Rambler's Top100
Статьи ИКС № 3 2019
Николай НОСОВ  25 июня 2019

Аппаратное обеспечение – источник угроз кибербезопасности

Атаки на «железо» – новый тренд в киберпреступлениях. Для организации атаки на аппаратном уровне уже необязательно иметь дорогостоящее оборудование. Риски возросли, и это надо учитывать бизнесу, в том числе владельцам дата-центров.

Аннушка уже пролила масло

Риск – неотъемлемая часть жизни. Можно поскользнуться и попасть под трамвай, простудиться в офисе под кондиционером, получить по голове свалившимся с крыши кирпичом. Полностью избавиться от опасностей не смог даже премудрый пескарь, стопроцентную безопасность не обеспечит и страховой полис. Вся жизнь – это управление рисками, а для того чтобы управлять, надо видеть угрозы, оценивать их вероятность и «цену вопроса» – к каким последствиям приведут нежелательные события и во сколько обойдутся меры по снижению вероятности их наступления.

Это справедливо и по отношению к бизнесу в современном цифровом мире. Компании, продающие «каски», будут уверять, что они необходимы всем и всегда, причем именно их каски уберегут от падения самого большого кирпича. Бизнес рассматривает модели угроз и думает – принимать или не принимать риски, ведь чрезмерные вложения в безопасность могут даже разорить компанию. Ясно одно – бизнес должен знать о существующих угрозах и иметь средства минимизации их последствий.

Одна из редко обсуждаемых тем – уязвимость аппаратного обеспечения – была ключевой на международной конференции по практической кибербезопасности OFFZONE 2019. Средний возраст участников – 24 года, и это учитывалось организаторами: выставку мероприятия оформили в стилистике квеста по постапокалиптическому миру. Но темы поднимались совсем не игрушечные.
Раньше считалось, что использование уязвимостей в «железе» – это сложно, дорого и по силам только высококвалифицированным специалистам из спецслужб. «К сожалению, оборудование для атак, такое как микроскоп для изучения устройства микропроцесора, стоившее несколько сотен миллионов рублей, подешевело в десятки, а в некоторых случаях в сотни раз. Сейчас на китайских торговых площадках можно «собрать» вполне приличную лабораторию за разумные деньги», – отметил директор блока экспертных сервисов BI.ZONE Евгений Волошин. Компания представила обзор «Атаки на встраиваемые системы», в котором анализируются атаки на работающие в тесной связке «железо» (hardware) и низкоуровневое программное обеспечение (прошивка, firmware).

Атаки на внешние протоколы

У «железа» те же проблемы, что и у софта: трояны, бэкдоры, ошибки разработчиков. Показательный пример – уязвимости Spectre и Meltdown, обнаруженные в процессорах Intel. Но атаки на аппаратное обеспечение более опасны, ведь если «железо» «взломают», то программные механизмы защиты станут неэффективными.

Самый простой путь атаки на аппаратную часть – через внешние протоколы. Большинство протоколов (USB, Bluetooth, CAN) документированы, для них существуют готовые адаптеры, модули приема и передачи. Для проведения атаки злоумышленник анализирует внешние коммуникации целевого устройства и подготавливает собственное программно-аппаратное решение. Примером может служить внешнее управление автомобилем посредством незаметно внедренного небольшого вредоносного устройства, которое несложно подключить к CAN-шине на мойке или в автосервисе.

Другой объект атаки – банкоматы. Согласно исследованию компании Positive Technologies «Сценарии логических атак на банкоматы, 2018», 69% банкоматов уязвимы для атаки Black Box, при осуществлении которой преступник вскрывает слабозащищенный блок сервисной зоны и подключает к шине диспенсера устройство, подающее команду на снятие наличных.

Уязвимы и протоколы беспроводной связи. Cети 2G и 3G работают с сигнальным протоколом SS7, разработанным еще в 1975 году. Он практически не имеет защиты и в настоящее время безнадежно устарел. Взломавшие протокол хакеры могут не только организовать прослушку и DDoS-атаки, но и перехватывать SMS-сообщения. В прошлом году появилась информация о случаях обхода таким способом двухфакторной аутентификации банков. Как сообщала немецкая газета Süddeutsche Zeitung, злоумышленники с помощью вредоносного ПО и фишинга получали информацию о номере телефона и банковском аккаунте жертвы, а потом переводили с ее счета средства, перехватывая SMS-сообщение с кодом подтверждения и направляя его на свой телефонный номер. Другой пример атаки на беспроводные каналы – создание радиопомех, мешающих отправке сигнала тревоги от инкассаторского автомобиля.

Атаки на встроенное ПО

Подключив устройство к программатору и сняв дамп (полное или частичное содержимое памяти компьютерной системы в определенный момент времени), атакующий получит микрокод, записанный в процессоре, микроконтроллере или микросхеме памяти. Для восстановления алгоритма из машинного кода в читаемый человеком формат применяются дизассемблеры (IDA Pro, Radare2 и др.), которые хорошо справляются с анализом известных архитектур типа ARM, MIPS, PowerPC. Анализ алгоритма работы программы поможет злоумышленнику найти уязвимости. Обратная разработка конфигурационного файла ПЛИС позволит извлечь заложенные производителем алгоритмы, а затем модифицировать и использовать в своих целях.

В программном коде могут присутствовать логические уязвимости, скажем, команды, некорректно обрабатывающие редко встречающиеся события. Пример логической уязвимости – СVE-2014-1266: лишняя строка кода в функции верификации сертификата на iOS позволяла проводить атаку «человек посередине» с подменой трафика.

