最多200美元！黑客就能用微型芯片破解硬件防火墻

一年多前，《彭博商業(yè)周刊》以一個(gè)爆炸性的話題搶占了網(wǎng)絡(luò)安全領(lǐng)域：蘋果、亞馬遜等大型科技公司使用的服務(wù)器中的超微主板被悄悄植入了米粒大小的芯片，這樣黑客就可以深入這些網(wǎng)絡(luò)進(jìn)行間諜活動(dòng)。蘋果、亞馬遜和Supermicro都強(qiáng)烈否認(rèn)了這一報(bào)道。國家安全局聲稱這是虛驚一場(chǎng)。世界黑客大會(huì)授予它兩個(gè)“安全奧斯卡獎(jiǎng)”，分別是“最夸張的漏洞獎(jiǎng)”和“最史詩般的失敗獎(jiǎng)”。尚無后續(xù)報(bào)告確認(rèn)其所提到的內(nèi)容。

但是，即使這個(gè)故事的事實(shí)尚未得到證實(shí)，安全部門警告說，它所描述的可能的供應(yīng)鏈攻擊實(shí)在是太真實(shí)了。畢竟，根據(jù)舉報(bào)人愛德華·斯諾登的泄密，美國國家安全局一直在做類似的事情?，F(xiàn)在，研究人員更進(jìn)一步，展示了如何在公司的硬件供應(yīng)鏈中輕松廉價(jià)地植入難以檢測(cè)的微小間諜芯片。其中一個(gè)研究人員已經(jīng)證明，它甚至不需要國家政府資助的間諜機(jī)構(gòu)就可以將其實(shí)施——只需要一個(gè)積極進(jìn)取的硬件黑客，擁有正確的訪問權(quán)限以及價(jià)值低至200美元的設(shè)備，就可以實(shí)施。

在本月晚些時(shí)候的CS3sthlm安全會(huì)議上，安全研究員Monta Elkins將展示他如何在自己的地下室創(chuàng)建這個(gè)硬件黑客的概念驗(yàn)證版本。他打算向世人證明，間諜、犯罪分子或具有最低技能的破壞者如何輕松地以低預(yù)算在企業(yè)IT設(shè)備中植入芯片，為自己提供隱身的后門訪問權(quán)限。（全部披露：我將在同一個(gè)會(huì)議上發(fā)言，該會(huì)議為我的旅行支付了費(fèi)用，并向與會(huì)者提供了我即將出版的書的副本。）僅在網(wǎng)上訂購了一個(gè)150美元的熱風(fēng)焊接工具、40美元的顯微鏡和一些2美元的芯片，Elkins能夠以某種方式更改Cisco防火墻。他說大多數(shù)IT管理員可能不會(huì)注意到這一點(diǎn)，但卻可以讓遠(yuǎn)程攻擊者獲得深層的控制。

“我們認(rèn)為這些東西是如此神奇，但它其實(shí)并不難，”Elkins說，他是工業(yè)控制系統(tǒng)安全公司FoxGuard的“首席黑客”。“通過向人們展示這個(gè)硬件，我希望讓它變得更真實(shí)。它不是神奇的，更不是天方夜譚。我可以在我的地下室做這件事。有很多人比我聰明，他們可以幾乎不花錢就做成這件事。”

防火墻中的指甲

Elkins在一塊2美元的Digispark Arduino板上發(fā)現(xiàn)了一塊面積約5平方毫米的ATtiny85芯片。不算是一個(gè)米粒大小，但比細(xì)手指指甲小。在將代碼寫入該芯片后，Elkins將其從Digispark板上拆下并焊接到Cisco ASA 5505防火墻的主板上。他裝在了一個(gè)不顯眼的地方，不需要額外的布線，并且可以讓芯片訪問防火墻的串行端口。

下圖顯示了在防火墻板復(fù)雜的情況下——即使在ASA 5505相對(duì)較小的6乘7英寸防火墻板尺寸的情況下，芯片很難被發(fā)現(xiàn)。Elkins說，他可以使用更小的芯片，但他最后選擇了Attiny85，因?yàn)樗菀拙幊獭Ｋf，他還可能在防火墻板上的幾個(gè)射頻屏蔽“罐”之一中更巧妙地隱藏了自己的惡意芯片，但他希望能夠在CS3sthlm會(huì)議上展示該芯片的位置。

Cisco ASA 5505防火墻主板的底部，紅色橢圓形表示Elkins添加的5平方毫米的芯片。

一旦防火墻在目標(biāo)的數(shù)據(jù)中心啟動(dòng)，Elkins就編程他的小型可偷渡芯片進(jìn)行攻擊。它冒充安全管理員，將他們的計(jì)算機(jī)直接連接到該端口，從而訪問防火墻的配置。然后芯片觸發(fā)防火墻的密碼恢復(fù)功能，創(chuàng)建一個(gè)新的管理員帳戶，并獲得對(duì)防火墻設(shè)置的訪問權(quán)限。Elkins說，他在實(shí)驗(yàn)中使用了Cisco的ASA 5505防火墻，因?yàn)檫@是他在eBay上找到的最便宜的防火墻。但他說，任何在密碼丟失的情況下提供這種恢復(fù)功能的Cisco防火墻，這種方法都奏效。Cisco在一份聲明中說：“我們致力于透明度中，并正在調(diào)查研究人員的發(fā)現(xiàn)。如果發(fā)現(xiàn)客戶需要注意的新信息，我們將通過正常渠道進(jìn)行溝通?！?/p>

