信息化觀察網(wǎng)

一年多前，《彭博商業(yè)周刊》刊載震驚網(wǎng)絡(luò)安全世界的重磅消息，稱蘋果、亞馬遜等主流科技公司所用服務(wù)器中的超微 (Supermicro) 主板被秘密植入了米粒大小的芯片，供中國黑客深入刺探其所處網(wǎng)絡(luò)。蘋果、亞馬遜和超微均極力否認(rèn)此報道。NSA 亦指認(rèn)這就是虛驚一場。Defcon 黑客大會為此頒出兩項 Pwnie Awards 大獎：“最名不符實漏洞” 和 “史詩級敗筆”。也無后續(xù)報道證實其核心前提論調(diào)。

但就算該報道中所謂的 “事實” 仍未經(jīng)證實，安全界已發(fā)出警告：文中描述的供應(yīng)鏈攻擊可能性極為真切。畢竟，據(jù)斯諾登爆料，NSA 多年前就開始鉆研此技了。現(xiàn)在研究人員已更進一步，花費不多即可輕松往公司硬件供應(yīng)鏈中植入難以檢測的微型間諜芯片。其中一種方法甚至無需國家間諜機構(gòu)推動，有志于此的硬件黑客具備合適權(quán)限和價值 200 美元的設(shè)備即可一試拳腳。

這不是魔法。不是不可能完成的任務(wù)。我在自家地下室就能做。

——Monta Elkins，F(xiàn)oxGuard

本月晚些時候的 CS3sthlm 安全大會上，安全研究員 Monta Elkins 將講述他是怎么在自家地下室弄了個此類硬件黑客操作的概念驗證版本的。他想要證明間諜、罪犯或破壞分子即便技術(shù)不精、預(yù)算緊張，也能輕易在企業(yè) IT 設(shè)備中植入芯片，充當(dāng)后續(xù)秘密潛入的后門。僅用一個價值 150 美元的熱風(fēng)焊接工具、一個 40 美元的顯微鏡，幾塊網(wǎng)上買的 2 美元芯片，Elkins 就能以大多數(shù) IT 管理員都不會注意到的方法改裝思科防火墻，給遠(yuǎn)程攻擊者留下深度控制的后門。

工業(yè)控制系統(tǒng)安全公司 FoxGuard “首席黑客” Elkins 說道：

我們感覺這事兒簡直神奇，但其實也沒那么難。我想通過向公眾展示來讓這東西看起來更真實些。這不是魔法。不是不可能完成的任務(wù)。我在自家地下室就能做到。比我聰明的人多得是，他們能毫不費力地干成。

防火墻里的小指甲蓋

Elkins 用了在 2 美元 Digispark Arduino 微型開發(fā)板上找到的 ATtiny85 芯片， 5 毫米見方，雖說沒到米粒那么小，但也沒小指甲蓋那么大。將代碼寫入芯片后，Elkins 把芯片從 Digispark 板子上拆下，焊接到思科 ASA 5505 防火墻的主板上。他找了塊不起眼的地方焊入該芯片，無需額外布線又能訪問該防火墻的串行端口。

下圖能讓你感受下在防火墻元器件密布的板子上找到這塊芯片有多難——即使是在相對較小的 6×7 英寸 ASA 5505 板子上。Elkins 稱自己本可用更小的芯片，但 ATtiny85 更容易編程，所以選了這款芯片。而且，他原本能將該惡意芯片藏得更隱蔽些，放到板上幾個射頻屏蔽 “蓋” 里，但因為想在 CS3sthlm 大會上展示芯片布局而沒選這個更隱蔽的位置。

圖：思科 ASA 5505 防火墻主板，紅色橢圓圈出部分即為 Elkins 焊上的 5 毫米見方芯片

Elkins 往該偷渡芯片里注入了攻擊代碼，能夠在防火墻于目標(biāo)數(shù)據(jù)中心里啟動之時立即展開攻擊。通過將計算機直接接入該端口，此惡意芯片可冒充安全管理員訪問防火墻配置，然后觸發(fā)防火墻密碼恢復(fù)功能，創(chuàng)建新的管理員賬號訪問防火墻設(shè)置。Elkins 表示，之所以在實驗中采用思科的 ASA 5505，是因為這是 eBay 上最便宜的一款，但只要提供此類密碼恢復(fù)功能，任意思科防火墻都適用他的方法。思科在聲明中稱：思科致力于公開透明，正在調(diào)查該研究人員的發(fā)現(xiàn)。只要發(fā)現(xiàn)客戶需要知道的新信息，思科將通過正常渠道告知。

