Hintertüren in Mikroschaltkreisen – Risikobewertung / Sudo Null IT News

Nicht im ersten Jahr haben sich Experten gefragt, wie man Hardware-Tabs in Mikroschaltkreisen erkennt. Aber niemand hat solche Lesezeichen gesehen und hat keine Ahnung, wie sie aussehen. Dies kann ein Fremdartefakt sein, der auf der Stufe des Chip-Packaging oder der Gerätemontage hinzugefügt wird. Aber die einfachste und logischste Option ist es, eine nicht dokumentierte Funktion im Chipdesign zu entwerfen, die, selbst wenn sie entdeckt wird, einfach als Fehler oder unvermeidlicher „Kompromiss“ des Designs angesehen wird, wie eine Schwachstelle.

Spectre und Meltdown

.

Im Allgemeinen kann die Herstellung von Mikroschaltungen in drei Hauptphasen unterteilt werden:

  1. Entwurf
  2. Herstellung
  3. Testen

Sie können in jeder Phase der Produktion eine Hardware-Hintertür einführen. Laut einigen Forschern ist die Entwurfsphase am riskantesten (siehe Artikel

Hardware-Trojaner in Chips: Eine Untersuchung zur Erkennung und Prävention

, doi: 10.3390/s20185165). Schließlich stempelt die Fabrik Produkte einfach nach Kundenvorlage, niemand versteht undokumentierte Funktionen. Dementsprechend kann ein Chipdesignzentrum eine versteckte Hintertür entwerfen, und eine chinesische oder eine andere Fabrik wird sie „im Dunkeln“ produzieren. Es ist nicht so wichtig, wo genau die Chips geätzt und verpackt werden. Es kommt darauf an, wer sie gestaltet.

An dieser Stelle ist allerdings anzumerken, dass der zitierte Artikel einem Autorenteam aus China gehört, das heißt, es ist für sie von Vorteil, die Bedrohung genau in der Entwurfsphase und nicht in der Produktionsphase hervorzuheben. Aber fast alle Stufen in der Produktionskette sind potenziell gefährlich. Wenn Sie sich das obige Diagramm ansehen, ist der einzig sichere Schritt die Spezifikationsphase.

▍ Klassifizierung von Hardware-Trojanern

Nach den Berechnungen der Forscher lassen sich alle Hardware-Lesezeichen nach folgenden Merkmalen klassifizieren:

  • physikalische Implementierungsschicht (Abstraktionsschicht);
  • Aktivierungsmechanismus (Trigger);
  • physikalische Eigenschaften des Lesezeichens;
  • logische Struktur;
  • Umsetzungsphase;
  • Ort (Speicher, I / O, Prozessor, Zeitgenerator, Stromversorgung);
  • Angriffsschema.

Diese Einteilung ist im Diagramm dargestellt:

Die Hardware-Entwicklungs-Community ist viel geschlossener als die Software-Entwicklungs-Community, daher gibt es wirklich keine dokumentierten Fälle in öffentlichen Diskussionen, in denen jemand böswillig eine Hintertür auf Hardware-Ebene eingeführt und verwendet hat. Das ist so ein Tabuthema. Bei solchen Fragen in Eisenforen war es vor etwa zwanzig Jahren einfach, die Minuspunkte zu schnappen oder einen Bann zu bekommen (formal verboten angeblich wegen Überschwemmung und Offtopic).

Allerdings hat sich die Situation im Laufe der Jahre verändert. Die Möglichkeit von Hardware-Lesezeichen auf konzeptioneller Ebene wurde von mehreren Forschergruppen demonstriert. Das heißt, es wurde nun bewiesen, dass es möglich ist, solche Lesezeichen auf mehrere unterschiedliche Arten einzuführen. Und Bekanntschaft mit CIA-Hacking-Tool macht deutlich, dass die Sonderdienste sowohl den Wunsch als auch die Ressourcen haben, eine solche Durchführung durchzuführen.

