[原创] 连线:用两美金的芯片就可以劫持硬件

2019-10-11 14:00:05 来源: 半导体行业观察

来源: 本文由公众号半导体行业观察(ID: icbank)翻译自「 连线 」,谢谢。


距《彭博商业周刊》去年发布间谍芯片新闻已经过去了一年有多。 根据他们当时的报道,包括苹果和亚马逊在内的主要科技公司所使用的服务器中的超微主板都秘密地植入了米粒大小的芯片。 从而使中国黑客能够深入探查这些网络。 事后,苹果,亚马逊和超微都强烈否认了该报道。 国家安全局也认为它是虚惊一场。 Defcon黑客大会更是因“最被夸大的错误”和“最史诗般的失败”而两次获得Pwnie奖。 更有趣的是,自那篇文章之后,我们没有看到尚任何后续报告。
但是,即使该故事的事实尚未得到证实,安全界也警告说,它描述的供应链攻击的可能性实在是太真实了。 毕竟,根据举报人爱德华·斯诺登(Edward Snowden)的泄密,美国国家安全局(NSA)一直在做类似的事情。 而现在研究人员走得更远,他们展示了如何在公司的硬件供应链中轻松廉价地植入难以检测的微小间谍芯片。 其中之一表明,它甚至不需要州政府资助的间谍机构就可以将其撤出。 只是一个积极进取的硬件黑客,他们就能拥有正确的访问权限,而他们所需要的只是一个价值低至200美元的设备。
“这不是魔术。 这不是不可能。 我可以在地下室做到这一点”,蒙塔·艾尔金斯(MONTA ELKINS)说。
在本月晚些时候举办的CS3sthlm安全会议上,安全研究员Monta Elkins将展示他如何在地下室中创建该硬件黑客的概念验证版本。 他打算证明的是间谍,犯罪分子或具有最低技能的破坏者如何轻松地以低预算在企业IT设备中植入芯片以提供隐形的后门访问权限。 而他所需的仅仅是150美元的热风焊接工具,40美元的显微镜和网上随便能买到的芯片(仅需两美元)。 凭借这些工具,Elkins能够以某种方式更改Cisco防火墙,他说这些植入大多数IT管理员可能不会注意到,但可以使远程攻击者获得更高的控制权限。
工业控制系统安全公司FoxGuard的“首席黑客”埃尔金斯说: “我们认为这些东西是如此神奇,但并不是那么难。 ” “通过向人们展示硬件,我想使其更加真实。 这不是魔术。 这不是不可能。 我可以在我的地下室做到这一点。 还有很多人比我聪明,他们也都可以做到这一点。

防火墙中的“指甲”

埃尔金斯在一块2美元的Digispark Arduino板上发现了一块面积约5毫米见方的ATtiny85芯片。 这个芯片没有米粒那么小,但比粉红色的指甲小。 在将代码写入该芯片后,Elkins将其从Digispark板上拆下并焊接到Cisco ASA 5505防火墙的主板上。 他使用了一个不起眼的位置,不需要额外的布线,便可以使芯片访问防火墙的串行端口。
下图显示了在防火墙板复杂的情况下,即使在ASA 5505相对较小(6乘7英寸尺寸)的情况下,也很难发现芯片。 Elkins表示我们可以使用甚至更小的芯片,之所以她选择ATtiny85,是因为它易于编程。 他说,他还可能在板子上的几个射频屏蔽“罐”之一中更巧妙地隐藏了自己的恶意芯片,但他希望能够在CS3sthlm会议上展示该芯片的位置。

一旦防火墙在目标的数据中心启动,埃尔金斯就将他的小型间谍芯片编程为进行攻击。 它冒充安全管理员,将他们的计算机直接连接到该端口,从而访问防火墙的配置。 然后,该芯片触发防火墙的密码恢复功能,创建一个新的管理员帐户并获得对防火墙设置的访问权限。 埃尔金斯说,他之所以在实验中使用了思科的ASA 5505防火墙,是因为这是它他在eBay上发现的最便宜的防火墙,但是他说,任何能在密码丢失的情况下提供这种恢复功能的思科防火墙都可以使用这个技术。 思科在一份声明中说: “我们致力于提高透明度,并正在调查研究人员的发现。 ” “如果发现需要我们的客户注意的新信息,我们会通过我们的正常渠道让他们知道。

