среда, 3 августа 2016 г.

Вездесущий Backdoor: проблема аппаратных и программных закладок

Использование недокументированных возможностей в ПО и аппаратных закладок по прежнему остается актуальной проблемой для всех специалистов по безопасности. Более того в свете последних разоблачений о глобальном кибер шпионаже пол ученых от Эдварда Сноудена и обострения отношений на политической арене (санкции)  это вопросы получают все большую популярность. 
В сегодняшнем материале мы посмотрим на проблему современного использования Backdoor, актуальных векторов атак, инцидентов имевших место в мировой и отечественной практике.

Введение

Термин Backdoor переводится дословно как черный ход или запасная дверь. В контексте ИБ под этим принято понимать умышленно сделанную закладку в программном и аппаратном обеспечении. Сама идея использования Backdoor проста, вы устанавливаете и используете лицензионное легитимное ПО или какое-либо оборудование. И в процессе их штатного функционирования в них появляются так называемые недокументированные возможности, позволяющие разработчикам или злоумышленникам, а иногда и спецслужбам получать тайный доступ к данным или удаленному управлению системой. 

Наиболее часто термин Backdoor  получил распространение в материалах имеющим отношение к компьютерной вирусологии. Под этим терминов там понималось вредоносное ПО, которое могло быть установлено на атакуемый компьютер и предоставляющее полный доступ к его ресурсам, чаще всего к shell.  Однако само значение Backdoor  гораздо шире в токовании, и ввиду появления новых векторов атак на информационные системы. Проблема приобретает все большую и большую  популярность.

Основные свойства Backdoor:
  • Идеальный бэкдор сложно обнаружить;
  • его можно использовать многократно;
  • легко отрицать — выглядит, как ошибка, и в случае обнаружения разработчик может сослаться на то, что допустил эту ошибку случайно и злого умысла не имел;
  • эксплуатируем только при знании секрета — только тот, кто знает, как активируется бэкдор, может им воспользоваться;
  • защищён от компрометации  — даже если бэкдор был обнаружен, то невозможно установить, кем он до этого эксплуатировался, и какой информацией завладел злоумышленник;
  • сложно повторить — даже если бэкдор был кем-то найден, то его невозможно будет использовать в другом коде или в другом устройстве.

Атаки BadUSB

BadUSB — класс хакерских атак, основанный на уязвимости различных USB устройств.Из-за отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. Так же BadUSB предназначен для доставки и исполнения вредоносного кода

В августе 2014 года известные хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) из консалтинговой компании SR Labs сообщили о «фундаментальной уязвимости устройств USB». В октябре они опубликовали код программы для взлома компьютера по USB и с тех пор проверили сотни различных устройств разных производителей на наличие бага. 

Программа BadUSB устанавливается в прошивку периферийного устройства и полностью берёт под контроль компьютер при подключении к нему по USB. На компьютере жертвы BadUSB творит что угодно - изменяет файлы, которые устанавливаются в системе, перенаправляет интернет-трафик на произвольные адреса, изменив DNS-записи, удаляет или копирует данные, предоставляет возможность удаленного подключения и управления с помощью C&C. так же вредонос всегда может выдать себя за клавиатуру и ввести произвольные команды.

Поскольку сам бинарный код находится в прошивке, его довольно трудно обнаружить и соответственно удалить или заблокировать. Самая действенная защита — вообще запретить подключение к компьютеру новых USB-устройств: флешек, мышек, клавиатур, смартфонов и других приборов. Но, как понимаете это не гибкий подход. В будущем, как вариант, можно использовать криптографическую проверку обновлений прошивки.

В одном из своих интервью, Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок.

Осторожно, опасный BIOS

Примером аппаратного бэкдора может быть вредоносная прошивка BIOS. К примеру, такая прошивка может быть построена в связке на основе свободных прошивок Coreboot и SeaBIOS. Микропрограмма в Coreboot не является полноценным BIOS: он отвечает только за обнаружение имеющегося на машине оборудования и передачу управления самой «начинке BIOS», в качестве которой может быть использован модифицированный злоумышленником под свои нужды SeaBIOS.

