¿Dónde esconde una hoja una persona inteligente? En el bosque ¿Dónde esconde el chip espía? En el servidorJusto ayer, se
publicó un artículo en Habré que no hay evidencia de la presencia de módulos de spyware en los equipos de Supermicro. Bueno, hoy
han aparecido . Los encontré en el equipo de una de las compañías de telecomunicaciones más grandes de Estados Unidos, la experta en seguridad de redes Yossi Applebaum.
El experto es uno de los líderes de Sepio Systems, una compañía que se especializa en soluciones de seguridad de hardware. Hace relativamente poco tiempo, estaba cumpliendo la orden de uno de los clientes (Applebaum se negó a hablar específicamente porque él está obligado por la NDA), quien decidió revisar su equipo en busca de vulnerabilidades o errores establecidos.
Los especialistas de Sepio Systems descubrieron el elemento problemático relativamente rápido debido al tráfico de red inusual. Este elemento resultó ser un "implante" incrustado en el conector Ethernet del servidor. Es interesante que, según Applebaum, esta no es la primera vez que se encuentra con módulos de spyware que se han integrado en un puerto Ethernet, y se han visto no solo en equipos Super Micro, sino también en productos de otras compañías, fabricantes de hardware chinos.
Basado en el estudio del "implante", el experto concluyó que se introdujo en la fábrica, probablemente en la fábrica, donde se ensamblan los servidores de la compañía. Las instalaciones industriales de Supermicro se encuentran en Guangzhou, a poco más de cien kilómetros de Shenzhen, lo que se denomina "hardware de Silicon Valley".
Desafortunadamente, los expertos no pudieron determinar hasta el final qué datos transmite o procesa el hardware infectado. También se desconoce si la compañía de telecomunicaciones que contrató a Applebaum contactó al FBI. Es difícil entender qué tipo de empresa era. A pedido de los periodistas de Bloomberg, representantes de AT&T y Verizon dieron sus comentarios. Ambos comentarios son negativos: las compañías afirman que no organizaron ningún control. Sprint también dio una respuesta similar, dijeron que no se compró el equipo de Supermicro.
Por cierto, el método para introducir un implante espía es similar al utilizado por la NSA. Sobre los métodos de agencia, se contó repetidamente tanto en Habré como en otros recursos. Applebaum incluso llamó al módulo "un viejo conocido", ya que dicho sistema para introducir módulos es común en equipos que vienen de China con bastante frecuencia.
Applebaum dijo que estaba interesado en colegas si habían encontrado módulos similares, y confirmaron el problema, diciendo que era bastante común. Vale la pena señalar que es muy difícil notar modificaciones en el hardware, que es lo que usan los departamentos de inteligencia de muchos países. De hecho, se están invirtiendo miles de millones de dólares en la industria de puertas traseras de hardware. Estados Unidos tiene un programa secreto para el desarrollo de tales sistemas, como Snowden ya ha mencionado, entonces, ¿por qué no las agencias de inteligencia de otros países desarrollan todo tipo de dispositivos espías?
China es uno de los países que participan activamente en el desarrollo de sus propias
fuerzas de seguridad cibernética y "ataques cibernéticos", si puedo decirlo.
Tres expertos en seguridad de la información dijeron que probaron Applebaum y determinaron cómo el software Sepio pudo localizar la puerta trasera del hardware. Una forma es analizar el tráfico de bajo nivel. Esto significa estudiar no solo la transmisión de datos digitales, sino también la detección de señales analógicas, por ejemplo, el consumo de energía de los dispositivos. Si el consumo es mayor, aunque sea una fracción de lo que debería ser, entonces esta es una ocasión para pensar.
El método Sepio permitió determinar que no un dispositivo, un servidor, sino dos estaban conectados a la red. El servidor transmitió datos de cierta manera, y el chip lo hizo un poco diferente. El tráfico entrante provenía de una fuente confiable, que permitía evitar los filtros del sistema de protección.
Visualmente, la ubicación del chip se determinó (luego, después de que se supo de su existencia) mediante el estudio de los puertos Ethernet. El conector "espía" tenía bordes de metal, no de plástico. El metal era necesario para disipar la energía térmica generada por el chip en su interior, que actuaba como una unidad informática independiente. Según Applebaum, el módulo no causa ninguna sospecha, si no sabe exactamente qué es, no funcionará para sospechar nada.
Muchos expertos en ciberseguridad dicen que las puertas traseras de hardware son "más que reales". Con el desarrollo de la tecnología, la miniaturización de los módulos de spyware ha mejorado tanto que ahora puede agregar un "espía" a casi cualquier equipo que sea simplemente imposible de detectar utilizando métodos convencionales, necesita un software especial, conocimiento y experiencia en esta área. Muy a menudo, los módulos son reemplazados por componentes que tienen su propio poder, que es suficiente para que el "espía" funcione.
Vale la pena señalar que las puertas traseras de hardware en sí mismas no son una novedad, muchas compañías, tanto grandes como pequeñas, están luchando con este problema, no siempre hablando de lo que está sucediendo. Pero con mayor frecuencia, los sistemas de este tipo se utilizan para obtener información sobre los secretos gubernamentales de diferentes estados. Los datos del usuario a este respecto son la décima cuestión.
Por cierto, alrededor de $ 100 mil millones se gastan globalmente en negocios a nivel mundial durante un año para combatir las amenazas cibernéticas, y solo una pequeña fracción de estos fondos se gasta en la amenaza mencionada anteriormente.