2018 年 10 月初,彭博发布的一篇轰动业内的宣布称,“包括苹果和亚马逊在内的紧张科技公司所利用做事器的超威(Supermicro)主板,都已经被秘密地植入了米粒大小的芯片,从而使得中国黑客能够深入探查这些网络”。当时,苹果、亚马逊和超微公司都强烈否认了该宣布。美国干系政府部门后也将其视为虚假宣布予以驳回。
根据《连线》的宣布,虽然这个故事的真实性遭到批驳,但安全部门已经警告称,宣布所描述的供应链攻击的可能性是真实存在的。据有名泄密者爱德华·斯诺登(Edward Snowden)透露,美国国家安全局多年来一贯在做类似的事情。
现在,研究职员有了一个更真实的展示:在一个公司的硬件供应链中植入一个眇小的、难以检测的特工芯片,将是非常随意马虎且低本钱的。个中一个实验已经证明,它乃至不须要某个国家支持的特工机构来完成,仅仅一名拥有访问权限的硬件黑客和代价 200 美元的设备就能实现这一操作。
在 10 月 21 日举行的国际工业掌握安全峰会 CS3sthlm 上,安全研究员 Monta Elkins 详细讲述他如何在自家地下室里创建了一个硬件黑客的观点验证版本。他打算证明,特工、犯罪分子或毁坏分子,纵然技能再低,也能在预算有限的情形下,在企业IT设备中植入芯片,为自己供应隐秘的访问权限。只须要 150 美元的热风焊接工具,40 美元的显微镜,以及网上订购的 2 美元的芯片,Elkins 就可以变动思科公司(Cisco)的防火墙。他说,大多数 IT 职员可能不会把稳到这一点,但却可以给远程攻击者很高的掌握权限。
据《连线》宣布,Elkins 是工业掌握系统安全公司 FoxGuard 的“首席黑客”。他说:“我们认为这些东西太神奇了,但并不是那么难。通过向人们展示硬件,我想解释这是真实的,并不是魔术。我可以在我的地下室做到这一点,还有很多人比我聪明,他们险些可以轻易做同样的事 ”。
植入防火墙的芯片Elkins 利用的是 ATtiny85 芯片,大约 5 平方毫米,这是他从一块售价 2 美元的 Digispark Arduino 电路板上抠下来的。
这块芯片的尺寸比小指指甲盖还小。在将代码写入芯片后,Elkins从Digispark 板上拆下,并将其焊接到 Cisco ASA 5505 防火墙的主板上。他将焊点选在了一个不显眼的地方,不须要额外的布线,就可以让芯片进入防火墙的串口。
下图显示了在繁芜的防火墙主板中识别芯片的难度 (纵然是相对较小的 6-7 英寸的 ASA 5505) 。 Elkins 表示,他本来可以利用更小的芯片,但选择了 ATtiny85,由于它更随意马虎编程。他说,他还可以把恶意芯片藏得更奥妙一些,藏在电路板上的几个射频屏蔽“罐”里,但他希望能够在 CS3sthlm 大会上展示芯片的位置。
图 | Cisco ASA 5505 防火墙主板,赤色椭圆标注的便是 Elkins 添加的 5 平方毫米芯片(来源:Monta Elkins)
一旦防火墙在目标的数据中央启动,Elkins 就将他的小型植入芯片编程为进行攻击。它会伪装安全管理员,将他们的打算机直接连接到该端口,从而访问防火墙的配置。然后,该芯片触发防火墙的密码重置功能,创建一个新的管理员帐户,并得到对防火墙设置的访问权限。
Elkins 在实验中利用了思科的 ASA 5505 防火墙,由于它是他在 eBay 上创造的最便宜的防火墙,但是他说,任何能在密码丢失的情形下供应重置选项的思科防火墙都可以利用。思科在一份声明中说:“我们致力于提高透明度,并正在调查研究职员的创造。如果创造须要客户把稳的新信息,我们将通过正常渠道进行沟通。”
Elkins 认为,一旦恶意芯片能够访问这些设置,他的攻击就可以变动防火墙的设置,从而使黑客可以远程访问设备,禁用其安全功能,并使黑客可以访问其看到的所有连接的设备日志,这些都不会提醒管理员。 “我基本上可以变动防火墙的配置,使其能够实行我想让它做的任何事情”。Elkins 表示,通过更多的逆向工程,也可以对防火墙固件进行重新编程,使其成为监视受害者网络更全面的立足点,只管他在观点验证中没有走得那么远。
不起眼的小芯片Elkins 的事情是继古人之后的又一次考试测验。去年 12 月,作为 Chaos Computer Conference 上揭橥的研究的一部分,独立安全研究职员 Trammell Hudson 为超微公司电路板建立了观点验证,试图模拟《彭博商业周刊》描述的黑客的技能。即在超微主板上植入一个芯片,可以访问它的基板管理掌握器(BMC),这就许可对主板进行远程管理,为黑客供应对目标做事器的深度掌握。
Hudson 过去曾在桑迪亚国家实验室(Sandia National Labs)事情,现在经营自己的安全顾问公司。
他在超微主板上找到了一个位置,并用自己的芯片更换了一个眇小的电阻器,用来改变 BMC 的输入和输出数据。这正是《彭博商业周刊》描述的那种攻击。然后,他利用了所谓的现场可重编程门阵列(一种用于对定制芯片进行原型设计的可重编程芯片)充当该恶意拦截组件。
Hudson 的 FPGA 面积不到 2.5 平方毫米,仅略大于它在超微主板上更换的 1.2 平方毫米的电阻。但他说,以真正的观点验证风格,他实际上并未真正地隐蔽该芯片,而是通过布线和鳄鱼夹将其连接到主板上。但是,Hudson 认为,真正的攻击者只要拥有制造定制芯片的资源(该过程可能花费数万美元),就可以履行更暗藏的攻击,制造出可以实行相同操作的体积比电阻小得多的芯片。Hudson 说,结果乃至可能只有一平方毫米的百分之一,比米粒小得多。
Hudson 说:“对付不担心钱的黑客来说,这并不是一件困难的事情。”
超微公司在一份声明中说:“对付一年多以前的虚假宣布,没有必要进一步评论。”
Elkins 指出,他的基于防火墙的攻击虽然繁芜度要低得多,根本不须要那种定制芯片,只须要 2 美元的芯片就行。 Elkins 说:“不要轻视这种攻击,这并不须要芯片厂来做。基本上,任何电子爱好者都可以在家中制作。”
Elkins 和 Hudson 都强调说,他们的事情并不旨在验证《彭博商业周刊》关于利用设备中植入的微型芯片进行广泛硬件供应链攻击的宣布。两位研究职员都指出,传统的软件攻击常日可以为黑客供应同样的访问权限,但不一定具有相同的暗藏性。
但是 Elkins 和 Hudson 都认为,通过供应链攻击进行基于硬件的特工活动在技能上具备可行性,而且可能比天下上许多安全管理员意识到的要随意马虎得多。Elkins 说:“我希望人们认识到,芯片植入技能并不迢遥,它们相对大略。如果我能做到这一点,那么有亿万预算的人早就能做到了。”
