連線：用兩美金的芯片就可以劫持硬件_風聞

來源：本文由公眾號半導體行業觀察（ID：icbank）翻譯自「連線」，謝謝。

距《彭博商業週刊》去年發佈間諜芯片新聞已經過去了一年有多。根據他們當時的報道，包括蘋果和亞馬遜在內的主要科技公司所使用的服務器中的超微主板都秘密地植入了米粒大小的芯片。從而使中國黑客能夠深入探查這些網絡。事後，蘋果，亞馬遜和超微都強烈否認了該報道。國家安全局也認為它是虛驚一場。Defcon黑客大會更是因“最被誇大的錯誤”和“最史詩般的失敗”而兩次獲得Pwnie獎。更有趣的是，自那篇文章之後，我們沒有看到尚任何後續報告。

但是，即使該故事的事實尚未得到證實，安全界也警告説，它描述的供應鏈攻擊的可能性實在是太真實了。畢竟，根據舉報人愛德華·斯諾登（Edward Snowden）的泄密，美國國家安全局（NSA）一直在做類似的事情。而現在研究人員走得更遠，他們展示瞭如何在公司的硬件供應鏈中輕鬆廉價地植入難以檢測的微小間諜芯片。其中之一表明，它甚至不需要州政府資助的間諜機構就可以將其撤出。只是一個積極進取的硬件黑客，他們就能擁有正確的訪問權限，而他們所需要的只是一個價值低至200美元的設備。

“這不是魔術。這不是不可能。我可以在地下室做到這一點”，蒙塔·艾爾金斯（MONTA ELKINS）説。

在本月晚些時候舉辦的CS3sthlm安全會議上，安全研究員Monta Elkins將展示他如何在地下室中創建該硬件黑客的概念驗證版本。他打算證明的是間諜，犯罪分子或具有最低技能的破壞者如何輕鬆地以低預算在企業IT設備中植入芯片以提供隱形的後門訪問權限。而他所需的僅僅是150美元的熱風焊接工具，40美元的顯微鏡和網上隨便能買到的芯片（僅需兩美元）。憑藉這些工具，Elkins能夠以某種方式更改Cisco防火牆，他説這些植入大多數IT管理員可能不會注意到，但可以使遠程攻擊者獲得更高的控制權限。

工業控制系統安全公司FoxGuard的“首席黑客”埃爾金斯説：“我們認為這些東西是如此神奇，但並不是那麼難。” “通過向人們展示硬件，我想使其更加真實。這不是魔術。這不是不可能。我可以在我的地下室做到這一點。還有很多人比我聰明，他們也都可以做到這一點。”

​

**防火牆中的“指甲”**埃爾金斯在一塊2美元的Digispark Arduino板上發現了一塊麪積約5毫米見方的ATtiny85芯片。這個芯片沒有米粒那麼小，但比粉紅色的指甲小。在將代碼寫入該芯片後，Elkins將其從Digispark板上拆下並焊接到Cisco ASA 5505防火牆的主板上。他使用了一個不起眼的位置，不需要額外的佈線，便可以使芯片訪問防火牆的串行端口。

下圖顯示了在防火牆板複雜的情況下，即使在ASA 5505相對較小（6乘7英寸尺寸）的情況下，也很難發現芯片。Elkins表示我們可以使用甚至更小的芯片，之所以她選擇ATtiny85，是因為它易於編程。他説，他還可能在板子上的幾個射頻屏蔽“罐”之一中更巧妙地隱藏了自己的惡意芯片，但他希望能夠在CS3sthlm會議上展示該芯片的位置。

一旦防火牆在目標的數據中心啓動，埃爾金斯就將他的小型間諜芯片編程為進行攻擊。它冒充安全管理員，將他們的計算機直接連接到該端口，從而訪問防火牆的配置。然後，該芯片觸發防火牆的密碼恢復功能，創建一個新的管理員帳户並獲得對防火牆設置的訪問權限。埃爾金斯説，他之所以在實驗中使用了思科的ASA 5505防火牆，是因為這是它他在eBay上發現的最便宜的防火牆，但是他説，任何能在密碼丟失的情況下提供這種恢復功能的思科防火牆都可以使用這個技術。思科在一份聲明中説：“我們致力於提高透明度，並正在調查研究人員的發現。” “如果發現需要我們的客户注意的新信息，我們會通過我們的正常渠道讓他們知道。”

