dxdt.ru: занимательный интернет-журнал

У iPhone есть функция, которая стирает пользовательские данные с устройства, если PIN-код на экране блокировки введён неверно 10 раз. Казалось бы, подобрать даже четырёхзначный код нереально – шанс угадать слишком мал. Тем не менее, пишут про электронное устройство, которое PIN-код успешно подбирает. Хитрость в том, что устройство, обнаружив ошибочный ввод по показаниям дисплея, моментально отрубает питание телефона (для реализации этого требуются вскрыть корпус и подключить прерыватель). Из-за алгоритмической ошибки в процедуре обработки ввода PIN-кода, телефон не успевает записать новое значение счётчика попыток в память, поэтому после перезагрузки можно попробовать ещё раз (пишут, что примерно 111 часов нужно для проверки всего множества кодов).

Насколько можно понять, речь об уязвимости CVE-2014-4451, которая датирована 18 ноября 2014 года и должна быть уже закрыта. Очевидно, что ошибка разработчиков состоит в последовательности шагов алгоритма: нужно сперва увеличивать значение счётчика попыток в энергонезависимой памяти, а только потом выводить результат проверки на экран (не наоборот). Очень показательный пример того, что в реализации функций обеспечения безопасности подобная “мелочь” может начисто удалить все защитные свойства.

Атака типа “человек посередине” применяется, конечно, далеко не только в Интернете. Известный пример: угон автомобилей. Сейчас распространены системы доступа в автомобиль (и запуска двигателя), которые используют дистанционную радиометку вместо ключа с механическим контактом. Радиометка – собственно, это стандартный ключ, – находится при владельце; автомобиль отпирается, когда этот ключ оказывается в непосредственной близости снаружи автомобиля, двигатель можно запустить, когда ключ внутри салона.

Схема атаки сводится к созданию “радиоретранслятора”: один приёмопередатчик располагается рядом с автомобилем, другой – в непосредственной близости от ключа, который, например, расположен в сумке у владельца, прогуливающегося по торговому центру в километре от автомобиля. Между этими двумя устройствами организуется радиоканал (любого типа, если обеспечивается достаточная полоса для ретрансляции сигнала). Думаю, дальнейшая схема понятна: когда к автомобилю подходит человек с “оконечным устройством” ретранслятора, то система доступа полагает, что это настоящий ключ, так как запросы и ответы, действительно, транслируются этим самым настоящим ключом (неподалёку от последнего расположился второй участник схемы, со своим “оконечным устройством” в рюкзаке).

Время ответов здесь играет ключевую роль, так как, в теории, позволяет системе, установленной на автомобиле, определить реальное расстояние до ключа. Ретранслятор никак не может “ответить” быстрее, чем сигнал сбегает до реального ключа и обратно. Другое дело, что интервалы времени здесь слишком малы, поэтому эффективность других методов защиты (вроде изменения частот и модуляции) может оказаться выше – ну, по крайней мере, это добавит сложностей в проектировании ретранслятора.

Санкции, предписанные федеральным правительством штатовским ИТ-компаниям, привязаны к определённым территориям. Не все сервисы, устройства и услуги можно выключить с высокой точностью, основываясь на геопривязке. Но многие – можно. Например:

доменные имена и IP-адреса – для них указываются контактные данные администратора (домена или блока IP-адресов), в которых, обычно, прописана страна и регион (хотя, в некоторых случаях, эти данные могут быть неверны). Регистрация домена может быть прекращена, а имя, соответственно, удалено или заблокировано;

некоторые операционные системы – например, Microsoft Windows ходят за обновлениями на серверы Microsoft, а идентификатор установки этой ОС имеет региональную привязку (по данным от магазинов и компаний-интеграторов). С уверенностью говорить нельзя, но, теоретически, ОС могут быть заблокированы с помощью раздачи некоторого специального обновления, срабатывающего только на некоторой выборке идентификаторов (лицензионных ключей). Естественно, в правильно настроенной коропативной среде такие обновления сами могут быть предварительно заблокированы, но наивно полагать, что такие среды встречаются повсеместно;

многие смартфоны – определение “домашнего” местоположения – стандартная функция для современных смартфонов. Причём, тут используется несколько критериев: и данные GPS, и данные от базовых станций GSM, кроме того – сведения о точках доступа WiFi, данные пользовательского профиля. Отключить современный смартфон можно двумя путями: во-первых, через операционную систему (на всех ведущих платформах есть стандартные функции блокировки телефонных аппаратов, используемые в случае кражи); во-вторых, через GSM-модуль, теоретически, при помощи отправки некоторой недокументированной команды с базовой станции;

часть операторского телекоммуникационного оборудования (и в сетях GSM, и в других сетях передачи данных) – данные о географии установок известны производителям от региональных дистрибьюторов. Отключить оборудование можно через имеющиеся каналы технологического управления, а в случае их предварительной блокировки, через уязвимости, которые, наверняка, имеются в достаточном количестве;

часть программно-технического оборудования, используемого при оказании разных ИТ-услуг, обычно называемых телематическими – дело в том, что многие современные “серверы и маршрутизаторы” привязаны к своим производителям, через схемы лицензирования. Соответственно, эти же самые схемы могут быть использованы для блокирования ключевых функций оборудования, на программном уровне (это же, кстати, касается разного корпоративного оборудования, вроде офисных телефонных станций и пр.).

Хуже всего, что, в теории, подобные блокировки могут коснуться и промышленного оборудования: современные АСУ (SCADA и т.д.), к сожалению, также не отличаются автономностью, а поэтому могут быть заблокированы дистанционно, по практически официальным каналам управления и обновления.

В общем, есть где развернуться.

Пять лет назад, когда твёрдотельные накопители данных (SSD) ещё не были настолько распространены, я писал о том, как быстро и надёжно уничтожить жёсткий диск – чтобы практически невозможно было восстановить записанные данные. Интересно, что та же самая немудрёная технология – пара ударов молотком – должна бы неплохо подходить и для SSD-накопителей. Вот только стучать придётся больше: потребуется разбить достаточное число чипов, которые хранят данные.

Хотя, многое зависит от схемотехники и логической организации накопителя. Удачное попадание молотка может выбить сразу кучу байтов (или хотя бы битов), соответствующих разным участкам большого файла. Но это если попадание удачное. В противном случае, если удалось восстановить карту размещения блоков, можно будет собрать много полезного из уцелевших элементов. Понятно, что данные о местоположении блоков и их отображении в последовательную структуру файлов – это самые важные данные. Предположим, что у нас полностью сохранён файл, имеющий объём в 100 мегабайт, но этот файл разрезан на небольшие блоки, которые перемешаны – как собрать их обратно, соединив в нужной последовательности? Особенно сложно проделать такую операцию для зашифрованного файла. Тем не менее, не исключено, что пары ударов молотка может не хватить – всё зависит от архитектуры накопителя.

Сети GSM – глобальны. Каждый абонент (SIM-карта) имеет уникальный идентификатор – IMSI. Если использовать возможности крупного оператора GSM, то можно “заходить” в чужие сети, находящиеся в других государствах, в рамках подключений и обмена данными, которые необходимы для межсетевой маршрутизации (звонки в роуминге и тому подобные вещи). Существуют базы данных, в которые включены едва ли не все базовые станции GSM, с привязкой к географическим координатам. Такие базы добровольно собирают сотни миллионов смартфонов по всему миру.

Конечно, продвинутые спецслужбы имеют доступ (легальный и не очень легальный) к служебному трафику операторов связи, опять же, по всему миру. Такой доступ позволяет получать информацию о регистрации телефонов в сети и другие, не менее полезные, сведения. Например, у АНБ, вероятно, есть весьма полные базы данных по всем мировым операторам связи – их оборудованию, адресному пространству, топологии сети и так далее (пример документа по теме – PDF, 27 MB).

