Комплексное исследование аппаратных решений

При создании многих аппаратных средств используется принцип «безопасность через неясность», смысл которого скрыть код или внутреннее устройство — для обеспечения безопасности. Долгое время этот принцип считался удовлетворительным: даже если уязвимости есть, информация о них неизвестна, а значит, злоумышленник не сможет использовать их. Позже исследователи (и киберпреступники) начали изучать аппаратные устройства и находить первые уязвимости.

Аппаратные средства и используемые в них решения становятся сложнее, сегодня многие из них работают под управлением собственного ПО — прошивки. Она, как правило, разрабатывается под конкретное устройство и использует все доступные аппаратные ресурсы, обычно наделена максимальными привилегиями и может даже иметь отдельную ОС.

Например, чипсеты Intel, встроенные во многие современные компьютерные платформы (планшеты, ноутбуки, серверы). C 2008 года в эти чипсеты встроена автономная подсистема — Intel Management Engine (Intel ME), которая использует свою собственную операционную систему. Эксперты Positive Technologies одни из первых обнаружили, что Intel ME имеет большое количество потенциально опасных функций (например, удаленное управление, доступ к экрану, памяти, устройствам, NFC, создание виртуальных устройств). При этом атакующие, если получат ко всему этому доступ, будут оставаться незамеченными, так как традиционные средства защиты, в отличие от самой Intel ME, работают на центральном процессоре и не способны детектировать угрозы такого типа. Уязвимость представляет опасность для всех современных и устаревших процессоров, вне зависимости от того, какая операционная система установлена на компьютере.

К сожалению, производители не уделяют достаточного внимания безопасности аппаратных средств на этапе разработки и не всегда готовы исправлять уязвимости. Сегодня в мире существует множество так называемых end-of-life-устройств, производство которых завершено или поддержка вендором окончена. Это значит, что уязвимости в них никогда не будут устранены. При этом они продолжают массово использоваться. Именно такие устройства киберпреступники все чаще начинают атаковать.

Если злоумышленнику удалось успешно провести атаку, то переустановка операционной системы, замена жесткого диска, изоляция с помощью гипервизора — не могут решить проблему. Усугубляется все тем, что специалистов по информационной безопасности, которые в полной мере понимают, как работают современные процессоры, мало, а технических средств защиты от подобных атак и вовсе пока не существует.

Для всесторонней защиты необходимо комплексное исследование безопасности используемых на аппаратных платформах прошивок. Выполнить эту работу может высококвалифицированный специалист, знакомый с функционированием основных подсистем и возможными уязвимостями. Если некорректно выполнять исследования, анализ содержимого и манипуляции с системой, это может повлечь серьезные проблемы, связанные с безопасностью и со стабильной работой платформы в целом.

При этом мало обнаружить уязвимости, нужно их устранить. Для этого необходимо контактировать с производителями устройств. Однако случается, что, когда исследователи информируют вендора о проблеме, он не готов ее решать. Поэтому важно уметь правильно взаимодействовать с вендором, добиваться выхода обновлений.

Многолетний опыт компании Positive Technologies позволяет успешно выполнять исследования угроз и уязвимостей аппаратных платформ. В рамках работ эксперты сотрудничают с вендорами для устранения угроз (к примеру, найденная нами уязвимость в компьютерах Apple уже исправлена производителем).

Состав услуг

В услуги входят:

  • Анализ используемых моделей оборудования на наличие уязвимостей и известных векторов атак, а также архитектурных ошибок, которые потенциально могут привести к появлению уязвимостей.
  • Исследование потенциально опасных функциональных возможностей, в том числе недокументированных.
  • Обнаружение использования стороннего уязвимого ПО и бэкдоров.
  • Взаимодействие с производителями оборудования для устранения уязвимостей и потенциальных возможностей для атак.
  • Сопровождение (анализ и рекомендации в случае выхода обновлений и новых версий прошивок).

По итогам работ заказчик получает:

  • Информацию о выявленных уязвимостях и векторах атак.
  • Рекомендации по обновлению версий прошивок для устранения обнаруженных уязвимостей.
  • Рекомендации по устранению угроз — в случае если устройства не поддерживаются вендором.

Видео

The Phantom Menace: Intel ME Manufacturing Mode

Выступление на конференции HITB Security Conference, Dubai
The Phantom Menace: Intel ME Manufacturing Mode
Выступление на конференции OFFZONE
Выступление на конференции CONFidence 2018
Выступление на конференции HITBSecConf 2017 CommSec
Выступление на конференции TROOPERScon
Вебинар: «Как включить JTAG отладку через USB»
Выступление на конференции 33c3 Chaos Communication Congress
Выступление на конференции PHDays VI

Опыт экспертов Positive Technologies

Специалисты Positive Technologies являются признанными экспертами в международном сообществе.

  • Обнаружили уязвимость в Intel ME, позволяющую выполнять произвольный код.
  • Обнаружили способ активировать отладочный интерфейс для микросхемы PCH на любой материнской плате для процессоров семейства Skylake и выше.
  • Обнаружили недокументированный режим Intel ME — HAP, который позволяет отключать основную функциональность данной подсистемы. Данное решение было использовано некоторыми производителями оборудования после публикации исследования.
  • Обнаружили ошибку в работе механизмов обеспечения безопасности файловой системы MFS, которую Intel ME использует для хранения данных. В результате эксплуатации этой уязвимости киберпреступники могут манипулировать состоянием MFS и извлечь засекреченные данные.
  • Обнаружили уязвимость в прошивке компьютеров Apple, которая позволяет реализовать опасный вектор атаки на Intel ME через операционную систему. Злоумышленники получают возможность выполнить код и незамеченными закрепиться на устройстве.