Программная «закладка» (скрытно внедренная в ПО функциональность) может умышленно создаваться разработчиком или вноситься при установке обновления. По мнению специалистов, именно при обновлении ПО был установлен бэкдор, впоследствии
 приведший к массовому заражению червем NotPetya.

Атаки на электрическую схему

Злоумышленники занимаются не только разбором кода, но и анализом аппаратной части атакуемого устройства – электрических схем печатных плат. Цель – обратная разработка печатных плат. Для этого собирается открытая информация о маркировке компонентов электрических схем, находится техническая спецификация атакуемого компонента и определяется его назначение. С помощью компьютерной томографии получают электрические схемы соединений в слоях многослойной платы.
Анализ электрической схемы позволяет понять принцип работы устройства, клонировать его с целью подделки, найти уязвимые места для добавления вредоносной функциональности, например найти JTAG-интерфейсы для снятия дампов памяти и отладки ПО. Одно из наиболее распространенных применений атаки – кража интеллектуальной собственности, например, обратное проектирование печатных плат игровых консолей.

Существуют аппаратные «закладки», умышленно внедряемые на этапе конструирования или скрытно подключаемые к готовому устройству. Например, клавиатурные шпионы (снифферы), которые регистрируют данные, вводимые с клавиатуры. Не так давно эти устройства были популярны у преступников, перехватывающих пин-коды карт жертв при наборе цифр на клавиатуре банкоматов.

Спецслужбы используют более сложные устройства. Так, в документах, опубликованных Эдвардом Сноуденом, описан снабженный радиопередатчиком подключаемый USB-разъем COTTONOUTH-I, который обеспечивает беспроводной доступ к компьютеру жертвы.

Атака на микропроцессор

Атаки проводятся и на самом нижнем уровне, на уровне микросхемы. Например, организуются пассивные атаки, не влияющие на работу устройства. При вычислениях чип потребляет электроэнергию, испускает излучение и затрачивает на обработку данных какое-то время. Все эти эффекты используются для атак по второстепенным каналам. Замер времени работы алгоритма сравнения введенного символа с секретным позволяет атакующему посимвольно подбирать пароль. Снятие осциллограмм потребляемого тока задействуется для идентификации применяемого криптографического алгоритма, а осциллограмма электромагнитной активности интегральной схемы – для извлечения секретного ключа.

Провоцирование кратковременного сбоя в работе внутренних логических элементов позволяет отключить предусмотренные разработчиком защитные механизмы, например проверку корректности введенного пин-кода. Данный вид атак широко использовался в середине 1990-х для атаки на смарткарты спутникового телевидения. Для получения секретного ключа могут применяться атаки по питанию с кратковременным понижением питающего логические элементы напряжения. А декапсуляция (вскрытие корпуса микросхемы) дает возможность осуществлять атаки оптическим импульсом на чувствительные к свету полупроводниковые транзисторы. Без декапсуляции можно обойтись при атаке на определенную область кристалла электромагнитным импульсом, вызывающим кратковременный сбой в работе внутренних логических элементов.

Широкие возможности дают атакующему инвазивные атаки с прямым доступом к внутренним элементам кристалла. Наиболее известный пример – подделка картриджей для принтеров, контроллеров для игровых консолей и смарт-карт, открывающих доступ к просмотру платного телевидения.

Облака под угрозой

Список приведенных в исследовании BI.ZONE способов взлома встраиваемых систем выглядит устрашающе. Зачастую не видно экономически приемлемых способов решения проблем, а существующие обойдутся слишком дорого. Главный исследователь по взлому прошивок и «железа» компании NVIDIA Александр Матросов считает, что наступил золотой век для закладок на уровне встраиваемых систем (firmware и hardware). Имплант на плате или закладка в прошивке могут скомпрометировать почти любое программное решение. Используемые в облаках стандартизированные «железо» и интерфейсы еще больше упрощают работу злоумышленников.


Путь аппаратных компонентов – материнских плат, процессоров, контроллеров, микросхем памяти – от завода до дата-центра очень долог. И на каждом этапе возможно внедрение «закладок» (supply chain atacks). Причем производителю конечного устройства трудно контролировать всех многочисленных поставщиков. «Взломанный BIOS на сервере позволяет атаковать любой инстанс, запущенный в облаке. И как мы видим из последних новостей, supply chain attacks – это уже мейнстрим», – заявил Александр Матросов, продемонстрировавший в докладе на конференции слайд с заголовками статей. Так, издание Bloomberg Businessweek рассказало о выявленном Amazon крошечном постороннем чипе на материнских платах компании Supermicro, которые производятся на заводе в Китае. Микропроцессор размером с рисовое зерно давал доступ к компьютеру, а контроль над серверами Supermicro позволял злоумышленникам изменять код обновления прошивок материнских и сетевых карт клиентов компании.


Аппаратные уязвимости не всегда удается исправить обновлением прошивки, иногда для этого приходится заново проводить разработку. Да и выпустить новое устройство зачастую выгоднее, чем заниматься «закрытием» уязвимостей в старом. Вендоры так и поступают, а в эксплуатации остается огромное количество уязвимых устройств, которые злоумышленники могут использовать в своих целях, что и продемонстрировали недавние DDoS-атаки на устройства интернета вещей.

Полностью защититься от аппаратных атак невозможно даже крупным игрокам, не говоря уже о владельцах небольших дата-центров. Можно постоянно ходить в каске, опасаясь падения кирпича на голову с крыши, но все же разумней надевать ее только на стройплощадке, где вероятность такого события намного выше. Нужно трезво оценивать риски, искать оптимальные решения, использовать комплексный подход к обеспечению безопасности, делающий атаку невыгодной.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!