В теории, всё это означает, что, послав некий GSM-сигнал на заданный мобильный телефон и получив в результате информацию о базовой станции, к которой он подключен в данный момент, можно примерно определить положение этого телефона вне зависимости от того, в какой точке мира он находится (лишь бы там наличествовало покрытие сети GSM). В реальном, между прочим, времени.

Вопрос в том, какая польза от такого инструмента геолокации? Понятно, что он работает только для выбранных аппаратов – мониторить их все не получится. При этом, обнаружение даже одного аппарата требует существенных затрат: должны работать несколько групп аналитиков, которые задействуют разные каналы сбора информации. То есть, инструмент подходит для очень важной цели. Однако такие “цели” либо не используют мобильные телефоны вовсе, либо используют их особым способом (одноразово, через “прокси”, ещё как-то). Технологии и алгоритмы известны. Сама по себе информация о местоположении телефонного аппарата не так уж полезна, потому что это всего лишь телефонный аппарат, а не человек.

Хотя, если включённый GSM-модуль, который можно приобрести где угодно в мире (в составе мобильного телефона, конечно), навесили на преследуемую цель специально и незаметно, то ситуация меняется: существующие GSM-сети становятся неплохим транспортом для слежки за выбранным лицом на чужой территории.

Для наблюдения за ядерными испытаниями, кроме оборудования, установленного на спутниках GPS, используют и различные другие сети сенсоров. Например, станции мониторинга инфразвуковых колебаний. Один из детекторов инфразвука показан на фото ниже.

В центре – блок, содержащий барометр (точнее – микробарометр, возможно, несколько микробарометров). Вокруг измерительного блока – приёмники давления, состоящие из множества веток (трубок), объединённых в группы. Большое количество веток позволяет уменьшить влияние шумов: акустические сигналы от веток каждой группы суммируются механически, до измерения микробарометром.

(Фото: CTBTO; описание сети инфразвукового мониторинга есть на сайте этой организации.)

Есть весьма старая история про британские “детекторы телевизоров” – специальные сканеры, обнаруживающие телевизионные приёмники, установленные в домах жителей Великобритании (это нужно для начисления особого налога). В комментариях подсказали, что часть британцев считает эти “детекторы”, используемые телекомпанией BBC, бутафорией, призванной напугать неплательщиков.

Что тут можно сказать? В принципе, кто их там знает – может, бутафория. Но, например, в 50-х годах прошлого века обнаружить работающий в доме телевизионный приёмник не составляло особой технической проблемы: электроники было крайне мало, а эфир не был насыщен помехами, характерными для работы компонент телевизора. Последний, между тем, излучает вполне себе узнаваемые синхронные помехи – это известно едва ли не всякому радиолюбителю со стажем. Что касается обнаружения выключенного телевизора: внутри классического приёмника телевизионного сигнала (из пятидесятых-семидесятых годов прошлого века) находилось огромное число “нелинейных” элементов, будь то разные катушки-трансформаторы или детали кинескопа. При “подсвете” выключенного приёмника изменяющимся электромагнитным излучением подходящей частоты – эти элементы выдавали бы в эфир характерный сигнал, который можно принимать “детектором телевизоров”. Насколько допустимо светить в дома граждан лучом ЭМИ? Это, как известно, вопрос дискуссионный.

После массового распространения цифровой техники, в связи с насыщением окружающего пространства множеством разнообразных электронных устройств, работа подобного детектора, очевидно, стала сложнее. Но каких-то физических запретов на детектирование телевизоров – всё равно нет. Работающий современный телевизор всё равно выдаёт в эфир специфическую помеху, хотя принять её стало сильно сложнее, так как теперь она спряталась среди прочих сигналов. (Не исключён, кстати, продвинутый вариант, при котором детектор использует в качестве опорного сигнал телепередатчика, но это тоже детали.) Зато выключенных телевизоров сейчас стало сильно меньше: обычно они находятся в режиме ожидания, всё равно излучая помеху в эфир. Обесточенный телевизор, как и раньше, можно обнаружить по вынужденным излучениям, если подсветить его снаружи. Благодаря тому, что приёмники (со стороны детектора) сейчас гораздо более чувствительные, энергия для подсвета потребуется минимальная.

В общем, технически, телевизионные приёмники обнаруживать можно и сейчас, а уж несколько десятков лет назад – это совсем не составляло проблемы. Следят ли за ними подобным образом в действительности? Для анализа технической возможности – ответ на этот вопрос не так уж и важен.

Известно, что параметры бытового электропитания, например, 220 вольт и 50 герц, в реальности далеки от стабильности: в линиях всегда присутствует шум разнообразной природы. Этот шум можно записывать, если подключить к проводам подходящую аппаратуру. Понятно, что ряд характеристик шума будет общим для той или иной большой группы потребителей. Более того, параметры шума будут уникальными для выбранного интервала времени.

Казалось бы, зачем нужен подобный архив, в котором хранятся записи шумов сетей электроснабжения? Одно из интересных применений состоит в датировке аналоговых (да и цифровых тоже, надо сказать) аудиозаписей. Механизм тут такой: шум электропитания оставляет следы в записи, эти следы можно выделить, сопоставить характеристики с архивными данными, и сказать, когда могла быть выполнена предоставленная запись. Такая методика иногда используется в рамках судебной экспертизы. Естественно, датировать так можно не только аудиозаписи.

Схема не самая совершенная, обладает плавающей точностью, требует не только наличия “архива шумов” со шкалой времени, но и определённых условий работы аппаратуры, на которой проводилась запись, а также совместимости сети электропитания. Но это не отменяет технологического изящества решения.

(Вот одна из работ по данной теме.)

Некоторое время назад было опубликовано исследование, в рамках которого секретный ключ RSA считывали при помощи анализа звука, издаваемого работающим ноутбуком. Недавно эти же исследователи опубликовали новую работу. Теперь для извлечения ключа используют другой, более очевидный, канал утечки – электромагнитный. При этом все варианты канала разобраны в деталях, в том числе, потенциал с корпуса считывали при помощи “касания рукой”. Описание и ссылка на детальный текст – есть на специальной странице.

Естественно, всё это давно известные в теории явления и методы, но подобных практических демонстраций для массового вычислительного оборудования сильно не хватало. Ну, как минимум, в открытом доступе. Каналы утечек ключей из автоматического шифровального оборудования, – например, по линиям электропитания, – хорошо известны, наверное, с 60-х годов, или даже раньше. Столь же давно используются побочные излучения. Классический пример: “помехи”, транслируемые в эфир электромагнитными реле, используемыми в шифровальной машине.

Защитой, кстати, является не только модификация ПО, но и оснащение “защищённого” ноутбука подходящим генератором шума, который будет “прятать” сигнал утечки. Точно так же много лет защищают оборудование от утечек через электросеть и через побочные ЭМ-излучения.

Пишут, что исследователи из Стэнфордского университета научились использовать гироскоп, встроенный в смартфон, для считывания акустических вибраций. Естественно, такие вибрации создаёт речь.

То есть, превращённый в потенциальный “виброметр” смартфон мог бы подслушивать разговоры. Правда, есть большие сомнения в практической реализуемости метода, в статье по ссылке об этом тоже сказано. Дело в том, что, во-первых, частотного разрешения в 200 Гц (заявленная частота считывания показателей с гироскопа) явно недостаточно для распознавания речи; а во-вторых – энергия колебаний слишком мала, чтобы механика гироскопа, с её невысокой точностью, преобразовывала колебания в сигнал без критических потерь. Но идея, конечно, знатная.

