Wo versteckt ein intelligenter Mensch ein Blatt? Im Wald. Wo versteckt er den Spionagechip? Im ServerErst gestern wurde auf Habré
ein Artikel
veröffentlicht , in dem es keine Hinweise auf das Vorhandensein von Spyware-Modulen in Supermicro-Geräten gibt. Nun, heute sind
sie erschienen . Ich fand sie in der Ausrüstung eines der größten Telekommunikationsunternehmen des US-amerikanischen Netzwerksicherheitsexperten Yossi Applebaum.
Der Experte ist einer der Marktführer von Sepio Systems, einem Unternehmen, das sich auf Hardware-Sicherheitslösungen spezialisiert hat. Vor relativ kurzer Zeit erfüllte sie den Auftrag eines Kunden (Applebaum weigerte sich, speziell zu sprechen, weil er an die NDA gebunden ist), der sich entschied, ihre Ausrüstung auf Schwachstellen oder festgestellte Fehler zu überprüfen.
Die Spezialisten von Sepio Systems entdeckten das problematische Element aufgrund des ungewöhnlichen Netzwerkverkehrs relativ schnell. Es stellte sich heraus, dass dieses Element ein „Implantat“ ist, das in den Ethernet-Anschluss des Servers eingebettet ist. Es ist interessant, dass er laut Applebaum nicht zum ersten Mal auf Spyware-Module gestoßen ist, die in einen Ethernet-Port eingebettet sind, und sie wurden nicht nur in Super Micro-Geräten, sondern auch in Produkten anderer Unternehmen - chinesischer Hardwarehersteller - gesehen.
Basierend auf der Untersuchung des „Implantats“ kam der Experte zu dem Schluss, dass es in der Fabrik eingeführt wurde, höchstwahrscheinlich in der Fabrik, in der die Server des Unternehmens zusammengebaut werden. Supermikro-Industrieanlagen befinden sich in Guangzhou, etwas mehr als hundert Kilometer von Shenzhen entfernt, das als "Silicon Valley Hardware" bezeichnet wird.
Leider konnten die Experten nicht bis zum Ende herausfinden, welche Daten die infizierte Hardware überträgt oder verarbeitet. Es ist auch nicht bekannt, ob das Telekommunikationsunternehmen, das Applebaum engagiert hat, das FBI kontaktiert hat. Es ist schwer zu verstehen, um welche Art von Unternehmen es sich handelt. Auf Ersuchen von Bloomberg-Reportern gaben Vertreter von AT & T und Verizon ihre Kommentare ab. Beide Kommentare sind negativ - die Unternehmen behaupten, keine Kontrollen durchgeführt zu haben. Sprint gab auch eine ähnliche Antwort, sie sagten, dass Ausrüstung von Supermicro nicht gekauft wurde.
Übrigens ähnelt die Methode zur Einführung eines Spionageimplantats der von der NSA verwendeten. Über die Methoden der Agentur wurde wiederholt sowohl auf Habré als auch auf anderen Ressourcen berichtet. Applebaum nannte das Modul sogar „einen alten Bekannten“, da ein solches System zur Einführung von Modulen bei Geräten aus China häufig vorkommt.
Applebaum sagte, dass er an Kollegen interessiert sei, wenn sie auf ähnliche Module gestoßen seien, und sie bestätigten das Problem und sagten, dass es durchaus üblich sei. Es ist erwähnenswert, dass es sehr schwierig ist, Änderungen an der Hardware zu bemerken, die von den Geheimdiensten vieler Länder verwendet werden. Tatsächlich werden Milliarden von Dollar in die Hardware-Backdoor-Branche investiert. Die Vereinigten Staaten haben ein geheimes Programm für die Entwicklung solcher Systeme, über das Snowden bereits gesprochen hat. Warum also nicht die Geheimdienste anderer Länder, um alle Arten von Spionagegeräten zu entwickeln?
China ist eines der Länder, die sich aktiv an der Entwicklung ihrer eigenen
Cyber-Sicherheitskräfte und „Cyber-Angriffe“ beteiligen, wenn ich so sagen darf.
Drei Experten für Informationssicherheit gaben an, Applebaum getestet und festgestellt zu haben, wie die Sepio-Software die Hardware-Hintertür lokalisieren konnte. Eine Möglichkeit besteht darin, den Verkehr auf niedriger Ebene zu analysieren. Dies bedeutet, nicht nur die Übertragung digitaler Daten zu untersuchen, sondern auch analoge Signale zu erfassen - zum Beispiel den Energieverbrauch von Geräten. Wenn der Verbrauch höher ist, wenn auch zu einem Bruchteil dessen, was er sein sollte, dann ist dies eine Gelegenheit zum Nachdenken.
Mit der Sepio-Methode konnte festgestellt werden, dass nicht ein Gerät, sondern ein Server, sondern zwei mit dem Netzwerk verbunden waren. Der Server hat Daten auf eine bestimmte Weise übertragen, und der Chip hat es etwas anders gemacht. Eingehender Datenverkehr stammte von einer vertrauenswürdigen Quelle, die es ermöglichte, die Filter des Schutzsystems zu umgehen.
Visuell wurde der Standort des Chips (nachdem er über seine Existenz bekannt wurde) durch Untersuchung der Ethernet-Ports bestimmt. Der "Spion" -Anschluss hatte Metallkanten, keine Plastikkanten. Das Metall wurde benötigt, um die vom Chip im Inneren erzeugte Wärmeenergie abzuleiten, die als unabhängige Recheneinheit fungierte. Laut Applebaum verursacht das Modul keinen Verdacht. Wenn Sie nicht genau wissen, was es ist, funktioniert es nicht, wenn Sie etwas vermuten.
Die Tatsache, dass Hardware-Backdoors „mehr als real“ sind, wird von vielen Cybersicherheitsexperten gesagt. Mit der Entwicklung der Technologie hat sich die Miniaturisierung von Spyware-Modulen so stark verbessert, dass Sie jetzt fast jedem Gerät, das mit herkömmlichen Methoden einfach nicht zu erkennen ist, einen „Spion“ hinzufügen können. Sie benötigen spezielle Software, Kenntnisse und Erfahrung in diesem Bereich. Meistens werden Module durch Komponenten ersetzt, die ihre eigene Leistung haben, was für den "Spion" völlig ausreicht.
Es ist erwähnenswert, dass Hardware-Backdoors selbst keine Neuheit sind. Viele große und kleine Unternehmen haben mit diesem Problem zu kämpfen und sprechen nicht immer darüber, was passiert. Am häufigsten werden Systeme dieser Art jedoch verwendet, um Informationen über Regierungsgeheimnisse verschiedener Staaten zu erhalten. Benutzerdaten in dieser Hinsicht sind die zehnte Angelegenheit.
Übrigens werden weltweit rund 100 Milliarden US-Dollar für ein Jahr weltweit für die Bekämpfung von Cyber-Bedrohungen ausgegeben. Nur ein kleiner Teil dieser Mittel wird für die oben genannte Bedrohung ausgegeben.