Hesperus Crimean (merkyl) wrote,
Hesperus Crimean
merkyl

Аппаратная "тайм-бомба"

Оригинал взят у masterok в Аппаратная "тайм-бомба"


Про это мы часто разговаривали в компании мало что соображающих в этом людей. Нам представлялось, что это страшная проблема и загадка. Однако, действительность оказалась намного ужаснее ...

Термин "закладка" уже давно не является сленгом, он даже внесен в государственные стандарты Российской Федерации (ГОСТ Р 51275-99) техническим комитетом по стандартизации (раздел "Защита информации"). Речь там идет о различных несанкционированных способах доступа к защищаемой информации, в том числе и об использовании закладок.
Закладки (backdoors) можно разделить на три группы: алгоритмические, программные и аппаратные.

Алгоритмические закладки — это преднамеренное скрытое искажение части алгоритма программы, в результате которого возможно появление функций, не предусмотренных инструкцией. Программные закладки вносятся непосредственно в цифровой код. А вот аппаратные представляют собой электронные микросхемы, скрытно внедряемые в элементы атакуемой информационной системы.

Здесь существует два пути.





Можно добавлять в микросхему дополнительные логические цепи, а можно изменить работу уже имеющихся в схеме микротранзисторов. Если первый вариант еще возможно, хоть и с очень большим трудом, найти при микроскопии или применив специализированный метод поиска подобных модификаций, то второй способ размещения аппаратных закладок недоступен для обнаружения вообще.

Самые примитивные варианты аппаратных закладок знакомы почти всем — это клавиатурные шпионы, или кейлоггеры (англ. keylogger), — микроустройства, регистрирующие различные действия пользователя: нажатие клавиш на клавиатуре компьютера и на мыши, движения ею. Они могут располагаться в самой клавиатуре, системном блоке, подключаться между клавиатурой и компьютером, быть замаскированными под переходники.

Другой известный широкой публике вариант аппаратной закладки — так называемая ливанская петля — прием, с помощью которого блокируется банковская карта после того, как ее вставляют в банкомат. Владелец банковской карты пытается ее вытащить, но это оказывается невозможным. Однако как только он отходит от банкомата, злоумышленник может эту карту забрать.

По сравнению с этими грубыми вариантами аппаратных закладок современные технологии позволяют разместить нужную логическую схему на этапе проектирования, спрятав ее внутри миллиардов микротранзисторов. Пока их количество изменялось сотнями и тысячами, еще можно было обнаружить тот кусочек логики, который предназначен для описания действий, не обозначенных в программе. Когда транзисторов миллиард — закладку обнаружить просто невозможно.

Большинство стран, работающих со сложной техникой, привыкли составлять интегральные микросхемы для своих устройств из IP-блоков (intellectual property — интеллектуальная собственность разработчика), купленных за рубежом. Это похоже на конструктор Lego. Каждый специализированный IP-блок отвечает за свой "отрезок работы". Есть, например, IP–блок, обеспечивающий взаимодействие с USB. Если вы не включите этот блок в свое устройство, ваш прибор подключаться к USB не будет.

Разработка отечественных IP-блоков — дело чрезвычайно дорогое, за одну лицензию на средство проектирования придется заплатить 100 000 долларов в месяц, кроме того, сама разработка займет год-полтора. Поэтому даже в отечественных процессорах, например Baikal-T1 (основа систем управления станками), используются готовые IP-блоки зарубежного производства, с потенциальной возможностью внедрения аппаратных закладок. В отечественных банковских картах "Мир" также применяются зарубежные IP-блоки, несмотря на настойчивые предложения российских производителей микроэлектроники создать банковскую карту "с нуля". Что же это за национальная платежная система, если существует гипотетическая возможность, что где-то в Корее нажмут кнопку, и все сгорит?





А вот что было еще в 2010 году:

Вот название статьи тех времен - «В Россию поставляют ноутбуки-шпионы?». Речь в ней шла о защищенном ноутбуке Getac А790 Тайваньской компании Getac Technology.

В статье говорилось о наличии на этом компьютере предустановленной программе Computrace LoJack, разработанной канадской фирмой Absolute Software. Утверждалось, что программа приходит в активированном виде и сразу пытается подключиться к серверам в Канаде. Кроме того фирма производитель стимулировала продавцов техники в России для предоставления ей форвардной информации о заказчиках данных защищенных компьютеров.

В заключении делался однозначный вывод о целевой акции потенциального противника и утверждалось, что данные компьютеры широко применяются в Российских вооруженных силах….

Прочитав статью в «Комсомолке» сразу вспомнил о материале двухлетней давности посвященной этой же программе на сайте rom.by «BIOS-ный троян от Absolute Software». Там описывался механизм размещения и работы в БИОС программного модуля для сетевой активации программ удаленного управления и мониторинга вычислительной системой. Так что тема не нова, просто даже в голову не могло прийти, что такую «паленую» технику закупают военные.