Eines der ersten Beispiele für Hardware-Hintertüren in der wissenschaftlichen Literatur ist ein Artikel A2: Analoge bösartige Hardware, veröffentlicht 2016 von Forschern der University of Michigan. Es beschreibt einen besonders heimlichen Hardware-Angriff mit nur einem Logikgatter auf einem Chip. In diesem Fall werden Informationen durch einen „zufälligen“ Leckstrom (Spannungsänderung) übertragen:

Eine Gruppe europäischer Forscher unter der Leitung von Felipe Almeida ging sogar noch weiter. Sie haben nicht nur ein Hardware-Hintertürschema in ASICs entwickelt, sondern auch die Produktion solcher Mikroschaltkreise in Auftrag gegeben, dh sie haben einen PoC in greifbarer Form erhalten. Cm. Ransomware-Angriff als Hardware-Trojaner: Eine Machbarkeits- und DemonstrationsstudieArtikel veröffentlicht am 20. April 2022 in IEEE Access, doi: 10.1109/ACCESS.2022.3168991.

Unten sehen Sie einen Screenshot des von Cadence Virtuoso generierten Chips. Die Chipabmessungen betragen 960 × 960 Mikrometer, und der Malware-Kern nimmt eine Fläche von 0,14 mm² ein.

Derselbe ASIC unter dem Mikroskop:

Auf hoher Ebene besteht das ASIC-Design aus drei Blöcken: Malware-Kern → Debugging-Modus → Datenspeichersystem (SRAM). Im Prinzip ist dies das minimal funktionierende Konzept, wie Sie ein Lesezeichen in ein echtes Gerät einbetten können. In derselben wissenschaftlichen Arbeit beschrieben Wissenschaftler eine Variante eines ähnlichen Lesezeichens im FPGA-Format.

Vergleich dieses Hardware-Trojaners mit anderen in der wissenschaftlichen Literatur beschriebenen Beispielen:

Die Zurückhaltung der Mikroelektronik-Entwicklungsgemeinschaft, solche Themen zu diskutieren, ist verständlich, da es sich um eine Art „politisches Thema“ handelt. Es ist praktisch unmöglich zu beweisen, dass ein echter Fehler absichtlich eingeführt wurde. Deshalb diskutieren sie dieses Thema lieber nur „unter sich“, um Laien, die nicht zu sehr in technische Details versunken sind, nicht zu verschrecken.

Wie oben erwähnt, ist es manchmal einfacher, einen Hardware-Trojaner auf Produktionsebene in eine IP-Box oder einen IP-Schaltkreis einzuschleusen als in den Chip eines anderen. Nach dem Skandal mit Meltdown und Spectre glaubte man, dass wir auf dieser Ebene die nächste Angriffswelle sehen würden. Die Möglichkeit der Implementierung ist gleichzeitig auf mehreren Ebenen der Struktur vorhanden, was das Sicherheitssystem stark verkompliziert.

Autoren der University of Michigan schreiben, dass es noch schwieriger ist, Lesezeichen in analogen Schaltungen zu erkennen, da sich solche Schaltungen in ihrem Verhalten in verschiedenen Systemen geringfügig unterscheiden. Jeder von ihnen ist einzigartig in seinem „analogen Fingerabdruck“.

▍ Anwendungsfälle

Ein möglicher Angriff erfolgt in drei Stufen:

  1. Implementierung
  2. Abzug
  3. Ausführung

Der Exploit-Aktivierungsauslöser kann extern oder intern sein. Im ersten Fall arbeitet es auf der Grundlage von Daten, die von außen kommen. Beispielsweise von einer Antenne, einem Sensor usw. Ein interner Trigger kann auf einem Timer, einer Uhrzeit, einem Datum, auf Berechnungen oder auf der Erfüllung bestimmter Bedingungen basieren. Immerhin kann der Trigger zunächst aktiviert werden (wenn die Hintertür ständig aktiv ist).


Ein Modell zur Verwendung eines Hardware-Trojaners basierend auf Forward Error Correction (FEC) in einem drahtlosen Netzwerk. In diesem Fall werden Daten über einen verdeckten Kanal übertragen, Quelle

Obwohl es theoretisch möglich ist, sehr knifflige logische Lesezeichen in Mikroschaltkreise einzuführen, gibt es in Wirklichkeit viel einfachere Wege. Am zugänglichsten ist die Verwendung des Debug-Modus, der den Zugriff auf undokumentierte Funktionen ermöglicht. Fast jede Mikroschaltung hat zwei Betriebsmodi: einen Standardmodus für Kunden und einen Debug-Modus zum Testen der Funktionalität in der Produktionsphase. In diesem Fall besteht die Aufgabe eines potenziellen Angreifers darin, den Debug-Modus zu aktivieren, nachdem das Gerät verkauft und im Netzwerk des Opfers installiert wurde. Für die potenzielle Verwendung eines solchen Schemas für Industriespionage, Chinesisches Unternehmen Huawei bestraft.

