( Май 2020, idb )
Новые технологии компьютерного шпионажа – или методы взлома защиты и хищения данных – ныне могут подаваться как весьма респектабельное дело. С особым логотипом и через специально созданный для этого веб-сайт. Самое же интересное, что это очень хорошо – когда дело устроено именно так…
У братьев Стругацких в фантастической повести «Волны гасят ветер» на редкость удачно применяется сильный (пусть и не братьями придуманный) художественный приём. Выстраивать повествование как череду разнообразных документов – научных отчётов и справок, газетных вырезок и писем, служебных докладных и так далее. Авторами всех этих документов являются совершенно разные люди, а в своей совокупности их тексты складываются в мозаичную картину весьма и весьма непростой для понимания Истории.
И время от времени, когда в нашей – совершенно реальной – жизни приходится сталкиваться с ситуацией, окружающей нетривиальное открытие и множество очень разных взглядов на его суть или важность, тот же самый художественный приём оказывается удобен для конструирования статьи. Теперь уже на основе подлинных документов из интернета.
Когда молния ударяет трижды: Взлом защиты протокола Thunderbolt 3 (Официальный веб-сайт Thunderspy, май 2020)
Техника взлома Thunderspy нацелена на устройства с портом Thunderbolt. Если в вашем компьютере имеется такой порт, то злоумышленник , получивший к нему недолгий физический доступ, может прочитать и скопировать все ваши данные, даже если ваш диск зашифрован, а доступ к компьютеру заблокирован или он погружен в сон.
Метод доступа Thunderspy является невидимым в том смысле, что вы не можете обнаружить никаких следов проведённой атаки. Для его применения не требуется никакого участия жертвы, то есть тут нет никаких крючков-приманок фишинга для установки шпионского ПО или вредоносных устройств, которые вы можете ненароком вставить в свой компьютер, поддавшись на обман злоумышленников.
Thunderspy срабатывает даже в таких ситуациях, когда вы следуете самым лучшим правилам защиты, запирая экран или отправляя в сон ваш компьютер на время короткой отлучки. Срабатывает он и в тех случаях, когда ваш системный администратор включил полное шифрование диска и оснастил устройство функциями безопасной загрузки (Secure Boot), а также сильными паролями доступа к BIOS и аккаунтам ОС. Всё что требуется злоумышленнику, это 5 минут наедине с вашим комьютером, отвёртка и кое-какое портативное оборудование.
Нами обнаружены 7 уязвимостей в конструкции Thunderbolt, разработанной Intel, и разработаны 9 реалистичных сценариев того, каким образом эти уязвимости может использовать злоумышленник для доступа к вашей системе, обходя все те защитные барьеры, которые воздвигнуты фирмой Intel для вашей защиты.
Также нами разработан свободно доступный программный инструмент с открытым кодом, получивший название Spycheck и позволяющий определить, является ли ваша система уязвимой к такого рода атакам. Если уязвимости обнаружены, то Spycheck направит вас к рекомендациям относительно того, каким образом укрепить защиту вашего компьютера…
Исследователь Эйндховенского университета обнаружил фатальные уязвимости в Thunderbolt (Пресс-релиз TU/e, 11 мая 2020 )
Студент-дипломник Бьёрн Рюйтенберг (Björn Ruytenberg), обучающийся на факультете математики и компьютерных наук Технологического университета Эйндховена (TU/e), Нидерланды, в процессе подготовки своей выпускной магистерской работы обнаружил фатальные уязвимости в защите Thunderbolt. То есть популярной технологии, разработанной корпорациями Intel и Apple для быстрой передачи данных между компьютером и внешними устройствами.
Исследования Рюйтенберга показали, что хакеры способны легко обходить те защитные барьеры, что имеются в протоколе для предотвращения вредоносных атак. Выявленные уязвимости затрагивают миллионы настольных компьютеров и ноутбуков. Компания Intel пока что не предоставила никаких эффективных решений для защиты таких устройств. Бьёрн Рюйтенберг и руководители его дипломной работы рекомендуют всем пользователям, имеющим в своих компьютерах порт Thunderbolt, полностью отключить его функциональность.