Elkins 稱，只要此惡意芯片能訪問這些設(shè)置，他的攻擊就能修改防火墻配置，賦予黑客遠(yuǎn)程訪問權(quán)，禁用其安全功能，使黑客能夠悄悄調(diào)閱此防火墻設(shè)備監(jiān)控下所有連接的日志。他表示，基本上，他能將防火墻配置改到可讓自己為所欲為的程度。只需額外的一點點逆向工程，就能重編程該防火墻固件，將之改造成全功能間諜橋頭堡，監(jiān)視受害者網(wǎng)絡(luò)。不過，Elkins 并未在其概念驗證中走到這一步。

見微知著

早在 Elkins 之前便有人嘗試重現(xiàn)彭博社描述的那種供應(yīng)鏈劫持硬件攻擊了。獨立安全研究員 Trammell Hudson 在去年 12 月的混沌計算機大會上展示了他的研究——針對超微主板進行概念驗證，試圖模擬彭博社文章中描述的黑客攻擊技術(shù)。也就是在超微主板上能訪問其基板管理控制器 (BMC) 的地方植入一枚芯片，以便遠(yuǎn)程管理主板，使黑客能深入控制目標(biāo)服務(wù)器。

Hudson 曾在桑迪亞國家實驗室 (Sandia National Labs) 工作，現(xiàn)在運營自己的安全咨詢工作。他在超微主板上找到了可用自己的芯片替換原有電阻器的地方，能夠?qū)崟r修改進出 BMC 的數(shù)據(jù)，完全就是彭博社文章中描述的那類攻擊。然后他采用現(xiàn)場可重編程門陣列（一種時常用作定制芯片原型設(shè)計的可重編程芯片）充當(dāng)其中惡意攔截組件。

對能砸錢進去的對手來說，這還真不算難。

Hudson 的現(xiàn)場可重編程門陣列不到 2.5 平方毫米，僅略大于其替換的 1.2 平方毫米電阻器。但 Hudson 表示，這只是個概念驗證，所以沒真想隱藏這枚芯片，就是用一堆導(dǎo)線和接線夾連到主板上而已。不過，有資源打造定制芯片的真正攻擊者（設(shè)計制作定制芯片可能花費成千上萬美元），能夠執(zhí)行此攻擊的隱身版，弄出具備同等 BMC 篡改功能但占用面積比電阻器小得多的芯片。Hudson 稱，最終結(jié)果甚至可能不到百分之一平方毫米，比彭博社的米粒大小還小得多。

超微在聲明中稱：沒有必要對一年前的虛假報道再做評論。

但 Elkins 指出，自己基于防火墻的攻擊雖然沒那么高端，卻壓根兒不需要定制芯片——除了他花 2 美元網(wǎng)購的那塊之外。Elkins 表示，別誤以為需要芯片工廠加工制造就忽略了這種攻擊。基本上，任何電子愛好者都能在家里搞出一套來。

Elkins 和 Hudson 都強調(diào)，自己的工作不是要證實彭博社的芯片植入式大規(guī)模硬件供應(yīng)鏈攻擊傳說。他們甚至不認(rèn)為這會是常見攻擊方法：傳統(tǒng)軟件攻擊就能賦予黑客同樣的訪問權(quán)限，盡管未必有這么隱蔽。

但兩位研究人員均指出，通過供應(yīng)鏈劫持進行基于硬件的間諜活動在技術(shù)上是可行的，而且可能比世界上大多數(shù)安全管理員認(rèn)為的還要簡單。

我想告訴大眾的是，芯片植入不是幻想。這種事相對簡單。如果我能做到，預(yù)算上億的家伙們可能早都在做了。