Un nuevo implante de hardware de prueba de concepto muestra lo fácil que puede ser ocultar chips maliciosos dentro de los equipos de TI y TO.
Ha pasado más de un año desde que Bloomberg Businessweek sorprendió al mundo de la ciberseguridad con una afirmación explosiva: que las placas base Supermicro en los servidores utilizados por las principales empresas tecnológicas, incluidas Apple y Amazon, se habían implantado sigilosamente con un chip del tamaño de un grano de arroz. Eso permitió a los hackers chinos espiar profundamente esas redes. Apple, Amazon y Supermicro negaron vehementemente el informe. La NSA lo descartó como una falsa alarma. La conferencia de hackers Defcon le otorgó dos premios Pwnie, por “error más sobrevalorado” y “error más épico”. Y ningún informe de seguimiento ha afirmado aún su premisa central.
Pero incluso cuando los hechos de esa historia permanecen sin confirmar, la comunidad de seguridad ha advertido que la posibilidad de los ataques a la cadena de suministro que describe es demasiado real . La NSA, después de todo, ha estado haciendo algo así durante años, según las filtraciones del denunciante Edward Snowden . Ahora los investigadores han ido más allá, mostrando cuán fácil y barato podría ser plantado un chip espía pequeño y difícil de detectar en la cadena de suministro de hardware de una empresa. Y uno de ellos ha demostrado que ni siquiera requiere una agencia de espionaje patrocinada por el estado para lograrlo, solo un pirata informático motivado con el acceso correcto y tan solo $ 200 en equipo.
En la conferencia de seguridad CS3sthlm a finales de este mes, el investigador de seguridad Monta Elkins mostrará cómo creó una versión de prueba de concepto de ese truco de hardware en su sótano. Tiene la intención de demostrar con qué facilidad espías, delincuentes o saboteadores con habilidades mínimas, trabajando con un presupuesto muy reducido, pueden plantar un chip en el equipo de TI de la empresa para ofrecer un sigiloso acceso a la puerta trasera. (Divulgación completa: hablaré en la misma conferencia que pagó mi viaje y proporcionará copias de mi próximo libro a los asistentes). Con solo una herramienta de soldadura de aire caliente de $ 150, un microscopio de $ 40 y algunos chips de $ 2 pedidos en línea, Elkins pudo alterar un firewall de Cisco de una manera que, según él, la mayoría de los administradores de TI probablemente no notarían, pero le daría a un atacante remoto un control profundo.
Una uña en el cortafuegos
Elkins usó un chip ATtiny85, de unos 5 milímetros cuadrados, que encontró en una placa Digispark Arduino de $ 2; no del tamaño de un grano de arroz, pero más pequeño que una uña rosada. Después de escribir su código en ese chip, Elkins lo deshizo de la placa Digispark y lo suelda a la placa base de un firewall Cisco ASA 5505. Utilizó un lugar discreto que no requería cableado adicional y le daría acceso al chip al puerto serie del firewall.
La imagen a continuación da una idea de cuán difícil sería detectar el chip en medio de la complejidad de la placa de un firewall, incluso con las dimensiones relativamente pequeñas de 6 por 7 pulgadas de un ASA 5505. Elkins sugiere que podría haber usado un chip aún más pequeño, pero elegí el ATtiny85 porque era más fácil de programar. Él dice que también podría haber escondido su chip malicioso aún más sutilmente, dentro de una de varias “latas” de blindaje de radiofrecuencia en el tablero, pero quería poder mostrar la ubicación del chip en la conferencia CS3sthlm.
