间谍芯片植入如此简单网购两美元芯片就可劫持硬件

间隔此前《彭博商业周刊》宣布的“特务芯片门”现已曩昔近一年。

2018 年 10 月初，彭博发布的一篇颤动业界的报导称，“包含苹果和亚马逊在内的首要科技公司所运用服务器的超威（Supermicro）主板，都现已被秘密地植入了米粒巨细的芯片，然后使得我国黑客能够深化探查这些网络”。其时，苹果、亚马逊和超微公司都激烈否认了该报导。美国相关政府部分后也将其视为虚伪报导予以驳回。

依据《连线》的报导，尽管这个故事的实在性遭到驳斥，但安全部分现已正告称，报导所描绘的供应链进犯的或许性是实在存在的。据闻名泄密者爱德华·斯诺登（Edward Snowden）泄漏，美国国家安全局多年来一向在做相似的作业。

现在，研讨人员有了一个更实在的展现：在一个公司的硬件供应链中植入一个细小的、难以检测的特务芯片，将是十分简略且低成本的。其间一个试验现已证明，它乃至不需求某个国家支撑的特务组织来完结，只是一名具有拜访权限的硬件黑客和价值 200 美元的设备就能完成这一操作。

在 10 月 21 日举办的世界工业操控安全峰会 CS3sthlm 上，安全研讨员 Monta Elkins 详细叙述他如安在自家地下室里创立了一个硬件黑客的概念验证版别。他计划证明，特务、犯罪分子或破坏分子，即便技能再低，也能在预算有限的情况下，在企业IT设备中植入芯片，为自己供给隐秘的拜访权限。只需求 150 美元的热风焊接东西，40 美元的显微镜，以及网上订货的 2 美元的芯片，Elkins 就能够更改思科公司（Cisco）的防火墙。他说，大多数 IT 人员或许不会留意到这一点，但却能够给长途进犯者很高的操控权限。

据《连线》报导，Elkins 是工业操控系统安全公司 FoxGuard 的“首席黑客”。他说：“咱们以为这些东西太奇特了，但并不是那么难。经过向人们展现硬件，我想阐明这是实在的，并不是戏法。我能够在我的地下室做到这一点，还有很多人比我聪明，他们简直能够简略做相同的事 ”。

植入防火墙的芯片

Elkins 运用的是ATtiny85 芯片，大约5 平方毫米，这是他从一块价格 2 美元的 Digispark Arduino 电路板上抠下来的。

这块芯片的尺度比小指指甲盖还小。在将代码写入芯片后，Elkins从Digispark 板上拆下，并将其焊接到 Cisco ASA 5505 防火墙的主板上。他将焊点选在了一个不显眼的当地，不需求额定的布线，就能够让芯片进入防火墙的串口。

下图显现了在杂乱的防火墙主板中辨认芯片的难度 (即便是相对较小的 6-7 英寸的 ASA 5505) 。Elkins 表明，他原本能够运用更小的芯片，但挑选了 ATtiny85，由于它更简略编程。他说，他还能够把歹意芯片藏得更奇妙一些，藏在电路板上的几个射频屏蔽“罐”里，但他期望能够在 CS3sthlm 大会上展现芯片的方位。

图 | Cisco ASA 5505 防火墙主板，赤色椭圆标示的便是 Elkins 增加的 5 平方毫米芯片（来历：Monta Elkins）

一旦防火墙在方针的数据中心发动，Elkins 就将他的小型植入芯片编程为进行进犯。它会假充安全办理员，将他们的计算机直接衔接到该端口，然后拜访防火墙的装备。然后，该芯片触发防火墙的暗码重置功用，创立一个新的办理员账户，并取得对防火墙设置的拜访权限。

Elkins 在试验中运用了思科的 ASA 5505 防火墙，由于它是他在 eBay 上发现的最廉价的防火墙，可是他说，任何能在暗码丢掉的情况下供给重置选项的思科防火墙都能够运用。思科在一份声明中说：“咱们致力于进步透明度，并正在查询研讨人员的发现。假如发现需求客户留意的新信息，咱们将经过正常途径进行交流。”

Elkins 以为，一旦歹意芯片能够拜访这些设置，他的进犯就能够更改防火墙的设置，然后使黑客能够长途拜访设备，禁用其安全功用，并使黑客能够拜访其看到的一切衔接的设备日志，这些都不会提示办理员。“我基本上能够更改防火墙的装备，使其能够履行我想让它做的任何作业”。Elkins 表明，经过更多的逆向工程，也能够对防火墙固件进行从头编程，使其成为监督受害者网络更全面的立足点，尽管他在概念验证中没有走得那么远。

不起眼的小芯片

Elkins 的作业是继前人之后的又一次测验。上一年 12 月，作为Chaos Computer Conference上宣布的研讨的一部分，独立安全研讨人员 Trammell Hudson 为超微公司电路板建立了概念验证，企图仿照《彭博商业周刊》描绘的黑客的技能。即在超微主板上植入一个芯片，能够拜访它的基板办理操控器（BMC），这就答应对主板进行长途办理，为黑客供给对方针服务器的深度操控。

Hudson 曩昔曾在桑迪亚国家试验室（Sandia National Labs）作业，现在运营自己的安全顾问公司。

他在超微主板上找到了一个方位，并用自己的芯片替换了一个细小的电阻器，用来改动 BMC 的输入和输出数据。这正是《彭博商业周刊》描绘的那种进犯。然后，他运用了所谓的现场可重编程门阵列（一种用于对定制芯片进行原型规划的可重编程芯片）充任该歹意阻拦组件。

Hudson 的 FPGA 面积不到 2.5 平方毫米，仅略大于它在超微主板上替换的 1.2 平方毫米的电阻。但他说，以真实的概念验证风格，他实际上并未真实地躲藏该芯片，而是经过布线和鳄鱼夹将其衔接到主板上。可是，Hudson 以为，真实的进犯者只需具有制造定制芯片的资源（该进程或许花费数万美元），就能够施行更荫蔽的进犯，制造出能够履行相同操作的体积比电阻小得多的芯片。Hudson 说，成果乃至或许只要一平方毫米的百分之一，比米粒小得多。

Hudson 说：“关于不忧虑钱的黑客来说，这并不是一件困难的作业。”

超微公司在一份声明中说：“关于一年多曾经的虚伪报导，没有必要进一步谈论。”

Elkins 指出，他的根据防火墙的进犯尽管杂乱度要低得多，底子不需求那种定制芯片，只需求 2 美元的芯片就行。Elkins 说：“不要小看这种进犯，这并不需求芯片厂来做。基本上，任何电子爱好者都能够在家中制造。”

Elkins 和 Hudson 都着重说，他们的作业并不旨在验证《彭博商业周刊》关于使用设备中植入的微型芯片进行广泛硬件供应链进犯的报导。两位研讨人员都指出，传统的软件进犯一般能够为黑客供给相同的拜访权限，但不必定具有相同的荫蔽性。

可是 Elkins 和 Hudson 都以为，经过供应链进犯进行根据硬件的特务活动在技能上具有可行性，并且或许比世界上许多安全办理员意识到的要简略得多。Elkins 说：“我期望人们认识到，芯片植入技能并不悠远，它们相对简略。假如我能做到这一点，那么有亿万预算的人早就能做到了。”

-End-

修改：黄珊

参阅：

https://arstechnica.com/information-technology/2019/10/planting-tiny-spy-chips-in-hardware-can-cost-as-little-as-200/