Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sprzętowy backdoor w serwerach produkowanych dla Amerykanów w Chinach

ghost666 04 Paź 2018 16:01 5001 29
  • Sprzętowy backdoor w serwerach produkowanych dla Amerykanów w Chinach
    Atak chińskich szpiegów dotknął niemalże 30 firm w USA, jak donoszą amerykańskie służby. Do zainfekowanych firm należą między innymi Amazon czy Apple. Problem jest jednak większy, gdyż pokazuje to, że łańcuch dostaw elektroniki produkowanej w Chinach nie jest już bezpieczny.

    W 2015 roku Amazon zaczął badać start-up Elemental Technologies pod kątem zakupu, by rozszerzyć swoje możliwości strumieniowania wideo. Elemental produkował oprogramowanie do kompresji wideo i formatowania go na różne urządzenia. Ich technologia pomogła między innymi przy przekazywaniu wideo z Olimpiad, Międzynarodowej Stacji Kosmicznej czy z dronów obsługiwanych przez CIA.

    Elemental Technologies pochwalić mogło się najwyższymi certyfikatami bezpieczeństwa z uwagi na projekty realizowane dla CIA. Nie było to podstawową motywacją dla Amazona, jednakże doskonale współgrało z realizowaniem projektów dla CIA, co realizował w tamtym okresie AWS (chodzi o super bezpieczne usługi w chmurze dla tej agencji rządowej).

    Amazon zatrudnił zewnętrzną firmę do przeanalizowania Elementala. Ta postanowiła przyjrzeć się flagowemu produktowi Elementala - specjalnym serwerom, instalowanym w sieci klienta, które odpowiadały ze przetwarzanie i kompresję wideo. Były one produkowane przez Super Micro Computer Inc. z San Jose - jednego z największych producentów płyt głównych do serwerów etc. Zatem późną wiosną 2015 roku Elemental wysłał kilka takich serwerów do Ontario w Kanadzie, gdzie znajdowała się siedziba audytora zatrudnionego przez Amazona.

    Analizując systemy, audytorzy znaleźli mikroskopijny układ scalony na płycie serwera - widzimy go po prawej obok monety. Nie jest wiele większy od ziarnka ryżu, ale co gorsza - nie znajdował się on też w projektach Supermicro. Wykrycie tej modyfikacji wprowadziło całe środowisko zabezpieczeń w spory niepokój, poinformowane zostały także władze, jako że serwery Elementala pracowały m.in. w data center prowadzonych przez CIA czy departament obrony.

    Przez niemalże trzy lata prowadzono tajne śledztwo, mające wykryć kto i po co zainstalował te układy. Okazało się, że układ ten pozwalał na stworzenie niewykrywalnego backdoora w systemie i w dowolnej sieci w której znajdował się zmodyfikowany serwer. Jak mówią nieoficjalne pogłoski, układy dodano w fabrykach w Chinach, gdzie produkowano serwery.

    Atak ten jest o wiele poważniejszy i brzemienny w skutkach niż programowe backdoory, jakie są już znane od dawna. Sprzętowe hackowanie jest o wiele trudniejsze do realizacji, ale także potencjalnie bardziej niebezpieczne dla zaatakowanego. Dlatego też wiele agencji wywiadowczych na świecie tak chętnie inwestuje w nie swoje środki. Istnieją dwa główne mechanizmy ataku - modyfikacja sprzętu w tranzycie lub bezpośrednio w produkcji. Ten pierwszy jest preferowany przez amerykańskich agentów, jak wiemy z dokumentów ujawnionych przez Snowdena. Ten drugi, jak widać, wybrali Chińczycy.

    Nie ma się co dziwić władzom Państwa Środka. Z tego kraju pochodzi niemalże 75% telefonów komórkowych i 90% komputerów. To idealna lokacja do modyfikacji urządzeń na etapie ich produkcji. Jednakże, aby ataki takie działały, agencje wywiadowcze musiały wykazać się dużym wysiłkiem - instalacja takiego backdoora w systemie wymaga ogromnej wiedzy i pełnego zrozumienia hackowanego systemu. Dzięki temu jednakże, jest się niemalże niewykrywalnym. "Hardware traktuje się czasami jak czarną magię, nikt tego nie bada" mówi Joe Grand, specjalista od zabezpieczeń.

    Wśród dotkniętych problemem firm w USA są banki, kontraktorzy rządowi czy też firmy, np. Apple. Ta ostatnia firma wycofała się latem 2015 roku z współpracy z Elementalem, jednakże jak twierdzą jej przedstawiciele, nie wykryli oni obecności złośliwych modyfikacji sprzętu, jakie znajdowały się w ich serwerowniach. Do tego samego przyznaje się AWS czy samo Supermicro - nikt nie wiedział o obecności i funkcji tego układu na PCB czy o istniejącym backdoorze.

