Где умный человек прячет листик? В лесу. Где он прячет шпионский чип? В сервере
Только вчера на Хабре была опубликована статья о том, что доказательств присутствия шпионских модулей в оборудовании компании Supermicro нет. Ну а сегодня они появились. Обнаружил их в оборудовании одной из крупнейших телекоммуникационных компаний США эксперт по сетевой безопасности Йосси Эпплбаум.
Эксперт является одним из руководителей компании Sepio Systems, которая специализируется на безопасности аппаратных решений. Относительно недавно она выполняла заказ одного из клиентов (кого именно — Эпплбаум говорить отказался, поскольку он связан условиями NDA), которая решила проверить свое оборудование на предмет наличия уязвимостей или установленных «жучков».
Специалисты Sepio Systems относительно быстро обнаружили проблемный элемент благодаря необычному сетевому трафику. Этим элементом оказался «имплантат», внедренный в Ethernet коннектор сервера. Интересно, что по словам Эпплбаума, он не впервые сталкивается со шпионскими модулями, внедренными именно в Ethernet-порт, причем они были замечены не только в оборудовании Super Micro, но и в продуктах других компаний — китайских производителей «железа».
Эксперт на основании изучения «имплантата» сделал вывод, что он был внедрен еще на производстве, скорее всего фабрике, где и собираются сервера компании. Промышленные мощности Supermicro находятся в Гуанчжоу, это немногим более сотни километров от Шеньчженя, который назван «Кремниевой долиной hardware».
К сожалению, эксперты так и не смогли разобраться до конца в том, какие же данные передает или обрабатывает инфицированное аппаратное обеспечение. Также неизвестно, связалась ли телекоммуникационная компания, которая наняла Эпплбаума, с ФБР. Понять, какая это была компания, сложно. По запросу журналистов Bloomberg свои комментарии дали представители AT&T и Verizon. Оба комментария отрицательны — компании утверждают, что никаких проверок они не устраивали. Аналогичный ответ дала и компания Sprint, там заявили, что оборудования от Supermicro не закупается.
Кстати, метод внедрения шпионского имплантата похож на тот, что использовался АНБ. О методах агентства неоднократно рассказывалось как на Хабре, так и на других ресурсах. Эпплбаум даже назвал модуль «старым знакомым», поскольку такая система внедрения модулей встречается в оборудовании, поступающем из Китая достаточно часто.
Эпплбаум заявил, что он интересовался у коллег, сталкивались ли те с аналогичными модулями, и они подтвердили наличие проблемы, заявив, что она является достаточно распространенной. Стоит отметить, что заметить модификации в «железе» очень сложно, чем и пользуются разведывательные управления многих стран. Фактически, в индустрию аппаратных бэкдоров вкладываются миллиарды долларов. У США есть секретная программа по развитию подобных систем, о чем уже рассказывал Сноуден, так почему бы и разведуправлениям других стран не разрабатывать разного рода шпионские устройства?
Китай — одна из стран, которые активно занимаются развитием собственных сил кибербезопасности и «кибернападения», если так можно выразиться.
Три специалиста по информационной безопасности рассказали о том, что они проверили работу Эпплбаума и определили то, как ПО компании Sepio смогло локализовать аппаратный бэкдор. Один из способов — анализ низкоуровневого трафика. Это означает изучение не только передачи цифровых данных, но и обнаружение аналоговых сигналов — к примеру, потребление энергии устройствами. Если потребление больше, пускай и на малую толику, чем должно быть, то это уже повод задуматься.
Метод Sepio позволил определить, что к сети подключено не одно устройство, сервер, а два. Сервер передавал данные определенным образом, а чип делал это немного иначе. Входящий трафик приходил с доверенного источника, что позволило обходить фильтры системы защиты.
Визуально местонахождение чипа удалось определить (потом, после того, как о его существовании стало известно) путем изучения Ethernet-портов. «Шпионский» коннектор имел металлические края, а не пластиковые. Металл понадобился для того, чтобы рассеивать тепловую энергию, генерируемую чипом внутри, который действовал, как самостоятельная вычислительная единица. По словам Эпплбаума, модуль не вызывает никаких подозрений, если точно не знать, что он собой представляет, заподозрить что-либо не выйдет.
О том, что аппаратные бэкдоры «более чем реальны» говорят многие специалисты по кибербезопасности. С развитием технологий миниатюризация шпионских модулей настолько улучшилась, что сейчас практически в любое оборудование можно добавить «шпиона», которого просто невозможно обнаружить обычными методами, нужно специальное ПО, знания и опыт в этой сфере. Чаще всего модулями заменяют компоненты, которые имеют собственное питание, которого вполне достаточно «шпиону» для работы.
Стоит отметить, что сами по себе аппаратные бэкдоры не являются новинкой, многие компании, как крупные, так и мелкие, борются с этой проблемой, далеко не всегда рассказывая о происходящим. Но чаще всего системы такого типа используются для получения информации о правительственных секретах разных государств. Пользовательские данные в этом плане — дело десятое.
Кстати, в год на борьбу с киберугрозами у бизнеса глобально уходит около $100 млрд. И только малая толика этих средств расходуется на угрозу, о которой говорилось выше.
Комментарии (147)
evgenij_byvshev
10.10.2018 17:52Может перестать покупать и заказывать технику в Китае и начать её делать самому?
sintech
10.10.2018 19:01+3Так в тексте и написано, что ФБР само изготавливает и устанавливает бекдоры на нужные сервера. Думаю им не сложно будет внедрится в цепочку поставки и модифицировать железо.
stul5tul
11.10.2018 03:20Может перестать покупать и заказывать технику в Китае и начать её делать самому?
С одной стороны возврат производства в Штаты — это один из пунктов на которых выиграл выборы президент Трамп, нынешний президент США.
Но в реальности это трудно реализуемо.
Например, вернуть производство iPhone в США.
