Установка шпионских кристаллов ИС обходится всего в 200 долл.

Установка шпионских кристаллов ИС обходится всего в 200 долл.

Выпуск 22 (6696) от 07 ноября 2019 г.
РУБРИКА: УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ

Специалисты по безопасности доказали, что кристаллы ИС можно легко скрыть внутри ИТ‑оборудования и собрать шпионскую микросхему, не выходя из дома.

Больше года прошло с вызвавшего большой ажиотаж в мире кибербезопасности заявления журнала Bloomberg Businessweek о том, что в материнские платы Supermicro, которые используются на серверах таких крупнейших технических фирм, как Apple и Amazon, были незаметно имплантированы кристаллы ИС размером с рисовое зерно, что позволило китайским хакерам проникнуть в вышеупомянутые сети. Apple, Amazon и Supermicro категорически опровергли эту информацию, Агентство национальной безопасности (АНБ) посчитало заявление ложной тревогой, а хакерская конференция Defcon удостоила его двух наград Pwnie – ​за «самую серьезную ошибку» и «самый грандиозный провал». И никакими последующими документами еще не подтверждена основная предпосылка новости. Тем не менее сообщество специалистов по безопасности предупреждает, что вероятность описанных атак в цепочках поставок вполне реальна. В конце концов, согласно сообщениям Эдварда Сноудена, АНБ использовала подобную схему по внедрению шпионских элементов в течение многих лет. Чтобы показать, насколько просто и дешево можно внедрить крошечный кристалл ИС, который трудно обнаружить, в цепочку поставок оборудования компании, ряд специалистов решили произвести собственный эксперимент. Как продемонстрировал один из них, ему даже не понадобилось спонсируемое государством шпионское агентство – ​для эксперимента достаточно одного заинтересованного аппаратного хакера с хорошими возможностями доступа и оборудованием всего за 200 долл.

На конференции по безопасности CS3sthlm будет показан процесс создания пробной версии аппаратного взлома, который Монта Элкинс, исследователь по безопасности, осуществил буквально в своем подвале. Его цель – ​продемонстрировать, как легко шпионы, преступники или диверсанты, обладающие даже минимальными навыками в области ИТ и работающие с ограниченным бюджетом, могут внедрить кристалл ИС в ИТ-оборудование предприятия и получить удаленный доступ к внутренним данным. Используя только инструмент для пайки горячим воздухом стоимостью в 150 долл., микроскоп за 40 долл. и несколько микросхем по 2 долл., которые можно заказать в Интернете, хакер смог изменить брандмауэр Cisco таким образом, что, по его словам, большинство ИТ-администраторов вряд ли это заметят, но при этом злоумышленник сможет получить тотальный контроль над системой.


Жучок в брандмауэре

Элкинс использовал кристалл ИС ATtiny85 размером около 5 мм, который он нашел на плате Digispark Arduino стоимостью 2 долл. После записи своего кода в этот кристалл ИС Элкинс снял его с платы Digispark и припаял к материнской плате межсетевого экрана Cisco ASA 5505 (см. рисунок). Он использовал незаметный участок платы, который не требовал дополнительной проводки, при этом кристалл ИС получил доступ к последовательному порту брандмауэра.

Фотография дает хорошее представление о том, насколько тяжело будет обнаружить кристалл ИС на фоне сложной системы строения платы брандмауэра – ​даже при относительно небольших размерах ASA 5505в 6–7 дюймов. Элкинс предполагает, что можно было бы использовать кристалл ИС еще меньшего размера, однако он выбрал ATtiny85 и поэтому упростил процесс программирования. Также, для наглядности, исследователь не стал намеренно прятать кристалл ИС внутри одной из деталей радиочастотного экранирования на плате, хотя такая возможность есть.

Элкинс запрограммировал свой крошечный запасной кристалл ИС так, чтобы провести атаку, как только брандмауэр загрузится в целевой центр обработки и передачи данных. Кристалл ИС запускает функцию восстановления пароля брандмауэра, создавая новую учетную запись администратора и тем самым получая доступ к настройкам брандмауэра. Межсетевой экран Cisco ASA 5505 был использован в эксперименте, поскольку это самый дешевый вариант, который только можно найти на eBay, но в принципе годится любой межсетевой экран Cisco, предлагающий восстановление на случай утери пароля.



