В ожидании троянского дракона

(Апрель 2008)

О вражеских закладках в схемах чипов — угрозе, которую много обсуждают, но в деле пока никто толком не видел. (Статья является своего рода продолжением более старой истории о специфических играх спецслужб.)

dragon-red

Четыре года назад, весной 2004, в массовое сознание публики, в первую очередь американской, была запущена одна примечательная (дез)информация, предназначение которой поначалу было далеко неочевидным.

Некто Томас Рид, в далеком прошлом главком военно-воздушных сил США и член Совета национальной безопасности в администрации Рейгана, выпустил книгу воспоминаний «Над бездной. История Холодной войны глазами инсайдера». В этих мемуарах читателям впервые было доверительно поведано о тайных операциях хайтек-саботажа ЦРУ против советской экономики.

В частности, был там рассказ о колоссальном взрыве газопровода в Сибири в 1982 году, якобы подстроенном американской разведкой с помощью умышленной продажи в СССР чипов со скрытыми внутренними дефектами в схемах.

В России, конечно, эту публикацию быстро заметили и в ответах знающих специалистов объяснили, что подобные заявления — это, выражаясь попроще, «полная чушь и брехня». Ибо в начале 1980-х годов работа советских нефте- и газопроводов компьютерной техникой еще просто не управлялась, так что никаких чипов там не было и в помине. Серьезные аварии и взрывы, спору нет, случались, однако причиной им были вовсе не хайтек-операции ЦРУ, а наше собственное разгильдяйство и нарушение техники безопасности.

Подробности этой истории можно найти в материалах «Шпионские страсти» и «Брехня«, и фактов там вполне достаточно, чтобы разглядеть, как реально происходившие события — борьба ЦРУ с нелегальными закупками СССР передовых западных технологий и большая авария в Сибири — искусственно подогнаны и сконструированы в некую успешную якобы хайтек-диверсию спецслужб ради победы Запада в Холодной войне.

Иначе говоря, из мемуара высокопоставленного пенсионера в целом было понятно, что разведывательно-военно-промышленным комплексом США затеяны какие-то очередные тайные игры, однако суть их в то время была не очень ясна. Зато сейчас уже хорошо известно, что как раз в тот период, в 2004-2005 годы, Пентагон и спецслужбы очень энергично, но поначалу в секрете, пытались разными способами переломить четко наметившуюся тенденцию в индустрии полупроводников.

Говоря конкретнее, сильное беспокойство вызывали неуклонные процессы по перемещению производства микросхем и компьютерного железа из США и Западной Европы в страны Азии, особенно в Китай.

Причины таких процессов, как известно, носят понятный экономический характер. Однако с военно-политической точки зрения строить новейшие электронные системы армии и разведки США на основе китайских чипов представляется в высшей степени неприемлемым. Для американских силовых структур, во всяком случае.

Информация о предпринимаемых в этой области усилиях — о тревожных отчетах экспертов и аналитиков, о переговорах с законодателями и индустрией, о затеянных администрацией госпрограммах — понемногу начала появляться в прессе. К настоящему времени об острой необходимости решать эту проблему американские СМИ пишут уже открыто и регулярно.

Но что интересно, в качестве единственного реального эпизода со вражескими закладками в чипах все время упоминается та самая история о взрыве сибирского газопровода в 1982 году. О том, что история эта не подтверждена никакими официальными документами и с самого начала по всем признакам походила на типичную фальсификацию, никто сегодня не вспоминает.

Угрозы в теории

Что же именно, собственно говоря, так опасаются ныне обнаружить в чипах иностранного происхождения?

Самых разных чинов и рангов специалисты по безопасности предупреждают, что цепи поставок компьютерного железа ныне становятся все более сложными и непрозрачными, отражая извилистые процессы глобализации экономики. Глава департамента отечественной безопасности США Майкл Чертоф на недавнем брифинге для прессы сформулировал это следующим образом:

«Все чаще происходит так, что вы, покупая компьютер, получаете в нем компоненты … произведенные по всему миру. И нам необходимо найти способы… позволяющие гарантировать, что кто-нибудь не встроил в эти очень мелкие компоненты нечто такое, что может быть включено дистанционно».

