距離此前《彭博商業週刊》發表的“間諜芯片門”已經過去近一年。
2018 年 10 月初,彭博發佈的一篇轟動業內的報道稱,“包括蘋果和亞馬遜在內的主要科技公司所使用服務器的超威(Supermicro)主板,都已經被秘密地植入了米粒大小的芯片,從而使得中國黑客能夠深入探查這些網絡”。當時,蘋果、亞馬遜和超微公司都強烈否認了該報道。美國相關政府部門後也將其視為虛假報道予以駁回。
根據《連線》的報道,雖然這個故事的真實性遭到批駁,但安全部門已經警告稱,報道所描述的供應鏈攻擊的可能性是真實存在的。據知名洩密者愛德華·斯諾登(Edward Snowden)透露,美國國家安全局多年來一直在做類似的事情。
現在,研究人員有了一個更真實的展示:在一個公司的硬件供應鏈中植入一個微小的、難以檢測的間諜芯片,將是非常容易且低成本的。其中一個實驗已經證明,它甚至不需要某個國家支持的間諜機構來完成,僅僅一名擁有訪問權限的硬件黑客和價值 200 美元的設備就能實現這一操作。
在 10 月 21 日舉行的國際工業控制安全峰會 CS3sthlm 上,安全研究員 Monta Elkins 具體講述他如何在自家地下室裡創建了一個硬件黑客的概念驗證版本。他打算證明,間諜、犯罪分子或破壞分子,即使技能再低,也能在預算有限的情況下,在企業IT設備中植入芯片,為自己提供隱秘的訪問權限。只需要 150 美元的熱風焊接工具,40 美元的顯微鏡,以及網上訂購的 2 美元的芯片,Elkins 就可以更改思科公司(Cisco)的防火牆。他說,大多數 IT 人員可能不會注意到這一點,但卻可以給遠程攻擊者很高的控制權限。
據《連線》報道,Elkins 是工業控制系統安全公司 FoxGuard 的“首席黑客”。他說:“我們認為這些東西太神奇了,但並不是那麼難。通過向人們展示硬件,我想說明這是真實的,並不是魔術。我可以在我的地下室做到這一點,還有很多人比我聰明,他們幾乎可以輕易做同樣的事 ”。
植入防火牆的芯片
Elkins 使用的是 ATtiny85 芯片,大約 5 平方毫米,這是他從一塊售價 2 美元的 Digispark Arduino 電路板上摳下來的。
這塊芯片的尺寸比小指指甲蓋還小。在將代碼寫入芯片後,Elkins從Digispark 板上拆下,並將其焊接到 Cisco ASA 5505 防火牆的主板上。他將焊點選在了一個不顯眼的地方,不需要額外的佈線,就可以讓芯片進入防火牆的串口。
下圖顯示了在複雜的防火牆主板中識別芯片的難度 (即使是相對較小的 6-7 英寸的 ASA 5505) 。 Elkins 表示,他本來可以使用更小的芯片,但選擇了 ATtiny85,因為它更容易編程。他說,他還可以把惡意芯片藏得更巧妙一些,藏在電路板上的幾個射頻屏蔽“罐”裡,但他希望能夠在 CS3sthlm 大會上展示芯片的位置。
圖 | Cisco ASA 5505 防火牆主板,紅色橢圓標註的就是 Elkins 添加的 5 平方毫米芯片(來源:Monta Elkins)
一旦防火牆在目標的數據中心啟動,Elkins 就將他的小型植入芯片編程為進行攻擊。它會冒充安全管理員,將他們的計算機直接連接到該端口,從而訪問防火牆的配置。然後,該芯片觸發防火牆的密碼重置功能,創建一個新的管理員帳戶,並獲得對防火牆設置的訪問權限。
Elkins 在實驗中使用了思科的 ASA 5505 防火牆,因為它是他在 eBay 上發現的最便宜的防火牆,但是他說,任何能在密碼丟失的情況下提供重置選項的思科防火牆都可以使用。思科在一份聲明中說:“我們致力於提高透明度,並正在調查研究人員的發現。如果發現需要客戶注意的新信息,我們將通過正常渠道進行溝通。”
Elkins 認為,一旦惡意芯片能夠訪問這些設置,他的攻擊就可以更改防火牆的設置,從而使黑客可以遠程訪問設備,禁用其安全功能,並使黑客可以訪問其看到的所有連接的設備日誌,這些都不會提醒管理員。 “我基本上可以更改防火牆的配置,使其能夠執行我想讓它做的任何事情”。Elkins 表示,通過更多的逆向工程,也可以對防火牆固件進行重新編程,使其成為監視受害者網絡更全面的立足點,儘管他在概念驗證中沒有走得那麼遠。
不起眼的小芯片
Elkins 的工作是繼前人之後的又一次嘗試。去年 12 月,作為 Chaos Computer Conference 上發表的研究的一部分,獨立安全研究人員 Trammell Hudson 為超微公司電路板建立了概念驗證,試圖模仿《彭博商業週刊》描述的黑客的技術。即在超微主板上植入一個芯片,可以訪問它的基板管理控制器(BMC),這就允許對主板進行遠程管理,為黑客提供對目標服務器的深度控制。
Hudson 過去曾在桑迪亞國家實驗室(Sandia National Labs)工作,現在經營自己的安全顧問公司。
他在超微主板上找到了一個位置,並用自己的芯片替換了一個微小的電阻器,用來改變 BMC 的輸入和輸出數據。這正是《彭博商業週刊》描述的那種攻擊。然後,他使用了所謂的現場可重編程門陣列(一種用於對定製芯片進行原型設計的可重編程芯片)充當該惡意攔截組件。
Hudson 的 FPGA 面積不到 2.5 平方毫米,僅略大於它在超微主板上替換的 1.2 平方毫米的電阻。但他說,以真正的概念驗證風格,他實際上並未真正地隱藏該芯片,而是通過佈線和鱷魚夾將其連接到主板上。但是,Hudson 認為,真正的攻擊者只要擁有製造定製芯片的資源(該過程可能花費數萬美元),就可以實施更隱蔽的攻擊,製造出可以執行相同操作的體積比電阻小得多的芯片。Hudson 說,結果甚至可能只有一平方毫米的百分之一,比米粒小得多。
Hudson 說:“對於不擔心錢的黑客來說,這並不是一件困難的事情。”
超微公司在一份聲明中說:“對於一年多以前的虛假報道,沒有必要進一步評論。”
Elkins 指出,他的基於防火牆的攻擊雖然複雜度要低得多,根本不需要那種定製芯片,只需要 2 美元的芯片就行。 Elkins 說:“不要輕視這種攻擊,這並不需要芯片廠來做。基本上,任何電子愛好者都可以在家中製作。”
Elkins 和 Hudson 都強調說,他們的工作並不旨在驗證《彭博商業週刊》關於利用設備中植入的微型芯片進行廣泛硬件供應鏈攻擊的報道。兩位研究人員都指出,傳統的軟件攻擊通常可以為黑客提供同樣的訪問權限,但不一定具有相同的隱蔽性。
但是 Elkins 和 Hudson 都認為,通過供應鏈攻擊進行基於硬件的間諜活動在技術上具備可行性,而且可能比世界上許多安全管理員意識到的要容易得多。Elkins 說:“我希望人們認識到,芯片植入技術並不遙遠,它們相對簡單。如果我能做到這一點,那麼有億萬預算的人早就能做到了。”
閱讀更多 DeepTech深科技 的文章