На одном только заводе работает больше людей чем может предоставить рабочих рук большинство городов США.Dr_Faksov
11.10.2018 04:37Пока работает… Foxconn несколько лет назад имел более миллиона работников. Сейчас хорошо если половина осталась. Ежемесячно увольняется тысячи работников. Роботы рулят, сэр. Сейчас все упирается в то, как бысто производитель роботов сможет поставить нужное их количество. За последние несколько лет роботы ОЧЕНЬ сильно поумнели. И подешивели. Настолько, что Форду сейчас все равно, строить новый завод в Мексике и запускать на сборку мексиканцев, или в США и запускать на сборку роботов.
Так что количество рук на конвеерной сборке сейчас никак не зависит от населения страны.bearoxide
11.10.2018 08:54+1В свое время Джобс, объясняя Обаме, почему айфоны делают в Китае, утверждал, что в США нет столько инженеров, сколько их нужно на производстве микроэлектроники.
Nick_Shl
11.10.2018 18:26Самое интересное то, что инженеры как раз сидят в США — именно поэтому и написано на корпусе «Designed in California», а в Китае только производство и сборка.
bearoxide
11.10.2018 18:31Дизайнят продукт они в США, да. Но нужны инженеры на производстве. И роботы тут их вряд ли заменят.
Пруф: www.americanthinker.com/blog/2018/01/obama_vs_steve_jobs.html
MK_Ultra
11.10.2018 11:24пару недель назад была статья про то как тесла не справилась с роботами и наняла овер9000 рабочих для сборки трешки. Видимо не так все хорошо с роботами.
shteyner
11.10.2018 14:47Там они на живую всё тестили и разрабатывали процессы. Тут можно вначале всё разработать, потом проверить и уже после построить как надо. Хотя хз, будет ли так делать дешевле. Первопроходчество всегда дорого стоит.
denis-19
10.10.2018 17:54Выражение
аппаратный дорвей
у Вас в тексте — это в статье «hardware implant», как понимаю?
Может лучше пояснить было в тексте про это.
Lazytech
10.10.2018 18:28В первоисточнике, помимо прочего, употребляются такие термины:
manipulated hardware
tampered hardware
hardware manipulation
hardware implants
suspicious hardware
covert piece of hardware
saipr
10.10.2018 18:03+1вчера на Хабре была опубликована статья о том, что доказательств присутствия шпионских модулей в оборудовании компании Supermicro нет. Ну а сегодня они появились.
То потухнет, то погаснет
Lazytech
10.10.2018 18:13+1Заметил возможное искажение смысла:
По запросу журналистов Bloomberg свои комментарии дали представители AT&T и Verizon. Оба комментария отрицательны — компании утверждают, что никаких проверок они не устраивали.
Вероятно, вот первоисточник:
New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom — Bloomberg
AT&T Inc. spokesman Fletcher Cook said, «These devices are not part of our network, and we are not affected.» A Verizon Communications Inc. spokesman said "we're not affected."
Перевожу:
Представитель AT&T Флетчер Кук сказал следующее: «В нашей сети такие устройства не используются, так что нас это не затронуло». Представитель Verizon Communications сказал примерно то же самое: «нас это не затронуло».
Подчеркивание везде мое.
Laney1
10.10.2018 18:18в любое оборудование можно добавить «шпиона», которого просто невозможно обнаружить обычными методами, нужно специальное ПО, знания и опыт в этой сфере
написано так, как будто прошерстить трафик на предмет неожиданных ip-адресов в каком-нибудь wireshark это что-то сложное.
vanxant
10.10.2018 20:19и мак, и айпишник, и физический порт тот же самый, что и у легального трафика.
catharsis
11.10.2018 01:36Так вроде даже IPMI умеет,
где впрочем закладкам самое место (особенно если у него есть доступ к памяти через PCIe)
Wesha
11.10.2018 02:29Ну, source IP и проч. — действительно такие же, а вот destination — должен отличаться, иначе как злодей пакет получит-то?
Alexeyslav
11.10.2018 09:24А если злодей затесался в диапазоне IP-адресов какого-то крупного CDN и сервер с ним взаимодействует легально?
nikolayv81
13.10.2018 10:03Могут существовать различные цели, порождающие появление таких закладок, как пример — вывод из строя оборудования, никакого трафика просто не будет, будет ждать magic pocket, либо активизация и слив чего-то в определённый момент времени, или реакция на другую часть ПО попавшую в вашу сеть, сценариев много.
Sabubu
10.10.2018 20:37Проверять стоит на стороннем оборудовании. Иначе, чип вполне может на время передачи например отключать сетевую карту или имитировать загруженность линии шумом.
Alexeyslav
11.10.2018 09:22А не будет никаких неожиданных IP-адресов. Возможно, он даже не проявляет активности пока К НЕМУ не постучатся, а если и отсылает что-то как его отличить от другого фонового трафика выглядящего не менее подозрительно? Троянец может быть более разумным и не будет ломиться на какой-то фиксированный IP-адрес, а будет вставлять свои пакеты только если есть трафик на какой-то из CDN в надежде попасть на свой управляющий центр, который ответит — и как в таких условиях вычленить трафик от троянца кроме как сравнивая физические характеристики сигнала(амплитуда, длительность фронтов, специфические аналоговые искажения) на порту?
pfihr
11.10.2018 12:01Аналоговые искажения появляются от анальных игрищ, но не от подозрительного траффика.
Alexeyslav
11.10.2018 13:18Аналоговые искажения просто есть. По всей видимости, там нет доступа к контроллеру сетевому напрямую, реализован свой контроллер а значит аппаратная часть своя — отсюда уникальный отпечаток «передатчика» в аналоговой части и по этому признаку уже можно отличить пакеты от штатного контроллера и от жучка. Такое с обычными радиостанциями уже давно делают, и при необходимости аппаратуру можно идентифицировать по отпечатку выходного излучения.
katzen
11.10.2018 18:01при необходимости аппаратуру можно идентифицировать по отпечатку выходного излучения.
