Onde uma pessoa inteligente esconde uma folha? Na floresta. Onde ele esconde o chip espião? No servidorAinda ontem, foi
publicado um artigo no Habré que não há evidências da presença de módulos spyware nos equipamentos Supermicro. Bem, hoje
eles apareceram . Encontrei-os no equipamento de uma das maiores empresas de telecomunicações dos Estados Unidos, especialista em segurança de redes, Yossi Applebaum.
O especialista é um dos líderes da Sepio Systems, uma empresa especializada em soluções de segurança de hardware. Recentemente, ela estava cumprindo a ordem de um dos clientes (Applebaum se recusou a falar especificamente porque ele é vinculado pela NDA), que decidiu verificar seu equipamento em busca de vulnerabilidades ou bugs estabelecidos.
Os especialistas da Sepio Systems descobriram o elemento problemático de maneira relativamente rápida devido ao tráfego de rede incomum. Esse elemento acabou sendo um "implante" incorporado no conector Ethernet do servidor. É interessante que, de acordo com Applebaum, não é a primeira vez que ele encontra módulos de spyware embutidos em uma porta Ethernet, e eles são vistos não apenas em equipamentos Super Micro, mas também em produtos de outras empresas - fabricantes de hardware chineses.
Com base no estudo do “implante”, o especialista concluiu que ele foi introduzido na fábrica, provavelmente na fábrica, onde os servidores da empresa são montados. As instalações industriais da Supermicro estão localizadas em Guangzhou, a pouco mais de cem quilômetros de Shenzhen, que é chamado de "hardware do Vale do Silício".
Infelizmente, os especialistas não conseguiram descobrir até o final quais dados o hardware infectado transmite ou processa. Também não se sabe se a empresa de telecomunicações que contratou Applebaum entrou em contato com o FBI. É difícil entender que tipo de empresa era. A pedido dos repórteres da Bloomberg, representantes da AT&T e da Verizon fizeram seus comentários. Ambos os comentários são negativos - as empresas alegam que não organizaram nenhuma verificação. A Sprint também deu uma resposta semelhante, disseram que o equipamento da Supermicro não foi comprado.
A propósito, o método de introdução de um implante espião é semelhante ao usado pela NSA. Sobre os métodos de agência, foi dito repetidamente tanto em Habré quanto em outros recursos. Applebaum chegou a chamar o módulo de “um conhecido antigo”, uma vez que esse sistema de introdução de módulos é comum em equipamentos vindos da China com bastante frequência.
Applebaum disse que estava interessado em colegas se tivessem encontrado módulos semelhantes e confirmaram o problema, dizendo que era bastante comum. Vale a pena notar que é muito difícil perceber modificações no hardware, que é o que os departamentos de inteligência de muitos países usam. De fato, bilhões de dólares estão sendo investidos no setor de backdoor de hardware. Os Estados Unidos têm um programa secreto para o desenvolvimento de tais sistemas, como Snowden já falou. Por que não as agências de inteligência de outros países para desenvolver todos os tipos de dispositivos espiões?
A China é um dos países que está ativamente engajado no desenvolvimento de suas próprias
forças de cibersegurança e "ataques cibernéticos", se assim posso dizer.
Três especialistas em segurança da informação disseram que testaram o Applebaum e determinaram como o software Sepio conseguiu localizar o backdoor do hardware. Uma maneira é analisar o tráfego de baixo nível. Isso significa estudar não apenas a transmissão de dados digitais, mas também a detecção de sinais analógicos - por exemplo, o consumo de energia dos dispositivos. Se o consumo é maior, embora em uma fração do que deveria ser, então esta é uma ocasião para pensar.
O método Sepio tornou possível determinar que não um dispositivo, um servidor, mas dois estavam conectados à rede. O servidor transmitiu os dados de uma certa maneira e o chip fez um pouco diferente. O tráfego de entrada veio de uma fonte confiável, que permitiu ignorar os filtros do sistema de proteção.
Visualmente, a localização do chip foi determinada (depois que se tornou conhecido sobre sua existência) estudando as portas Ethernet. O conector "espião" tinha bordas de metal, não de plástico. O metal era necessário para dissipar a energia térmica gerada pelo chip interno, que atuava como uma unidade de computação independente. Segundo Applebaum, o módulo não causa suspeitas; se você não souber exatamente o que é, não funcionará para suspeitar de nada.
O fato de os backdoors de hardware serem “mais do que reais” é dito por muitos especialistas em segurança cibernética. Com o desenvolvimento da tecnologia, a miniaturização dos módulos de spyware melhorou tanto que agora você pode adicionar um "espião" a quase todos os equipamentos, o que é simplesmente impossível de detectar usando métodos convencionais, você precisa de software, conhecimento e experiência especiais nessa área. Na maioria das vezes, os módulos são substituídos por componentes com poder próprio, o que é suficiente para o "espião" funcionar.
Vale ressaltar que os backdoors de hardware em si não são uma novidade, muitas empresas, grandes e pequenas, estão enfrentando esse problema, nem sempre falando sobre o que está acontecendo. Porém, na maioria das vezes, sistemas desse tipo são usados para obter informações sobre segredos governamentais de diferentes estados. Os dados do usuário a este respeito são a décima questão.
A propósito, cerca de US $ 100 bilhões são gastos globalmente em negócios em todo o mundo por um ano para combater ameaças cibernéticas, e apenas uma pequena fração desses fundos é gasta na ameaça mencionada acima.