0
本文來源為“西雅圖雷尼爾”,雷鋒網授權轉載。
今天糾結了很久,要不要寫這個敏感的話題。但是我想了想還是寫吧,真正懂這塊的人不太多,愿意拿出來講的更少 。我雖然早已離開安全行業,但我是少數了解secure boot,UEFI,fuse 等技術,又對電路也比較熟悉,又有合適平臺發表獨立觀點的人,所以還是簡單從安全的角度說一下,說句公道話。
簡單來說,我的判斷是彭博社對于間諜芯片的報道是完全沒有根據的,至少是夸大了無數倍的虛假報道。
依據有兩點:
1.芯片需要工作,需要有合適的供電,需要有合適的邏輯控制單元。很難在不被發現的情況下,加一個芯片。
2.即便是rootkit了服務器,大量高安全級別的網絡是和外網做隔離的。無法接收或者傳送有效的情報。 即便有APT攻擊的配合,難度非常非常大,以至于這條路不太現實。
先說說,迄今為止實戰中水平最高的間諜軟件Lojax。這個惡意軟件感染系統后,即便你重裝系統,甚至換硬盤也沒有用。關于這個劃時代的rootkit,國內的安全界報道非常少。
盡管在blackhat這種安全會議中,研究人員已經討論了很久BIOS rootkit/ ACPI Rootkit/ UEFI rootkit的可行性,但是由于難度太大,實際上從來沒有在真實環境中發現過這種類型的惡意軟件。這次Lojax的發現是第一次在野外環境發現UEFI rootkit,開啟了UEFI rootkit的新時代。
(下面是一些技術細節,不懂就直接跳過)
首先初步介紹一下,UEFI是替換傳統bios的一套firmware接口服務,現在新電腦一般都是UEFI。
▲UEFI的工作流程
▲如果UEFI 打開了secure boot的模式,理論上能保證系統的安全
最近發現的Lojax rootkit應該是一個名叫Sednit 組織(又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear 背后是俄羅斯)用于攻擊巴爾干和歐洲中東部的政府機構。
這個惡意軟件利用非常嫻熟和精湛的技術,利用正規的RWEverything 系統信息軟件或者uefiinfo或者系統的firmware版本,然后再從SPI閃存模塊中將UEFI的原始firmware給讀出來,然后再把病毒插進原始的firmware,接著再將攜帶病毒的副本寫回到SPI閃存。
▲將rootkit寫進SPI的流程
▲SPI存儲芯片位置和大小
如果管理員沒有打開secure boot的選項,這種惡意軟件直接就可以將惡意軟件寫進去SPI。
如果系統管理員把secureboot打開了,就難了很多。因為UEFI在裝載各個模塊的時候都會檢查簽名,如果文件被動過手腳很容易發現問題。而且如果打開secureboot,通常是SPI寫保護的。惡意軟件沒法把加料的固件寫回到SPI中去。
如果固件的版本比較老,這個惡意軟件會利用一個已知的安全漏洞利用race condition來把惡意軟件寫道到SPI閃存里,該漏洞是UEFI很久之前的漏洞。
至此,惡意軟件就常駐在主板的這個小小SPI存儲器中,無論你重裝系統,還是換硬盤,都不會對這個病毒產生任何影響。研究者稱,要根除這個惡意軟件辦法只有一個,就是重新擦寫SPI flash,這個對于普通人來講,甚至普通公司的IT來講都是非常困難的事情。或者更新UEFI固件,UEFI固件會重新擦寫SPI flash的整個BIOS區域。前提是UEFI更新會擦除干凈感染的BIOS區域。如果更新固件都搞不定,那只有更換主板這一條路了。
▲研究論文中的結論
這已經是迄今為止,最最牛逼的間諜軟件了。
PCB雖然密布芯片和線路,但是沒有一個是多余的。
芯片不是外星產物,芯片是邏輯,是電路。是電路就需要供電,就需要走線,你不改原理圖,不改PCB版圖,如何安裝一個額外的芯片?要知道主板級別的電路板上,最簡單的都是4層,6層。服務器的有8層,10層。走一根電源線,要知道動多少線路么?這跟用口香糖粘一個竊聽器完全是兩碼事。
不要說多加一個芯片,哪怕是多加了一個電容,回來審板的人肯定會發現。根本到不了PVT就露餡了。
僅僅用一個rootkit,搞不定高安全級別,外網隔離的系統。
從彭博社的指控來看,在主板上加這么一個小芯片就能突破系統的secure boot,攻破系統,然后竊取商業機密。
我們假設,僅僅是假設,超微的主板設計人員,整個團隊都被買通了,在板子上加了一個模塊,然后這個模塊類似于Lojax一樣,在SPI里面保留了一塊連刷UEFI firmware都不會刷掉的超級rootkit,而且這個rootkit還被簽名了。
也就是說即便給這個rootkit開了掛,即便在2018年想利用這樣的rootkit控制高安全級別的系統,與外網隔離的系統也是不現實的(彭博社的報道說這個事情發生在更早的2015年以前,更加不太可能)。前面講了這么牛逼的lojax rootkit是當今rootkit的最高水平,現在看到的這個rootkit也僅僅是針對Windows系統,也僅僅是針對非物理隔離的計算機網絡。
而無論是Amazon還是Apple,還是CIA還是其他安全部門,操作系統各不相同(大部分都是unix內核的系統),你很難做到僅僅靠一個rootkit搞定所有的系統,而且是搞定跟外網隔離的系統,搞定所有流量都會受到審計的系統。(你的rootkit想去外面下載一個木馬都沒法下的)
即便我們站在2018看,設計這樣一套突破secure boot并實現彭博社新聞中功能的rootkit也是不太現實的。
Apple和Amazon都發表了措辭嚴厲的文章,批評彭博社發表不負責任的報道。
我這篇文章是純粹從技術實現的角度和rootkit最新技術水平的角度,分析彭博社報道的真實性。
美國媒體最近幾年被川普痛斥為Fake News是不無道理的。彭博社的這篇報道中存在著大量的猜測和假想。在hack的原理解釋方面也非常不專業,完全是糊弄。這么一個非常嚴肅的大新聞,處理的非常不專業。在twitter上很多安全人士都表示這篇文章存在太多太多的漏洞和不準確之處,沒有安全背景,沒有工程實踐經驗。
而市場對這篇文章的反應也很激烈,超微直接跌去近一半市值。聯想受影響,今天股價也跌去15%。(非常鄙視聯想,急急忙忙跳出來說,我們沒有用超微的主板。可笑你聯想能生產高品質服務器么,你產品能進高安全的環境么)。
這篇文章雖然是假新聞,但是會對電子產業鏈產生深遠的影響。繼紐約時報之后,彭博社的牌坊也倒了,現在還能看的也就剩WSJ了。
本文來源為“西雅圖雷尼爾”,雷鋒網授權轉載。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
