Zmutowany procesor

Ostatnio włamywacze wykorzystują mikroprocesor, aby włamać się do systemu bez pozostawienia śladów.

Ostatnio włamywacze wykorzystują mikroprocesor, aby włamać się do systemu bez pozostawienia śladów.

Gdy mówimy o ataku cyberprzestępców, zazwyczaj myślimy o złośliwym kodzie, ale warto wiedzieć, że znacznie groźniejsze mogą być modyfikacje sprzętu. Najwięcej ataków na systemy IT wykorzystuje obecnie opracowane specjalnie do tego celu oprogramowanie, i chyba wszyscy tak się do tego przyzwyczaili, że mało kto pamięta, iż do włamania można też wykorzystać elementy sprzętowe. Ostatnio jednak naukowcy z University of Illinois zademonstrowali, na czym może polegać takie współczesne włamanie. Choć przedstawiona przez nich metoda wymaga mnóstwa pracy, więc jest mało prawdopodobne, aby ktoś przeprowadził taki atak, to potencjalne zagrożenie wcale nie jest tylko teoretyczne.

Sprzętowa modyfikacja

1341

zaledwie tyle bramek w procesorze, z całkowitej liczby przekraczającej milion, zmienili naukowcy, aby wykorzystać go do ataku.

Wiele firm wzmacnia ochronę systemów IT obawiając się naruszeń bezpieczeństwa spowodowanych działaniem złośliwego kodu. Atak przy użyciu oprogramowania ma jedną, bardzo ważną cechę - jego mechanizmy są dość dobrze znane, istnieje możliwość dokonania audytu tego kodu, większość administratorów jest świadomych istnienia problemu i dlatego z zasady stosowane są różnego typu środki zaradcze. Niewiele osób zastanawia się nad ryzykiem ataku przez modyfikację sprzętu. Wydaje się to niecodzienne i nieprawdopodobne, bo zazwyczaj sprzęt jest traktowany jako coś stałego i niezmiennego, czemu się ufa. A wcale tak nie musi być.

Wyniki badań prowadzonych na uniwersytecie w Illinois pokazują, że atak wykorzystujący zmodyfikowany sprzęt, a dokładniej mikroprocesor, może być łatwiejszy do przeprowadzenia niż się na pierwszy rzut oka wydaje. Naukowcy przygotowali specjalny procesor, który został wyposażony w mechanizmy umożliwiające późniejsze rozszerzenie i modyfikację uprawnień użytkownika, gdy układ zostanie zainstalowany i uruchomiony w rzeczywistym środowisku. Wbrew pozorom, nie wymagało to ingerencji w proces produkcyjny, gdyż wykorzystano programowalny, linuksowy układ Leon3, oparty na tej samej architekturze, co SUN Sparc. Wprowadzone w nim zmiany nie musiały być zbyt duże, naukowcy zmienili zaledwie 1341 bramek z całkowitej liczby przekraczającej milion.

Gdy uruchomiono system operacyjny na tym procesorze, możliwy był zdalny atak przy pomocy specjalnie przygotowanego oprogramowania. Zmienione w układzie instrukcje spowodowały jego reakcję i uruchomienie specjalnej części kodu powodującego przeniesienie odpowiednich danych do pamięci. W efekcie włamywacz mógł zalogować się do systemu, podając znaną mu nazwę i hasło. Dostęp do systemu operacyjnego nie wymagał jakiejkolwiek modyfikacji. Do przeprowadzenia takiego włamania nie trzeba też było wykorzystywać żadnej luki w oprogramowaniu, zaś z punktu widzenia narzędzi do analizy sieci, wrogi pakiet został odrzucony, mimo że w rzeczywistości zadziałał bardzo dobrze. Warto zauważyć, że w tym wypadku również analiza działania systemu operacyjnego nie przyniesie niepokojących wyników. Tego typu atak jest niewykrywalny przy badaniu samego systemu, zaś zbadanie wewnętrznego oprogramowania mikroprocesora i ewentualnych nieprawidłowości w jego pracy byłoby bardzo trudne.

Niebezpieczeństwo z półki

Pomysł celowego przygotowania urządzeń, które umożliwiałyby wtajemniczonym przestępcom uzyskanie do nich zdalnego dostępu nie pojawia się często. Ale wcale nie jest to nieprawdopodobne, bo modyfikacje mogą zostać dokonane na etapie projektowania układu, a możliwa jest też podmiana mikroprocesora lub nawet całego urządzenia na jego zmodyfikowany "odpowiednik".

Ze względu na bardzo wysokie koszty projektowania i wykonywania nowych urządzeń, w wielu realizacjach wykorzystuje się gotowe składniki, zwane COTS (Commercial Off The Shelf). Mogą być nimi przemysłowe kontrolery z mikroprocesorami oraz peryferiami w jednym module, dedykowane moduły szyfrujące i wiele innych. Warto zauważyć, że niektóre ataki tą drogą mogą być niesłychanie niebezpieczne dla wielu instytucji. Gdy urządzenie przeznaczone do zastosowań profesjonalnych lub specjalnych będzie zawierało taki mikroprocesor, bezpieczeństwo całego systemu legnie w gruzach. Nie jest to jedynie objaw paranoi, gdyż Departament Obrony Stanów Zjednoczonych traktuje sprawę bardzo poważnie. Warto wiedzieć, że pierwsze ostrzeżenia były wydawane już w 2005 r. i wskazywały na to, że powszechnie wykorzystywanie programowalnych urządzeń o niesprawdzonej konstrukcji (która nie może podlegać dokładnym audytom po zaprogramowaniu) może powodować problemy.

Chociaż koszty realizacji takiego ataku nie są małe (nie jest to zabawka dla "script kiddies", ale działanie wymagające dość sporego budżetu, by osiągnąć sukces), ale dobrym jego celem mogą być instytucje, które przechowują szczególnie cenne dane. Warto też zauważyć, że potencjalne zagrożenie tego typu atakami doskonale wpisuje się w trend komercjalizacji złośliwego kodu, obserwowany w ostatnich latach. Naukowcy z uniwersytetu Illinois ujawnili oczywiście, że teraz rozpoczęli próbę opracowania metod detekcji tak zmodyfikowanych procesorów. Nie będzie to jednak łatwe zadanie.

Wszystkojuż było

Chyba najsłynniejszym naruszeniem bezpieczeństwa przez zmianę w sprzęcie była kradzież danych z ambasady amerykańskiej w byłym ZSRR, gdzie po wymianie kabla zasilającego i kilku modyfikacjach elektrycznej maszyny do pisania, radzieccy szpiedzy mogli poznać tekst pisany na tej maszynie. Współcześnie zaś warto wspomnieć o Video iPodach sprzedawanych przez Apple i zawierających wirusa RavMonE. Znany jest też przykład mikroprocesora kryptograficznego IBM, który został przystosowany do "kradzieży" kluczy przez selektywne wyłączanie odpowiednich obszarów kodu i w ten sposób umożliwienie wycieku danych. Dało to impuls do opracowywania technologii detekcji trojanów w mikroprocesorach.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200