Аппаратные закладки весьма существенно отличаются от закладок программных. Если программы можно хоть как-то менять или контролировать, по крайней мере теоретически, то при покупке компьютера, принтера, монитора, маршрутизатора или другого цифрового устройства сейчас приходится просто мириться с фактом, что непосредственно в микросхемы здесь могут быть впечатаны вредоносные инструкции или бреши в безопасности, которые кто-то неизвестный знает и умеет использовать в своих интересах.

Разнообразие сценариев для таких аппаратных закладок ограничивается лишь фантазией людей, применяющих подобные разработки. Допустим, блок памяти в офисном сетевом принтере может сохранять «снимки» распечатываемых документов, а затем тайно отсылать похищенное по известному интернет-адресу. В более изощренных сценариях чипы роутеров какой-нибудь военной сети могут в определенный момент времени или по команде извне просто обрушить систему или начать работать под управлением неприятеля.

Вполне очевидно, что даже если подобную закладку каким-то образом удастся вдруг выявить, бороться с ней все равно чрезвычайно сложно. В отличие от вредоносного ПО, от угроз которого можно избавиться программными заплатками и сравнительно быстрым обновлением программ на всех машинах системы, с аппаратными закладками в чипах чаще всего бороться можно лишь заменой каждой «больной» микросхемы на другую, здоровую. В сетях больших организаций подобная процедура может потребовать многие месяцы.

Практически в любом современном чипе сегодня может быть огромное количество скрытых внутренних функций, к которым у пользователей нет не то чтобы прямого доступа, но даже сколь-нибудь конкретных представлений об их существовании.

Вот что говорит по этому поводу Стивен Кент (Stephen Kent), член Разведывательного научного совета, консультирующего разведслужбы США, и один из руководителей военно-промышленной корпорации BBN Technologies:

«Уже давным-давно пройден тот этап, когда можно было комбинаторными методами протестировать все возможные входные сигналы для чипов. Так что если ныне кто-то вздумает спрятать там некую особую функцию, которая по особой входной команде заставит чип сделать нечто необычное, то не очень ясно, каким образом можно проверить чип на способность к таким действиям».

Более того, чип со скрытой аппаратной закладкой вовсе не обязательно должен быть встроен на фабрике при изготовлении устройства. Куда большую угрозу, в принципе, могут представлять ремонтные организации и субподрядчики, часто выступающие в качестве посредника при закупках оборудования.

Опытный враг, внедрившийся в такую организацию, куда лучше будет представлять конкретное назначение закупаемой техники и в то же время имеет возможности незаметно подменить здоровые чипы на примерно такие же, но зараженные. Или, к примеру, перепрошить микрокод программируемых микросхем.

[ВРЕЗКА]

С точки зрения криптографии

Осенью 2007 г. в Сети получила заметный резонанс любопытная работа израильского профессора-криптографа Ади Шамира (Adi Shamir, наиболее известный как «S» в криптосхеме RSA), посвященная опасностям «крипто-багов» в современных программах и чипах (cryptome.org/bug-attack.htm).

Вместе с ростом строк кода в программах, усложняющейся оптимизацией операций и нарастающей длиной слова в процессорах, напомнил Шамир, становится все более вероятным появление невыявленных ошибок в конечных продуктах, запускаемых в массовое производство. Примеров из жизни тому хватает — вроде случайно обнаруженного в середине 1990-х «бага деления» в процессорах Pentium, или совсем недавно найденной ошибки умножения в программе Microsoft Excel.

Однако, как показал Шамир, если какая-нибудь спецслужба обнаружит или тайно встроит сама хотя бы лишь одну пару таких целых чисел, произведение которых в каком-нибудь популярном микропроцессоре вычисляется некорректно (даже в единственном бите низкого разряда), то последствия этой ошибки будут сокрушительными с точки зрения криптографии и защиты информации.

