知的な人はどこで葉を隠しますか? 森の中。 彼はどこでスパイチップを隠しているのですか? サーバー内
昨日、Supermicro機器にスパイウェアモジュールが存在する証拠がないという記事がHabréに掲載されました。 さて、今日彼らは登場しました 。 私は、米国のネットワークセキュリティの専門家であるYossi Applebaumの最大の通信会社の機器でそれらを見つけました。
この専門家は、ハードウェアセキュリティソリューションを専門とするSepio Systemsのリーダーの1人です。 比較的最近、彼女はクライアントの1人(アップルバウムはNDAの条件に拘束されているため、彼の言うことを拒否しました)の注文を果たしていました。
Sepio Systemsのスペシャリストは、異常なネットワークトラフィックが原因で問題要素を比較的迅速に発見しました。 この要素は、サーバーのイーサネットコネクタに埋め込まれた「インプラント」であることが判明しました。 Applebaumによると、イーサネットポートに埋め込まれたスパイウェアモジュールに出会ったのはこれが初めてではなく、スーパーマイクロ機器だけでなく、他社の製品(中国のハードウェアメーカー)でも見られたことは興味深いです。
「インプラント」の研究に基づいて、専門家は、工場、おそらくは会社のサーバーが組み立てられる工場で導入されたと結論付けました。 Supermicroの工業施設は、「Silicon Valleyハードウェア」と呼ばれる深Shenzhenから100キロ以上離れた広州にあります。
残念ながら、専門家は感染したハードウェアが送信または処理するデータを最後まで把握できませんでした。 Applebaumを雇った通信会社がFBIに連絡したかどうかも不明です。 会社の種類を理解するのは難しいです。 ブルームバーグの記者の要求に応じて、AT&TとVerizonの代表者がコメントを述べました。 両方のコメントは否定的です-企業は、彼らがチェックを手配しなかったと主張します。 スプリントも同様の答えを出し、Supermicroの機器は購入しなかったと述べた。
ところで、スパイインプラントを導入する方法は、NSAで使用されている方法と似ています。 代理の方法については、Habréと他のリソースの両方で繰り返し語られました。 Applebaumは、モジュールを「古い知人」とさえ呼んでいました。モジュールを導入するためのこのようなシステムは、中国から来る機器に非常によく見られるからです。
Applebaumは、同僚に似たモジュールに遭遇したかどうかに興味があると言い、問題はよくあることだと言って問題を確認しました。 ハードウェアの変更に気付くことは非常に難しいことは注目に値します。これは多くの国の情報部門が使用しているものです。 実際、数十億ドルがハードウェアバックドア業界に投資されています。 米国には、そのようなシステムの開発のための秘密のプログラムがあり、スノーデンはすでに話しましたが、他の国のintelligence報機関があらゆる種類のスパイ装置を開発するのはなぜですか?
中国は、私自身のサイバーセキュリティ力と「サイバー攻撃」の開発に積極的に取り組んでいる国の1つです。
情報セキュリティの専門家3人は、Applebaumをテストし、Sepioソフトウェアがハードウェアバックドアをローカライズする方法を決定したと述べました。 1つの方法は、低レベルのトラフィックを分析することです。 これは、デジタルデータの送信だけでなく、アナログ信号の検出(デバイスのエネルギー消費など)も調べることを意味します。 消費量がそれよりも少ないとはいえ、消費量が多い場合、これは考える機会です。
Sepioメソッドを使用すると、1つのデバイスではなく、サーバーではなく2つのデバイスがネットワークに接続されていると判断できました。 サーバーは特定の方法でデータを送信しましたが、チップは少し異なった方法でデータを送信しました。 着信トラフィックは信頼できる送信元からのものであり、保護システムのフィルターをバイパスできました。
視覚的には、チップの位置は、イーサネットポートを調べることで決定されました(その後、その存在について知られるようになりました)。 「スパイ」コネクタには、プラスチックのエッジではなく、金属のエッジがありました。 チップは内部のチップによって生成された熱エネルギーを放散するために金属が必要であり、独立したコンピューティングユニットとして機能していました。 Applebaumによると、このモジュールは疑念を引き起こさず、それが何であるかを正確に知らない場合、何も疑わなくても動作しません。
ハードウェアバックドアが「本物以上」であるという事実は、多くのサイバーセキュリティの専門家によって言われています。 技術の発展により、スパイウェアモジュールの小型化が大幅に改善されたため、従来の方法では簡単に検出できないほぼすべての機器に「スパイ」を追加できるようになりました。この分野では特別なソフトウェア、知識、経験が必要です。 ほとんどの場合、モジュールは独自のパワーを持つコンポーネントに置き換えられます。これは、「スパイ」が機能するのに十分です。
ハードウェアのバックドア自体は目新しいものではなく、大小を問わず多くの企業がこの問題に苦労しており、常に何が起こっているのかを語っているわけではありません。 しかし、ほとんどの場合、このタイプのシステムは、さまざまな州の政府の秘密に関する情報を取得するために使用されます。 これに関するユーザーデータは10番目の問題です。
ちなみに、サイバー脅威と戦うために、世界中で1年間に約1,000億ドルが世界中でビジネスに費やされており、これらの資金のほんの一部が上記の脅威に費やされています。