Où une personne intelligente cache-t-elle une feuille? Dans la forêt. Où cache-t-il la puce d'espionnage? Sur le serveurPas plus tard qu'hier,
un article a été
publié sur Habré selon lequel il n'y a aucune preuve de la présence de modules espions dans les équipements Supermicro. Eh bien, aujourd'hui,
ils sont apparus . Je les ai trouvés dans l'équipement de l'une des plus grandes entreprises de télécommunications de l'expert américain en sécurité des réseaux Yossi Applebaum.
L'expert est l'un des leaders de Sepio Systems, une entreprise spécialisée dans les solutions de sécurité matérielle. Relativement récemment, elle exécutait la commande de l'un des clients (Applebaum a refusé de parler à quiconque car il est lié par la NDA), qui a décidé de vérifier son équipement pour détecter des vulnérabilités ou des bugs identifiés.
Les spécialistes de Sepio Systems ont découvert l'élément problématique assez rapidement en raison d'un trafic réseau inhabituel. Cet élément s'est avéré être un «implant» intégré dans le connecteur Ethernet du serveur. Il est intéressant de noter que, selon Applebaum, ce n'est pas la première fois qu'il rencontre des modules de logiciels espions intégrés dans un port Ethernet, et ils ont été vus non seulement dans les équipements Super Micro, mais aussi dans les produits d'autres sociétés - les fabricants de matériel chinois.
Sur la base de l'étude de l '«implant», l'expert a conclu qu'il avait été introduit dans l'usine, très probablement l'usine, où les serveurs de l'entreprise sont assemblés. Les installations industrielles de Supermicro sont situées à Guangzhou, à un peu plus d'une centaine de kilomètres de Shenzhen, qui s'appelle le "matériel de la Silicon Valley".
Malheureusement, les experts n'ont pas pu déterminer jusqu'au bout quelles données le matériel infecté transmet ou traite. On ignore également si la société de télécommunications qui a embauché Applebaum a contacté le FBI. Il est difficile de comprendre de quel type d'entreprise il s'agissait. À la demande des journalistes de Bloomberg, les représentants d'AT & T et de Verizon ont fait part de leurs commentaires. Les deux commentaires sont négatifs - les entreprises affirment n'avoir organisé aucun contrôle. Sprint a également donné une réponse similaire, ils ont déclaré que l'équipement de Supermicro n'avait pas été acheté.
Soit dit en passant, la méthode d'introduction d'un implant espion est similaire à celle utilisée par la NSA. Au sujet des méthodes d'agence, il a été dit à plusieurs reprises à la fois sur Habré et sur d'autres ressources. Applebaum a même appelé le module «une vieille connaissance», car un tel système d'introduction de modules est assez fréquent dans les équipements en provenance de Chine.
Applebaum a déclaré qu'il était intéressé par des collègues s'ils avaient rencontré des modules similaires, et ils ont confirmé le problème, disant qu'il était assez courant. Il convient de noter qu'il est très difficile de remarquer des modifications dans le matériel, ce que les services de renseignement de nombreux pays utilisent. En fait, des milliards de dollars sont investis dans l'industrie des portes dérobées matérielles. Les États-Unis ont un programme secret pour le développement de tels systèmes, comme Snowden l'a déjà dit, alors pourquoi pas les agences de renseignement d'autres pays pour développer toutes sortes d'appareils espions?
La Chine est l'un des pays qui sont activement engagés dans le développement de leurs propres
forces de cybersécurité et de «cyberattaques», si je puis dire.
Trois experts en sécurité de l'information ont déclaré avoir testé Applebaum et déterminé comment le logiciel Sepio était capable de localiser la porte dérobée matérielle. Une façon consiste à analyser le trafic de bas niveau. Cela signifie étudier non seulement la transmission de données numériques, mais également la détection de signaux analogiques - par exemple, la consommation d'énergie des appareils. Si la consommation est plus importante, quoique à une fraction de ce qu'elle devrait être, alors c'est une occasion de réfléchir.
La méthode Sepio a permis de déterminer que pas un appareil, un serveur, mais deux étaient connectés au réseau. Le serveur a transmis les données d'une certaine manière, et la puce l'a fait un peu différemment. Le trafic entrant provenait d'une source fiable, ce qui permettait de contourner les filtres du système de protection.
Visuellement, l'emplacement de la puce a été déterminé (puis, une fois connue son existence) en étudiant les ports Ethernet. Le connecteur «espion» avait des bords métalliques, pas des bords en plastique. Le métal était nécessaire pour dissiper l'énergie thermique générée par la puce à l'intérieur, qui agissait comme une unité de calcul indépendante. Selon Applebaum, le module ne suscite aucun soupçon, si vous ne savez pas exactement de quoi il s'agit, il ne fonctionnera pas pour suspecter quoi que ce soit.
Le fait que les portes dérobées du matériel sont «plus que réelles» est dit par de nombreux experts en cybersécurité. Avec le développement de la technologie, la miniaturisation des modules de logiciels espions s'est tellement améliorée que maintenant vous pouvez ajouter un "espion" à presque n'importe quel équipement, ce qui est tout simplement impossible à détecter à l'aide de méthodes conventionnelles, vous avez besoin d'un logiciel spécial, de connaissances et d'expérience dans ce domaine. Le plus souvent, les modules sont remplacés par des composants qui ont leur propre puissance, ce qui est tout à fait suffisant pour que "l'espion" fonctionne.
Il convient de noter que les portes dérobées matérielles elles-mêmes ne sont pas une nouveauté, de nombreuses entreprises, grandes et petites, sont aux prises avec ce problème, ne parlant pas toujours de ce qui se passe. Mais le plus souvent, des systèmes de ce type sont utilisés pour obtenir des informations sur les secrets gouvernementaux de différents États. Les données des utilisateurs à cet égard sont la dixième question.
Soit dit en passant, environ 100 milliards de dollars sont dépensés à l'échelle mondiale dans le monde des affaires pendant un an pour lutter contre les cybermenaces.