Thunderbolt – это компьютерный порт, обеспечивающий высокоскоростную передачу информации между персональным компьютером и другими устройствами, такими как внешние накопители данных. Эта технология ныне реализована в десятках или сотнях миллионов устройств по всему миру. Почти любой из новых ноутбуков или настольных компьютеров, выпущенных после 2011 года, оснащен технологией Thunderbolt. Соответствующий порт для подключения кабеля на компьютере обозначен символом молнии.
В Intel заявляют, что доступ через Thunderbolt защищен криптографией, которая должна предотвращать практически любые попытки неавторизованного доступа к данным, за исключением возможностей самых богатых национальных спецслужб.
Однако, говорит Рюйтенберг, «К моему удивлению, там не оказалось по сути дела ничего, что напоминало бы современную криптографию. А то немногое, что всё же нашлось, мне легко удалось вскрыть или обойти».
Профессор Таня Ланге (Tanja Lange) и её аспирант Джейкоб Аппельбаум (Jacob Appelbaum), курирующие подготовку магистерской работы Рюйтенберга, говорят, что его исследования заполняют важные пробелы в имеющихся у специалистов знаниях о протоколе Thunderbolt. Выявленные студентом подробности о конкретных механизмах защиты этого протокола позволили обнаружить целый ряд серьёзных уязвимостей, угрожающих практически любому компьютеру, работающему под ОС Windows или Linux и имеющему порт Thunderbolt.
Исследовательская команда университета сообщила Intel о своих находках в феврале 2020. Компания в целом подтвердила факт наличия уязвимостей. К сожалению, единственным решением, предложенным Intel, пока что является уже известная технология Kernel DMA Protection (защита ядра прямых обращений к памяти).
Эта технология дает защиту для некоторых из уязвимостей в Thunderbolt, но она стала доступна лишь с 2019 года и реализована лишь в ограниченном числе настольных ПК и ноутбуков. И поскольку работа Kernel DMA Protection с необходимостью требует специальной аппаратной поддержки, она не может быть перенесена на более старые системы. Поэтому любая из систем, оснащенных портом Thunderbolt и изготовленных до 2019 года – а это абсолютное большинство систем, парк машин, выпускавшихся почти целое десятилетие – не получат никаких средств усиления типа заплат или апдейтов.
Что же тогда эта ситуация означает для вашего компьютера? Рюйтенберг рекомендует всем пользователям ПК и ноутбуков скачать его программу Spycheck, специальный инструмент, разработанный им для проверки систем на предмет Thunderbolt-уязвимостей и выдачи рекомендаций по усилению защиты. В частности, одно из практичных решений, предлагаемых Рюйтенбергом, это полное отключение Thunderbolt в настройках BIOS. А также он рекомендует не оставлять компьютеры с Thunderbolt без присмотра – даже на пять минут.
Thunderspy: Что это такое и почему это не страшно (статья в Ars Technica, 12 мая 2020)
Собственно метод хакинга, на разработку которого ушли годы, весьма элегантен. Умелое сочетание криптоанализа, обратной инженерной разработки и превращение малейших слабостей в проходы-эксплойты в совокупности пробили ощутимую брешь в тех барьерах защиты, на возведение которых фирма Intel, как создатель Thunderbolt, потратила кучу времени и ресурсов.
В конечном же счёте, однако, эта технология взлома является всего лишь небольшим улучшением такого способа атаки, который существует уже свыше десятилетия. И хотя слабость, которую эксплуатирует Thunderspy, является вполне реальной и должна быть залатана, для подавляющей массы людей – примерно для 99% – беспокоиться тут вообще просто не о чем.
В большинстве случаев для успеха применения Thunderspy требуется, чтобы злоумышленник отвёрткой удалил крепёжные винты и снял корпус компьютера. Затем враг находит в электронной начинке чип Thunderbolt и подсоединяет к нему клипсу, которая в свою очередь связана кабелем с портативными компонентами типа программатора микросхем и ноутбука. Эти устройства анализируют код программной прошивки Thunderbolt и затем перепрограммируют чип почти точно такой же версией, что и была, но за одним важным исключением. Новая прошивка отключает любой из тех уровней защиты, разработанных Intel, что был установлен на данном компьютере. Когда же барьеры защиты пробиты, хакер получает полный контроль над DMA или прямой доступ к памяти. Иначе говоря, Thunderspy позволяет напрямую подключиться к данным компьютера в обход, к примеру, блокирующего экрана Windows.