Elkins programó su pequeño chip de polizón para llevar a cabo un ataque tan pronto como el firewall se inicia en el centro de datos de un objetivo. Se hace pasar por un administrador de seguridad que accede a las configuraciones del firewall conectando su computadora directamente a ese puerto. Luego, el chip activa la función de recuperación de contraseña del firewall, creando una nueva cuenta de administrador y obteniendo acceso a la configuración del firewall. Elkins dice que usó el firewall ASA 5505 de Cisco en su experimento porque era el más barato que encontró en eBay, pero dice que cualquier firewall de Cisco que ofrezca ese tipo de recuperación en el caso de una contraseña perdida debería funcionar. “Estamos comprometidos con la transparencia y estamos investigando los hallazgos del investigador”, dijo Cisco en un comunicado. “Si se encuentra nueva información que nuestros clientes deben conocer.
Una vez que el chip malicioso tiene acceso a esa configuración, dice Elkins, su ataque puede cambiar la configuración del firewall para ofrecer al hacker acceso remoto al dispositivo, deshabilitar sus funciones de seguridad y darle acceso al hacker al registro del dispositivo de todas las conexiones que ve. , ninguno de los cuales alertaría a un administrador. “Básicamente puedo cambiar la configuración del firewall para que haga lo que quiera que haga”, dice Elkins. Elkins dice que con un poco más de ingeniería inversa, también sería posible reprogramar el firmware del firewall para convertirlo en un punto de apoyo más completo para espiar la red de la víctima, aunque no llegó tan lejos en su prueba de concepto.
Una mota de polvo
El trabajo de Elkins sigue un intento anterior de reproducir con mucha más precisión el tipo de pirateo de hardware que Bloomberg describió en su escenario de secuestro de la cadena de suministro. Como parte de su investigación presentada en la Chaos Computer Conference en diciembre pasado, el investigador de seguridad independiente Trammell Hudson creó una prueba de concepto para una junta de Supermicro que intentó imitar las técnicas de los hackers chinos descritos en la historia de Bloomberg . Eso significaba plantar un chip por parte de una placa base Supermicro con acceso a su controlador de administración de placa base, o BMC, el componente que permite que se administre de forma remota, ofreciendo un control profundo del hacker del servidor de destino.
Hudson, quien trabajó en el pasado para Sandia National Labs y ahora dirige su propia consultoría de seguridad, encontró un lugar en el tablero de Supermicro donde podría reemplazar una pequeña resistencia con su propio chip para alterar los datos que entran y salen del BMC en tiempo real, exactamente el tipo de ataque que describió Bloomberg. Luego usó una llamada matriz de compuerta reprogramable de campo, un chip reprogramable que a veces se usa para crear prototipos de diseños de chips personalizados, para actuar como ese componente de interceptación maliciosa.
El FPGA de Hudson, con menos de 2.5 milímetros cuadrados, era solo un poco más grande que la resistencia de 1.2 milímetros cuadrados que reemplazó en la placa Supermicro. Pero en un verdadero estilo de prueba de concepto, dice que en realidad no hizo ningún intento de ocultar ese chip, sino que lo conectó a la placa con un desastre de cableado y pinzas de cocodrilo. Hudson argumenta, sin embargo, que un verdadero atacante con los recursos para fabricar chips personalizados, un proceso que probablemente costaría decenas de miles de dólares, podría haber llevado a cabo una versión mucho más sigilosa del ataque, fabricando un chip que realizó el mismo. Las funciones de manipulación de BMC se ajustan a una huella mucho más pequeña que la resistencia. El resultado podría incluso ser tan pequeño como una centésima de milímetro cuadrado, dice Hudson, mucho más pequeño que el grano de arroz de Bloomberg .
“Para un adversario que quiere gastar dinero en ello, esto no habría sido una tarea difícil”, dice Hudson.
“No hay necesidad de más comentarios sobre informes falsos de hace más de un año”, dijo Supermicro en un comunicado.
Pero Elkins señala que su ataque basado en firewall, aunque mucho menos sofisticado, no requiere ese chip personalizado en absoluto, solo su $ 2. “No descarte este ataque porque cree que alguien necesita un chip fab para hacerlo”, dice Elkins. “Básicamente, cualquiera que sea un aficionado electrónico puede hacer una versión de esto en casa”.
Fuente: LINK
Get Involved & Participate!
Comments