    Rząd Chiński nie skomentował bezpośrednio tej sprawy. "Bezpieczeństwo łańcucha dostaw i cyberprzestrzeni jest powodem do zmartwienia dla nas wszystkich. Chiny także padły ofiarami tego ataku" mówił przedstawiciel rządu Chin.

    Szereg źródeł wskazuje, że AWS wiedział o ataku. Nieoficjalne informacje świadczą, iż brał udział w rozpracowaniu tego backdoora we współpracy z rządowymi agencjami. Informacje dotyczące śledztwa są nadal niejawne, ale jak podaje gazeta Bloomberg, 17 osób (anonimowo) potwierdziło, że modyfikacje takie wystąpiły w serwerach Supermicro i że dotknęły wielu firm w USA.

    Nie wiadomo nic o bezpośrednich skutkach ewentualnych ataków. Jak podają źródła, nie wiadomo czy zostały skradzione dane któregoś z klientów tych firm.

    Elemental Technologies założono w 2006 roku. Firma miała doskonały pomysł w doskonałym momencie. Rewolucja strumieniowania wideo w sieci miała zaraz nadejść, a im udało się stworzyć oprogramowanie do transformowania obrazów dedykowanych do normalnych telewizorów do przesyłania w skompresowanej postaci poprzez Internet. W tym celu do pracy zaprzęgli układy z kart graficznych, które pakowane były w specjalne serwery. Każdy z nich kosztował nawet 100 tysięcy dolarów, ale zapewniał możliwości, jakich nie był w stanie dostarczyć nikt inny. Pierwszymi dużymi klientami Elementala był kościół Mormonów, który używał tego sprzętu do transmitowania na żywo mszy na cały świat oraz przemysł pornograficzny, który robił coś dokładnie odwrotnego ;).

    Od 2009 roku Elemental współpracował z agencjami wywiadowczymi w USA, dzięki czemu jego sprzęt zaczęto wykorzystywać do przesyłania wideo np. z dronów czy kamer śledzących na całym świecie. Ich serwery kompresowały i przetwarzały obrazy z głowic rakiet bojowych etc czy pozwalały na super bezpieczne (jak się wydawało) wideokonferencje. Innymi klientami byli NASA, Kongres, Departament Bezpieczeństwa Wewnętrznego i wielu innych. To uczyniło z firmy wartościowy cel dla obcych mocarstw. Serwery projektowane były w USA przez Supermicro, dopiero ich produkcja realizowana była w Chinach.

    Supermicro konstruuje więcej płyt głównych do serwerów niż inne firmy na świecie. Dominuje ona ten wart miliard dolarów rynek i specjalizuje się tak w niszowych systemach, jak kontrola uzbrojenia czy skanery MRI, jak i normalnych serwerach. Mimo, że firma posiada kilka montowni w Kaliforni, Tajwanie i w Holandii, to sama elektronika budowana jest niemalże wyłącznie w Chinach.

    Atak na Supermicro ułatwił fakt, że większość jej pracowników w San Jose pochodzi z Chin lub Tajwanu. Mandaryński to język pierwszego wyboru w biurze, więc obcym służbom łatwiej było zrozumieć to co się tam dzieje. Amerykanie nadal badają, czy wśród pracowników nie ma chińskich szpiegów, którzy mogli pomóc w całej operacji.

    Więcej informacji na temat detali samego ataku i sposobu jego realizacji, znajdziemy w linku źródłowym.

    Źródło: https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

  • #3 04 Paź 2018 19:00
    And!
    Admin grupy Projektowanie

    Gorąca sprawa ale bardzo mało konkretów i wiele pytań, taki trochę złoty pociąg ;)

    Rozumiem że Elemental Technologies tworzył układy pozwalające na szybkie przetwarzanie strumieni wideo,
    mówimy tutaj zapewne o specjalizowanych układach na których wejście podawany jest strumień wideo w określonym formacie i poddany (lub nie) określonej kompresji), natomiast na wyjściu otrzymujemy strumień wideo w innym formacie i (innej) określonej kompresji.

    Takie układy mogą przetwarzać wiele strumieni równolegle, format wejściowy to może być własnościowa magistrala, lub nawet warstwa IP.
    To właśnie warstwa IP może zostać wykorzystana do ataku, ale weźmy pod uwagę że taki układ raczej nie będzie "podłączony do internetu" tylko będzie przetwarzał dane gdzieś wewnątrz systemu gdzie pakiety mogą wielokrotnie zmieniać przestrzenie adresowe.

    Dziwny ruch wychodzący do serwerów C&C może być łatwo wychwycony przez systemy SIEM, chyba że mówimy o wyciekach informacji przez np. steganografię w zakodowanym obrazie.

    Sprawa miniaturowego układu ułatwiającego atak, aby on zadziałał to urządzenie musi zareagować na jakiś sygnał z zewnątrz, np. spreparowany pakiet. Jednak to co wyślemy w internecie nie koniecznie trafi do serwera z zamontowanym układem, lub może trafić mocno zmienione.

    Kolejna sprawa to wielkość tego układu i mała ilość wyprowadzeń, na jakiej magistrali może być on włączony aby wpływać na działanie serwera?
    Może jakiś wpływ na ochronę pamięci, albo interfejsy zarządzające serwerem (ale takie interfejsy zwykle znajdują się w odizolowanej sieci).

    Podsumowując, ciężko coś konkretnego powiedzieć po przeczytaniu takich ogólnych informacji.
    Jest problem z wyzwoleniem ataku, gdyż przetwarzanie wideo może być dość głęboko "wewnątrz" systemu.
    Zaprezentowany układ ma dość mało wyprowadzeń, jak może integrować się z serwerem.

    Moim zdaniem, najbardziej efektywne jest umieszczenie backdora w urządzeniu będącym jak najbliżej internetu,
    np. w routerze/firewall/load balancer itp, a może nawet moduł wkładki GBIC lub chipset/moduł karty sieciowej, moduł WiFi itp.

    Backdor w dysku/płycie głównej/pamięci DRAM może być znacznie trudniejszy do użycia ze względu na mocno zmienne otaczające środowisko (system operacyjny, miejsce umieszczenia w systemie).

  • #4 04 Paź 2018 19:16
    linuxtorpeda
    Poziom 20  

    And! napisał:
    To właśnie warstwa IP może zostać wykorzystana do ataku, ale weźmy pod uwagę że taki układ raczej nie będzie nie będzie "podłączony do internetu" tylko będzie przetwarzał dane gdzieś wewnątrz systemu gdzie pakiety mogą wielokrotnie zmieniać przestrzenie adresowe.


    Wektor ataku został bardzo precyzyjnie wskazany w artykule:
    Cytat:
    The illicit chips could do all this because they were connected to the baseboard management controller, a kind of superchip that administrators use to remotely log in to problematic servers, giving them access to the most sensitive code even on machines that have crashed or are turned off.


    Czyli atakujący mogli swobodnie kontrolować maszynę, tj. wykonywać dowolny kod na hoście, sterować jej zasilaniem, symulować działanie urządzeń peryferyjnych (np. myszy czy klawiatury).

    https://en.wikipedia.org/wiki/Intelligent_Pla...ent_Interface#Baseboard_management_controller

  • #5 04 Paź 2018 19:50
    timo66
    Poziom 22  

    A jak dla mnie to strasznie naiwne podejście. Kto powiedział że to chińczyk musiał to tam umieścić ? Fizycznie może i tak, ale idea mogła powstać wszędzie.

  • #6 04 Paź 2018 20:25
    And!
    Admin grupy Projektowanie

    @linuxtorpeda tej informacji zabrakło w pierwszym poście. Jednak BMC/IPMI zwykle opierają się o zarządzenie posiadające nawet odrębny interfejs ethernet wystawiony do odizolowanej sieci. Nawet gdyby BMC w jakimś nierozsądnym rozwiązaniu było współdzielone na interfejsie przez który serwer wysyła dane to i tak ruch byłby zamknięty w osobnym vlanie. A patrząc bardziej wysokopoziomowo serwer nie będzie wystawiony do internetu "jak leci" i taki interfejs zarządzający nawet gdyby nie był na fizycznie odrębnym interfejsie, to zwykle będzie korzystał z określonego portu lub innych mechanizmów izolujących zarządzanie od połączenia z internetem...

    Czyli sam wektor ataku nie ma nic wspólnego ze wspomnianą specjalizacją podejrzanej firmy - przetwarzaniem strumieni wideo.
    Po drugie nikt rozsądny nie udostępnia interfejsów zarządzających bezpośrednio w internecie.

  • #7 04 Paź 2018 20:35
    olelek
    Poziom 24  

    Podzespół ze zdjęcia bardzo przypomina elementy produkowane przez firmę Johanson Technology - m. inn. filtry RF:
    https://pl.mouser.com/Johanson/Passive-Compon.../_/N-8bzui?P=1yybym3&Keyword=balun%5c&FS=True
    Także mam trochę wątpliwości co do faktów podawanych w artykule. Poza tym, jak Kolega And! wpomniał, co takiego mógły robić podany układ? Na tych kilku pinach ledwo dałoby radę dodać magistralę I2C lub wejście/wyjście rejestru szeregowego. Jeżeli nawet, to i tak musiałby współpracować np. z chipsetem płyty głównej lub innym układem mającym dostęp do magistral, aby nasłuchiwać, lub modyfikować dane na szynie.

  • #8 04 Paź 2018 20:44
    And!
    Admin grupy Projektowanie

    Jedyny wektor ataku na magistrali typu I2C jaki sobie wyobrażam to:
    -zmanipulowany układ kryptograficzny typu https://www.microchip.com/wwwproducts/en/ATsha204a
    -lub zmanipulowana pamięć EEPROM przechowująca hasze haseł i inne dane kryptograficzne (tak czasami realizowane są zabezpieczenia BIOS laptopów https://www.youtube.com/watch?v=FpaBnJO9a0w )

    Takie układy mogłyby zapewnić dostęp do BMC uniwersalnym hasłem, które znajdowałoby się poza kodem (więc byłoby to bardzo trudne do wykrycia).
    ALE nadal pozostaje odizolowanie BMC od interfejsów "internetowych" serwera,
    oraz fakt że od interfejsów "internetowych" serwera do internetu zwykle jeszcze długa droga...

  • #9 04 Paź 2018 20:45
    linuxtorpeda
    Poziom 20  

    And! napisał:
    tej informacji zabrakło w pierwszym poście

    Źródła zawsze warto czytać.

    And! napisał:
    Jednak BMC/IPMI zwykle opierają się o zarządzenie posiadające nawet odrębny interfejs ethernet wystawiony do odizolowanej sieci.

    Przeważnie jednak komunikacja odbywa się na tym samym interfejsie, poza tym nie ma to znaczenia, jeśli możesz kontrolować działaniem każdego komponentu serwera bez potrzeby używania OSa ( https://en.wikipedia.org/wiki/Management_Component_Transport_Protocol ).

    And! napisał:
    Nawet gdyby BMC w jakimś nierozsądnym rozwiązaniu było współdzielone na interfejsie przez który serwer wysyła dane to i tak ruch byłby zamknięty w osobnym vlanie. A patrząc bardziej wysokopoziomowo serwer nie będzie wystawiony do internetu "jak leci" i taki interfejs zarządzający nawet gdyby nie był na fizycznie odrębnym interfejsie, to zwykle będzie korzystał z określonego portu lub innych mechanizmów izolujących zarządzanie od połączenia z internetem...

    Serwery stawia się przeważnie z myślą, by uczynić je dostępnymi w internecie, konfiguracja samego serwera nie ma znaczenia, skoro atakujący może ją zmienić.

    And! napisał:
    Czyli sam wektor ataku nie ma nic wspólnego ze wspomnianą specjalizacją podejrzanej firmy - przetwarzaniem strumieni wideo.

    Wg moich informacji nie ma.

    And! napisał:
    Po drugie nikt rozsądny nie udostępnia interfejsów zarządzających bezpośrednio w internecie.

    Nie musi, patrz wyżej.

  • #10 04 Paź 2018 20:52
    And!
    Admin grupy Projektowanie

    W 99% do IPMI jest osobny interfejs:
    https://www.boston-it.de/technical/2015/10/su...mi-what-is-it-and-what-can-it-do-for-you.aspx
    https://bstncdn.net/i/2690

    A nawet gdy nie jest, to i tak nie ma znaczenia, gdyż dostępność jakiegoś urządzenia na interfejsie ethernet serwera, nie równa się dostępności tego urządzenia w internecie...

    Przykład:
    Czy będąc podłączeni do portu przełącznika sieciowego operatora/dostawcy macie dostęp do jego interfejsu zarządzającego tym przełącznikiem?
    Podobnie z modemem DOCSIS, GPON ONT, itp. a w przypadku serwera jest jeszcze dalej...

  • #11 04 Paź 2018 21:11
    linuxtorpeda
    Poziom 20  

    olelek napisał:
    Podzespół ze zdjęcia bardzo przypomina elementy produkowane przez firmę Johanson Technology - m. inn. filtry RF

    Jeśli miał zostać niezauważony przez długi czas, to nie mógł przypominać niczego dużego, co by wyglądało na oddzielną jednostkę obliczeniową. :)

    olelek napisał:
    co takiego mógły robić podany układ? Na tych kilku pinach ledwo dałoby radę dodać magistralę I2C lub wejście/wyjście rejestru szeregowego.

    Odpowiedź na pierwsze pytanie znajdziemy znowu w artykule:
    Cytat:
    Since the implants were small, the amount of code they contained was small as well. But they were capable of doing two very important things: telling the device to communicate with one of several anonymous computers elsewhere on the internet that were loaded with more complex code; and preparing the device’s operating system to accept this new code.

    Szyna I2C w standardowej wersji ma przepustowość 400 kilobodów na sekundę, prędkość SPI (działa jak szeregowy rejestr przesuwny) sięga kilku Mbit. Moim zdaniem to wystarczająco, by wydawać polecenia z internetu i wykonywać arbitralne fragmenty kodu.

    olelek napisał:
    Jeżeli nawet, to i tak musiałby współpracować np. z chipsetem płyty głównej lub innym układem mającym dostęp do magistral, aby nasłuchiwać, lub modyfikować dane na szynie.

    No i to robi, BMC ma dostęp do southbridge'u lub PCH, zależnie od modelu płyty głównej.

    Dodano po 12 [minuty]:

    And! napisał:

    Cytując fragment artykułu, który zalinkowałeś:
    Cytat:
    Most systems have both a dedicated LAN port for IPMI traffic or optionally it's possible to run this traffic over the 1st LAN port on the motherboard (eth0) alongside the systems standard IP traffic.

    Tak więc tak jak pisałem wyżej, obie konfiguracje są możliwe.

    And! napisał:
    A nawet gdy nie jest, to i tak nie ma znaczenia, gdyż dostępność jakiegoś urządzenia na interfejsie ethernet serwera, nie równa się dostępności tego urządzenia w internecie...

    Owszem, problem dotyczy m.in. dostawców usług w internecie. Poza tym nikt nie wyklucza bardziej złożonych metod komunikacji pomiędzy "zarażonymi" serwerami, trudno się wypowiadać na ten temat, bo nie znamy szczegółów technicznych podatności.

  • #12 04 Paź 2018 23:12
    And!
    Admin grupy Projektowanie

    Trzeba będzie głębiej zapoznać się ze źródłem.
    Podejrzewam że niebawem ten news obiegnie wiele serwisów, na elektrodzie możemy w temacie tej dyskusji zejść dość niskopoziomowo, oraz rozwinąć temat zachowując merytorykę. Obawiam się że w wielu innych miejscach skończy się na kopii, lub zniekształconej kopii...

  • #13 04 Paź 2018 23:15
    Bojleros
    Poziom 15  

    Spora część BMC pozwala na flashowanie firmware i na rekonfigurację bios tak więc muszą mieć dostęp niskopoziomowy. KVM, montowanie zdalnych zasobów dyskowych, wirtualny port szeregowy, serwisy pozwalające na zmasowane zarządzanie sprzętem na DC ..... idąc przykładem stuxneta może też iść o sabotaż.

    Tu taka ciekawostka: https://www.servethehome.com/idracula-vulnera...-impacts-millions-of-legacy-dell-emc-servers/

    To czy izolacja jest poprzez osobny interfejs fizyczny czy vlanem to inna sprawa. Przypadki beznadziejne bez izolacji przemilczę. Już spectre/meltdown były mocną sugestią , że nadciąga czas backdorów zlokalizowanych co raz bliżej sprzętu. A jaka jest pewność, że urządzenia sieciowe nie mają podobnych "ulepszeń" ? Ciekawie na tym tle wygląda zakup ARM przez Chińczyków. Amerykanie będą nam backdorować x86 i pochodne a Chińczycy ARM na urządzeniach przenośnych ? Z punktu widzenia służb to chyba może pomóc totalna kontrola łańcucha projektowo produkcyjnego ale na to stać nielicznych. Trzeba z resztą jeszcze taki przemysł posiadać ...

    And! napisał:
    Takie układy mogłyby zapewnić dostęp do BMC uniwersalnym hasłem, które znajdowałoby się poza kodem (więc byłoby to bardzo trudne do wykrycia).


    Nawet jak tak to i tak w firmware chipa bmc musiałoby być to obsłużone. O ile modyfikacja nie została dorzucona w po audycie ale przed obliczaniem sum kontrolnych to to jest chyba raczej kiepska opcja.

  • #14 04 Paź 2018 23:15
    ghost666
    Tłumacz Redaktor

    Całego newsa nie tłumaczyłem intencjonalnie, z kilku powodów - po pierwsze, byłby absurdalnie długi, po drugie to Bloomberg, a nie jakieś techniczne czasopismo, a po trzecie - sam nie jestem specem od wysokopoziomowych systemów, więc chce porządnie wczytać się w to co napisano tam (i nie tylko) aby uzupełnić w miarę pojawiania się informacji naszą wiedzę na ten temat :).

  • #15 04 Paź 2018 23:28
    And!
    Admin grupy Projektowanie

    Na myśl przychodzi jeszcze złośliwy sterownik, którego analiza wykazuje że zaświeca LED, lub odczytuje temperaturę. Ale ponieważ sprzęt jest zmodyfikowany, to sterownik może więcej niż wyświetlić adres IP na wyświetlaczu LCD serwera.

  • #16 05 Paź 2018 07:40
    zgierzman
    Poziom 18  

    olelek napisał:
    Podzespół ze zdjęcia bardzo przypomina elementy produkowane przez firmę Johanson Technology - m. inn. filtry RF:


    Photographer: Victor Prado for Bloomberg

    Na 100% to nie jest zdjęcie znalezionego układu, bo ono, jeśli istnieje, jest zapewne tajne.
    Ziomek Victor zrobił zdjęcie ilustracyjne do artykułu, a sfotografował to, co mu w rękę wpadło i co z grubsza pasowało wymiarami do opisu.

