一年多前，《彭博商業(yè)周刊》以一個爆炸性的話題搶占了網(wǎng)絡(luò)安全領(lǐng)域：蘋果、亞馬遜等大型科技公司使用的服務(wù)器中的超微主板被悄悄植入了米粒大小的芯片，這樣黑客就可以深入這些網(wǎng)絡(luò)進(jìn)行間諜活動。蘋果、亞馬遜和Supermicro都強(qiáng)烈否認(rèn)了這一報道。國家安全局聲稱這是虛驚一場。世界黑客大會授予它兩個“安全奧斯卡獎”，分別是“最夸張的漏洞獎”和“最史詩般的失敗獎”。尚無后續(xù)報告確認(rèn)其所提到的內(nèi)容。

但是，即使這個故事的事實尚未得到證實，安全部門警告說，它所描述的可能的供應(yīng)鏈攻擊實在是太真實了。畢竟，根據(jù)舉報人愛德華·斯諾登的泄密，美國國家安全局一直在做類似的事情。現(xiàn)在，研究人員更進(jìn)一步，展示了如何在公司的硬件供應(yīng)鏈中輕松廉價地植入難以檢測的微小間諜芯片。其中一個研究人員已經(jīng)證明，它甚至不需要國家政府資助的間諜機(jī)構(gòu)就可以將其實施——只需要一個積極進(jìn)取的硬件黑客，擁有正確的訪問權(quán)限以及價值低至200美元的設(shè)備，就可以實施。

在本月晚些時候的CS3sthlm安全會議上，安全研究員Monta Elkins將展示他如何在自己的地下室創(chuàng)建這個硬件黑客的概念驗證版本。他打算向世人證明，間諜、犯罪分子或具有最低技能的破壞者如何輕松地以低預(yù)算在企業(yè)IT設(shè)備中植入芯片，為自己提供隱身的后門訪問權(quán)限。（全部披露：我將在同一個會議上發(fā)言，該會議為我的旅行支付了費(fèi)用，并向與會者提供了我即將出版的書的副本。）僅在網(wǎng)上訂購了一個150美元的熱風(fēng)焊接工具、40美元的顯微鏡和一些2美元的芯片，Elkins能夠以某種方式更改Cisco防火墻。他說大多數(shù)IT管理員可能不會注意到這一點(diǎn)，但卻可以讓遠(yuǎn)程攻擊者獲得深層的控制。

“我們認(rèn)為這些東西是如此神奇，但它其實并不難，” Elkins說，他是工業(yè)控制系統(tǒng)安全公司FoxGuard的“首席黑客”?！巴ㄟ^向人們展示這個硬件，我希望讓它變得更真實。它不是神奇的，更不是天方夜譚。我可以在我的地下室做這件事。有很多人比我聰明，他們可以幾乎不花錢就做成這件事?！?/p>

防火墻中的指甲

Elkins在一塊2美元的Digispark Arduino板上發(fā)現(xiàn)了一塊面積約5平方毫米的ATtiny85芯片。不算是一個米粒大小，但比細(xì)手指指甲小。在將代碼寫入該芯片后，Elkins將其從Digispark板上拆下并焊接到Cisco ASA 5505防火墻的主板上。他裝在了一個不顯眼的地方，不需要額外的布線，并且可以讓芯片訪問防火墻的串行端口。

下圖顯示了在防火墻板復(fù)雜的情況下——即使在ASA 5505相對較小的6乘7英寸防火墻板尺寸的情況下，芯片很難被發(fā)現(xiàn)。Elkins說，他可以使用更小的芯片，但他最后選擇了Attiny85，因為它更容易編程。他說，他還可能在防火墻板上的幾個射頻屏蔽“罐”之一中更巧妙地隱藏了自己的惡意芯片，但他希望能夠在CS3sthlm會議上展示該芯片的位置。

Cisco ASA 5505防火墻主板的底部，紅色橢圓形表示Elkins添加的5平方毫米的芯片。

一旦防火墻在目標(biāo)的數(shù)據(jù)中心啟動，Elkins就編程他的小型可偷渡芯片進(jìn)行攻擊。它冒充安全管理員，將他們的計算機(jī)直接連接到該端口，從而訪問防火墻的配置。然后芯片觸發(fā)防火墻的密碼恢復(fù)功能，創(chuàng)建一個新的管理員帳戶，并獲得對防火墻設(shè)置的訪問權(quán)限。Elkins說，他在實驗中使用了Cisco的ASA 5505防火墻，因為這是他在eBay上找到的最便宜的防火墻。但他說，任何在密碼丟失的情況下提供這種恢復(fù)功能的Cisco防火墻，這種方法都奏效。Cisco在一份聲明中說：“我們致力于透明度中，并正在調(diào)查研究人員的發(fā)現(xiàn)。如果發(fā)現(xiàn)客戶需要注意的新信息，我們將通過正常渠道進(jìn)行溝通。”