Заинтересовавшись зашел на сайт разработчика программы и читаю, — программа посылает данные геолокации на удаленный сервер, имеет возможности удаленной блокировки компьютера и стирания информации с дисков по командам с серверов фирмы Absolute Software. Кроме этого возможен полный цикл удаленного менеджмента ноутбука начиная от обновления БИОС, установки и удаления любых программ и кончая переустановкой ОС.

Кроме этого на ноутбуке красуется голографический стикер спецпроверки.

Реакции на информацию о аппаратных закладках в МВК-2 не было, и эта «паленая» техника поступала на защищенные объекты.






...Cразу обратил внимание на сетевой чип Broadcom установленный в МВК-2. По кодам производителя вышел на конкретную микросхему Broadcom BCM 5752.

Чипы этого семейства засветились на множестве хакерских сайтов, журнал Хакер о нем писал в прошлом году как минимум дважды. Была статья «Руткит в сетевухе: фантазии программиста о создании непобедимого руткита» и более конкретная новость со ссылкой на успешный эксплоит: «Руткит в сетевой карте» французского исследователя.

Пристально вглядываюсь в блок-схему чипа, можно сказать сверлю ее взглядом, и наконец, до меня доходит, — TPM Security Core – это же ТРМ модуль!, смотрю в документацию и точно, именно в чипе ВСМ 5752 из этого семейства имеется встроенный ТРМ модуль стандарта 1.2, подключенный к LPC интерфейсу. Ожидаемый результат подтвердился, регистры ТРМ модуля были в рабочем состоянии. Только вот информация в них не соответствовала спецификации. В одном из активных регистров обнаружились Скан-коды клавиатуры…
Было похоже, что информация о сканкоде последней нажатой клавиши запоминается в регистрах, предназначенных для работы ТРМ модуля, а это уже напоминало аппаратный кейлоггер.






В этом чипе имеется собственная флеш-память (можно подключить и дополнительно внешнюю флоеш-память на выделенном SPI интерфейсе), собственная ОП, собственный RISC процессор.

Фактически это компьютер в компьютере, причем программы, прошитые внутри его флеш-памяти, выполняются как на собственном встроенном RISC процессоре, так и на центральном процессоре вычислительной установки, во время инициализации системы (расширенный БИОС на периферийных контроллерах).

Согласно документации внутри микросхемы находится всего 16Кбайт флеш-памяти, но на внешнем интерфейсе можно разместить дополнительно до 8Мбайт программ и данных. Представляете сколько туда можно «напихать» всего?

В связке с программой Computrace LoJack такой сетевой чип может все, что угодно…





Ну и кроме чипов есть еще кое что, о чем поведал Эдвард Сноуден опубликовав некоторые документы.


COTTONMOUTH-I аппаратная закладка на USB, предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими СOTTONMOUTH. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Существует версия под названием MOCCASIN, представляющая собой закладку в коннекторе USB-клавиатуры.


http://img11.nnm.me/1/9/c/0/3/ed99898ce94ad386f9d82c5b01b.jpg



COTTONMOUTH-II аппаратная USB-закладка предоставляющая скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый USB-коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.


http://img11.nnm.me/c/2/6/0/a/1782cde36b6a6cbad76d0e286a6.jpg



COTTONMOUTH-III аппаратная закладка в USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Представляет собой блок разъемов(RJ45 и два USB) устанавливаемых на шасси, может взаимодействовать с другими COTTONMOUTH установленными на этом же шасси.


http://img11.nnm.me/e/d/f/a/f/6295f9bffcf92f6823844e1cffe.jpg



FIREWALK аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные инъекции в Ethernet пакеты целевой сети. Позволяет создавать VPN туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH-III, такой же блок разъемов(RJ45 и два USB) на шасси. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY.



RAGEMASTER — аппаратная закладка позволяющая перехватить сигнал от VGA монитора. Закладка прячется в обычный VGA-кабель соединяющий видеокарту и монитор, установлена, как правило, в феррит на видеокабеле. Реализован захват сигнала с красного цветового канала. Представляет собой пассивный отражатель, т.е. активируется при облучении радиосигналом от специализированного излучателя.


http://img11.nnm.me/2/0/1/7/c/9a9beb554698a3f046b9b8cac52.jpg






[источники]
источники
http://nnm.me/blogs/konelav/apparatnaya-taym-bomba-kak-mikroshema-sposobna-vmeshatsya-v-proishodyashee/
https://ria.ru/science/20170924/1505378401.html
http://www.securitylab.ru/contest/430512.php



Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments