В чипах Intel обнаружен "аппаратный троянец"

Независимая группа исследователей говорит, что ей удалось создать специальную технику, которая саботирует криптографические возможности современных процессоров Intel Ivy Bridge. Техника работает без внесения физических модификаций в чип и не требует размещения в компьютере дополнительного оборудования. Авторы методики говорят, что их подход позволяет полностью скомпрометировать системы аппаратной безопасности Пентагона, где аппаратные процессорные шифраторы применяются около 8 лет.

Правда, пока созданная техника - это в большей степени концептуальный подход и для его практического использования придется применять другие вспомогательные методики хакинга. В своем руководстве авторы говорят, что их исследование - это стартовая точка для дальнейших работ в направлении так называемых аппаратных троянцев. На сегодня в ИТ среде не так много работ, посвященных крэкингу аппаратных решений, таких как процессоры, с целью внедрения секретных инженерных ключей, пишет cybersecurity.ru.

В своей работе исследователи говорят о создании двух похожих бэкдоров, которые можно встроить в инструкции процессора, чтобы тот передавал шифруемые данные по обводным каналам и информация, которая по логике вещей должна быть защищена, таковой не оказывается. При этом ни антивирус, ни операционная система никакого подвоха не замечают. Авторы говорят, что если бы они опубликовали свои изыскания еще полгода назад, на них смотрели бы под одни углом, но сейчас, когда вокруг американской разведки один за одним вспыивают скандалы с прослушками, данные сведения выглядят более остро. Является ли это багом чипмейкера или же это специальный лаз, который был оставлен для АНБ или ЦРУ, чтобы те могли проще декодировать чужие данные, которые должны были бы быть нечитаемыми для внешних зрителей.

Так или иначе, но атака работает против генератора случайных чисел, встроенного в процессоры Intel Ivy Bridge. Данный блок является аппаратным и был создан в Intel. Модифицировать его без физической поломки чипа нельзя. Эксплоит при помощи нехитрых манипуляций снижает уровень энтропии (случайного подбора) в блоке со 128 до 32 бит. Очевидно, что чем меньше исходная вариативность, тем проще угадать ключ. На практике это значит, что потенциальный атакующий может вскрыть ключ энтропии в разы быстрее, чем должен был бы.

Отметим, что данный генератор случайных чисел был проверен в рамках так называемого Built-In Self-Test на заводе производителя, а также одобрен американским Национальным Институтом стандартов и технологий NIST. Сам NIST буквально на днях погорел на том, что в сертифицированном им алгоритме шифрования была найдена АНБ-ориентированная закладка, которая компрометировала криптоалгоритм. В NIST отказались комментировать наличие бэкдоров.

Авторы доклада говорят, что они намеренно не делают заключений о том, является ли баг в RNG чипов Intel ошибкой или злым умыслом, оставляя суждения на суд читателей. Также они не пока по понятным соображениям не публикуют в открытом доступе эксплоиты, но они говорят, что для того, чтобы открыть возможность взлома, в процессоре нужно в определенной последовательности выполнить всего пару десятков команд. Точно также они говорят, что с аппаратной точки зрения изменение логики работы чипа - это релокация нескольких десятков транзисторов из более чем миллиарда транзисторов на чипе.

Также они говорят, что изюминка данного бага в том, что он спрятан на столько низкоуровнево, что ниже уже просто невозможно, поэтому выявить его было непросто, хотя сама по себе реализация там несложная. Также в работе авторы ничего не указывают про чипы AMD и других производителей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru