Tuần trước Kaspersky thông báo phát hiện ra một chương trình spyware (nghi ngờ của NSA) trong firmware của các ổ đĩa cứng của rất nhiều nhà sản xuất uy tín. Mặc dù Kaspersky đã công bố chi tiết kỹ thuật nhưng đến giờ này chưa thấy có thêm thông tin gì về vụ này dù về mặt security nó nguy hiểm hơn nhiều vụ superfish của Lenovo.
Tuy không phải chuyên gia bảo mật nhưng những thông tin trong bài báo gốc của Reuters dưới đây có nhiều điểm làm tôi nghi ngờ, rất mong các chuyên gia IT xịn cho ý kiến. Dưới đây tôi dùng chữ NSA như là một hình thức đại diện cho một cơ quan gián điệp, có thể thay bằng FSB, MI6 hay TC2.
Thứ nhất rất khó tin NSA có thể ép được các nhà sản xuất đĩa cứng lớn, nhất là bên ngoài Mỹ như Toshiba hay Samsung, chấp nhận cài spyware vào firmware của họ. Chỉ có khả năng NSA lén cài vào trong quá trình sản xuất đĩa cứng hoặc sau này khi đĩa cứng được update firmware. Khả năng lén cài vào cũng vô cùng nhỏ, NSA khó có thể cài cắm người vào hầu hết các hãng điện tử lớn, chưa kể firmware chắc chắn phải được audit kỹ càng trước quá trình sản xuất. Một spyware có những chức năng như Kaspersky "dọa" không thể chỉ vài dòng code để dễ dàng qua mặt hàng trăm kỹ sư.
Khả năng lén cài spyware sau khi đĩa cứng đã được sản xuất cũng khó thực hiện. Để làm được điều này trước hết NSA phải hijack được máy tính có gắn ổ cứng đó, chiếm toàn bộ quyền kiểm soát từ hệ điều hành và download spyware-firmware cho ổ cứng từ một server nào đó về. Quá trình này có thể thực hiện được nhưng trên diện rộng như Kaspersky thông báo, nhất là vào những mạng máy tính có tính bảo mật cao, thì NSA phải có trình độ siêu việt để không bị phát hiện. Mà nếu NSA có khả năng chiếm được quyền kiểm soát rồi thì cài spyware phức tạp như vậy bằng thừa.
Thứ hai, firmware là phần mềm low level nhất được viết cực kỳ gọn nhẹ, thường được lưu trong flash memory có dung lượng rất nhỏ. Khó có thể tin một spyware có khả năng eavesdrop như Kaspersky nói, nghĩa là lấy trộm thông tin và lén truyền về server trung tâm, có thể gói gọn trong một firmware. Nếu NSA cài thêm được một spyware vào như vậy thì chứng tỏ firmware nguyên bản đã được viết rất kém (under-optimized). Với 1-2 công ty thì còn có khả năng chứ toàn bộ ngành sản xuất hard disk mà như vậy thì không thể tin được.
Thứ ba, khả năng NSA chỉ tạo backdoor hoặc chiếm được source code của firmware rồi phân tích để tìm backdoor sau đó hijack máy chủ cũng không lớn. Firmware của ổ cứng chỉ thực hiện các tác vụ IO rất đơn giản với hệ điều hành, nếu firmware có lỗi thì nhiều khả năng máy tính sẽ treo chứ nó không tạo ra backdoor cho hacker. Nếu muốn tạo backdoor NSA sẽ có nhiều cơ hội hơn khi sửa firmware của router hay các network hardware chứ ổ cứng nằm quá sâu trong hệ thống, khi NSA attach còn phải vượt qua rất nhiều hàng rào rồi mới đến backdoor đó.
Thứ tư, nếu bỏ qua tất cả các vấn đề nêu trên, spyware của NSA phải compatible với tất cả các hệ điều hành, processor, machine architecture thì mới hoạt động hiệu quả trên diện rộng được. Điều này có thể làm được nhưng một spyware như thế sẽ rất lớn và tiêu tốn resource của máy tính, rất dễ bị phát hiện. Tôi không tin NSA bỏ (rất nhiều) công sức ra phát triển một spyware phức tạp như vậy (nếu có thực) để rồi dễ dàng bị Kaspersky phát hiện.