  • #17 05 Paź 2018 11:22
    linuxtorpeda
    Poziom 20  

    zgierzman napisał:
    Na 100% to nie jest zdjęcie znalezionego układu, bo ono, jeśli istnieje, jest zapewne tajne.


    Ten układ znajduje się w masowo produkowanym sprzęcie. Czy zdjęcie przedstawia układ - nie wiem.

  • #18 05 Paź 2018 12:18
    rekinisko
    Poziom 22  

    Większej bzdury już dawno nie czytałem. Miałem okazję być i pracować w Supermicro. Na zdjęciach filtr RF z sześcioma wyprowadzeniami o możliwości komunikacji na poziomie czujnika temperatury i jeszcze chamsko nazwany sprzętowym układem który nie ma bezpośredniego podłączenia do sieci. Jeśli ktoś chciałby dla zmyłki wstawić na płytę element który nie będzie budził podejrzenia to musiałby być skończonym idiotą żeby wstawić pomiędzy układami logicznymi filtr GPS czy inny. Ktoś chciał podetrzeć sobie tyłek firmą to mu się udało bo pelikany połknęły ... Najgorsze, że wszystkie plotkarskie strony powielają głupotę, dziś nawet w radiu o tym mówili i tylko czekać aż poleci jako sensacja w wiadomościach wieczorem. Filtr GPS układem szpiegowskich wszech czasów.

  • #19 05 Paź 2018 12:20
    ghost666
    Tłumacz Redaktor

    Właśnie doczytałem (Link) że Chińczycy posuwali się nawet do embeddowania układów w samej PCB, dzięki czemu były one niewykrywalne przy normalnej inspekcji wizualnej.

    Jak widać na pokazanym przez Bloomberga zdjęciu (Link) układ znajduje się pomiędzy BMC a jego flashem z najpewniej firmware, więc układ mógł wstrzykiwać do BMC swoje fragmenty kodu.

  • #20 05 Paź 2018 12:30
    j570
    Poziom 12  

    Wydaje się że trzeba poczekać aż pojawią się konkrety. Może się okazać że to sami amerykanie to wsadzili i teraz się do tego nie przyznają. Może te anonimowe serwery z którymim łączyły się zmodyfikowane stacje należą do NSA. Jakby wyszło że to oni sami sobie to zrobili to byłoby niezłe zamieszanie. Czekamy na następnego Snowdena.

  • #21 05 Paź 2018 15:19
    Tommy82
    Poziom 39  

    Kiedyś temat zgłębiałem ale po kolei.

    Wektorem ataku musi być chip IPMI nie ma innej opcji, po prostu nie i h..j albo nie ma żadnego ataku.

    Chip IPMI służy do zarządzania zdalnego całym serwerem.
    W Supermicro widziałem dwa typy IPMI zintegrowany z płytą główna oraz jak dodatkowy moduł. Chip Supermicro to w zasadzie oddzielny komputer przy okazji pracujący pod kontrola linuxa. Co ciekawe starsze w wersji kernela jeszcze 2.4. Jeden z większych ataków pochodził właśnie z chipów IPMI

    https://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack/

    Od tego czasu już chyba wszyscy mają interfejsy IPMI w adresacjach prywatnych.

    Generalnie IPMI ma dedykowany interface IPMI ale może pracować w trzech trybach:
    - Dedicated - ipmi jest na dedykowanym interfejsie.
    - Shared - ipmi dzieli port z chyba pierwszym portem LAN na płycie.
    - Failower - jest trybem ciekawym acz upierdliwym bo się przełącza na dostępny interface co może czasem zaskoczyć.

    I teraz IPMI pozwala na zdalne zarządzanie poprzez interface WWW tam jest sobie serwer HTTP. Kolejna upierdliwość tego jest taka że że jest tam niekasowalne konto admina o nie zmienialnej nazwie.

    Teraz troszkę o wersjach i producentach
    Wygląda to tak
    https://www.supermicro.com/products/nfo/IPMI.cfm
    Zwróćcie uwagę na różnych producentów i wersje chipów być może będzie się dało coś z tego wywnioskować.

    Co można zrobić przy pomocy tego cholerstwa. Można się zalogować można zrobić zdalnego flasha Bios można zrobić flasha IPMI. Można zrobić reboot można sprawdzić pobór prądu i inne parametry jak wentylatory i tak dalej. Można skorzystac z konsoli zdalnej i wirtualnej/fizycznej zdalnej klawiatury. Można konfigurować podstawowe parametry IPMI z poziomu zarówno Biosu jak i zarządzać z poziomu systemu operacyjnego, można z poziomu systemu operacyjnego zrobić flasha Biosa i IPMI.

    Zatem jak to się dzieje ze tak się dzieje. No po pierwsze to jest komputer w komputerze po drugie to miejsce integrujące wiele rzeczy w jednym miejscu lub wręcz obsługuje je.

    Na przykładzie AST2500 Aspeeda parametry w wersji skróconej.

