一年多前，《彭博商業(yè)周刊》以一個爆炸性的話題搶占了網絡安全領域：蘋果、亞馬遜等大型科技公司使用的服務器中的超微主板被悄悄植入了米粒大小的芯片，這樣黑客就可以深入這些網絡進行間諜活動。蘋果、亞馬遜和Supermicro都強烈否認了這一報道。國家安全局聲稱這是虛驚一場。世界黑客大會授予它兩個“安全奧斯卡獎”，分別是“最夸張的漏洞獎”和“最史詩般的失敗獎”。尚無后續(xù)報告確認其所提到的內容。

但是，即使這個故事的事實尚未得到證實，安全部門警告說，它所描述的可能的供應鏈攻擊實在是太真實了。畢竟，根據舉報人愛德華·斯諾登的泄密，美國國家安全局一直在做類似的事情。現在，研究人員更進一步，展示了如何在公司的硬件供應鏈中輕松廉價地植入難以檢測的微小間諜芯片。其中一個研究人員已經證明，它甚至不需要國家政府資助的間諜機構就可以將其實施——只需要一個積極進取的硬件黑客，擁有正確的訪問權限以及價值低至200美元的設備，就可以實施。

在本月晚些時候的CS3sthlm安全會議上，安全研究員Monta Elkins將展示他如何在自己的地下室創(chuàng)建這個硬件黑客的概念驗證版本。他打算向世人證明，間諜、犯罪分子或具有最低技能的破壞者如何輕松地以低預算在企業(yè)IT設備中植入芯片，為自己提供隱身的后門訪問權限。（全部披露：我將在同一個會議上發(fā)言，該會議為我的旅行支付了費用，并向與會者提供了我即將出版的書的副本。）僅在網上訂購了一個150美元的熱風焊接工具、40美元的顯微鏡和一些2美元的芯片，Elkins能夠以某種方式更改Cisco防火墻。他說大多數IT管理員可能不會注意到這一點，但卻可以讓遠程攻擊者獲得深層的控制。

“我們認為這些東西是如此神奇，但它其實并不難，” Elkins說，他是工業(yè)控制系統(tǒng)安全公司FoxGuard的“首席黑客”。“通過向人們展示這個硬件，我希望讓它變得更真實。它不是神奇的，更不是天方夜譚。我可以在我的地下室做這件事。有很多人比我聰明，他們可以幾乎不花錢就做成這件事。”

防火墻中的指甲

Elkins在一塊2美元的Digispark Arduino板上發(fā)現了一塊面積約5平方毫米的ATtiny85芯片。不算是一個米粒大小，但比細手指指甲小。在將代碼寫入該芯片后，Elkins將其從Digispark板上拆下并焊接到Cisco ASA 5505防火墻的主板上。他裝在了一個不顯眼的地方，不需要額外的布線，并且可以讓芯片訪問防火墻的串行端口。

下圖顯示了在防火墻板復雜的情況下——即使在ASA 5505相對較小的6乘7英寸防火墻板尺寸的情況下，芯片很難被發(fā)現。Elkins說，他可以使用更小的芯片，但他最后選擇了Attiny85，因為它更容易編程。他說，他還可能在防火墻板上的幾個射頻屏蔽“罐”之一中更巧妙地隱藏了自己的惡意芯片，但他希望能夠在CS3sthlm會議上展示該芯片的位置。

Cisco ASA 5505防火墻主板的底部，紅色橢圓形表示Elkins添加的5平方毫米的芯片。

一旦防火墻在目標的數據中心啟動，Elkins就編程他的小型可偷渡芯片進行攻擊。它冒充安全管理員，將他們的計算機直接連接到該端口，從而訪問防火墻的配置。然后芯片觸發(fā)防火墻的密碼恢復功能，創(chuàng)建一個新的管理員帳戶，并獲得對防火墻設置的訪問權限。Elkins說，他在實驗中使用了Cisco的ASA 5505防火墻，因為這是他在eBay上找到的最便宜的防火墻。但他說，任何在密碼丟失的情況下提供這種恢復功能的Cisco防火墻，這種方法都奏效。Cisco在一份聲明中說：“我們致力于透明度中，并正在調查研究人員的發(fā)現。如果發(fā)現客戶需要注意的新信息，我們將通過正常渠道進行溝通。”