И после ремонта тоже?Alexeyslav
12.10.2018 13:36Смотря в чем ремонт заключается. Если замена выходного каскада то скорей всего он будет светить по-новому, но ещё остаются характеристики модулирующего генератора — у него могут быть специфические параметры в том числе джиттер. Используя высокостабильный качественный генератор на основе атомных часов можно различать генераторы как людей по голосам, а то и надёжней. Конечно, каждая характеристика в отдельности не даёт возможность идентифицировать с точностью 1 к милиарду, например, а сужает круг до 1 к тысяче. Берёшь характеристики например 3 из 4 совпадающие + предполагаемая геопривязка и можно уже говорить о конкретном экземпляре аппаратуры.
Frankenstine
12.10.2018 21:00реализован свой контроллер а значит аппаратная часть своя — отсюда уникальный отпечаток «передатчика» в аналоговой части и по этому признаку уже можно отличить пакеты от штатного контроллера и от жучка
Эм, что это даст, если весь этот отпечаток испаряется после первого свича? Как известно, свич прослушивает порт, анализирует пакет и генерирует такой же пакет на другом порту, и вся аналоговая составляющая будет уже от железа свича.
Nick_Shl
11.10.2018 21:48А как к нему стучаться, если он, скажем, за NAT'ом сидеть будет?
Alexeyslav
12.10.2018 13:46Если там вообще нет связи с внешним миром — то никак. Но он может просматривать трафик который приходит из внешнего мира на ЧУЖИЕ запросы, и если это запросы скажем на китайские сервера они могут добавлять в ответ полезную нагрузку для троянцев, где будет содержаться команда «выйди на связь, управляющий центр такой-то». Троянец просматривает входящий трафик и вылавливает свои сигнатуры во входящих ответах на чужие запросы, ответ получен, задача выполнена. Возможно даже они могут модифицировать ответы добавляя лишнюю нагрузку к уходящим IP-пакетам.
Nick_Shl
12.10.2018 17:26Слишком сложно, слишком много «если». Если появляется зависимость от того, куда ходит «клиент», то появляется и возможность, что он никогда не зайдет туда, куда надо.
nikolayv81
13.10.2018 10:10В качестве бреда: Термоядерное оружие чертовски сложное, дорогое как в разработке так в производстве и обслуживании, однако есть факт того что оно разработано, построено и обслуживается. Вопрос в том кто принимает решения и как они мыслят.
exception13x
10.10.2018 18:26Помню еще год назад все обсуждали «закладки» в процессорах и это казалось параноидальным.
GalVorbak
10.10.2018 19:08Ну в процессоре это действительно сделать гораздо сложнее. На материнку можно просто припаять ещё один чип, а в процессоре придётся перелопатить кристалл. Но это только если говорить о закладках, не предусмотренных на этапе проектирования.
ClearAirTurbulence
10.10.2018 23:50+1придётся перелопатить кристалл
— если она не заложена в него на стадии проектирования
— еслди не принимать во внимание возможность установки закладки отдельным чипом, но в корпус процесора (там обычно есть место)JerleShannara
11.10.2018 08:05+2Второй кристал вызовет очень большие вопросы у всяких любителей поковырять железо. И тем более у организаций формата «от столба и до обеда»
Mad__Max
12.10.2018 05:35По наглому впихнуть отдельный кристалл сравнимый по сложности и размерам с основным — конечно нет, спалятся сразу. Но на современных процессорах, вместе чипом на одной с ним подложке размещается (часто с обратной стороны) куча вспомогательных элементов типа SMD конденсаторов и резисторов.
С современными технологиями простенький чип вполне можно замаскировать под подобную мелочь. Конечно просто впаять вместо изъятого штатного не получится, нужно будет спроектировать и изготовить собственную подложку с измененной схемой, но это задача на порядки проще чем «клонирование» современного процессора+его редизайн с добавлением закладок и потом изготовление модифицированных кристаллов.
catharsis
11.10.2018 01:41Кое-что можно сделать микрокодом, в таком случае все шансы, что никто не заметит аппаратную часть закладки, если микрокод поставлять только кому следует
chapai22
11.10.2018 14:31Закладки не закладки, но в FPGA вполне есть бэкдоры. Сделанные производителем (jtag) и обходящие всю защиту и крипто сверхкриптованного чипа. Вот статья (кстати русский парень) который это нашел в чипе который идет преимуществено на войну, показал как вскрывать за секунды — и… на том влетел. Потому как против ветра.
Alexeyslav
11.10.2018 16:39Если это FPGA с секретной частью, то там эта самая секретная часть не доступна даже через JTAG. А если обычная… то разработчики лоханулись назвав её секретной.
JerleShannara
11.10.2018 18:06Плюсую, если в интел(альтеру) зашить закриптованную прошивку, то появляется возможность выставить в OTP биты, которые не то, что JTAG прибьют, а вообще уберут возможность загрузки некриптованной прошивки.
vics001
10.10.2018 18:41+2Если посмотреть видео от Bloomberg, там они комментируют, что предполагали, что Amazon / Microsoft / Apple будут отрицать уязвимости, так как это заденет их финансовую сторону. Но в то же время «обладают» железными доказательствами. В то же время, эти жучки нацелены не на consumer data, а на long-term стратегию по краже государственных тайн.
ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.willyd
10.10.2018 21:22+1ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.
Основной бизнес Блумберга финансовые софт, данные и услуги, включая терминал с годовой подпиской за 24000. Оборот компании 9В. И все это держится на репутации. Вы серьезно думаете, что Блумберг будет так рисковать?
Ну и википедия пишет, что он поменял цвет и стал демократом в этом году.vics001
10.10.2018 23:40Рисковать может не Блумберг, а один журналист, а теперь они его еще больше будут покрывать, чтобы не навредить репутации.
С другой стороны, в Блумберг и там много неоднозначно трактуемых статей, возможно это просто вывалилась за пределы только экономики и получила такой резонанс.willyd
11.10.2018 08:09+1Статья с обложки Бизнесуик будет проходить редакторскую проверку. Более вероятно, что им просто слили откровенную ложь без посвящения, если это действительно ложь.
apro
11.10.2018 00:23Основной бизнес Блумберга финансовые софт, данные и услуги, включая терминал
Отсылка к авторитету? Но ведь сначала они утверждали, что всех их источники это офицеры спецслужб и сотрудники Amazon и Apple и даже дали фотографию "закладки".
Теперь источник не несколько, а один, работает он в совершенно другом месте, и закладка совсем не там, плюс еще выявлена только по косвенным данным, банально разобрать разьём предъявить чип никто не смог? Все это мы должны забыть и помнить что это огромная компания и она не может ошибаться?willyd
11.10.2018 08:11+1Отсылка к авторитету?
Нет. Просто, в здравом уме никто не станет рисковать репутацией поставщика информации, если бизнес ворочает миллиардами на этой репутации.
andreylartsev
11.10.2018 09:20+1Блумберг один из крупнейших в мире брокеров, любые горячие новости порождающие движение рынка непосредственно превращаются для них в живые деньги. Так что возможно и не было никакого звонка из президентской администрации, а они самостоятельно почувствовали горячую тему и начал ее разыгрывать. Даже местная аудитория не сомневается что Китайцы виновны хотя сами инфицированных чипов никогда не видели, так что говорить о большинстве трейнеров которые пользуются услугами Блумберга.
willyd
11.10.2018 09:59-1Даже местная аудитория не сомневается что Китайцы виновны хотя сами инфицированных чипов никогда не видели, так что говорить о большинстве трейнеров которые пользуются услугами Блумберга.
Тут такое дело, что при игре на волатильности не особо важна вера. Существует три вариант: китайцы поставили чипы, это новый виток торговой войны и инфу сфабриковали в белом доме/госдепе/пентагоне, это откровенная ложь придуманная в редакции Бизнесуик. В последнее верится намного меньше чем в остальное, а первые два варианта одинаково плохи для SMCI, так что движение рынка вполне предсказуемо.
Ну а про брокера и манипуляции рынком я уже написал, слишком высока цена — можно потерять все.andreylartsev
11.10.2018 11:24Вы забываете о том, что брокер зарабатывает на комиссии на каждой сделке, независимо от направления движения рынка и его предсказуемости.
Их интересует непосредственно само движение. Это даже если забыть о шортах и всякой такой не совсем честной и законной игре.willyd
11.10.2018 11:38Это наивно. Бомбить фейковой статьей, чтобы поднять объемы торгов на одном отдельно взятом тикере, при этом заранее известно, что эта активность будет размазана по всем брокерам. Ну вы серьезно сейчас?
maikus
10.10.2018 18:48-9Расслабились американцы, вот и клюнула их кое-куда утка по-пекински. Будут теперь учить слово Importozameschenie.
red_andr
10.10.2018 21:31+3За американцев не беспокойтесь, у них есть и технологии, и производство. Конечно, скорее всего дороже китайского, но в критических приложениях, будьте уверены, у них стоит всё своё проверенное отечественное.
maikus
12.10.2018 20:23Да кто бы спорил с тем, что у американцев лучшие технологии и производство? И уж понятно, что АЭС и ЯО и всякое такое у них всё на своём, по десять раз проверенном. А в датацентрах, которые крупный и некрупный бизнес всего мира обслуживают, тоже своё? Или всё-таки импорт из страны, где компартия рулит, и портреты Ленина и Мао по праздникам вывешивают?
ktod
10.10.2018 19:03+2В первых сообщениях было упоминание о полном контроле «зараженной» системы. Я немножечко не понимаю, как можно получить полный контроль, путем установки аппаратуры на физический уровень eth. По сути, добавляется еще один компьютер _рядом_ с зараженным. Можно выяснить структуру сети, можно пробросить туннель в эту сеть, можно что ни будь по-перехватывать, а для получения контроля придется пользовать какие то более другие уязвимости.
Я бы понял, если бы «шпион» стоял на шине spi bios. На лету вносил некоторые изменения — «добавлял» уязвимость, например. А так, эта суета выглядит странно.SergeyMax
10.10.2018 19:43В данной статье определённо рассказывается про другой кейс, не тот, про который писал блумберг.
dartraiden
10.10.2018 19:34+9доказательства
Доказательств как раз не появилось, появилось только имя у анонимного источника. Ни фото чипа, ни мат. плат, которые можно дать независимым экспертам.
Более того, теперь уже и «чип» описывается иначе. В прошлый раз заявлялось, что он в цепи управления BMC, а теперь он уже в Ethernet-порт встроен.iliasam
10.10.2018 20:55Очень интересно, откуда этот «чип» получает питание. От светодиодов состояния соединения?
И что, чип вот так, с легкостью, анализирует весь проходящий него трафик (а он может быть и гигабитным) и более сложное — как-то в него вмешивается, или кому-то передает?JerleShannara
11.10.2018 08:08Светодиод рулится GND(например), анод к +3.3 постоянно, на экране GND постоянно. Оппа и готово.
VitalKoshalew
10.10.2018 20:18+1Три специалиста по информационной безопасности рассказали о том, что они проверили работу Эпплбаума и определили то, как ПО компании Sepio смогло локализовать аппаратный бэкдор.
marks, пожалуйста, не добавляйте «отсебятину», особенно в критических местах. В оригинале никто ничего не проверял, только лишь "confirmed that the way Sepio's software detected the implant is sound." — «Ну да, можно посмотреть трафик и проверить наличие постороннего».
Если потребление больше, пускай и на малую толику, чем должно быть, то это уже повод задуматься
Аналогично, "analog signals — such as power consumption — that can indicate the presence of a covert piece of hardware." — если у вас чип питается от сигнальных линий Ethernet — это может быть достаточно заметно, но нужно иметь с чем сравнивать, потому что стандарт допускает напряжение от 2.2В до 2.8В. Если оно ниже «на малую толику», чем у другой идентичной системы, то это, как раз, мало о чём говорит.esaulenka
10.10.2018 23:37если у вас чип питается от сигнальных линий Ethernet
… то о гигабите (а тем более — о 10) на этой линии можно забыть.
Ну нельзя оттуда добыть достаточно энергии (для рабора гигабитного потока этот шпионо-чип должен достаточно много потреблять) и не завалить напрочь параметры сигнала.
lokkiuni
11.10.2018 12:00PoE не существует, да)
Anton131313
11.10.2018 13:09Причем тут POE и сервер Supermicro?
JerleShannara
11.10.2018 18:08При том, что PoE на гигабите существует, и влияния на дальность не оказывает. Правда в этом случае остается вопрос о том, как эту самую закладку питать, либо супермикро должны инжектить питание (что есть бредовая идея), либо сервер надо в PoE коммутатор подключить
Sabubu
10.10.2018 20:35Ну что? Пришло время разрабатывать ПО, которое может надежно работать на протрояненном насквозь оборудовании?
Habra_nik
11.10.2018 01:27Можно просто доступ ограничить на фаерволе. Даже если машина пришла с предустановленным жучком, то если у неё нет доступа к интернетушке, то жучок этот никому ничего не сможет передать, разве что засветится у меня в логах. Подавляющему большинству серверных тачек доступ нужен только за апдейтами ходить. Можно держать апдейты локально, а доступ закрыть. Мои тачки даже default gateway получают с единственной целью зафиксировать попытку к нему обратиться :-), а единственный разрешенный траффик — между серверами в сегменте и фаерволом, плюс друг с другом.
gmini
11.10.2018 12:11чем дальше, тем труднее хорошо изолировать даже корпоративную сеть от интернета. Попробуйте, например, кубернетес поставить в изолированной сети.
Habra_nik
11.10.2018 18:28Зависит от условий. Если безопасность стоит на первом месте в списке приоритетов, то примеры решений, когда это невозможно, не в кассу.
Alexeyslav
11.10.2018 13:19А если управляющий центр жучка расположен на CDN амазона и сервер с ним работает вплотную? отрубить весь амазон?
Habra_nik
11.10.2018 18:30Можно просто Амазону про это рассказать — по моему опыту, они на такие предъявы очень быстро реагируют.
Alexeyslav
12.10.2018 14:01Сначала нужно заметить. Уберут. Новые появятся…
Habra_nik
12.10.2018 18:13О чём мы спорим — о том, что надо работать, иначе сломают? Это козе понятно.
Zanak
11.10.2018 09:04Если говорить о корпоратах, то скорее предъявлять более жесткие требования к специалистам, и тем кто сеть строит, и тем, кто эксплуатирует, ну и предлагать более высокие зарплаты тем, кто сможет им соответствовать.
С частниками не понятно, как далеко могут продвинутся хакеры в изучении подобных закладок, которые могут присутствовать и на обычных компах. Одно дело отреверсить хитрый алгоритм, и совсем другое — это выцарапать данные для анализа из микрухи, а потом еще и понять, что же ты получил.
pi314
10.10.2018 20:51+2Довольно забавно наблюдать, как из тривиальнейшего события возникает такая медийная движуха. Сегодня разве что ленивый, ну, или просто далекий от темы еще может всерьез сомневаться в реальности подобных железных закладок разной степени скрытности, вредоносности и в самых неожиданных местах. Не далее, как на прошлое или позапрошлое Рождество мне лично, среди прочего сувенирного хлама, досталась китайская USB LED-светилка, в которой был обнаружен загрузчик, ломившийся в Виндовс (но обломавшийся, т.к. на ноуте был Линукс). Правда, там чип не прятался, а наоборот, нагло и цинично прикидывался регулятором тока. Я всю эту радость пореверсил из любопытства, а потом отправил в мусорник вместе со всеми вещдоками… Эх, если бы я тогда только догадался позвонить в Блумберг и представиться «анонимным источником»))
iliasam
10.10.2018 20:59+3Было бы очень интересно почитать статью с подробным описанием «реверса», на фотографии устройства взглянуть.
DjOnline
10.10.2018 22:54Так что там было то? На virustotal выложил? Может там драйвера управления яркостью фонарика были? И что значит «ломился», autorun.inf что ли обычный?
iig
10.10.2018 23:11+1То есть под линуксом регулятор тока не запустился. Не думаю, что эта новость заинтересовала бы финансистов.
Alexeyslav
11.10.2018 09:31+1Загрузчик? ломился в виндовс? что за регулятор тока? Вы точно его реверсили? Может, это был банальный светильник со встроенной флешкой, на которую попал(случайно или нет?) банальный троянец-автораннер?
seri0shka
11.10.2018 13:24Ждём развития сюжета! Нам очень интересно узнать, тем более, что
Я всю эту радость пореверсил из любопытства
pi314
11.10.2018 18:26Увы, для подробной статьи я слишком ленив, да и материалов давно нет, но, чтоб снять нервное напряжение в зале: я не реверсил топологию чипа, это не входит в число моих любимых хобби… только поковырял самого зловреда и не нашел ничего сенсационного)) Подробности, которые помню: распознан был поганец по надписи на черном экране «Butting from disk...» (если это был авторский лингвистический юмор, то я его оценил). Дальше — больше: после Ctr-Alt-Del на экране без перезагрузки появлялось подобие меню NTLDR, которого на ноуте с линуксом ну никак не могло быть. Мне стало любопытно, разобрал железяку, ожидая увидеть простенький регулятор на мосфете, но нашел внутри чип в TSSOP-20 корпусе без маркировки, с минимальной обвеской, на который были заведены все жилы с USB разъема. Чип на 20(!) ног для регулировки тока LED в копеечной светилке, серьезно? Я, конечно, тоже сразу подумал про драйвера с блекджеком и куртизанками, или, что оно может заряжать аккумуляторы от USB, но нет — ничего такого даже не заявлялось. Железяка хоть и прикидывалась флешкой на 16GB, в MBR там был обычный бутстрап, который грузил некое подобие бутлодера… в слитом дампе этого чуда техники, которое лишь частично декомпилировала Ида, была тупая проверка версии винды на первом разделе первого жесткого диска, и если это не 7, выдавалось псевдоменю NTLDR, выйти из которого можно было только холодным ресетом, а если 7, должно было загрузиться некое другое нечто, прямо по абсолютным секторам, без затей. Но в них ничего не было, в основном заполнено FF и каким-то мусором, а выше 1ГБ вообще ничего не читалось. Я почесал репу, да и отправил это все в мусорник )) Фейковое меню (тоже без изысков, все строки просто поXORины, чтоб не бросаться в глаза) и странный бутлодер указывали на то, что это какая-то довольно примитивная закладка, тупо заточенная на 7 винду, но ковырять глубже и фантазировать, что бы оно там такое делало, если бы взлетело, у меня не хватило ни любопытства, ни времени. Это, конечно, странное произведение китайской инженерной мысли, но, если честно, мне попадались и страннее.