Tất nhiên Kaspersky khó có thể bịa ra hoàn toàn, nhưng sự thật có lẽ khác rất nhiều so với những gì báo chí tường thuật.
http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216
TheVerge gần đây có bài phê phán các cơ quan như NSA hay GCHQ là "unaccountable": họ được phép dồn rất nhiều resource (chính là là tax money) để đạt được kết quả rất nhỏ.
ReplyDeletehttp://www.theverge.com/2015/2/20/8079083/gemalto-sim-card-gchq-surveillance
Edwards Snowden từng tiết lộ với ngân sách 52.6 tỉ đô la thì NSA hoàn toàn có thể làm những chuyện mà anh Giang nghĩ khó có thể làm được. Những người có năng lực viết firmware rất ít nên bằng tiền và ransom chắc sẽ có nhiều người làm tay sai. US và Israel đã viết Stuxnet để tấn công vào Iran. nghe nói là VN dính hơn 40% tổng số máy. không biết mất gì chưa. Trước đây có đọc báo là NSA cho máy bay mang theo cellular tower giả để đánh cắp data giữa các phone. đến DT của chancellor Merkel còn nghe được thì DT của huwei là đồ bỏ chứ.
ReplyDeleteDisclaimer: Em ko phải là IT pro.
ReplyDeleteKasperky là hàng xịn đấy bác. Kaspersky là một trong những chú phát hiện ra stuxnet đầu tiên. Các bạn Nga thường hay nghiêm trọng hóa các vấn đề liên quan đến Mỹ. Về độ nổ thì Kasperky chỉ thua anh Quảng Bkav có tí xíu.
>> Thứ nhất rất khó tin NSA có thể ép được các nhà sản xuất đĩa cứng lớn
Cái này đúng là khó. Nhưng k0 phải k0 thể. IBM trước cũng làm hard drives, sau bán lại cho Toshiba thì phải. The backdoor could be there in the first place without manufacturers' awareness.
>> Khả năng lén cài spyware sau khi đĩa cứng đã được sản xuất cũng khó thực hiện
Cái này nghe hoành tráng nhưng dễ thôi. Backdoor có thể được cài cắm ở dạng firmware update. Ổ cứng vẫn làm việc bình thường nhưng có thêm tính năng báo cáo với TW. Nếu bác bị dính virus ỏ tầm admin level thì máy bác có thể bị cài cắm bất cứ cái gì con virus muốn từ bios update, driver update cho đến web server cho báo Nhân Dân. Tất nhiên khó nhất vẫn là viết cái firmware. Cài cắm k0 thành vấn đề.
>> Thứ hai, firmware là phần mềm low level nhất được viết cực kỳ gọn nhẹ,
>> Thứ ba, khả năng NSA chỉ tạo backdoor hoặc chiếm được source code của firmware
Hard drive phải thỏa mãn các tiêu chuẩn chung ai cũng biết. Một trong những cái đó cho phép lấy firmware ra và lắp lại. Source code thì bác đi hỏi IBM, Seagate, Western Digital, bác Quách Tuấn Ngọc...
>> Thứ tư, nếu bỏ qua tất cả các vấn đề nêu trên, spyware của NSA phải compatible với tất cả các hệ điều hành, processor, machine architecture thì mới hoạt động hiệu quả trên diện rộng được.
Firmware nó chạy trên chính cái chip của cái hard drive đó, compatatible với cái chip đó là ok. Nó k0 care bác chạy cái gì trên nó: windows, linux hay macos. Chừng nào giữa OS và hard disk nói chung một input/output specifications/abstractions thì mọi thứ vẫn chạy.
Tất nhiên khó nhất vẫn là viết cái firmware, ở Mỹ em k0 biết chứ ở VN thì chỉ có 2 người có thể làm là anh Quảng và bác tổng Trọng. Em nghĩ bác đề cao trình độ và lương tâm nghề nghiệp của các chú làm hard disk quá.
Hacker Nga mới là hàng khủng. Lạ cái là chỉ thấy Mỹ tố cáo khựa, không thấy có vụ nào có Nga cả. Chả nhẽ lại kín đến thế.