Кстати, в случае с максимальной частотой дискретизации в 200 Гц нужно ещё учитывать тот факт, что электрические сигналы с гироскопа для точного считывания должны накапливаться, преобразовываться в цифровую форму, подвергаться фильтрации. Так что на какие-то полезные сигналы “прослушивания” в случае типичного смартфона рассчитывать не приходится, даже после продвинутой математической обработки, проводимой центральным процессором смартфона.

Пишут, что специальные хакеры (указывают на китайских) в 2011-2012 годах проникли во внутренние сети крупных израильских оружейных компаний и хозяйничали там несколько месяцев, утаскивая, как минимум, важную документацию. Наличие удалённого хакерского доступа в корпоративную сеть, которая наверняка пересекается с сетью разработчиков систем вооружений, наводит на мысли о внедрении закладок в бортовое программное обеспечение, например в ПО головки самонаведения ракеты, или в вычислительные системы командного пункта зенитно-ракетного комплекса. Возможно ли такое?

Прежде всего нужно отметить, что практика подтверждает: air gap (то есть физическая изоляция сетей разного уровня защиты) – это, по большей части, миф. В том числе, для компаний, у которых информационная безопасность формирует основу бизнеса. Что уж говорить о разработчиках систем наведения ракет или РЛС комплексов ПВО. К сожалению, оптимизация использования вычислительных ресурсов сплошь и рядом приводит к тому, что один и тот же компьютер сперва используется инженером для работы с электронной почтой, а потом успешно перемещается “на стенд” – то есть в состав инструментальной системы, где ведётся разработка программного кода для той самой ракеты или радиолокационной станции. Исключения тут редки.

Если атакующие специалисты успешно проникли и с некоторым комфортом устроились в корпоративной сети, где проработали несколько месяцев, оставаясь незамеченными, то вряд ли можно ожидать от ИТ-службы пострадавшей компании каких-то мер, изолирующих, например, компьютеры разработчиков системного ПО от внешних воздействий. Так что удалённое проникновение на рабочее место, с которого раздаётся новый программный код для изделий, выглядит вполне реальным.

Основная проблема будет не с получением доступа, а с тем, как сконструировать закладку и успешно отправить её в серийное изделие. Причём первая проблема – самая проблемная: действительно, для того, чтобы закладку спроектировать, нужно очень хорошо знать, как работает то изделие, в которое закладка встраивается. Иначе толку от закладки не будет. И тут мало получить документацию. Для новых разработок документация, обычно, вообще бесполезна. Нужно построить свой стенд, свой экземпляр бортовой электроники, и уже на их базе разработать и отладить закладку. Это очень сложно. Однако для специалистов, имеющих государственную поддержку, не выглядит столь уж нереальным.

Программная закладка может внедряться одним из традиционных способов, например через модификацию компилятора (или ассемблера), которые использует разработчик. Можно внедрить дополнительный код непосредственно в готовые бинарные модули, которые загружаются в бортовую вычислительную машину. Можно не внедрять дополнительный код, а лишь модифицировать имеющийся. Как ни странно, но вполне вероятно, что единственным препятствием на пути закладки в серию может оказаться процедура тестирования, которая выявит некие сбои (а это означает, что закладка была плохо отлажена). Каких-то мер по доказательству отсутствия “лишних функций” разработчики встраиваемых систем, скорее всего, не применяют. Причина для этого чисто экономическая: до недавнего времени угроза проникновения посторонних на корпоративные компьютеры вообще считалась фантастической выдумкой, а уж предположить, что на проверку кода, идущего в серийное изделие, нужно потратить дополнительно несколько человеко-месяцев дорогостоящих специалистов-аудиторов – ну это уже за гранью даже фантастики. Да и где вы найдёте аудиторов кода для редких бортовых вычислительных машин?

Так что ждём следующего шага – “внезапного” обнаружения странностей в поведении систем управления ракет, да и не только их: хорошо проработанный в литературе и кинематографе сценарий с захватом спутников тоже может оказаться отнюдь не фантастическим.