Хотя на демонстрационном видео мы можем видеть, как обход защиты в ПК под Windows осуществляется примерно за 5 минут, надо понимать также и следующее. Злоумышленнику потребуется дополнительное время для того, чтобы установить в скомпрометированную машину невыявляемую программу-шпиона, скопировать содержимое жёсткого диска или выполнить какие-то ещё вражеские действия. Кроме того, следует иметь в виду, что эта атака не срабатывает против компьютеров Apple Mac, выпущенных за три с лишним последних года. А также она не работает против тех машин под Windows или Linux, которые оснащены новой технологией защиты, известной как Kernel DMA Protection.
На другом видео от разработчика Thunderspy мы можем видеть иной вариант той же атаки, уже не требующий отвёртки и доступа к внутренностям компьютера. Здесь у злоумышленника имеется доступ к периферийному Thunderbolt-устройству, которое ранее уже получило разрешение на доступ к компьютеру жертвы. Злоумышленник клонирует это устройство и использует клон для доступа к DMA атакуемой машины. Результат атаки тот же самый – полное отключение защиты Thunderbolt и проход к данным, но теперь уже подсоединением через порт.
Специалисты, занимающиеся делами компьютерной защиты профессионально, уже давно и убедительно показали, что опытный и хорошо оснащённый противник, получающий физический доступ к устройству – пусть даже и на короткое время – это, по сути дела, событие типа «игра окончена». Иначе говоря, после такого события единственным разумным предположением о состоянии компьютера, телефона или прочего электронного устройства является то, что вещь теперь скомпрометирована.
А единственно возможным сценарием для возврата к доверяемой технике является выброс скомпрометированного устройства. Потому что всегда есть сильные шансы того, что компрометация включала в себя невыявляемую перезапись прошивки в каком-то одном или даже нескольких из компонентов электронных схем (хакерская группа, известная под названием Equation Group и связанная с Агентством национальной безопасности США, занимается этими вещами по меньшей мере с начала 2000-х годов).
#
Несмотря на признание фатальных последствий физического доступа, некоторые специалисты практического склада остаются озабочены угрозами, как их стали назвать, атак типа «вражеская горничная» (evil maid attacks). Когда, скажем, владелец или уборщик жилища, коллега по работе, или же представитель государства на какое-то время получают доступ к компьютеру без присмотра хозяина устройства.
Понятно что «вражеская горничная» – это абсолютно реальная и постоянно присутствующая угроза. Но даже среди тех, кто признает серьёзность такого рода атак, многие всё равно отвергают Thunderspy как такую хакерскую угрозу, которая хоть чем-то выделяется среди уже известных атак этой же категории. Хорошо известно, что есть множество и других компьютерных компонентов, управляемых чипами и имеющих подобный доступ к тем компьютерным ресурсам, что крайне чувствительны к компрометации.
Скажем, чип с BIOS – прошивкой для инициализации аппаратных компонентов в процессе загрузки компьютера – является главнейшей целью для хакеров, имеющих физический доступ к машине и возможности для откручивания винтов крепежа. Известны также аналогичные методы компрометации прошивок и для других чипов-контроллеров: жестких дисков, видеокарт, клавиатуры, управления питанием, сетевых карт, USB и так далее.
Как говорит Эктор Мартин (Hector Martin), независимый исследователь с огромным опытом обратной инженерной разработки компьютерных компонентов, – «Имеются просто тысячи разных вещей, которые вы можете сотворить с компьютером, когда открыт его защитный корпус. Модель же вражеской горничной интересна в тех ситуациях, когда возможности ограничены лишь втыканием ваших штуковин в порты компьютера, потому что это можно проделать очень быстро, даже в ситуациях, когда, скажем, жертва просто отвлечена и смотрит в другую сторону».
Другой известный консультант по вопросам копьютерной безопасности, Альфредо Ортега (Alfredo Ortega) говорит примерно то же самое, но в более жестких выражениях:
Я не думаю, что это значительная атака. Потому что для неё требуется физический доступ к ноутбуку. А если вы имеете физический доступ к компьютеру, то есть и намного более простые атаки примерно с тем же итоговым эффектом (например, вставить кейлоггер в клавиатуру, целиком подменить материнскую плату и так далее). Если вы можете физически перепрошить конкретный чип на плате, то с тем же успехом вы можете перепрошить и любой другой чип, удалив вообще любую защиту в компьютере.