Источник: Монта Элкинс

Нижняя сторона материнской платы брандмауэра Cisco ASA 5505. Красным овалом отмечен 5-миллиметровый кристалл ИС, который добавил Элкинс


После того как установленный кристалл ИС получит доступ к системе, его атака меняет настройки брандмауэра. Хакер получает удаленный доступ к устройству и может отключить его функции безопасности, а также получить доступ к журналу, в котором фиксируются все подключения, при этом ни одно из сопряженных устройств не отправит администратору сигнал о вторжении. Элкинс говорит, что при чуть более интенсивном использовании обратного инжиниринга можно было бы перепрограммировать прошивку брандмауэра, чтобы превратить его в более полноценную функциональную площадку для шпионажа за потенциальными сетями.


Маленький нюанс

Работе Элкинса предшествует попытка воспроизвести гораздо более точную модель аппаратного взлома, которую Bloomberg описал в своем сценарии внедрения в цепочку поставок. В рамках своего исследования, представленного на компьютерной конференции Chaos в декабре 2018 г., независимый исследователь безопасности Траммелл Хадсон доказал концепцию «зараженной» платы Supermicro, имитируя приемы китайских хакеров, описанные в истории Bloomberg. Это подразумевало установку кристалла ИС на материнскую плату Supermicro с доступом к ее контроллеру управления материнской платой или BMC10 – ​компоненту, позволяющему осуществлять удаленное администрирование, – ​что дало бы хакеру всесторонний контроль над целевым сервером.

Хадсон нашел место на плате Supermicro, где он мог бы заменить крошечный резистор собственным кристаллом ИС, чтобы в реальном времени изменять входящие и исходящие данные BMC – ​именно такую атаку описал Bloomberg. Затем он использовал так называемую вентильную матрицу, программируемую пользователем (FPGA), – ​эти перепрограммируемые кристаллы ИС иногда применяются для создания прототипов нестандартных конструкций ИС, – ​чтобы та служила в качестве компонента злонамеренного перехвата.

FPGA Хадсона, площадью менее 2,5 мм, была лишь немногим больше, чем 1,2-мм резистор, изначально стоявший на плате Supermicro. Хадсон не пытался скрыть кристалл ИС, замаскировав его под оригинальную деталь, однако он утверждает, что настоящий злоумышленник, обладающий ресурсами для изготовления нестандартных микросхем – ​процесс, который, вероятно, обойдется в десятки тысяч долларов, – ​мог бы осуществить гораздо более скрытную версию атаки, создав микросхему, которая выполняла бы те же самые функции фальсификации работы BMC и занимала при этом гораздо меньше места, чем исходный резистор. Фактически можно создать кристалл ИС площадью в одну сотую квадратного миллиметра, что намного меньше, чем рисовое зерно, описанное Bloomberg.

Элкинс отмечает, что его атака на основе брандмауэра, конечно, гораздо менее изощренная, однако не требует специально разработанного кристалла ИС – ​достаточно того, который он купил за 2 долл. Поэтому такой вариант не стоит сбрасывать со счетов – ​он показывает, что злоумышленникам не обязательно пользоваться дорогостоящими услугами кремниевых заводов, достаточно разбираться в электронике на уровне хорошего любителя. Элкинс и Хадсон подчеркивают, что их работа не сводится к подтверждению истории Bloomberg об атаках на оборудование при помощи установленных шпионских кристаллов ИС, однако стоит понимать, что аппаратный шпионаж с помощью внедрения в цепочку поставок – ​техническая реальность, и реализовать его куда проще, чем думают многие мировые специалисты по безопасности.


Greenberg Andy. Planting Tiny Spy Chips in Hardware Can Cost as Little as $200. Wired, October 10, 2019: https://www.wired.com/story/plant-spy-chips-hardware-supermicro-cheap-proof-of-concept/


МНЕНИЕ ЭКСПЕРТА

Ренат Юсупов

В общем случае описанные в статье угрозы блокируются путем ликвидации технических (побочных) каналов утечки информации и контроля за встроенными средствами дистанционного мониторинга и управления. Для технических каналов основной является борьба с паразитными электромагнитными излучениями, утечками по электрической сети, побочным каналам, возникающим при подключении внешних устройств. Меры борьбы с ними известны и успешно применяются в защищенных системах.

Что касается блокирования утечек через средства мониторинга и управления, то единственным разумным вариантом видится аппаратное экранирование и фильтрация на уровне протоколов с дополнительным функционалом блокировки потенциально возможной модуляции по обращениям к системе мониторинга и управления. Это тоже реализуемо, но требует глубокой переработки схемотехники средств вычислительной техники и встроенного микрокода. Вывод один – ​разрабатывать лучше в России и сразу с учетом описанных выше угроз.

ЧИТАЙТЕ ТАКЖЕ

Выпуск 12(6686) от 20 июня 2019 г. г.
Выпуск 2(6726) от 28 января 2021 г. г.