Комплексное исследование аппаратных решений
При создании многих аппаратных средств используется принцип «безопасность через неясность», смысл которого скрыть код или внутреннее устройство — для обеспечения безопасности. Долгое время этот принцип считался удовлетворительным: даже если уязвимости есть, информация о них неизвестна, а значит, злоумышленник не сможет использовать их. Позже исследователи (и киберпреступники) начали изучать аппаратные устройства и находить первые уязвимости.
Аппаратные средства и используемые в них решения становятся сложнее, сегодня многие из них работают под управлением собственного ПО — прошивки. Она, как правило, разрабатывается под конкретное устройство и использует все доступные аппаратные ресурсы, обычно наделена максимальными привилегиями и может даже иметь отдельную ОС.
Например, чипсеты Intel, встроенные во многие современные компьютерные платформы (планшеты, ноутбуки, серверы). C 2008 года в эти чипсеты встроена автономная подсистема — Intel Management Engine (Intel ME), которая использует свою собственную операционную систему. Эксперты Positive Technologies одни из первых обнаружили, что Intel ME имеет большое количество потенциально опасных функций (например, удаленное управление, доступ к экрану, памяти, устройствам, NFC, создание виртуальных устройств). При этом атакующие, если получат ко всему этому доступ, будут оставаться незамеченными, так как традиционные средства защиты, в отличие от самой Intel ME, работают на центральном процессоре и не способны детектировать угрозы такого типа. Уязвимость представляет опасность для всех современных и устаревших процессоров, вне зависимости от того, какая операционная система установлена на компьютере.
К сожалению, производители не уделяют достаточного внимания безопасности аппаратных средств на этапе разработки и не всегда готовы исправлять уязвимости. Сегодня в мире существует множество так называемых end-of-life-устройств, производство которых завершено или поддержка вендором окончена. Это значит, что уязвимости в них никогда не будут устранены. При этом они продолжают массово использоваться. Именно такие устройства киберпреступники все чаще начинают атаковать.
Если злоумышленнику удалось успешно провести атаку, то переустановка операционной системы, замена жесткого диска, изоляция с помощью гипервизора — не могут решить проблему. Усугубляется все тем, что специалистов по информационной безопасности, которые в полной мере понимают, как работают современные процессоры, мало, а технических средств защиты от подобных атак и вовсе пока не существует.
Для всесторонней защиты необходимо комплексное исследование безопасности используемых на аппаратных платформах прошивок. Выполнить эту работу может высококвалифицированный специалист, знакомый с функционированием основных подсистем и возможными уязвимостями. Если некорректно выполнять исследования, анализ содержимого и манипуляции с системой, это может повлечь серьезные проблемы, связанные с безопасностью и со стабильной работой платформы в целом.
При этом мало обнаружить уязвимости, нужно их устранить. Для этого необходимо контактировать с производителями устройств. Однако случается, что, когда исследователи информируют вендора о проблеме, он не готов ее решать. Поэтому важно уметь правильно взаимодействовать с вендором, добиваться выхода обновлений.
Многолетний опыт компании Positive Technologies позволяет успешно выполнять исследования угроз и уязвимостей аппаратных платформ. В рамках работ эксперты сотрудничают с вендорами для устранения угроз (к примеру, найденная нами уязвимость в компьютерах Apple уже исправлена производителем).