Есть множество разных псевдо-атак типа этой, но все они не очень опасны на самом деле. Потому что они требуют физический доступ к машине. Например, многие так называемые атаки автомобильного хакинга реально требуют для своего осуществления устанавливать дополнительные модули внутри машины. Но если вы можете забраться внутрь машины, вы также можете повредить и систему тормозов, к примеру. То есть возможна намного более простая атака с тем же самым эффектом. Суть концепции та же самая. По сути дела, это форма вредительства – саботаж, а не хакинг.
Вот если бы они отыскали способ для дистанционной – через сеть – заливки вражеской прошивки в чипы, тогда да, это бы сделало данную атаку действительно опасной. Но такого трюка они сделать на сегодня не сумели. Требуя вместо этого откручивание винтов и разборку ноутбука.
Наконец, немало и таких критиков, кто отмечает , что за последнее десятилетие было продемонстрировано множество атак, нацеленных именно на слабости Thunderbolt и достигавших примерно того же результата. Образцы таких атак можно найти в разных местах, в частности, здесь и тут. Одна из самых недавних разработок того же ряда известна под названием Thunderclap.
Но на всем этом фоне громкой и сердитой критики, тем не менее, вполне отчётливо прозвучали и существенно другие оценки от известных профессионалов. Заявляющих, что Thunderspy – это реально важная атка и её следует воспринимать всерьёз.
«Уровни безопасности» Intel – это ложное ощущение защиты…
(статья в WIRED, 10 мая 2020 )
Тот факт, что протокол Thunderbolt остается по-прежнему реальной мишенью для атак типа вражеская горничная, сам по себе вряд ли удивителен, говорит Карстен Ноль (Karsten Nohl), широко известный специалист в области безопасности аппаратного обеспечения и основатель берлинской фирмы инфозащиты Security Research Labs. А в данном контексте – ещё и компетентный официальный рецензент работы Бьёрна Рюйтенберга.
Также, продолжает Ноль, атака Thunderspy вряд ли должна напугать слишком многих пользователей, принимая во внимание то, что она требует для своего осуществления определённый уровень технического мастерства и физический доступ к компьютеру жертвы. Но при всём этом, однако, даже для Ноля оказалось сюрпризом увидеть, насколько легко можно обходить в действительности «уровни безопасности» Intel:
Если вы добавляете схему аутентификации против аппаратных атак, а затем устанавливаете эту схему в никак не защищённом устройстве … то это неверный путь решать проблемы аппаратной безопасности. Это создание ложного ощущения защиты…
Ещё один известный исследователь, высоко отзывающийся о Thunderspy, это Кеннет Уайт (Kenn White). Он также с готовностью признает, что данный метод представляет собой лишь относительно небольшое продвижение по сравнению с предыдущими атаками против Thunderbolt типа «вражеская горничная». Но, тем не менее, это важное продвижение:
Этот метод интересен для многих в сообществе безопасности, потому что он обходит наиболее свежие из средств защиты Intel. И это отчётливое доказательство того, что сама модель физической защиты Thunderbolt для миллионов устройств оказывается сломана.
Те люди, которые говорят, что «есть и намного более лёгкие пути скомпрометировать устройство», по-своему правы. Но суть-то здесь не в этом. Не будем сейчас обращать внимание на попытки преувеличить значимость достигнутого, но отметим, что мы стали лучше понимать сложные взаимозависимости. Нельзя сказать, что это оказалось полнейшей неожиданностью для специалистов, глубоко погруженных в тему, но общий уровень понимания возрос, так или иначе…
Вместо резюме: Продолжение следует
В ходе экспериментов Бьёрна Рюйтенберга с перепрошивкой чипов Thunderbolt, среди всего прочего был получен и такой любопытный – побочный – эффект. Исследователь установил, что когда он заливает в чип новую прошивку, полностью обнуляющую все уровни защиты протокола, то попутно может запереть чип так, что его становится уже невозможно перепрограммировать ещё раз. Иначе говоря, снятие всех барьеров защиты становится необратимым, а код прошивки – неуничтожимым.
Этот важный нюанс весьма примечателен вот по какой причине. Известнейший канадский хакер Драгош Руйю, лет десять тому назад обнаруживший BadBIOS – поразительный и неубиваемый комплекс вредоносных кодов в прошивках чипов – особенно был впечатлён тем фактом, что в своих попытках уничтожить заразу он, фактически, полностью утрачивал контроль над собственными компьютерами.