Mit der ständigen Verkomplizierung von Mikroschaltungen wird dieses Problem nur noch verschärft, da für die normale Entwicklung immer mehr verschiedene Debugging-Modi erforderlich sind.

2020 im Klassifikator der Schwachstellen Allgemeine Schwachstellenaufzählung Hardware-Sicherheitslücken dieser Art wurden hinzugefügt. Und nun mehrere CWEs zeigen das Potenzial für einen Angreifer an, den Betriebsmodus der Mikroschaltung zu ändern.

▍ Schutz

Als Verteidigung wird vorgeschlagen, Mikroschaltkreise nachzubauen, ihre Funktionalität zu analysieren und, wenn möglich, mit einer Probe zu vergleichen:

2021 verteilte die US-amerikanische National Defense Industry Association (NDIA). dokumentieren beschreibt die Prinzipien von “Zero Trust” in Hardware.

Offenbar basierend auf dem NDIA-Bericht, der im Juli 2022 von der US-amerikanischen National Security Agency veröffentlicht wurde Handbuch für das Verteidigungsministerium mit den Merkmalen “Bedrohungen und Risiken für die Mikroelektronik”. Dies ist eine Liste potenzieller Möglichkeiten zur Einführung von Hintertüren in mikroelektronische Komponenten, darunter ASICs, FPGAs und “andere mikroelektronische Geräte mit programmierbaren Funktionen”.

Die NSA empfiehlt die Einführung von drei „Levels of Assurance“ (Levels of Assurance, LoA) für Hardware – abhängig von der Komplexität, den Kosten für die Einführung einer Hintertür dort sowie der potenziellen Wirkung, die ein Angreifer erzielen kann. Dementsprechend wird empfohlen, alle Geräte bis hin zu Mikroschaltkreisen zu bewerten – und jedem Modul ein Level von LoA1 bis LoA3 zuzuweisen. Damit das gesamte System die erste Stufe erhält, müssen alle Bestandteile die entsprechende Stufe haben. Jede Ebene hat ihre eigenen Wartungs- und Fehlertoleranzszenarien.

Allein die Tatsache der Veröffentlichung eines solchen NSA-Leitfadens zeigt, dass die absichtliche oder unabsichtliche Einführung von Backdoors in Chips keine Fantasie ist, sondern eine echte Bedrohung, die auf höchster Ebene in Betracht gezogen wird.

BEI

Intelligenz Logik

, Backdoors in fremden Chips seien „kein lösbares Problem, sondern ein Zustand, in dem wir existieren“. Unsere Aufgabe ist es, die Risiken des Lebens in einer so feindlichen Umgebung zu verringern.

Natürlich sehen Menschen mit einer bestimmten Denkweise in allem um sie herum eine Bedrohung: Trojaner, Käfer, versteckte Videokameras sind überall, sie beobachten uns. Aber was Hardware-Hintertüren betrifft, so ist dies keine Verschwörungstheorie, sondern ein rein technisches Problem.

Einigen Experten zufolge liegt der Unterschied zwischen einer „Hintertür“ und einem „Designfehler“ in einem Chip bis zu einem gewissen Grad in der Semantik. Es bleibt immer unbekannt, was vor uns liegt: eine Hintertür, ein Fehler oder eine falsche Designwahl. Infolgedessen können große Schwachstellen wie Spectre und Meltdown anders wahrgenommen werden, da sie die Vorteile der spekulativen Ausführung und der Verzweigungsvorhersage nutzen, die bis vor kurzem als gute Leistungsverbesserungen galten. Das heißt, für manche Leute ist dies ein Lesezeichen, während es für andere ein normaler Kompromiss für eine bessere Leistung ist.

Telegrammkanal und gemütlich plaudern für Kunden

Similar Posts

Leave a Reply

Your email address will not be published.