Потому что тогда буквально любой ключ в любой криптопрограмме на основе RSA, работающей на любом из миллионов компьютеров с этим процессором, может быть тривиально взломан с помощью единственного сообщения специально подобранного вида. Кроме того, по заключению профессора, аналогичная атака может применяться против любых криптосхем на основе дискретных логарифмов и эллиптических кривых (где, кроме того, можно эксплуатировать еще и баги деления).

Иначе говоря, невыявленный вовремя мелкий баг способен радикально подрывать стойкость практически всех современных криптосхем с открытым ключом.

[КОНЕЦ ВРЕЗКИ]

Проблемы на практике

В реальной жизни, пора повториться, работу вражеских закладок, зашитых в чипы, пока что не предъявил никто. Но зато в изобилии происходят истории несколько иного рода, тесно связанные с описанными выше гипотетическими угрозами.

В январе этого (2008) года, к примеру, начался судебный процесс над двумя братьями-предпринимателями из Техаса, Майклом и Робертом Эдманами (Michael, Robert Edman), продававшими большие партии контрафактного компьютерного оборудования разнообразным правительственным и военным ведомствам США.

В списке их покупателей упомянуты Военно-воздушные силы, Корпус морской пехоты, Федеральное управление авиации, Министерство энергетики, плюс несколько видных корпораций военно-промышленного комплекса вроде Lockheed Martin. Столь внушительный список клиентов объяснялся, в первую очередь, очень заманчивыми ценами, которые предлагали братья Эдманы на совершенно новое оборудование от известных производителей.

Однако, как выяснило следствие, в действительности Эдманы через своего партнера в Китае массово закупали чрезвычайно дешевое, так называемое no-name-оборудование, а также лейблы и упаковочные коробки знаменитых брендов вроде Cisco Systems. Изготовленные клоны выглядели столь достоверно, что разницу никто не замечал.

Прикрыли же этот весьма прибыльный для всех участников бизнес лишь после того, как о реальном происхождении оборудования однажды узнало ФБР через свою агентуру в Китае.

Другой громкий скандал разразился в США буквально только что и очень выпукло отражает характерную особенность людей на ответственной государственной службе. Которые с одной стороны призваны заботиться о вопросах безопасности, а с другой — как и прочие нормальные люди — весьма чувствительны ко всему, что касается личных прибылей, да еще получаемых сравнительно честным путем.

Суть скандала закручена вокруг новых электронных паспортов с «биометрическим» RFID-чипом. Такие паспорта по существующим в стране правилам монопольно изготовляет правительственная типография GPO (Government Printing Office). Однако американская промышленность сейчас не способна изготовлять RFID, соответствующие установленным международным стандартам для паспортов, поэтому обложки документов с запрессованными чипами изготовляют надежные партнеры-корпорации дружественных стран –  голландская Gemalto и германская Infineon. Но это только формально на бумаге.

На деле же, как раскопали недавно журналисты, все новые американские паспорта «с самой современной защитой» изготовляются в Азии. Производство RFID-чипов перенесено фирмами Gemalto и Infineon в Сингапур и Тайбэй, откуда микросхемы пересылаются в Таиланд, где тайцы из номинально голландской компания SmartTrac добавляют к чипам антенну и запрессовывают все хозяйство в единый модуль обложки.

Здесь же уместно заметить, что в 2007 году компания SmartTrac Technology судилась в международном суде Гааги с Китаем, обвиняя эту страну в краже запатентованной технологии компании для чипов электронных паспортов. Все эти обстоятельства, конечно же, прекрасно известны американским заказчикам из GPO. Но на изготовлении новых е-паспортов США это не то что не отразилось практически никак, но и приносит GPO весьма ощутимые прибыли.

Перенос производства в Азию снизил закупочную стоимость бланков до 8 долларов, а Госдепартамент по-прежнему платит GPO по 15 долларов за штуку. Лишь за один прошлый год эта разница принесла GPO около 100 миллионов «навара», хотя по федеральному статусу никакая коммерция и прибыль этой конторе вообще не положены.