埃爾金斯説，一旦惡意芯片能夠訪問這些設置，他的攻擊就可以更改防火牆的設置，從而使黑客可以遠程訪問設備，禁用其安全功能，並使黑客可以訪問其看到的所有連接的設備日誌，而這些都不會提醒管理員。埃爾金斯説：“我基本上可以更改防火牆的配置，使其能夠執行我想做的任何事情。” 埃爾金斯説，通過進行更多的逆向工程，還可以對防火牆的固件進行重新編程，使其成為監視受害者網絡的功能更強大的立足點，儘管他在證明受害者身份方面沒有走得那麼遠，而僅僅是一個概念。

**塵埃斑點（A Speck of Dust）**Elkins想重現彭博在其供應鏈劫持情形中描述的那種硬件黑客之後的狀況。作為去年12月在Chaos Computer Conference上發表的研究的一部分，獨立安全研究人員Trammell Hudson 為Supermicro電路板建立了概念驗證，該電路板試圖模仿彭博故事中描述的中國黑客的技術。這意味着在Supermicro主板的一部分上植入一塊可以訪問其基板管理控制器或BMC的芯片，該組件可以對其進行遠程管理，從而使黑客能夠深度控制目標服務器。

Hudson過去曾在Sandia National Labs工作，現在經營自己的安全顧問公司。他在Supermicro板上找到了一個位置，在那裏他可以用自己的芯片替換一個微小的電阻器，以真正改變BMC的輸入和輸出數據。時間，這正是彭博社描述的那種攻擊。然後，他使用了所謂的現場可重編程門陣列（一種有時可用於對定製芯片設計進行原型設計的可重編程芯片）充當惡意攔截組件。

“對於想要花錢的對手來説，這並不是一件困難的事情。”安全研究員TRAMMELL HUDSON説。

Hudson的FPGA面積不到2.5平方毫米，僅略大於它在Supermicro板上替換的1.2平方毫米的電阻。但他表示，他只是去驗證了可行性，他實際上並未做任何隱藏該芯片的嘗試，而是通過一堆佈線和鱷魚夾將其連接到板上。但是，哈德森認為，真正的攻擊者只要擁有製造定製芯片的資源（一個過程可能花費數萬美元），就可以實施更隱蔽的攻擊，製造出可以執行相同操作的芯片。BMC的防篡改功能使其體積比電阻小得多。哈德森説，結果甚至可能只有百分之一平方毫米，比彭博的米粒小得多。

哈德森説：“對於想要花錢的對手來説，這並不是一件困難的事情。”

Supermicro在一份聲明中説：“對於一年多以前的虛假報告，沒有必要進一步評論。”

但是，埃爾金斯指出，他的基於防火牆的攻擊雖然複雜度要低得多，但根本不需要那種定製芯片，只需2美元。埃爾金斯説：“不要輕視這種攻擊，因為你認為有人需要芯片廠來做。” “基本上，任何電子愛好者都可以在家中製作此版本。”

Elkins和Hudson都強調説，他們的工作並不旨在驗證彭博關於利用設備中植入的微型芯片進行廣泛的硬件供應鏈攻擊的故事。他們甚至沒有爭辯説這很可能是野外的普通襲擊。兩位研究人員都指出，傳統的軟件攻擊通常可以為黑客提供同樣的訪問權限，儘管不一定具有相同的隱蔽性。

但是Elkins和Hudson都認為，通過供應鏈劫持進行基於硬件的間諜活動仍然是一種技術現實，而且比世界上許多安全管理員所意識到的要容易實現。埃爾金斯説：“我希望人們認識到，間諜芯片植入術不是想象中的。它們相對簡單。” “如果我能做到這一點，那麼預算億萬的人已經做了一段時間了。”