    - Embedded CPU 800MHz ARM11 -jak widać proc jest całkiem niezły jak na takie warunki
    - SDRAM Memory Up to 1G Byte. Na gołego linuxa to aż za dużo
    - Flash Memory SPI flash memory
    - Video-over-IP Video Redirection up to 1920x1200 YUV444/YUV420 Video Compression 24 bits video compression quality - O tym jeszcze będzie
    - USB-over-IP USB 2.0 virtual hub controller with 5 devices supported USB 1.1 HID device controller
    - VGA PCIe VGA/2D Controller 1920x1200@60Hz 32bpp VGA Drivers RHEL SLES Solaris Ubuntu FreeBSD Fedora Windows Server 2008 R2 (WHQL logo'ed) Windows Server 2012 R2 (WHQL logo'ed)
    - LAN Dual 10/100/1000M bps MAC

    Jak widać zacnie. Takie prawie rasbery za to na innych dopalaczach

    Na obrazku wygląda to tak:
    Sprzętowy backdoor w serwerach produkowanych dla Amerykanów w Chinach

    No i co my tu mamy.
    Po pierwsze dedykowany Interface IPMI przez który Chip BCM obsługuje zdalną klawiaturę czy myszkę, montowanie obrazów dysków czy zdalna konsolę. Układ ten jest również kontrolerem fizycznym USB nie tylko wirtualnym (over lan) i kontroluje np fizyczna klawiaturę czy pendrive gdy wpięte. Układ ma swoja pamięć i co ciekawe to ten układ jest karta graficzną serwera z jednej strony podając sygnał wizyjny na złącze fizyczne z drugiej pozwalający na jego kompresje i obsługę zdalną (któryś z tych układów miał układ graficzhny chyba matoroxa 200). Układ obsługuje też porty Com udostępniając terminal. Dalej ma to jakieś przetworniki celem gromadzenia parametrów no i łączy się z mostkiem południowym różnymi magistralami w tym PCIE oraz z kontrolerem Lan na płycie głównej (głównym).

    Jak widzicie sam firmware BCM to piękne miejsce na atak ale to jest miejsce którego wszyscy się spodziewają więc trzeba potencjalnie wymyślić coś innego.
    Takiego ataku sprzętowego spodziewałem się od dawna i nie tylko takiego:
    https://www.elektroda.pl/rtvforum/viewtopic.php?t=3504664&highlight=
    Ale czy ten się wydarzył to się jeszcze okaże.

    Raczej nikt nie będzie czegoś takiego szukał. Po sprawdzeniu f/w BCMu będzie z siebie dumny i będzie się czuć bezpieczny. Co do tego ziarnka ryżu no ile to było by w stanie zdziałać samodzielnie. Policzmy masa zasilanie no i nam mało zostaje na magistrale tak że to potrzebuje jakiegoś większego kolegi do pracy fizycznej. No w sumie dla czego tego nie zintegrować w chip BCM? Tam już jest taki bajzel że pewnie nikt by się nie jorgnoł co to i po co ;).
    Kolejna sprawa jak z tego wypluć dane? tylko przez BCM no ale którędy mamy dwie drogi jedna to interface dedicated druga to powiedzmy public. I teraz wszystko zależy od konfiguracji bo sieci zarządzania to najczęściej co najmniej odseparowane Vlany jak i nie oddzielne fizycznie sieci. Po zabawie z wspomnianym DDosem chyba wszystkie IPMI na świecie już siedzą za Vlanami i VPNami na prywatnej adresacji. Nie wyobrażam sobie by w jakimś Amazonie czy innym Applu było od samego początku inaczej niż tak że interfejs zarządzania nie jest dostępny z publicznej sieci. Zatem raczej interface publiczny. No ale jak dane z tego wypluć w sposób niezauważony. W zasadzie trudne ale jak ktoś musiał to coś wymyślił powiedzmy nie wiem serwer zgłasza się jakimś pakietem podając swój adres IP zakodowany/szyfrowany, atakujący wysyła spreparowane zapytanie coś udające może jakiś brut force czy nieudaną próbę logowania bcm do standardowej odpowiedzi dołącza coś tam jeszcze. Pytanie o przepustowość kanału. Cóż mamy przecież 24 godziny na dobę przez cały rok. Nikt kto coś takiego ma nie będzie tym kradł czego popadnie bo go nakryją za którymś razem. To jak z enigmą Brytyjczycy mieli i czytali ale nie mogli reagować jak by chcieli bo by Niemcy po pierwszej wtopie zmienili szyfrowanie. A tak mają czas niech kapie.

    Kolejne pytanie jest takie jak długo to ćwiczą i na ile to jest skuteczne bo może byś tak że jest to w każdym serwerze a ze względu na warunki sprzętowe jakieś 10% z tego albo mniej jest w stanie pracować.