Принцип действия вредоносной прошивки кратко: сразу после включения заражённого компьютера, ещё до загрузки операционной системы, она производит попытку установить соединение с C&C злоумышленника. Если такая попытка увенчалась успехом, то производится удалённая загрузка какого-нибудь bootkit, который уже в свою очередь предоставляет злоумышленнику возможность производить с заражённым компьютером вредоносные действия: кражу данных или удалённое управление. 

Карманный взломщик на базе Raspberry Pi

Речь идет об аппаратных закладке, но не в классическом ее понимании. Таким примером может выступить использование  платформе Raspberry Pi, которая используется для создания портативных компьютеров, которые могут быть подключены к корпоративной сети для негласного съема информации.

Так, Алексей Лукацкий делится своим взглядом на проблему: За кадром остался показ сотруднице на reception фальшивого письма о необходимости проведения регламентных работ, которое не вызвали никаких подозрений. Дальше к IP-телефону было подключено портативное устройство съема информации и дело оказалось в шляпе. Если IP-телефоны в компании внедряются без учета требований по ИБ, без соответствующей сегментации сети, без настроек шифрования, без контроля доступа, то злоумышленник может не только перехватывать голосовой трафик или "притвориться" телефоном и попробовать вывести из строя цифровую АТС, но и проникнуть внутрь других сегментов сети с последующим распространением по ней. Обнаружить такую "закладку" непросто; в отличие от ее создания и внедрения.

И далее следуют неткорые выводы по данной ситуации:
  • далеко не всегда проникновение в сеть осуществляется через периметр
  • пользователи по-прежнему остаются самым слабым звеном
  • пентест не позволяет отследить такие проблемы
  • существуют гораздо более практичные способы "аппаратного" проникновения, чем мифические закладки от вендоров или от спецслужб.
А бороться с ними можно следующими методами:
  • повышение осведомленности персонала
  • сегментирование сети (в том числе и динамическое)
  • анализ аномалий во внутренней сети
  • контроль сетевого доступа
  • физический осмотр мест, доступных для посещения.
Довольно интересная статья тему использование Raspberry Pi описана на Хабре. Кейс простой: миниатюрны компьютер снабжается 3G модемом и дополнительным питанием, после чего подключается к корпоративной сети и незаметно предает все собранные данные.

В целом не в даваясь в подробности можно сказать, что складывается целый вектор атак с использованием карманных портативных устройств. И то как именно будет выполнена закладка или реализован способ съема информации это область для фантазии.

Нашумевшее дело Intel 

В одном из пресс-релизов независимая группа исследователей стало изветсно о том, что им удалось создать специальную технику, которая саботирует криптографические возможности современных процессоров Intel Ivy Bridge. Техника работает без внесения физических модификаций в сам чип и не требует размещения в компьютере какого-либо дополнительного оборудования. Авторы методики говорят, что их подход позволяет полностью скомпрометировать системы аппаратной безопасности Пентагона.

Однако, как отмечают сами исследователи, пока созданная техника - это в большей степени концептуальный подход и для его практического использования придется применять другие вспомогательные методики хакинга

Напомним, Технология Intel vPro была внедрена в процессоры Intel начиная с Intel Sandy Bridge и Ivy Bridge. Он позволяет получить полный доступ к компьютеру, в том числе, пока он выключен, удаленно включать и выключать его, настраивать BIOS, перехватывать экран. Всё это возможно в том числе по Wi-Fi.

Как комментирует произошедшее компания Intel, описываемые технологии официально предназначаются для удаленного администрирования и управления компьютеров, что вполне "безопасно". 

Активное обсуждение технологии началось в блогосфере после серии разоблачений NSA от Эдварда Сноудена.

Более подробно ознакомиться с техническими подробностями по ссылкам
и 


Программные закладки являются другой стороной медали. В нотации руководящих документов ФСТЭК обычно принято говорить о недокументированных возможностях ПО.

Чаще всего для несанкционированного доступа к информации используется метод алгоритмических и программных закладок
  • Алгоритмическая закладка – это преднамеренное скрытое искажение части алгоритма (кода) программы, в результате чего возможно появление у программного компонента функций, не предусмотренных спецификацией и выполняющихся при определенных условиях протекания вычислительного процесса. 
  • Программная закладка – это внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (ГОСТ Р 51275-99)

Кибер шпионаж  в государственных структурах

Портал Securitylab сообщает, что 30 июля текущего года, ФСБ России опубликовала на своем сайте уведомление об обнаружении вредоносного ПО, предназначенного для кибершпионажа. Вредоносное ПО было обнаружено на компьютерах примерно 20 организаций, расположенных на всей территории РФ.

