Så kan ett pyttelitet chip användas för att hacka sig in hos storföretagen

2019-10-25 11:20  

En lödkolv och ett chip som kostar 20 spänn räcker för att bygga in en bakdörr i en server. Säkerhetsexperten Monta Elkins visar hur enkelt statliga hackare skulle kunna plantera spionchip för att avlyssna eller ta kontroll över ett företags nätverk.

Förra hösten släppte Bloomberg Businessweek en bomb. I en lång artikel påstod affärstidningen att en kinesisk underleverantör till chiptillverkaren Supermicro placerat ut mikroskopiska spionchip på komponenter. De ska sedan ha hamnat i bolagets serverhårdvara som till sist sålts till amerikanska teknikbolag, allt detta enligt en lång rad anonyma källor.

Apple, Amazon och flera andra stora bolag skulle ha drabbats av detta omfattande industrispionage. Om uppgifterna stämmer skulle det vara en av de mest omfattande hackerattackerna någonsin. Det var bara ett problem: mycket tyder på att Bloombergs spektakulära avslöjande inte var sant.

Men även om attacken faktiskt inte verkar ha ägt rum blev artikeln startskottet för en diskussion om det som kallas för hardware supply chain attacks. Det betyder att man angriper ett bolag genom att manipulera den hårdvara som företaget köper in från en underleverantör. De påstådda spionchippen är ett tydligt exempel på hur det skulle kunna gå till.

Läs mer: Nu har USA slutat använda disketter för att styra sina kärnvapen

En person som antog utmaningen att bygga sitt eget spionchip är Monta Elkins som har titeln ”chefshackare” på it-säkerhetsföretaget Foxguard Solutions. Under it-säkerhetskonferensen CS3Sthlm demonstrerade han för första gången hur han med en budget på ett par tusenlappar åstadkommit sitt eget spionchip, som skulle matcha det i Bloombergs ifrågasatta artikel.

– Jag tänkte, vad spelar det för roll om det är sant? Jag kan göra det till en sanning. Det finns inget bättre än att ta en bra idé och sedan genomföra den, säger Monta Elkins när han kliver upp på scen med en hackad Cisco-brandvägg som rekvisita.

Spionchip för två dollar

Sagt och gjort letade han rätt på lämpliga prylar och satte igång. Som spionchip valde han en programmerbar mikrokontroller, Attiny85, som mäter ungefär fem gånger fem millimeter. Inköpspriset ligger på runt två dollar, knappt 20 kronor.

Läs mer: Här är 6 av världens säkraste smarta mobiler

Monta Elkins köpte sedan en begagnad brandvägg, en Cisco ASA5505, och lödde fast chipet på ett strategiskt ställe på enhetens moderkort där mikrokontrollern enkelt kunde få ström och möjlighet att skicka kommandon till Ciscos fasta mjukvara.

Sedan programmerade han den till att utnyttja inbyggda Cisco-funktioner för att ge honom full kontroll över den hackade enheten. När brandväggen installeras i ett serverrack kommer mikrokontrollern att skicka ett kommando som används för att återställa enhetens lösenord. Därefter skapar den ett nytt administratörskonto i Montas namn och öppnar möjligheten att ansluta till brandväggen över internet via en krypterad kanal. Till sist skickas en liten notis till Monta Elkins om att angreppet har lyckats och att han nu kan logga in på den hackade brandväggen.

Han visar hela processen under sitt scenframträdande, och allt som allt tar det bara minuter från att brandväggen är inkopplad till att han kan nå den från nätet.

– Du kan inte upptäcka den här hårdvaran genom att söka igenom mjukvaran, åtminstone inte innan attacken ägt rum. Och den överlever även om du installerar om [brandväggens mjukvara], säger Monta Elkins.

Läs mer: Ny lag ska stoppa politiska ”deepfakes”

Förutom tvådollarschipet använde Monta Elkins av en varmluftslödare, ett mikroskop och en precisionstång. Total inköpskostnad landade på runt 200 dollar, knappt 2 000 kronor.

Ingen idé att gripas av panik

Han spekulerar också i att metoden hade kunnat förbättras genom att gömma chipet inuti en annan, legitim komponent på moderkortet. Eller att han hade kunnat programmera mikrokontrollern till att avlyssna de kommandon som en systemadministratör matar in för att konfigurera enheten. I så fall hade han kunnat stjäla befintliga inloggningsuppgifter istället för att skapa ett eget adminkonto.

Men innan alla grips av panik inför tanken på implanterade spionchip manar Monta Elkins till lugn. Det är visserligen en attackväg som skulle kunna fungera, även om den kräver en relativt stor arbetsinsats, framförallt om det är en statlig aktör som står bakom angreppet. Men i dagsläget finns det mycket lägre hängande frukter för en angripare att plocka. Mycket av den hårdvara som säljs till företag har redan så många sårbarheter i mjukvaran att ett spionchip känns överflödigt.

Läs mer: Säkerhetsexperten: Huawei lät användare köra Google-appar på Mate 30

– Varför sker inte de här attackerna nu? Orsaken är att sedan jag började experimentera med den här attacken har det upptäckts ett par tre remote code execution-sårbarheter (buggar som gör det möjligt för en hackare att köra kod eller installera program på en enhet) i produkter från Cisco. Om företag levererar sårbara prylar, och det gör inte bara Cisco utan massor av företag, då behövs inte supply chain attacks, säger Monta Elkins.

Däremot tycker han att stora företag med känslig data bör vara medveten om hotet. Han rekommenderar bland annat inspektioner av hårdvaran innan den installeras och regelbundna genomsökningar av hårdvaras konfigurationsfiler för att säkerställa att inget ändras.

– Jag vill att ni börjar kolla på det här. Det är nästa grej. När du har fått ordning på säkerheten [i resten av företaget], kan det här vara det som kommer härnäst, säger Monta Elkins från scen.

Simon Campanello

Mer om: Hackare Cisco

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt