Luki sprzętowe - dlaczego się o nich nie mówi?

Luki sprzętowe mogą być niezamierzone lub celowe. Przykłady pierwszych to Meltdown i Spectre. Zostały odkryte i zgłoszone na początku 2018 roku przez badaczy z zespołu Google Project Zero, którego zadaniem jest wyszukiwanie luk w zabezpieczeniach, nim zostaną one wykorzystane przez hakerów. Równolegle tego odkrycia dokonało też kilka innych grup badawczych i uniwersyteckich.

Obie luki pozwalają na niedozwolony odczyt pamięci. W dużym uproszczeniu Meltdown „psuje” mechanizm, który uniemożliwia aplikacjom dostęp do pamięci systemowej, a Spectre „oszukuje” inne programy, by uzyskać dostęp do dowolnych lokalizacji w ich pamięci. Innymi słowy, pierwszy, którego oficjalna nazwa to CVE-2017-5754, przełamuje najbardziej podstawową barierę pomiędzy aplikacjami użytkownika a systemem operacyjnym, zaś drugi, CVE-2017-5753/CVE-2017-5715, pokonuje barierę między różnymi programami.

Spectre i Meltdown w praktyce reprezentują całe klasy luk w zabezpieczeniach sprzętu, a każda z nich ma wiele wariantów zależnych od konkretnej funkcjonalności na poziomie krzemu. Różnice między producentami, jak na przykład Intel i AMD, oraz architekturami, jak m.in. x86-64 i ARM, sprawiają, że niektóre procesory są podatne na więcej wariantów niż inne.

Luka Meltdown potencjalnie może dotyczyć każdego procesora Intel, w którym zaimplementowano mechanizm out-of-order execution, czyli tak naprawdę wszystkich obecnych na rynku od 1995 roku (z wyjątkiem modeli Intel Itanium i Intel Atom przed 2013). Podatne są również procesory AMD i ARM. Zagrożone są głównie komputery stacjonarne, laptopy oraz serwery. Podobnie luki Spectre obawiać się mogą użytkownicy komputerów stacjonarnych, laptopów, serwerów, jak i smartfonów, bowiem specjaliści ds. cyberbezpieczeństwa potwierdzili jej występowanie w procesorach Intel, AMD i ARM.

Śledztwo Bloomberga

W 2018 roku również agencja prasowa Bloomberg przedstawiła wyniki dziennikarskiego śledztwa, które wywołało kolejny wstrząs opinii publicznej. Opierając się na źródłach rządowych oraz korporacyjnych, w artykule opublikowanym 4 października poinformowano o cyberataku, o którego przeprowadzenie oskarżono Chiny. Dotknął on kilkadziesiąt firm, w tym czołowych gigantów technologicznych, i instytucje rządowe USA.

Wszystko zaczęło się w 2015 roku. Wówczas Amazon zlecił sprawdzenie amerykańskiego startupu Elemental Technologies, który planował przejąć w ramach rozwoju usługi strumieniowej transmisji wideo, obecnie Amazon Prime Video. Koncern interesował się tą firmą ze względu na opracowane przez nią oprogramowanie do kompresji bardzo dużych plików wideo. Wykorzystano je m.in. w transmisji strumieniowej igrzysk olimpijskich w Internecie, komunikacji z Międzynarodową Stacją Kosmiczną i przekazywaniu nagrań z dronów dla CIA. Wśród klientów Elemental byli również Departament Obrony i marynarka wojenna Stanów Zjednoczonych.

Audyt ujawnił problemy z cyberbezpieczeństwem. Dotyczyły serwerów startupu, które jego klienci instalowali w swoich sieciach w celu obsługi kompresji wideo. Eksperci ds. bezpieczeństwa, którzy je badali, odkryli na płytach głównych układy scalone, które nie zostały uwzględnione w oryginalnej specyfikacji. Zostały one wykonane w taki sposób, by nie rzucały się w oczy i przypominały jeden z często montowanych w tego typu PCB układów kondycjonowania sygnałów.

Amazon zgłosił to odkrycie władzom USA, które przeprowadziły tajne śledztwo. Okazało się, że tajemnicze podzespoły pozwalały atakującym na włamanie się do sieci, której częścią były serwery. Odkryto również, że zostały dolutowane na etapie montażu, który dostawca serwerów, amerykańska firma Super Micro Computer, zleciła podwykonawcom w Chinach. W środowisku powiało grozą, ponieważ Elemental był tylko jednym z setek klientów Super Micro Computer...

Mechanizm dodawania luk sprzętowych

Wprowadzenie celowej luki sprzętowej jest bardzo trudne. Ponieważ wymaga zaangażowania wielu uczestników produkcji i łańcucha dostaw, trzeba ponieść duże wydatki i poświęcić wiele czasu na organizację takiego przedsięwzięcia. Luki sprzętowe są też potencjalnie bardziej niszczycielskie niż programowe, bo trudniej je wykryć. Wszystko to sprawia, że pozostają one w kręgu możliwości i zainteresowań przede wszystkim rządowych agencji wywiadowczych, które mają czas, środki oraz motywację, by działać na taką skalę.

Modyfikacje sprzętu przeprowadza się na dwa sposoby. Pierwszy polega na ingerencji w urządzenia podczas ich transportu od producenta do klienta. Jest to podobno preferowana metoda wywiadu amerykańskiego. Drugi sposób polega na montażu szpiegowskich chipów na etapie produkcji. W tym rzekomo specjalizują się Chiny, gdzie składa się większość sprzętu komputerowego i urządzeń mobilnych używanych potem na całym świecie. Jest to trudne, bo wymaga najpierw dogłębnego zrozumienia projektu urządzenia, następnie ingerencji w proces jego montażu, a na koniec śledzenia globalnego łańcucha logistycznego, by mieć pewność, że zmodyfikowany sprzęt trafił do właściwej lokalizacji. Wygląda jednak na to, że Chińczykom tym razem się udało.

Ostatecznie bowiem śledczy mieli ustalić, że poszkodowanych zostało prawie trzydzieści firm, które zaopatrywały się u Super Micro Computer. Było wśród nich podobno także Apple. Producent iPhona zerwał współpracę z tym przedsiębiorstwem w 2016 roku rzekomo dlatego, że też wykrył szpiegowskie układy scalone, chociaż oficjalnie podano powód z tym niezwiązany.

Oświadczenia dementujące

W reakcji na informacje opublikowane przez agencję prasową Bloomberg zainteresowane strony natychmiast wydały oświadczenia. Wszystkie rewelacje zawarte w artykule w nich zdementowano.

Amazon zaprzeczył, że wiedział o naruszeniu łańcucha dostaw, problemie ze złośliwymi chipami i modyfikacjach sprzętu, kiedy przejmował Elemental. Zdementował też, że współpracował z FBI w tej sprawie. Problemy z Elementem miały być związane wyłącznie z dziurami w aplikacjach internetowych, które zostały naprawiane.

Apple także ogłosiło, że nigdy nie wykryło złośliwych chipów, manipulacji sprzętowych ani luk w zabezpieczeniach celowo umieszczonych w jakimkolwiek urządzeniu. Nigdy też nie miało kontaktu z FBI. Zdaniem firmy wszystko, co napisał Bloomberg na jej temat, nie miało poparcia w faktach.

Do tych głosów dołączyło Super Micro Computer. Według firmy nie miała ona wiedzy na temat żadnego dochodzenia w tym temacie ani kontaktu z żadną agencją rządową.

Chiński rząd stwierdził, że bezpieczeństwo łańcucha dostaw jest kwestią stanowiącą przedmiot wspólnego zainteresowania i że sam uważa się za ofiarę. FBI i CIA z kolei odmówiły komentarza.

Podsumowanie

Większość podawanych do publicznej wiadomości informacji na temat odkrycia zamierzonych wprowadzonych luk sprzętowych kończy się tak samo – przedsiębiorstwa, instytucje i rządy, wymieniane w ich kontekście jako ofiary, jak i atakujący, wszystkiemu zaprzeczają. Zarówno bowiem łatka cyberprzestępcy, jak i tego, kto nie umiał się zabezpieczyć, zniechęca potencjalnych klientów i kontrahentów. Dlatego o wielu tego typu naruszeniach nie mówi się wcale. Nie warto mieć jednak złudzeń, że nie mają miejsca. W przypadku luk niezamierzonych jak Meltdown i Spectre pojawiają się natomiast wątpliwości, czy aby na pewno są to błędy, czy może jednak producent chciał sobie zostawić furtkę, żeby mieć w przyszłości dostęp do danych użytkowników. Zwolenników teorii spiskowych nie brakuje również w tej dziedzinie.

W rezultacie społeczność zajmująca się sprzętem jest znacznie powściągliwsza niż społeczność oprogramowania, jeżeli chodzi o przyznawanie się do błędów swoich, jak i tego, że padło się ofiarą czyichś nieuczciwych praktyk. Jest to o tyle zrozumiałe, że załatanie luk sprzętowych inaczej niż w przypadku kodu, dla którego wystarczy przygotować i zdalnie rozdystrybuować poprawki w formie aktualizacji, byłoby przedsięwzięciem wykraczającym poza możliwości organizacyjne nawet największych producentów elektroniki.

Monika Jaworowska