Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ile kosztuje implantowanie sprzętowego backdoora? Kilka złotych + umiejętności lutowania. Pokazał taką procedurę na przykładzie Cisco ASA

12 października 2019, 10:54 | Aktualności | komentarzy 21

Z jednej strony zeszłorocznych rewelacji Bloomberga dotyczących implantów sprzętowych nikt nie potwierdził, a wręcz było to przedmiotem pobłażliwych uśmiechów, z drugiej – mamy tanią, do wykonania nawet domowymi metodami procedurę instalacji tego typu backdoora.

Backdoor

Od strony technicznej badacz użył taniego urządzenia Cisco ASA 5505 (oferującego funkcje: firewalla, IPSa, VPNa) kupionego na eBay, a jako implant został wykorzystany chip ATtiny85, kosztujący mniej niż 10 złotych.  Poza tym użyta została stacja lutownicza oraz mikroskop. Sam chip wlutowany został w dość naturalnie wyglądające miejsce i ma możliwość podłączenia się do portu szeregowego urządzenia:

He used an inconspicuous spot that required no extra wiring and would give the chip access to the firewall’s serial port.

Połączenie (tu dochodzimy do sedna) może być użyte w nieco niecnych celach:

Elkins programmed his tiny stowaway chip to carry out an attack as soon as the firewall boots up in a target’s data center. It impersonates a security administrator accessing the configurations of the firewall by connecting their computer directly to that port. Then the chip triggers the firewall’s password recovery feature, creating a new admin account and gaining access to the firewall’s settings.

Czyli możliwe jest odpalenie w odpowiednim momencie funkcji recovery oraz dodanie nowego konta admina na urządzeniu. Według badacza można później buszować po urządzeniu:

Once the malicious chip has access to those settings, Elkins says, his attack can change the firewall’s settings to offer the hacker remote access to the device, disable its security features, and give the hacker access to the device’s log of all the connections it sees, none of which would alert an administrator. „I can basically change the firewall’s configuration to make it do whatever I want it to do,” Elkins says.

Warto pamiętać, że Cisco ASA to tylko przykład, inni producenci również będą podatni na tego typu ataki.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. PatafianZukerbraun

    Zwalniam was, powinniście napisać co najmniej Milion + konsultacje społeczne i prowizja dla kierownika

    Odpowiedz
  2. John Sharkrat

    Pojęcie o testach penetracyjnych z pewnością macie, ale o elektronice nie macie BLADEGO pojęcia. Ktoś wlutował sobie scalak, dorobił do tego durną teoryjką, a wy łyknęliście to jak pelikan rybę. Tak samo jak łyknęliście bajkę o salaku wlutowanym przez chiński wywiad w serwery Apple.
    Tak wlutowany scalak w płytę nie ma prawa działać, nawet przy pomocy Harrego Pottera.
    Obejrzyjcie sobie co JESZCZE musi mieć ten scalak aby w ogóle działał, a link sami daliście.

    Odpowiedz
    • No nie będziemy za każdym razem jeździć czy telefonować do takiego Bloomberga żeby potwierdzić to co piszą. Dlatego w takich dość ostrych tematach piszemy „Bloomberg zarzuca” czy „Bloomberg oskarża”. Podobnie tutaj. A wracając do tematu, twierdzisz że to co ten koleś napisał jest „niemożliwe” ?

      IMO wygląda to robialnie. Podłączasz mały układzik (zasilanie z płytki), łączysz go z oryginalnym serialem, odpowiednio programujesz i hula.

      Odpowiedz
      • John Sharkrat

        Nie chodzi o to że nie jest to możliwe, tylko że nie będzie to tak ładnie wyglądać.

        Odpowiedz
        • chs

          A to nie jest tak, że to zależy, jak są ścieżki na płytce poprowadzone i to może ale nie musi wyglądać ładnie? Przy odrobinie szczęścia będzie w zasięgu nóżek wszystko co potrzeba.
          Sekurak powołał się na źródło, które twierdzi, że coś jest możliwe dla konkretnego przypadku. Jeśli chcesz temu zaprzeczyć wypadałoby przedstawić konkretne argumenty lub demonstrację. W przeciwnym razie, choćbyś miał rzetelną wiedzę, jesteś nieodróżnialny od trolli. To smutne, ale ciężar dowodu tej faktycznej wiedzy spoczywa na Tobie.

          Odpowiedz
    • Typ

      Czemu forum komentarzy sekuraka zbiera najczęściej grono takich ludzi? Wszystkowiedzący i butny. Jeżeli uważasz, że wlutowanie dość potężnego (jak na mikrokontrolery) chipa ATTiny nie ma prawa działać, polecam zapoznać się np. z całą historią modowania konsol.

      Odpowiedz
      • John Sharkrat

        To po co na płytkach z tym chipem jest jeszcze kilka elementów, w tym inny chip, skoro chipa działa sam?
        I te modowane konsole tak wyglądały, jak na zdjęciu czy raczej była to płytka i kilka kilkanaście drucików polutowane w różne miejsca płyty?
        Chętnie zobaczę zdjęcie modowanej płyty głównej konsoli z ukrytym chipem.

        Odpowiedz
        • KBL

          A dlaczego miałby nie działać?
          Serial na tego typu płytach działa na poziomach logicznych. Nie potrzebuje konwerterów. Czyli bezpośrednie połączenie do nóg ATTiny zadziała. Zasilanie – 2 nogi dedykowane. Być może akurat pod scalakiem przebiegały ścieżki zasilania i masy (które często sa na płytach wylewane jako wypełnienia). Wystarczy zeskrobać odrobinę soldermaski i się tam dolutować. I wszystko. 4 nogi przylutowane i całość ma prawo działać.
          Jak byś wiedział COKOLWIEK o elektronice, wiedziałbyś może że w wielu mikrokontrolerach masz możliwość przypisania niemal dowolnej funkcji do niemal dowolnej nóżki (oprócz zasilania i kilku specyficznych).
          Więc – nie pisz o tym, o czym nie masz (najwyraźniej) pojęcia.

          Odpowiedz
    • Tomek

      tak wlutowany scalak ma prawo działać jak najbardziej. tu masz schemat gniazdka pod którym jest wlutowany: https://www.gtk.co.uk/uploads/drawings/mttu100-01sg-r.pdf. Widać, że pod scalakiem są jeszcze dodatki choćby przez rezystory podpięcie przez rezystory do pinów RXD i GND z gniazdka konsoli. Zakładam, że jeden z pinów GND po stronie cisco może być podpięty przez pull-upa do jakiejś nóżki wejściowej Cisco (w celu detekcji podpięcia konsoli) i da się z niej zasilić ATTiny. Na płycie nam masz nóżki od dwóch gniazd USB (drugi rząd pinów jest pod ATTiny). Pin 4 ATTiny (GND) styka się z GND od USB. Pin 8 (VCC) jest połączony z pinem GND (więc jeśli jest tam wspomniana detekcja – to jest szansa, że podziała. Mamy już zasilanie. Pin 6 to IO, które podpięte do TXD (5v powinno wystarczyć od biedy do RS232) może wysyłać do cisco komendy. Niestety nie ma komunikacji dwustronnej, ale wystarczy, żeby po resecie w rommonie wyłączyć hasło enable. Zdjęcie jest zrobione z góry, więc nie widać, że scalak lewituje ze 2mm nad płytką – dałoby się to zrobić płaściej.

      Odpowiedz
      • John Sharkrat

        Skoro można to ZRÓB, bo jak znam życie to z lutowaniem jesteś na bakier. Najlepiej sfilmuj jak lutujesz niewidoczne końcówki pod scalakiem
        Według mnie gość polutował drucikami gotową płytkę ze scalakiem i wykonał stosowne „badanie”.
        Ponieważ nie wygląda to spektakularnie, to wlutował scalak w płytę podłączając jedynie zasilanie.

        PS.
        Chętnie zobaczę filmik jak lutujesz. Ja na studiach dorabiałam lutując płytki w firmie, która wysyłała 80% urządzeń za granicę.

        Odpowiedz
        • Marcin

          Daj mnie nawet uszkodzoną płytkę tego ASA to Ci to udowodnię.

          Odpowiedz
        • Eddie Murphy

          Wracaj na elektrode.

          Odpowiedz
    • C. Bolek

      Tam są dwa porty USB i tradycyjny serial (konsola) – jest zasilanie i sygnał. To wręcz idealne miejsce dla tego scalaka!!

      Odpowiedz
  3. Tomek

    taa – stacja lutownicza i mikroskop do lutowania Tiny85? gorąco polecam lutownice USB (8W) – jakieś 15 PLN – a jak ktoś ma słaby wzrok – to ostatnio lupy w biedronce były po 5 PLN :). Ale pomysł spoko – w pobliżu gniazdka konsoli powinny być wszystkie ścieżki potrzebne takiemu implantowi.

    Odpowiedz
    • John Sharkrat

      Masz ścieżki i akurat pasują one do rozstawu nóżek, że nie trzeba ich w żaden sposób przedłużać. Ile końcówek na zdjęci jest przylutowanych oprócz dwóch od zasilania?

      Odpowiedz
  4. Michael

    Panowie, na moje niewprawne oko to jest złącze USB. 5V zasilania zatem mamy, takie też i poziomy logiczne komunikacji.

    Odpowiedz
  5. Grzegorz
    Odpowiedz
  6. Kosa

    W sumie John Sharkrat ma racje, na zdjęciu wygląda jak by wlutowane były tylko dwie nogi, modowane konsole były najczęściej „Pająkiem” bo trzeba się wlutować w różne obwody …

    Artykuł z szpiegiem w płytach apla był bardziej wiarygodny bo chipy były montowane już na etapie fabryki, więc mogły być tak zaprojektowane by chip tam pasował.

    Odpowiedz
    • Arche

      No w sumie jak byk widać że może 3-4 piny są do czegokolwiek podłączone (ja widze 3). Do zrobienia czegokolwiek trzeba GND, VCC, CLK i jeden IN/OUT czy pozwoliłoby to cokolwiek zrobić? Może zalogować jakieś dane we flashu przechodzące akurat w miejscu gdzie został przylutowany input albo wyrzucić na to miejsce jakies dane zapisane we flashau którego jest 2kb jesli chodzi o mozliwosc dodania konta admina to nie znam szczegółów obsługi portu pod który to jest podpięte ale ogólnie to jednym kabelkiem szeregowo powinno być to wykonalne

      Odpowiedz
      • wieja

        Wystarczą 4 nogi VCC, GND, Tx, Rx.
        Raczej wystarczy 3 nogi – VCC, GND oraz Tx.
        Podpięte koło USB jako USB RUBBER DUCKY.

        Odpowiedz
  7. wieja

    Raczej wystarczy 3 nogi – VCC, GND oraz Tx. Podpięte koło USB jako USB RUBBER DUCKY. A na pewno 4 nogi wystarczą VCC, GND, Tx, Rx – wszystkie przy gnieździe USB.

    Odpowiedz

Odpowiedz