Аппаратные эксплойты могут быть признаком угрозы в будущем

25.03.2015 | 13:32 Аналитика

Такие аппаратные эксплойты, как Rowhammer — редки, так что компании не принимают их всерьез, но им стоит о них задуматься, потому что ситуация ухудшается.

Аппаратные угрозы встречаются не так часто, но, когда они появляются, их стоит серьёзно обсудить, как недавнюю уязвимость Rowhammer.

Уязвимость Rowhammer довольно важна, даже если бы речь шла просто о программном баге. В данном случае, баг аппаратный, а это означает, что его будет нелегко исправить.

В двух словах, Rowhammer, обнаруженный командой Google Project Zero, пишет и перезаписывает биты памяти в одних и тех же местах, вызывая утечку битов данных из одной области памяти в другую, минуя большинство, если не все виды защиты, которые в настоящее время предлагаются в операционной системе. По сообщению команды, некоторые виды памяти могут быть устойчивы к этим типам атак, но они были в состоянии успешно повысить привилегии. Похоже, что это работает, по крайней мере, и в некоторых виртуализированных средах.

Нужно ли беспокоиться насчет Rowhammer?

Да, конечно нужно, но не как о конкретной угрозе, и вот по каким причинам. Во-первых, это эксплойт повышения привилегий. Это интересно, но это первый шаг, начальное заражение, так сказать. Плохие парни хотят запустить код, который быстро проведет их мимо всех оборонительных барьеров. Они не захотят тратить ресурсы процессора, чтобы соединить вместе несколько эксплойтов и добраться до конечной цели. Это для конкурсов Pwn2Own.

Во-вторых, плохие парни пока не слишком опытны в работе с аппаратными эксплойтами. Это им не нужно. Программные инструменты, используемые ими, отлично эксплуатируют сотни миллионов компьютеров и устройств. Зачем усложнять работу, когда то, что вы используете, прекрасно работает?

Тем не менее, большинство не уделяют достаточно времени для защиты от аппаратных эксплойтов, а должны. Вполне вероятно, что аппаратные эксплойты станут более распространенными в будущем, особенно когда Интернет вещей станет реальностью. Возможно, не получиться применить эксплойт к холодильнику, так как у него ограниченная ОС и в ней не хватает кода, который будет полезен при эксплуатации, но плохая память DRAM останется плохой памятью DRAM, независимо от того, где она работает.

Доставляющий беспокойство момент аппаратных эксплойтов заключается в том, что эти дыры в безопасности сложнее заткнуть. В общем, нужно рассматривать аппаратное обеспечение и прошивку как программное обеспечение с багами, но более сложное с точки зрения установки патча, если он может быть создан вообще.

Прекрасным примером этого является уязвимость BadUSB. Исследователи выяснили, что большинство наборов микросхем USB запустят ненадежный код, когда созданный злоумышленниками USB-диск будет вставлен в порт USB. Он работает в прошлых ОС и обходит антивирусы без проблем. Подробное описание, как создать вредоносный USB диск есть в Интернете. Даже ребенок справится.

Какая защита? В принципе, нет никакой защиты. Единственное, что может защитить вас от BadUSB, не давать никому вставлять ненадежные и непроверенные USB-накопители в компьютер.

В аппаратных багах и возможных атаках нет ничего нового. Если у вас есть оборудование, на котором работает программа, ее код, скорее всего содержит баги, и этими багами могут воспользоваться. Чипы Intel и AMD всегда содержат баги, некоторые из которых стали хорошо известны и эксплуатируемы. Оборудование, работающее с прошивкой, вероятно, самое слабое звено. Не бывает оборудования с прошивкой, для которой нельзя было бы написать эксплойт.

Создатели прошивок ужасно работают в области укрепления безопасности кода.

Это касается не только редких вещей, которые мало кто использует. Иногда это самые популярные товары, используемые всеми, например, недавно была обнаружен баг в прошивке Apple. В сети есть список с сотнями аппаратных багов и багов прошивок, которые можно использовать для эксплуатации устройств Cisco, Nokia, Ricoh и всех беспроводных маршрутизаторов, которые вы когда-либо видели.

Оперативная память часто является мишенью. Команда Google Project Zero предложила несколько примеров успешного взлома, в том числе старую демонстрацию 2003 года.

Проблема постоянного доступа памяти ПК к данным привела к успешным атакам против популярного программного обеспечения для шифрования. Можно буквально заморозить чипы памяти с помощью сжатого воздуха, переместить эти чипы в другой компьютер и получить доступ к ранее защищенным областям памяти. Атакующие продемонстрировали нападение с использованием оборудования Fireware и DMA. И давайте не будем забывать об АНБ и санкционированным государством атаках, которые часто направлены на прошивку, чтобы обойти защиту операционной системы и антивирусов.

Нет причин, чтобы беспокоиться по поводу аппаратных атак в дикой природе. До сих пор, они были довольно редки и имели ограниченное влияние на большинство компаний. Но вы должны быть осведомлены об их существовании и быть готовыми к ним.

Во-первых, не забудьте обновить планы по установке патчей, включив в них оборудование. Большинство компаний устанавливают патчи для операционных систем, с переменным успехом ставят патчи на программное обеспечение сторонних производителей, и совсем не касаются оборудования или микропрограмм. Очень немногие компаний ставят последнюю версию кода прошивки, но позже они ее не проверяют.

Это также означает, что программы инвентаризации должны охватывать аппаратные компоненты и версии прошивок, если они еще так не делают. Защитники безопасности должны отслеживать сообщения об аппаратных багах, а также определять конечный риск для компьютеров и устройств, находящихся под их контролем.

Некоторые существующие проблемы аппаратного обеспечения должны обратиться в планы действий. Например, многие компании перешли на версии BIOS и версии микропрограммного обеспечения, которые поддерживают более безопасное обновление BIOS. Некоторые компании обновили платы принт-серверов HP JetDirect, когда всплыли уязвимости. Но большинство компаний так не делает.

Большинство компаний едва знают о существовании аппаратных атак. Они просто не сосредотачиваются на них. Но, когда вы начинаете присматриваться к этой проблеме, становится немного страшно – в средней компании очень много аппаратных устройств, работающих с уязвимым кодом. Это как другой мир, который пока игнорируется, потому что сейчас хакеры, по большей части, игнорируют его.

Хотя атаки аппаратные довольно редки, гораздо проще вывести из строя компанию на длительный период времени, атакуя ее оборудование, а не программное обеспечение.