как сообщается в материале, зараженными оказались системы в компьютерных сетях органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иных объектов критически важной инфраструктуры страны.

«По оценке специалистов указанное вредоносное программное обеспечение по стилистике написания, наименованию файлов, параметрам использования и методам инфицирования схоже с программным обеспечением, использованным в нашумевших операциях по кибершпионажу, выявленных ранее, как на территории Российской Федерации, так и по всему миру. Новейшие комплекты данного программного обеспечения изготавливаются для каждой «жертвы» индивидуально, на основе уникальных характеристик атакуемой ПЭВМ», - говорится в уведомлении.

После своего внедрения в систему вредоносная программа подгружает необходимые модули, с учетом особенностей «жертвы», после чего способна осуществлять перехват сетевого трафика, его прослушивание, снятие скриншотов экрана, самостоятельное включение web-камер и микрофонов ПЭВМ, мобильных устройств, запись аудио и видео файлов, данных о нажатии клавиш клавиатуры и т. п.»

Год назад, Секретарь Совета безопасности России Николай Патрушев, ранее занимавший должность директора ФСБ, заявил об обнаружении в информационных системах органов государственной власти программных средств иностранных технических разведок, передает CNews. Однако, Патрушев не уточнил, закладки каких именно зарубежных спецслужб имеет в виду.

Секретарь Совбеза отметил, что «сегодня специалисты фиксируют заметное увеличение числа компьютерных атак на информационно-телекоммуникационные сети и информационные системы органов государственной власти». Это, наряду с обнаружением следов спецслужб в программном обеспечении, требует совершенствования системы защиты информации в России, добавил он.

Мошенничество с акциями ОАО «Татнефть»

В России наиболее известным случаем использования программных закладок является афера программиста ОАО "Акционерный капитал", реестродержателя акций ОАО «Татнефть», похитившего в 2005 году с помощью специально разработанного программного модуля 110 тысяч акций ОАО «Татнефть» на 5,7 млн руб и осужденного за это на пять с половиной лет, сообщает газета Коммерсант.

 Мошенники "одалживали" акции ОАО «Татнефть», снимая их со счетов, прокручивали на ММВБ, после чего возвращали, оставляя себе прибыль. Для этого в компьютерной программе Kapital, проводящей операции с ценными бумагами, программист-инсайдер создал специальную папку. В ней был файл-модуль с функцией Take CB. Она выбирала из базы данных владельцев акций "Татнефти" физических лиц, имевших не меньше 300 акций. Затем со счета каждого из них она переводила по 100 акций на свои счета. Затем ценные бумаги перемещались на ММВБ. Доходы, полученные от операций на бирже, перечислялись на карточные счета в казанском филиале банка "Зенит". Эти счета были также зарегистрированы на подставных лиц, которые снимали с них деньги и передавали мошенникам.

Иранские АЭС и червь Stuxnet

Самым ярким примером внедрения программной закладки с привлечением спецслужб является операция по срыву процессов обогащения ядерных элементов на Иранских АЭС. Речь идет о чрезвычайно высокотехнологичном вредоносном черве Stuxnet. Данный червь использует четыре ранее неизвестныt уязвимости системы Microsoft Windows. Уязвимости, которые эксплуатирует вирус, позволяет ему заражать компьютеры как по сети, так и через USB, причём даже при полностью отключенном автозапуске для всех носителей. Кроме того, вирус «тихо» устанавливает в ОС специальные драйверы, что значительно затрудняет его обнаружение. После внедрения в систему вредоносное ПО ищет в ней присутствие SCADA-системы фирмы Siemens. Сам процесс парализации проходит очень интересно. Троян не записывает в контроллеры «мусор» и не выводит их из строя. «Живя» в системе достаточно долгое время, он накапливает информацию о технологическом процессе, о режимах работы оборудования – о тех самых «уставках» температуры, давления, частоте работы двигателей, о которых я говорил выше. И в какой-то момент троян их меняет, что приводит к сбою в работе промышленного оборудования.

Заключение

Об использовании аппаратных шпионских гаджетах можно почитать в статье на Хабре

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...