36С3
Dato che molti che credono che il software open-source sia più sicuro del software proprietario, vediamo ora anche tentativi di applicare una teoria simile allo sviluppo degli hardware. Alla conferenza degli hacker del 36 º Chaos Communication Congress (36C3) del mese scorso, però, gli esperti Andrew “bunnie” Huang, Sean “xobs” Cross e Tom Marble hanno sollevato dubbi sul fatto che l’impiego dello sviluppo open-source sia sufficiente a risolvere i problemi di affidabilità dell’hardware. Huang ha parlato a lungo dell’argomento.
Differenze tra hardware e software in termini di affidabilità
La sicurezza del software open-source non consiste solo nel fatto di essere aperto, ma anche negli strumenti utilizzati che aiutano a garantire che il programma che si esegue nell’endpoint sia fedele al codice sorgente pubblicato. Per esempio, i programmatori firmano il loro software con un certificato digitale, e il sistema controlla il certificato prima di eseguire il software sul computer dell’utente.
Con l’hardware, è una questione diversa. Non essendoci equivalenti per la creazione dell’hash o firme digitali, gli utenti non hanno strumenti per verificare l’autenticità dell’hardware rispetto alle informazioni pubblicate in merito. L’ultima volta che un dispositivo o un chip viene effettivamente controllato è in fabbrica. E più lungo è il divario tra il controllo in fabbrica e l’utilizzo del dispositivo, maggiori sono le possibilità di un attacco MITM di successo.
Cosa può andare storto?
In generale, può succedere di tutto ai chip o a interi dispositivi dal momento in cui escono dalla fabbrica e vengono utilizzati per la prima volta. In linea di massima, il firmware dell’hardware può essere sostituito. (Ok, il firmware è in realtà un problema di software, quindi può essere controllato, ma dipenderà comunque dall’uso dell’hardware durante la verifica). Per questo motivo Huang si è concentrato su problemi strettamente legati all’hardware, come la sostituzione dei componenti, le modifiche e gli impianti.
Aggiunta di componenti
Al giorno d’oggi, un modulo totalmente non autorizzato può essere inserito nel cavo di un caricabatteria USB. Naturalmente, è ancora più facile manomettere apparecchiature multicomponente più sofisticate che offrono molto più spazio per gli impianti. L’unica buona notizia è che è relativamente facile individuare il chip aggiunto.
Sostituzione dei componenti
Il trucco di sostituzione più semplice è quello di falsificare il marchio. Un esempio reale di falsificazione dell’hardware: un microcontroller che funzionava male presentava il marchio corretto su di un chip completamente diverso. In quella occasione, il trucco consisteva nel sostituire un componente costoso con uno economico, ma la sostituzione avrebbe potuto contenere qualsiasi cosa.
Modifica del chip
La gente crede che i chip non possano essere modificati una volta usciti dalla fabbrica, ma non è così. In molti casi quello che vediamo come un singolo chip è in realtà più microcircuiti separati in un unico pacchetto. Un cybercriminale esperto può usare la stessa tecnologia per mettere un altro piccolo pezzo di silicio nello stesso pacchetto e collegare questo impianto ai contatti esistenti.
Chip-on-chip implant. Image source
In effetti, un’apparecchiatura per sfruttare questa vulnerabilità dell’hardware è relativamente poco costosa e facilmente disponibile (secondo il relatore, una macchina usata per il wirebonding proveniente dalla Cina costa circa 7.000 dollari), anche se i risultati falsificati saranno rilevabili ai raggi X.
I pacchetti di chip-scale Wafer-Level (WL-CSP) sono molto più costosi da modificare, ma i raggi X non riveleranno il trucco.
Modifica del circuito integrato (CI)
In genere, le aziende progettano i chip per i loro compiti specifici sul campo, ma le affidano a terzi per la fabbricazione. Poche aziende possono permettersi di produrre i propri chip. In questo tipo di accordi, c’è più di un modo per modificare il prodotto finale in modo che sia ancora conforme alle norme di riferimento. Inoltre, una volta che un chip o un dispositivo è fuori dalle mani dei progettisti, è raro che qualcuno si preoccupi di fare un controllo incrociato tra il prodotto finale e le caratteristiche originali.
In che momento si può alterare l’hardware?
Il relatore ha offerto diversi scenari di alterazione dell’hardware che vanno da abbastanza complicato (l’intercettazione del carico in transito come esempio estremo) a relativamente facile. In generale, chiunque può acquistare un prodotto, manometterlo e restituirlo al venditore, che può rivenderlo. E ufficialmente, nelle varie fasi del processo di appalto, il team di imballaggio del produttore, gli agenti doganali e molte altre persone hanno accesso all’attrezzatura, e ognuno di loro può manometterla, se lo desidera. A tutti gli effetti, l’utilizzo di hardware open-source non migliorerà molto la sicurezza.
Conclusioni sulla sicurezza dell’hardware
Verso la fine della sua presentazione, Huang ha speculato su quali modifiche alla produzione di hardware potrebbero consentire agli utenti finali di verificare la sicurezza di chip e dispositivi. Quelli interessati alla filosofia del movimento, così come ai dettagli tecnici della modifica dei chip, dovrebbero vedere il video della presentazione.
Non tutti i modi per modificare l’hardware sono costosi o laboriosi, e soprattutto, non c’è una correlazione diretta tra la complessità di un attacco all’hardware e quanto sia difficile da rilevare. Per quanto riguarda gli utenti aziendali, tenete presente la minaccia e non affidatevi esclusivamente a prodotti per la sicurezza degli endpoint. I sistemi di protezione dell’infrastruttura aziendale proteggono dalle minacce avanzate e gli attacchi mirati.
Consigli