«Ужасная природа этого бизнеса»

Приведенные примеры, характерные, конечно же, для функционирования бюрократических организаций в любом государстве, наглядно демонстрируют, почему для реально критичных с точки зрения безопасности приложений все же очень желательно иметь чипы и компьютерное железо, которым можно было бы доверять. Но одно дело хотеть в теории, и совсем другое иметь не практике.

На практике же корпорация Intel в 2007 году объявила о начале строительства своего нового большого завода, Fab 68, в Даляне, Китай. Несколько других американских компаний полупроводниковой индустрии, вроде Applied Materials и National Semiconductor, уже имеют свои производства в Китае. В целом же территориально на долю США ныне приходится уже меньше 25% мирового производства чипов, причем процент этот неуклонно снижается, а доля Китая, напротив, с каждым годом стремительно растет.

Причем существенно, что в Азию — ради общей конкурентоспособности на мировом рынке — переносятся производства по самым передовым технологиям. В результате министерство обороны США оказалось в ситуации, когда для новейших электронных схем, управляющих ракетными системами наведения и перехвата, доверяемые чипы становится возможным производить в Америке лишь на основе очевидно устаревших технологий.

Что-то типа решения для этой проблемы придумало Агентство национальной безопасности США – как наиболее продвинутое в инфотехнологиях подразделение министерства обороны. В 2004 году АНБ договорилось с корпорацией IBM о запуске совместного и поначалу секретного проекта под названием Trusted Foundry Access, т.е. «доступ к доверяемому цеху».

Согласно опубликованным ныне данным, эта программа эксклюзивно американских чипов для нужд обороны обошлась государству в 600 миллионов долларов, а за прошедшие годы к ней присоединилось еще около десятка компаний военно-промышленного комплекса (вроде BAE, Intersil, Northrop Grumman, Raytheon, Sarnoff, Teledyne).

То, что Trusted Foundry — это не решение проблемы, а вынужденная полумера, все прекрасно понимают. Во-первых, так удается проконтролировать лишь один аспект проблемы, собственно производство. Во-вторых же, что куда более существенно, контроль за уже существующими цехами никак не решает проблему переноса современных технологий за рубеж.

Та же корпорация IBM связала себя правительственным контрактом лишь до 2011 года, одновременно активно перенося производство в Азию. И вполне может статься, что уже в следующем десятилетии и IBM, и другие нынешние флагманы американской полупроводниковой индустрии станут так называемыми fabless-корпорациями, т.е. сосредоточенными на разработках и не имеющими собственного производства.

По этим причинам в DARPA, оборонном агентстве передовых исследовательских проектов, запущена альтернативная программа под названием «Trust in ICs» (Доверие к микросхемам). В процессе совместных исследований с корпорацией Raytheon, университетом Джонса-Хопкинса и рядом других институтов, в DARPA пытаются отыскать превентивные решения для защиты чипов от закладок и заблаговременного выявления уязвимостей в случае их появления.

Но одновременно понимается и гигантская сложность стоящей задачи. Как говорит один из инсайдеров проекта, «даже если вы обнаруживаете что-то существенное, вы никогда не можете быть уверены, что нашли все… это ужасная природа данного бизнеса».

[ВРЕЗКА]

Дракон по имени Huawei

В отчетах американских аналитиков, занимающихся исследованием военно-стратегических проблем в контексте ИТ-индустрии, в качестве одной из главных потенциальных угроз стабильно фигурирует китайская компания-гигант Huawei Technologies.

Базирующаяся в г. Шэньчжэнь, эта корпорация на сегодня является самым большим в Китае и одним из крупнейших в мире изготовителей сетевого и телекоммуникационного оборудования, которое используют 35 из 50 главных на планете операторов связи, и имеющим многочисленные центры разработок не только по стране, но также в Швеции, Ирландии, США (два), Индии и России.

В США крайне обеспокоены связями фирмы с военными, в частности, что основатель и бессменный глава «Хуавэй» Жэнь Чжэнфэй в молодые годы служил в Народно-освободительной армии (НОАК) Китая.