Elkins說，一旦惡意芯片能夠訪問這些設(shè)置，他的攻擊就可以更改防火墻的設(shè)置，從而使黑客可以遠(yuǎn)程訪問設(shè)備，禁用其安全功能，并使黑客可以訪問并看到所有連接的設(shè)備日志，而且這些都不會(huì)提醒管理員?！拔一旧峡梢愿淖兎阑饓Φ呐渲?，讓它做任何我想做的事情?！盓lkins說。Elkins還說，如果進(jìn)行更多的反向工程，還可以重新編程防火墻的固件，使其為用于監(jiān)視受害者的網(wǎng)絡(luò)建立一個(gè)更全面的立足點(diǎn)，盡管對(duì)于這個(gè)概念的證明還在進(jìn)行中。

塵埃斑點(diǎn)

在Elkins的工作之前，他曾嘗試更精確地再現(xiàn)彭博社在其供應(yīng)鏈劫持場(chǎng)景中描述的那種硬件黑客攻擊。作為去年12月在Chaos Computer Conference大會(huì)上發(fā)表的研究報(bào)告的一部分，獨(dú)立安全研究員Trammell Hudson為Supermicro電路板建立了概念驗(yàn)證，該電路板試圖模仿彭博社故事中描述的黑客的技術(shù)。這意味著在超級(jí)微型主板上植入一塊芯片，可以訪問其基板管理控制器（或稱BMC），BMC是一種允許遠(yuǎn)程管理的組件，為黑客提供對(duì)目標(biāo)服務(wù)器的深度控制。

Hudson過去曾在桑迪亞國家實(shí)驗(yàn)室工作，現(xiàn)在經(jīng)營著自己的安全咨詢公司。他在超級(jí)微板上找到了一個(gè)點(diǎn)，在那里他可以用自己的芯片替換一個(gè)微小的電阻器，從而可以實(shí)時(shí)更改進(jìn)出BMC的數(shù)據(jù)，這正是彭博社所描述的那種攻擊。然后，他使用了所謂的現(xiàn)場(chǎng)可重編程門陣列（一種有時(shí)用于原型定制芯片設(shè)計(jì)的可重編程芯片）來充當(dāng)惡意攔截組件。

“對(duì)于一個(gè)想要花錢的對(duì)手來說，這不會(huì)是一項(xiàng)困難的任務(wù)?！卑踩芯繂TTrammell Hudson說。

Hudson的FPGA面積不到2.5平方毫米，只比它在超級(jí)微型板上替換的1.2毫米面積的電阻器略大一些。但他說，在真正的概念驗(yàn)證風(fēng)格中，他實(shí)際上并未嘗試隱藏該芯片，而是用一堆布線和鱷魚夾將其連接到板上。然而，Hudson認(rèn)為，一個(gè)真正的攻擊者擁有制造定制芯片所需的資源——可能要花費(fèi)數(shù)萬美元——可以進(jìn)行一個(gè)更為隱蔽的攻擊，制造出一個(gè)執(zhí)行相同BMC篡改功能的、比電阻占地面積小得多的芯片。Hudson說，結(jié)果甚至可能只有百分之一平方毫米，遠(yuǎn)遠(yuǎn)小于彭博社所說的米粒大小。

Hudson說：“對(duì)于一個(gè)想花錢的對(duì)手來說，這并不是一項(xiàng)困難的任務(wù)?！?/p>

超微在一份聲明中說：“對(duì)于一年多前的虛假報(bào)道，我們沒有必要作進(jìn)一步評(píng)論。”

但Elkins指出，他那基于防火墻的攻擊遠(yuǎn)遠(yuǎn)不需要那么復(fù)雜，完全不需要那個(gè)定制芯片，只需要2美元一個(gè)的芯片就好了。Elkins說：“不要因?yàn)槟阏J(rèn)為有人需要芯片制造廠來做這種芯片而輕視這次攻擊?；旧?，任何一個(gè)電子愛好者都可以在家里做一個(gè)這樣的版本?！?/p>

Elkins和Hudson都強(qiáng)調(diào)，他們的工作并不是為了證實(shí)彭博社關(guān)于在設(shè)備中植入微型芯片的供應(yīng)鏈攻擊故事。他們甚至不認(rèn)為這可能是平常常見的攻擊；兩位研究人員都指出，盡管不一定具有相同的隱蔽性，傳統(tǒng)的軟件攻擊通?？梢宰尯诳瞳@得同樣多的訪問權(quán)限。

但Elkins和Hudson都認(rèn)為，通過劫持供應(yīng)鏈所進(jìn)行基于硬件的間諜活動(dòng)仍然是一個(gè)技術(shù)現(xiàn)實(shí)，而且要比世界上許多安全管理員所意識(shí)到的要容易實(shí)現(xiàn)。“我想讓人們認(rèn)識(shí)到，芯片植入物并不是想象中的那樣。它們相當(dāng)簡單，”Elkins說?！叭绻夷茏龅竭@一點(diǎn)，有幾億預(yù)算的人可能已經(jīng)做了一段時(shí)間了?！?/p>

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。