P.S. Если кому интересно, нашел в инете фотку похожей светилки.
iig
12.10.2018 11:25Зря вы этот артефакт выкинули, зря… Можно было бы подсунуть ему виртуалку с правильной виндой, да и посмотреть, чего ему надо…
roboter
11.10.2018 15:13Или хотябы фоторграфию подобного девайса найти в интернете, чтобы другие смогли поискать.
electronus
10.10.2018 20:56+5В прошлый раз показывали фотографии балуна в цепи SPI Flash. Теперь будут показывать фото апертурных сердечников-трансформаторов в Ethernet разъемах?
esaulenka
10.10.2018 23:53Для сравнения придётся в каком-нибудь музее украсть разъем без трансформатора :-)
VitalKoshalew
10.10.2018 21:05+3Совершенно не имею цели доказывать, что Китай не вставляет «жучки» — очень вероятно, что вставляет, но кричать «Волки! Волки!» лучше всё же при наличии волков, иначе такие крики только наносят ущерб всей индустрии.
In the case of the telecommunications company, Sepio's technology detected that the tampered Supermicro server actually appeared on the network as two devices in one. The legitimate server was communicating one way, and the implant another, but all the traffic appeared to be coming from the same trusted server, which allowed it to pass through security filters.
А точно это не IPMI via LOM1?
Appleboum said one key sign of the implant is that the manipulated Ethernet connector has metal sides instead of the usual plastic ones. The metal is necessary to diffuse heat from the chip hidden inside, which acts like a mini computer.
Очень подозрительная формулировка "instead of the usual plastic ones". Обычно, как раз, коннекторы в металлическом корпусе в сервера ставят, могут и с контактом под STP — незачем экономить.
Обычно такие громкие заявления делают на презентации, где подробно (желательно, с фотографиями) расписывают все нюансы и поясняют, почему пришли именно к таким выводам. Тут фирма, которая предоставляет единственную услугу — поиск неавторизованных устройств в сети (причём, судя по скриншоту на их сайте, банально по второму MAC-адресу на порту коммутатора), делает такое громкое заявление без малейших доказательств. Они даже не говорят, что вскрыли ту металлическую крышку и что-то там нашли — нет, их софт увидел трафик, который показался подозрительным, а клиенту указали на металлический корпус разъёма. NDA разрешает описывать фирму-производителя серверов и детали, вроде металлической оболочки разъёма, но ничего по-существу? Очень странно.Alexeyslav
11.10.2018 09:34Возможно, это намеренная обфускация деталей, чтобы по ним нельзя было вычислить то что находится под NDA.
konchok
11.10.2018 10:07Вообще-то на материнской плате ethernet socket, в него втыкается ethernet connector на кабеле, который может быть в металлической оболочке для STP. Что они там имели ввиду понять невозможно, пока не будет фото конкретных устройств можно считать что это муть, возможно попытка отвлечь внимание от какого-то очередного PRISM.
Konachan700
10.10.2018 21:17+3Supermicro сам коннекторы не делает. Их клепает Foxconn, или дядюшка Ляо в подвале, ну или упоминаемый в статье китайский товарищ майор, добавляющий туда закладки. Дальше эти разъемы покупает Supermicro, и они нарочно не придумают, что в таком месте ВНЕЗАПНО может быть что-то плохое. Я сомневаюсь, что кто-то сидит и каждую партию компонентов расковыривает, ища косяки — это еще военные могут, но точно не те, кто делает ширпотреб.
В данном случае чувак просто решил попиарить свою контору, пользуясь хайпом, и у него отлично получилось — статью по всему миру растащили совершенно бесплатно. Я не удивлюсь, если он сейчас сидит и крафтит хитрые разъемы с чипом, чтобы потом тихонько припаять на плату и показывать на пресс-конференциях «доказательства»…
Zanak
10.10.2018 21:41+1Ерунда опять написана.
1. Блумберг не специализируется на безопасности и не способен объективно оценить качество источника информации. Его специализация — финансовая информация, и ему зачем — то надо данную тему прокачивать. Все остальные, сколько нибудь авторитетные товарищи о supermicro молчат.
2. Судя из описания текущей закладки, она принципиально отличается от описанной раньше, и, как максимум, можно говорить о еще одной закладке в серверах из Китая, но ни как не о подтверждении информации из прошлых сообщений.
3. Если имплант на материнке еще имел шанс на доступ к каким-то «интересным» данным, то сделать это с уровня сетевой карты их почти, а скорее всего — совсем, нет. Данные к сетевой карте попадают шифрованными, в тех случаях, когда это важно.
4. Пока искал информацию об Эпплбауме, нашел такой источник.
5. Вот что сам Блумберг сообщает об Эпплбаум. Возможно опечатка, но написано «Ms. Yossi Appleboum», тоесть, специалист не он, а она, но не это главное, в конце указано, что товарисч имел отношение к IDF, что может означать и Israel Defense Forces, и тогда вопрос, а этот персонаж гражданский, или все еще дружит с военными, учитывая специализацию?
VitalKoshalew
10.10.2018 22:11Вышел комментарий от автора «исследования»: www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro
Тезисно, то, что мне бросилось в глаза:
Закладки везде, в оборудовании всех производителей, их тысячи! Практически все — в сетевых интерфейсах.
Хотелось бы хоть каких-нибудь доказательств. Если единственное доказательство — их программа, которая MAC-и на коммутаторах считает, то стоит, для начала, проверить код.We are spending $100B on software related attacks, but near zero for hardware attacks. That is irresponsible and that is the problem that we need to fix.
По стечению обстоятельств, его фирма как раз предлагает такую услугу (и больше никаких).Ветерану Моссад очень неприятно общаться с прессой, и он согласился общаться только по-телефону и только с «единомышленником»
… который не задал ни одного вопроса по существу «исследования». Видимо, теперь это будет причиной, почему мы не услышим никаких технических подробностей, так как поверить в тысячи NDA, ниодин из которых не позволяет сказать хоть что-то по-существу, мне лично сложно.Блумберг всё повернул в русло своей атаки на Supermicro, хотя закладки у всех-всех и Supermicro ни при чём. На самом деле всё не на заводе делается, а на этапе поставок
… как в документах Сноудена. С одной стороны, если США так действует (если верить Сноудену), то почему остальным действовать как-то иначе? С другой, если поймали на громком сомнительном заявлении, лучше цитировать источники, которым доверяют, чем выдумывать самому, даже если это противоречит сказанному ранее.
Ещё раз, логично предположить, что закладки возможны в том или ином виде, просто вот этот конкретный источник — последний, кому стоит верить на слово без малейших доказательств с его стороны — у него весь бизнес на страхи перед аппаратными закладками завязан.
forcam
11.10.2018 00:16-1Ну слава Хабру, люди просыпаются) Китай что-то там куда-то получает, главное что бы на роутерах не прописали все Китайские сети, а то инфаркт может схватить, от того что сисадмин какой или директор увидит, сколько туда улетает трафика ежесекундно, при том, что, к примеру с Китайскими сайтами вообще никто не работает.
Я к чему, к тому что эти апаратные закладки это даже не вершина айсберга, это кусочек маленького пика, в их сторону столько трафика летит, что я бы смело делал предположения, что виной этому совсем не трояны с вирусами, а видимо вполне легальное ПО с закладками или делающие их в системе.
Dmitry88
11.10.2018 02:01Абсолютно уверен, что разведки всех стран поставщиков оборудования «шалят». Просто, если есть возможность поставить жучок, то его надо ставить. Так было всегда. Разве что-то изменилось со времен холодной войны?
achekalin
11.10.2018 10:30Помните, ходила картинка «он дропнул базу и не делал бекапы»? Если авторы исследования не отмажутся, эту картинку можно будет перерисовывать «мне показалось, что нашел бекдор, но мне показали, что такое настоящий бекдор».
картинка
Bsplesk
11.10.2018 11:33Я вполне могу допустить, что хорошенькая героиня, спасаясь бегством, может оказаться на извилистой и опасной горной тропе. Менее вероятно, но все же возможно, что мост над пропастью рухнет как раз в тот момент, когда она на него ступит. Исключительно маловероятно, что в последний момент она схватится за былинку и повиснет над пропастью, но даже с такой возможностью я могу согласиться. Совсем уж трудно, но все-таки можно поверить в то, что красавец ковбой как раз в это время будет проезжать мимо и выручит несчастную. Но чтобы в этот момент тут же оказался оператор с камерой, готовый заснять все эти волнующие события на пленку, — уж этому, увольте, я не поверю!
Нильс Хенрик Давид Бор
Тем временем: SP500 ~-3.30%
14th
11.10.2018 12:351. Западающая педаль газа в Тойотах.
2. Дизельгейт от ГазенВаген.
3. Шпионские чипы от Супермикро.
Что-то мне это напоминает.
alexhott
11.10.2018 14:12Нам вот купили вместо HP эти Supermicro
развернули на них ПО для безопасников
говорить им теперь или нет не знаюAlexeyslav
11.10.2018 16:43Безопасники, если они настоящие, сами придут к нужным выводам наблюдая за трафиком на внешнем порту(если верить словам что троянец что-то отправляет на какие-то сервера). Весь вопрос заключается в том упростить им работу или не стоит… Просто включить систему без установленного проца, например, или без памяти и подключить к интернету — если трафик пойдёт то троянец точно есть.
nApoBo3
Т.е. некий эксперт, заинтересованный в повальной проверке поскольку эти зарабатывает, сообщил: что в не названном количестве серверов, на не названной площадке, у не названного клиента, был найден чип не определенного назначения вероятно установленный на производстве, и все это происходило не скажу когда. Да и чип совсем другой, но не важно.
Доказательства огонь.
yarric
Ну если он врёт — то Supermicro может подать на него в суд. А вообще не первая история с закладками у китайцев.
nApoBo3
История с закладками не первая и не последняя, и не только и даже не столько у Китайцев.
Одно дело, у нескольких серверов предназначенных для использования, ну например у боинга, нашли аппаратные закладки в сетевых разъемах. Это шпионаж в чистом виде и попасть такие закладки могут в продукцию любого вендора, включая чайники, поскольку защита от гос.шпионажа не является задачей производителя и мер против нее у него нет.
Другое дело когда в массовом продукте исполняются аппаратные модули не санкционированного сбора данных поставляемые всем без разбора и в огромных количествах.
yarric
В ноутах Леново был шпионский софт в BIOS, поставлялся всем без разбору.
JerleShannara
Вернее там всякие LoJack/Computrace были, которые вроде как отключались из БИОСа навсегда, а на деле — нет
oteuqpegop
ЕМНИП, там был не настоящий Computrace, а именно какой-то их собственный дроппер, который работал по аналогичной схеме (копировался из BIOS в системную папку), но вместо агента отслеживания устанавливал всяческие непотребства типа «системного оптимизатора».
JerleShannara
А, точно, это я про T500 вспомнил, а уже потом вылез SailFish (или как его там, с сертификатом своим корневым)
chapai22
В принципе им конец.
willyd
Mad__Max
Присмотритесь — там есть маленькая приписочка насчет источника данных о ценах акций: Other OTC
OTC = over the counter, внебиржевые сделки (дословно «торговля из под прилавка»).
Правда с биржи их выперли несколько раньше, чем текущий скандал начался.
willyd
Nasdaq их исключил из листинга еще в августе по другим причинам.
hokum13
Кроме стоимости акций есть такое понятие, как деловая репутация.
Но что-то мне подсказывает, что в оригинале выбраны «правильные» формулировки, с помощью которых можно отмазаться в суде. Также, как в нашей стране принято говорить «по моему мнению», прежде чем поливать человека грязью.
И да, ну предвыборная гонка же в разгаре. Эпплбаум сам признается, что такие чипы уже встречал. Просто нужно поднять истерию, т.к. Россию называть «врагом номер один» уже смешно (мы, на мой взгляд, сейчас Польшу 1939-го напоминаем). Нужен враг (против которого дружить), который хотя бы неделю в реальной войне продержаться сможет. Китай — самое оно.
Lazytech
Возможно, журналисты Bloomberg решили на этот раз не называть пострадавшую компанию, потому что в прошлый раз все якобы пострадавшие стали отнекиваться. :)
mtivkov
В коннекторах Ethernet самостоятельный чип, такой же как внедряла АНБ — «старый знакомый»…
И надо же такое совпадение, как раз в разгар торговой войны США с Китаем.
Да, бывает же.
axe_chita
Прям как со Скрипалями, сначала «капелька БОВ» (рисовое зернышко), потом обильно смазанная дверная ручка (Ethernet разъем с чипом внутри)… Вангую следующим шагом марлезонского балета будет нахождение шпиона в BMC.
BTW Собрав не один десяток серверов/платформ (Intel/Asus/HP/IBM/SuperMicro) не могу припомнить ни одного сетьевого разъема не в металле.
Nick_Shl
Скрипали и Шпили-Вили уже и на Хабр пробрались…
axe_chita
Так и доказательства из серии хайлилайки, пусть уже сразу такие экзперды шапочку из фольги напяливают, из титана, а то с геостационара неизвестно чем его облучают.
Nick_Shl
Вот когда на первом канале устроят ток-шоу с участием всей четверки — Брширова, Петрова, Чепиги и Мишуткина, тогда посмеемся над британцами вместе. А пока их highly likely подкрепленные фотографиями любителей шпилей выглядят убедительнее заявлений «Это не мы» не подкрепленные ничем. Ну и история с устранением Яндарбиева явно не идёт на пользу.
axe_chita
Первое: Где Скрипали? Где граждане РФ, ведь от гражданства они не отказывались?
Второе: Чтоже вы Литвиненко и Березовского забыли?
Третье: Если это было боевое отравляющее вещество то почему остались в живых домашние питомцы?
NetBUG
Вооот.
А Вы разбирали их? Или хотя бы мультиметром проверяли отсутствие чего-либо в них, кроме трансформатора? :)
На самом деле такая реализация выглядит странно, если администратор хотя бы одной из поражённых компаний хоть иногда следит за DHCP-лизами и устройствами в физической сети
maxwolf
Если за DHCP-лизами следит сам чип, то админу за ними следить бесполезно. И устройство, скорее всего, будет тем же самым. Единственный вариант — делать whitelist исходящих адресов, и под микроскопом изучать идущий не туда трафик.
Alexeyslav
А тот что идёт туда но тоже от троянца изучать не нужно? Трафик от троянца может быть замаскирован легальным трафиком. Врятли выловишь килобайтный трафик из потока в 10G который генерируется троянцем на тот же CDN куда идёт основной трафик. Это уже как-то надо соединять программный контроль что было отправлено в контроллер и аппаратный что было физически передано по линии. Задача эта нетривиальна…
axe_chita
Количество нетривиальных телодвижений при таком раскладе чтобы получить десятки килобайт (кстати а как вычленить нужную инфу среди гигабайт генерируемой информации в компе?)
Может проще по старинке, с помощью социальной инженерии, по заветам Кевина Митника? Дешевле, и жертва сама принесет нужную инфу в клювике?
axe_chita
Эээ… А нахрена их разбирать? Я конечно понимаю что даже у параноиков бывают враги, но наверное надо быть скромнее в собственной самооценке?! И шлюз между локалкой и интернетом нормальный админ поднять не сможет? И кстати белый лист и сниффер трафика как инструмент админа-параноика никуда не делся. И фильтрацию Dhcp по MAC не настроить?
Vilgelm
Что еще интереснее: вся эта история очень уж удачно начала развиваться во время активной фазы торговой войны с Китаем.
Хотя я практически уверен, что китайцы действительно добавляют закладки в свою продукцию, конкретно эта история выглядит очень странно.
equand
И публичных протестов в США связанных с судьями
chapai22
Это как раз понятно — до этого прятали под ковром (история с 15ого года, между прочим), а когда публике стало интересно и появился спрос и можно прогреметь — сумели вытащить. Публике (и законодателям) далеко не все и всегда интересно, новости это бизнес. Ледяной коктель жарким летом на ура. Лето настало.
Опять же у рассказчика истории возможно истекла NDA — они как раз на два три года. То есть стало можно и без особого риска.
Такие новости нельзя публиковать сразу. Одно дело два три года назад, когда как то пофиксили, другое дело по горячему — рынок обвалится.
А то что китайцы то внедряли — и сомнений нет, было бы глупо если б не делали.
Halt
Главное чтобы потом не оказалось, что под доказательством понимали экранированный Ethernet порт со встроенной гальванической развязкой. Нуачо, «микросхема» же!
Почему-то напомнило судилище SCO над Linux и заимствования вида
for (int i = 0 …)Lazytech
В нарушение принципа Ad hominem покритикую авторов статей о китайских шпионских чипах. Оказывается, в 2014 году Джордан Робертсон (Jordan Robertson) и Майкл Райли (Michael Riley) опубликовали статью о произошедшем в 2008 году взрыве на нефтепроводе в Турции, который, по их мнению, был делом рук российских хакеров:
Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar — Bloomberg
В параллельной теме я выложил пару ссылок на мнения специалистов об этой статье.
jrthwk
/тэг сарказм
Ну это же уважаемый эксперт, это не какие-то там, которые рассказывают про шпионские wifi чипы в утюгах и чайниках…
eGGshke
Полностью согласен. Бред чистой воды. И внедрить мог кто угодно, ни суда не следствия — но во всем виноваты Китайцы. Это же «очевидно».