık. Çipi de sağ salim geri lehimledi, çünkü modem bize hala lazımdı; henüz ötmemişti!
Bu arada Karakuş Elektronik’e de parantez açalım; anakarttan BIOS’a, BGA onarımından MacBook tamirine kadar harika iş çıkarıyorlar. Kendilerine buradan bir kez daha teşekkür ediyoruz.
Bölüm 4: Veri Çöplüğü ve Linux’a Geçiş
Elimizde artık modemin beyni, yani NAND yedeği vardı. Ofise döner dönmez veriyi incelemeye başladım. Hatta bu analiz süreci için bilgisayarıma Linux Mint kurdum ve o gün bugündür de Linux kullanıyorum.
Binwalk ile dosyayı taradığımızda XML dosyaları bulduk ama bir gariplik vardı. Dosya boyutu 137 Megabayt’tı. Bir XML dosyası için bu imkansızdı. Dosyayı açtığımızda içinde anlamsız karakterler, bozuk veriler gördük. Meğer donanımsal okuma yaptığımız için verilerin arasına OOB (Out of Band) dediğimiz hata düzeltme kodları karışmış.
Bunu temizlemek için GitHub’daki scriptleri denedik ama olmadı. Tam tıkandık derken gömülü yazılım mühendisi arkadaşım Onur Yıldız imdada yetişti. Bizim için özel bir script yazıp veriyi “çöplerden” arındırdı. Artık elimizde tertemiz bir Firmware dökümü vardı.
Bölüm 5: Tersine Mühendislik ve Şifreleme Duvarı
Temiz dosyaya ulaştık ama asıl sorun hala karşımızdaydı: Config dosyası şifreliydi.
ABD Ulusal Güvenlik Dairesi’nin (NSA) geliştirdiği Ghidra yazılımını kurduk. Dosyaları analiz ettikçe işin rengi değişti. TP-Link, eski modellerin aksine DES şifreleme standardı kullanıyordu. Ekran kartlarıyla Brute-force (kaba kuvvet) saldırısı denedik, GDBServer ile modemi canlı debug etmeye çalıştık… Haftalarca uğraştık ama o şifreleme duvarını bir türlü aşamadık.
Bölüm 6: Bir Hacker Hikayesi (eigma ve Foulab)
Artık tek başımıza olmadığımızı kabul edip Reddit’in “Hardwarehacking” topluluğuna başvurduk. Ve beklediğimiz kahraman oradan çıktı: “eigma” kullanıcı adlı bir geliştirici.
Eigma, NAND dökümümüzü inceledi ve kısa sürede config dosyasının şifreleme algoritmasını kırmayı başardı! Kendisine emeği için 100 Dolar teklif ettik. O ise parayı kendisine değil, Kanada’daki “Foulab” hacker topluluğuna bağışlamamızı istedi. Biz de seve seve 100 Kanada Doları bağışı yaptık.
Bölüm 7: Arka Kapıyı (Backdoor) Bulmak
Şifreyi çözmüştük, config dosyasını açabiliyorduk ama modeme hala ne SSH ne de Telnet ile bağlanabiliyorduk. Eigma bu sefer config dosyasını kontrol eden kod bloğunu paylaştı.
İşte tam burada yapay zeka devreye girdi. Kodu alıp Gemini’a “Bu kod ne yapıyor?” diye sordum. Gemini, kodun içinde gizli bir “Backdoor” (arka kapı) olduğunu söyledi. Eğer X_TP_IsManufacture değeri 1 yapılır, kullanıcı adı ve şifre admin_test olarak ayarlanırsa, modem tüm kapıları açıyordu!
Hemen XML dosyasında bu değişikliği yapıp modeme geri yükledik. Ve bingo! Artık SSH üzerinden root erişimimiz vardı. Bu zaferin şerefine Foulab’e bir 100 dolar daha bağışladık.
Bölüm 8: Modemi Brick Etmek ve Uzaktan Ameliyat
“Root olduk, bitti” sanıyorsanız yanılıyorsunuz. Arayüzde hala istediğimiz yetkilere sahip değildik. Techolay Sosyal’den Majdev, bizim için özel (custom) bir firmware hazırladı. “Bunu yüklersek her şey çözülür” dedik. Yükledik… Ve modem sustu. Cihaz “Brick” olmuştu, yani tuğladan farkı yoktu. Sürekli reset atıyordu.
Yine eigma devreye girdi. Ama adam Kanada’da, modem İstanbul’da. Nasıl düzeltecek? Şöyle yaptık: Modemi ofisteki akıllı prize (TP-Link Tapo P115) bağladık. Yanına bir Raspberry Pi koyduk. Eigma, Kanada’dan Raspberry Pi’ye bağlandı, akıllı priz sayesinde modemi açıp kapatarak, binlerce kilometre öteden cihaza müdahale etti.
Sonuç: Mutlu Son
Eigma, uzaktan yaptığı bu “ameliyatla” modemi hayata döndürdü, hatta üzerinde OpenWRT bile çalıştırdı. Tam bu sırada Techolay Sosyal’den “ferdi15tr” isimli bir başka arkadaşımız, kırdığımız şifre algoritmasını kullanarak Web arayüzünden root yetkisi almanın yolunu buldu.
Sonuç olarak; bir şifre öğrenmek için çıktığımız bu yolda modemi söktük, çipini okuduk, Linux’a geçtik, okyanus ötesinden hacker tuttuk ve koca bir topluluğun yardımıyla TP-Link VC220-G3u’nun tüm sırlarını çözdük.
Bu sadece bir modem hackleme hikayesi değil, bir inat ve dayanışma hikayesidir. Bu videodan sonra dava edilmemiz olası ama siz destek olursanız, arkamızda durursanız sırtımız yere gelmez. O yüzden lütfen videoyu beğenin, paylaşın, hype puanı verin ve en önemlisi de yorum yapın.
Sırada TP-Link EX520v modeli var. Biz üstümüze düşeni yapacağız ama takıldığımız yerde yine cebimizden harcama yapmamız gerekebilir. Bu yüzden videoya bağış yaparsanız inanılmaz güzel olur.
Okuduğunuz için teşekkürler. Heyecanınızı kaybetmeyin!