Elkins說，一旦惡意芯片能夠訪問這些設置，他的攻擊就可以更改防火墻的設置，從而使黑客可以遠程訪問設備，禁用其安全功能，并使黑客可以訪問并看到所有連接的設備日志，而且這些都不會提醒管理員。“我基本上可以改變防火墻的配置，讓它做任何我想做的事情。” Elkins說。Elkins還說，如果進行更多的反向工程，還可以重新編程防火墻的固件，使其為用于監(jiān)視受害者的網絡建立一個更全面的立足點，盡管對于這個概念的證明還在進行中。

塵埃斑點

在Elkins的工作之前，他曾嘗試更精確地再現彭博社在其供應鏈劫持場景中描述的那種硬件黑客攻擊。作為去年12月在Chaos Computer Conference大會上發(fā)表的研究報告的一部分，獨立安全研究員Trammell Hudson為Supermicro電路板建立了概念驗證，該電路板試圖模仿彭博社故事中描述的黑客的技術。這意味著在超級微型主板上植入一塊芯片，可以訪問其基板管理控制器（或稱BMC），BMC是一種允許遠程管理的組件，為黑客提供對目標服務器的深度控制。

Hudson過去曾在桑迪亞國家實驗室工作，現在經營著自己的安全咨詢公司。他在超級微板上找到了一個點，在那里他可以用自己的芯片替換一個微小的電阻器，從而可以實時更改進出BMC的數據，這正是彭博社所描述的那種攻擊。然后，他使用了所謂的現場可重編程門陣列（一種有時用于原型定制芯片設計的可重編程芯片）來充當惡意攔截組件。

“對于一個想要花錢的對手來說，這不會是一項困難的任務。”安全研究員Trammell Hudson說。

Hudson的FPGA面積不到2．5平方毫米，只比它在超級微型板上替換的1．2毫米面積的電阻器略大一些。但他說，在真正的概念驗證風格中，他實際上并未嘗試隱藏該芯片，而是用一堆布線和鱷魚夾將其連接到板上。然而，Hudson認為，一個真正的攻擊者擁有制造定制芯片所需的資源——可能要花費數萬美元——可以進行一個更為隱蔽的攻擊，制造出一個執(zhí)行相同BMC篡改功能的、比電阻占地面積小得多的芯片。Hudson說，結果甚至可能只有百分之一平方毫米，遠遠小于彭博社所說的米粒大小。

Hudson說：“對于一個想花錢的對手來說，這并不是一項困難的任務。”

超微在一份聲明中說：“對于一年多前的虛假報道，我們沒有必要作進一步評論。”

但Elkins指出，他那基于防火墻的攻擊遠遠不需要那么復雜，完全不需要那個定制芯片，只需要2美元一個的芯片就好了。Elkins說：“不要因為你認為有人需要芯片制造廠來做這種芯片而輕視這次攻擊。基本上，任何一個電子愛好者都可以在家里做一個這樣的版本。”

Elkins和Hudson都強調，他們的工作并不是為了證實彭博社關于在設備中植入微型芯片的供應鏈攻擊故事。他們甚至不認為這可能是平常常見的攻擊；兩位研究人員都指出，盡管不一定具有相同的隱蔽性，傳統(tǒng)的軟件攻擊通常可以讓黑客獲得同樣多的訪問權限。

但Elkins和Hudson都認為，通過劫持供應鏈所進行基于硬件的間諜活動仍然是一個技術現實，而且要比世界上許多安全管理員所意識到的要容易實現。“我想讓人們認識到，芯片植入物并不是想象中的那樣。它們相當簡單，” Elkins說。“如果我能做到這一點，有幾億預算的人可能已經做了一段時間了。”