Хозяин машины вводит определённую команду с правами администратора (root) – и получает в ответ «отказано в доступе». Он сносит всю операционную систему до основания и/или вообще заменяет жёсткие диски – признаки вредоноса, завладевшего компьютером, возникают вновь. Хозяин хочет изменить критичные функции работы BIOS – система не реагирует на команды. Хочет перезалить прошивку в BIOS или других чипах-контроллерах системы – и не может этого сделать. Иначе говоря, компьютер начинает отчётливо жить своей собственной жизнью, реагируя лишь на те команды владельца, которые не мешают его собственным задачам – для владельца неведомым…
Когда Руйю опубликовал результаты своих трёхлетних, примерно, наблюдений за поразительным неистребимым вредоносом, постепенно заразившим весь парк его компьютеров (Windows, Linuх и Apple-машин), то очень многие люди из компьютерной тусовки ему просто не поверили. Уж слишком фантастически звучали подробности этой истории (см. текст BadBIOS ).
Дело это, однако, происходило в 2013 году, когда как раз произошла знаменитая история со сливами в прессу гранд-компромата от Эдварда Сноудена. А к концу того же года под шум вокруг файлов Сноудена попутно был слит в прессу ещё и топ-секретный каталог шпионского инструментария TAO, то есть знаменитого ныне хакерского подразделения в составе Агентства национальной безопасности США. И среди богатого разнообразия этих хакерских инструментов, в частности, было перечислено множество всевозможных прошивок, которыми шпионы перепрограммируют компьютерные чипы контроллеров для заражения оборудования своих жертв на особо глубоком уровне.
Кто именно слил каталог TAO, осталось неведомым, однако вполне хорошо известно, через кого конкретно этот документ был обнародован. Человека этого зовут Джейкоб Аппельбаум, в хакерском сообществе он широко известен участием во множестве заметных разработок, включая браузер Tor. Активная общественная деятельность американца Аппельбаума уже давно стала причиной серьезных конфликтов хакера с властями США, поэтому все последние годы он живёт в Европе.
Среди множества текущих проектов Аппельбаума имеется и затянувшаяся аспирантура – длящаяся с 2015 года подготовка его диссертации в Технологическом университете Эйндховена. Поэтому то, что он стал одним из кураторов при подготовке магистерской работы Бьёрна Рюйтенберга вокруг проекта Thunderspy – это, конечно же, далеко не случайность. А обратное инженерное восстановление, в каком-то смысле, тех самых наиболее продвинутых технологий, что давно уже имеются на вооружении у наиболее богатых и продвинутых шпионских спецслужб.
Короче говоря, чем больше будет появляться проектов-сайтов типа Thunderspy, тем больше открытое сообщество будет знать о возможностях государственных хакеров-шпионов. И о том, соответственно, как лечить компьютер или хотя бы выявлять следы невидимых вредоносов.
Освещённый здесь Thunderbolt-проект Рюйтенберга, кстати, ещё далеко не закончен. Сейчас там ожидается к публикации следующая серия исследований, под названием «Thunderspy 2: Судный день».
Так что есть смысл следить за обновлениями…
[The End]
# # #
Дополнительное чтение:
Об арсеналах хакеров АНБ США, известных под названиями TAO и Equation Group: Брокер-из-тени, или Шпионское аукцион-шоу
Длинная история о (почти) невыявляемых вредоносных кодах в прошивках чипов: BadBIOS, или Большие проблемы ; BadUSB, или Чума на ваши USB ; UEFI как SNAFU
Ещё один нетрадиционный взгляд – на успехи официального (коммерческого) хакинга: Интересное положение Cellebrite
# #
Основные источники:
«When Lightning Strikes Thrice: Breaking Thunderbolt 3 Security». ThunderSpy.io
Björn Ruytenberg , Breaking Thunderbolt Protocol Security: Vulnerability Report. Eindhoven University of Technology, April 17, 2020
«Eindhoven security researchers find fatal vulnerabilities in Thunderbolt». Eindhoven University of Technology,
May 11, 2020
«Thunderspy: What it is, why it’s not scary, and what to do about it», by Dan Goodin. Ars Technica, May 12, 2020
«Thunderbolt Flaws Expose Millions of PCs to Hands-On Hacking», by Andy Greenberg, Wired Magazine, May 10, 2020
kiwi arXiv 