    No i pojawia się jeszcze jedno pytanie czy to może działać bez wsparcia producenta układu BCM/firmware. No i kolejne pytanko czy dało by się z tym skomunikować z poziomu systemu operacyjnego BCM bo może dało by radę spreparować flasha z doinstalowanym telentem to w zasadzie powinien być problem głownie policzenia sum kontrolnych. W sumie nawet nie bo sobie przypomniałem że ktoś tam kiedyś gdzieś na jakiejś płycie znalazł tx/rx do debugu.
    http://blog.devicenull.org/2014/06/06/x8sil-f-ipmi-serial-debug-port.html

    To może być rozgrzewka bo kilku producentów branduje Supermicro np Thomas Kern a INNI korzystają z podobnych rozwiązań w zakresie chipów BCM pytanie które chipy mają problem Ja chyba stawiam na Asped poprzednie miały nawet dwóch producentów FW i AMI nawet była z USA. Asped i INSYDE to Taiwan

    No i dochodzimy do momentu w którym kolejne spiskowe teorie się materializują.
    Ale postawmy kolejną hipotezę że to jest atak USA na firmę produkującą w chinach zresztą nie pierwszy motywowany względami bezpieczeństwa może to po prostu kolejna bitwa w wojnie handlowej, taki fake news. Bo nie oszukujmy się cenowo HP czy Dell do Supermicro nie mają startu a do dawna supermicro szło na giełdzie raczej w górę.

  • #22 05 Paź 2018 17:16
    leonow32

    Poziom 30  

    Śmierdzi mi to fake newsem. Nie tak łatwo jest zmienić gotowy projekt płytki, a tym bardziej wstawić coś co będzie niezauważone przez zleceniodawcę. Poza tym ten element wcale nie wygląda jak układ scalony tylko jak drabinka kondensatorów albo jakiś filtr RF.

  • #23 05 Paź 2018 20:43
    chudybyk
    Poziom 27  

    To na cholerę te wszystkie certyfikaty, jeśli żaden nie przewidywał audytu wykonanego w Chinach sprzętu. Byle system zarządzania produkcją tego wymaga. Wrzucamy chińszczyznę na automat do inspekcji optycznej i widzimy, gdy brakuje elementu o wielkości 0.5 mm, za to nie znajdziemy dodatkowego scalaczka? Głupie te Amerykany.

  • #24 05 Paź 2018 20:51
    Tommy82
    Poziom 39  

    Jest jeszcze jedna kwestia nie podają której rodziny produktów ze względu na chip BMC/Firmware problem dotyczy to nie wydaje się być jakimś rocket science.
    I ja bym takiego backdora zaszył w BCM. Chińczycy byli by w stanie po prostu podmienić chip na linii na swój z kodem zaszytym w chipie i poznaj Stachu po zapachu.

  • #25 07 Paź 2018 11:40
    And!
    Admin grupy Projektowanie

    Takie rozwiązanie wydaje się najbardziej efektywne,
    jedynie musiałoby to być odporne na nowy firmware, czyli też w pewnym sensie byłby to backdoor sprzętowy...

  • #26 07 Paź 2018 14:45
    Tommy82
    Poziom 39  

    @And!
    Nie no funkcjonalnie byłaby to kopia układu. Mógłby być nawet przeflashowany. Po prostu backdor siedziałby w tym samym układzie, a nie na płycie głównej.
    Reszta tak samo.

    Im bardziej się nad tym zastanawiam to jestem bardziej sceptyczny co do samej idei tego ziarnka ryżu (nie podsłuchu/backdora). No ale z drugiej strony, jakbym takie coś chciał spłodzić, to pewnie celowałbym w takie trudne do uwierzenia scenariusze, choć niekoniecznie akurat literalnie takie. Bo to zawsze jest jakiś dodatkowy firewall zrobić coś, co dziś ludzie uważają za niemożliwe lub mało prawdopodobne.

  • #27 09 Paź 2018 11:02
    paszczakq
    Poziom 19  

    Amerykanie jak zwykle robią awanturę ,sami podsłuchując wszystkich i wszystko . Ktoś sprawdzał co tak naprawdę robią smartfony ? Tego już nikt nie kontroluje .

  • #28 09 Paź 2018 17:40
    linuxtorpeda
    Poziom 20  

    paszczakq napisał:
    Ktoś sprawdzał co tak naprawdę robią smartfony ? Tego już nikt nie kontroluje .

    Ludzie siedzący m.in. na XDA Developers kontrolują.

  • #29 10 Paź 2018 09:35
    ghost666
    Tłumacz Redaktor

    Akurat w smartfonach backdoory są 'normą' - już było sporo afer z tym związanych. Winni oczywiście Chińczycy ;)

    https://advox.globalvoices.org/2016/11/19/no-...-spyware-on-smartphones-is-the-norm-in-china/

  • #30 10 Paź 2018 21:17
    paszczakq
    Poziom 19  

    Już nie wspominając o podróbkach .