Elkins說，一旦惡意芯片能夠訪問這些設(shè)置，他的攻擊就可以更改防火墻的設(shè)置，從而使黑客可以遠(yuǎn)程訪問設(shè)備，禁用其安全功能，并使黑客可以訪問并看到所有連接的設(shè)備日志，而且這些都不會提醒管理員?！拔一旧峡梢愿淖兎阑饓Φ呐渲?，讓它做任何我想做的事情?！?Elkins說。Elkins還說，如果進(jìn)行更多的反向工程，還可以重新編程防火墻的固件，使其為用于監(jiān)視受害者的網(wǎng)絡(luò)建立一個更全面的立足點(diǎn)，盡管對于這個概念的證明還在進(jìn)行中。

塵埃斑點(diǎn)

在Elkins的工作之前，他曾嘗試更精確地再現(xiàn)彭博社在其供應(yīng)鏈劫持場景中描述的那種硬件黑客攻擊。作為去年12月在Chaos Computer Conference大會上發(fā)表的研究報告的一部分，獨(dú)立安全研究員Trammell Hudson為Supermicro電路板建立了概念驗證，該電路板試圖模仿彭博社故事中描述的黑客的技術(shù)。這意味著在超級微型主板上植入一塊芯片，可以訪問其基板管理控制器（或稱BMC），BMC是一種允許遠(yuǎn)程管理的組件，為黑客提供對目標(biāo)服務(wù)器的深度控制。

Hudson過去曾在桑迪亞國家實驗室工作，現(xiàn)在經(jīng)營著自己的安全咨詢公司。他在超級微板上找到了一個點(diǎn)，在那里他可以用自己的芯片替換一個微小的電阻器，從而可以實時更改進(jìn)出BMC的數(shù)據(jù)，這正是彭博社所描述的那種攻擊。然后，他使用了所謂的現(xiàn)場可重編程門陣列（一種有時用于原型定制芯片設(shè)計的可重編程芯片）來充當(dāng)惡意攔截組件。

“對于一個想要花錢的對手來說，這不會是一項困難的任務(wù)?！卑踩芯繂TTrammell Hudson說。

Hudson的FPGA面積不到2．5平方毫米，只比它在超級微型板上替換的1．2毫米面積的電阻器略大一些。但他說，在真正的概念驗證風(fēng)格中，他實際上并未嘗試隱藏該芯片，而是用一堆布線和鱷魚夾將其連接到板上。然而，Hudson認(rèn)為，一個真正的攻擊者擁有制造定制芯片所需的資源——可能要花費(fèi)數(shù)萬美元——可以進(jìn)行一個更為隱蔽的攻擊，制造出一個執(zhí)行相同BMC篡改功能的、比電阻占地面積小得多的芯片。Hudson說，結(jié)果甚至可能只有百分之一平方毫米，遠(yuǎn)遠(yuǎn)小于彭博社所說的米粒大小。

Hudson說：“對于一個想花錢的對手來說，這并不是一項困難的任務(wù)?！?/p>

超微在一份聲明中說：“對于一年多前的虛假報道，我們沒有必要作進(jìn)一步評論。”

但Elkins指出，他那基于防火墻的攻擊遠(yuǎn)遠(yuǎn)不需要那么復(fù)雜，完全不需要那個定制芯片，只需要2美元一個的芯片就好了。Elkins說：“不要因為你認(rèn)為有人需要芯片制造廠來做這種芯片而輕視這次攻擊。基本上，任何一個電子愛好者都可以在家里做一個這樣的版本?！?/p>

Elkins和Hudson都強(qiáng)調(diào)，他們的工作并不是為了證實彭博社關(guān)于在設(shè)備中植入微型芯片的供應(yīng)鏈攻擊故事。他們甚至不認(rèn)為這可能是平常常見的攻擊；兩位研究人員都指出，盡管不一定具有相同的隱蔽性，傳統(tǒng)的軟件攻擊通?？梢宰尯诳瞳@得同樣多的訪問權(quán)限。

但Elkins和Hudson都認(rèn)為，通過劫持供應(yīng)鏈所進(jìn)行基于硬件的間諜活動仍然是一個技術(shù)現(xiàn)實，而且要比世界上許多安全管理員所意識到的要容易實現(xiàn)?！拔蚁胱屓藗冋J(rèn)識到，芯片植入物并不是想象中的那樣。它們相當(dāng)簡單，” Elkins說?！叭绻夷茏龅竭@一點(diǎn)，有幾億預(yù)算的人可能已經(jīng)做了一段時間了?！?/p>