В Википедии, правда, об этом написано предельно нейтрально:

«После окончания университета он стал работать в исследовательском институте армии в качестве военного технолога. Из-за непролетарского происхождения на протяжении почти всей военной карьеры не мог вступить в компартию, но за достижения получил признание на самых разных уровнях. В 1982 был уволен из армии в связи с большими сокращениями вооруженных сил. Став гражданским, в 1988 начал собственный бизнес в области электроники».

А вот что пишут о том же, но американские аналитики:

«Huawei была основана в 1988 году Жэнь Чжэнфэем, бывшим директором Академии инфоинжиниринга при Генштабе НОАК, отвечающей за телекоммуникационные исследования для китайских военных. Согласно исследованию корпорации RAND, Huawei поддерживает глубокие связи с армией, которая выступает здесь в многогранной роли, не только как важный клиент, но и как политический патрон Huawei, и как партнер в исследованиях-разработках».

Из подобных оценок, ясное дело, естественным образом рождаются выводы о том, где в первую очередь надо искать коварные аппаратные закладки в поставляемом для США оборудовании.

[КОНЕЦ ВРЕЗКИ]

Две стороны медали

Проблема возможных аппаратных закладок в чипах — это тема, в спецслужбах обсуждаемая чрезвычайно давно. Возможно, что и вообще с момента появления интегральных микросхем.

Тем не менее, далеко не все эксперты по инфобезопасности согласны, что реальные риски здесь действительно велики и серьезны. Да, конечно, есть сведения, что в разведках давно экспериментируют с подобными технологиями хищения информации и саботажа.

Однако по сию пору нет ни одного достоверного свидетельства, чтобы этой технологией хоть кто-то реально и с очевидным успехом воспользовался. (Если даже шпионы очень хорошо держат язык за зубами, успехи их явно не столь велики, чтобы стать известными более болтливым посторонним.)

Знаменитый своими рациональными доводами и потому очень часто цитируемый в прессе гуру по безопасности Брюс Шнайер по этому поводу говорит следующее:

«Определенно имеется возможность того, что наиболее продвинутые в мире спецслужбы способны тайно встраивать уязвимости в микропроцессоры, однако угроза эта явно преувеличивается. Ну зачем кому-то так напрягаться и рисковать, когда в нынешних компьютерах, сетях и операционных системах и без того имеются тысячи уязвимостей, только и ждущих, чтобы их кто-нибудь обнаружил всего за несколько часов кропотливой работы?»

В спецслужбах вроде АНБ США, где гарантированно знают об угрозах аппаратных закладок куда больше Брюса Шнайера, с такой точкой зрения, как известно, совершенно не согласны. Однако и склонить к сотрудничеству ведущих изготовителей процессоров, вроде Intel или AMD, тоже, похоже, не могут.

Так, от высшего руководства Intel в прессе появлялись заявления, что их корпорация уже довольно давно и в самой категоричной форме отказалась от каких-либо совместных оборонных проектов с американским правительством. Не найдя, грубо говоря, каким образом это может способствовать бизнесу компании.

Если развить мысль «о сотрудничестве» в чуть иных выражениях, то любая ловля шпионов и вообще контрразведывательная деятельность по определению подразумевают опору на агентуру. Другими словами, для превентивного отлова функций аппаратных закладок неизбежно потребуется встраивать другие тайные функции, известные лишь спецслужбам. То есть, по сути, опять те же шпионские закладки, как ни крути…

[МЕЖКОЛОННЫЕ ВРЕЗКИ]

По свидетельству специалистов российской хайтек-фирмы «Ангстрем», в процессе обратной инженерной разработки известного RFID-чипа Mifare Classic в нем была обнаружена аппаратная закладка — команда спецаутентификации, без ключа открывавшая память для чтения.

* * *

На сегодняшний день самыми распространенными «аппаратными закладками» стали ворующие информацию шпионские вирусы-троянцы, которыми иногда оказываются заражены новые жесткие диски, USB-модули флеш-памяти, MP3-плееры и цифровые рамки. Но строго говоря, это все же программные, а не аппаратные закладки. Тривиально выявляемые известными средствами.

[КОНЕЦ]