埃尔金斯说,一旦恶意芯片能够访问这些设置,他的攻击就可以更改防火墙的设置,从而使黑客可以远程访问设备,禁用其安全功能,并使黑客可以访问其看到的所有连接的设备日志,而这些都不会提醒管理员。 埃尔金斯说: “我基本上可以更改防火墙的配置,使其能够执行我想做的任何事情。 ” 埃尔金斯说,通过进行更多的逆向工程,还可以对防火墙的固件进行重新编程,使其成为监视受害者网络的功能更强大的立足点,尽管他在证明受害者身份方面没有走得那么远,而仅仅是一个概念。

尘埃斑点(A Speck of Dust)

Elkins想重现彭博在其供应链劫持情形中描述的那种硬件黑客之后的状况。 作为去年12月在Chaos Computer Conference上发表的研究的一部分,独立安全研究人员Trammell Hudson 为Supermicro电路板建立了概念验证,该电路板试图模仿彭博故事中描述的中国黑客的技术。 这意味着在Supermicro主板的一部分上植入一块可以访问其基板管理控制器或BMC的芯片,该组件可以对其进行远程管理,从而使黑客能够深度控制目标服务器。
Hudson过去曾在Sandia National Labs工作,现在经营自己的安全顾问公司。 他在Supermicro板上找到了一个位置,在那里他可以用自己的芯片替换一个微小的电阻器,以真正改变BMC的输入和输出数据。 时间,这正是彭博社描述的那种攻击。 然后,他使用了所谓的现场可重编程门阵列(一种有时可用于对定制芯片设计进行原型设计的可重编程芯片)充当恶意拦截组件。
“对于想要花钱的对手来说,这并不是一件困难的事情。 ”安全研究员TRAMMELL HUDSON说。
Hudson的FPGA面积不到2.5平方毫米,仅略大于它在Supermicro板上替换的1.2平方毫米的电阻。 但他表示,他只是去验证了可行性,他实际上并未做任何隐藏该芯片的尝试,而是通过一堆布线和鳄鱼夹将其连接到板上。 但是,哈德森认为,真正的攻击者只要拥有制造定制芯片的资源(一个过程可能花费数万美元),就可以实施更隐蔽的攻击,制造出可以执行相同操作的芯片。 BMC的防篡改功能使其体积比电阻小得多。 哈德森说,结果甚至可能只有百分之一平方毫米,比彭博的米粒小得多。
哈德森说: “对于想要花钱的对手来说,这并不是一件困难的事情。
Supermicro在一份声明中说: “对于一年多以前的虚假报告,没有必要进一步评论。
但是,埃尔金斯指出,他的基于防火墙的攻击虽然复杂度要低得多,但根本不需要那种定制芯片,只需2美元。 埃尔金斯说: “不要轻视这种攻击,因为你认为有人需要芯片厂来做。 ” “基本上,任何电子爱好者都可以在家中制作此版本。
Elkins和Hudson都强调说,他们的工作并不旨在验证彭博关于利用设备中植入的微型芯片进行广泛的硬件供应链攻击的故事。 他们甚至没有争辩说这很可能是野外的普通袭击。 两位研究人员都指出,传统的软件攻击通常可以为黑客提供同样的访问权限,尽管不一定具有相同的隐蔽性。
但是Elkins和Hudson都认为,通过供应链劫持进行基于硬件的间谍活动仍然是一种技术现实,而且比世界上许多安全管理员所意识到的要容易实现。 埃尔金斯说: “我希望人们认识到,间谍芯片植入术不是想象中的。 它们相对简单。 ” “如果我能做到这一点,那么预算亿万的人已经做了一段时间了。
*点击文末阅读原文,可阅读 英文原文。

*免责声明:本文由作者原创。文章内容系作者个人观点,半导体行业观察转载仅为了传达一种不同的观点,不代表半导体行业观察对该观点赞同或支持,如果有任何异议,欢迎联系半导体行业观察。


今天是《半导体行业观察》为您分享的第2094期内容,欢迎关注。

推荐阅读


1nm对DRAM意味着什么?670亿人民币!

苹果A13 Bionic究竟有多强?

中国CMOS图像传感器如何突围?


半导体行业观察

半导体第一垂直媒体

实时 专业 原创 深度


识别二维码 ,回复下方关键词,阅读更多

AI| 射频 Chiplet 中国芯 |晶圆|制程工艺 存储 快充芯片



回复 投稿 ,看《如何成为“半导体行业观察”的一员 》

回复 搜索 ,还能轻松找到其他你感兴趣的文章!

点击这里,可阅读
英文原文!

责任编辑:Sophie

相关文章

半导体行业观察
摩尔芯闻

热门评论