Có cái này cho bác tham khảo thêm
http://arstechnica.com/information-technology/2015/02/how-hackers-could-attack-hard-drives-to-create-a-pervasive-backdoor/
Gia Thanh Vuong
ReplyDeleteTheo mình được biết thì Kaspersky là người của FSB của Nga nên điều họ giỏi trong vấn đề phản gián là có thể hiểu được.
Tuy nhiên nó cũng thể hiện công bố của Kas có thể có mục tiêu chính trị.
Cũng ko có gì là quá phức tạp như anh nghĩ.
ReplyDelete1. Firmware của nhiều loại HDD hoàn toàn có thể re-program hoặc flash lại.
2. Firmware có thể bị reverse (dịch ngược) mà ko cần phải có source code để phân tích cách hoạt động. Từ đó, NSA có thể modify original firmware, rồi re-flash bản mod vào.
3. Em đang phân tích chính con malware của nhóm Equation làm công việc này (nls_933w.dll). Nó có khả năng tương tác và flash firmware với 1 số loại HDD bằng 1 driver nằm sẵn phía trong. Đáng tiếc là ko có bản mod firmware đi cùng.
4. Anh có thể tham khảo previous work đã được published:
http://spritesmods.com/?art=hddhack&page=1
Pakachi Nu, Gia Thanh Vuong: Tôi biết nhiều firmware có thể dễ dàng flash, nhưng với điều kiện bạn phải có quyền admin. Như tôi viết bên trên nếu hacker làm được điều này thì họ đã chiếm được quyền kiểm soát hệ thống.
ReplyDeleteNhưng quan trọng hơn các bạn có nghĩ có thể cài một spyware vào firmware để nó spy toàn bộ hệ thống, qua mặt các phần mềm/hệ thống bảo mật khác? Tôi biết bạn có thể hack HD firmware để thay đổi một số parameters/hành vi của nó nhưng để cài một spyware có nhiều chức năng mạnh như vậy mà không làm ảnh hưởng đến hoạt đông IO bình thường là điều tôi nghi ngờ.
Nếu một HD bị nhiễm spyware vào firmware được format rồi cài lại hệ điều hành (từ installation CD sạch), làm thế nào để cái spyware đó lấy lại quyền kiểm soát hệ thống? Trong một máy tính có hệ điều hành sạch (vừa được cài lại) HD firmware chỉ thực hiện IO request của hệ điều hành, vậy nó thông qua cơ chế nào để có thể lây nhiễm trở lại?
Giang Le Chắc chắn là hacker đã có quyền kiểm soát hệ thống rồi anh ạ. Hơn nữa, em cũng khẳng định là họ có quyền admin. Con backdoor họ dùng để flash firmware load driver đặc biệt, mà trên Windows bắt buộc phải có admin privilege mới có thể load driver được.
ReplyDeleteViệc cài đặt spyware qua mặt các phần mềm bảo mật là việc dễ dàng hơn anh nghĩ. Các spyware APT kiểu này thường được design in mind để tránh các loại personal / network firewall và AV bằng cách dùng các kỹ thuật chưa phổ biến, 0days etc, . Ngược lại, các phần mềm bảo mật khó có thể phát hiện các tấn công kiểu như này vì chưa đủ thông minh hoặc chưa được cập nhật để ngăn chặn các loại kỹ thuật mới.
Về việc lây nhiễm lại, em chưa có mẫu firmware nên ko thể nói thêm. Tuy nhiên, có 2 khả năng:
1. Malicious firmware chỉ làm nhiệm vụ giấu partition. Trong partition này có thể là các thông tin mà spyware đã ăn cắp họ muốn lấy lại trong trường hợp ổ cứng bị format. Khả năng này là do Kaspersky nêu ra.
2. Malicious firmware có thể chỉnh sửa nội dung file được đọc từ OS thành file chứa mã độc. Ví dụ: OS yêu cầu đọc file a.exe, firmware sẽ đọc file này và infect file a.exe trên buffer trước khi trả về cho OS. Giả sử OS sẽ execute file a.exe sau khi đọc thì hệ thống sẽ bị re-infect. Target file có thể là OS kernel, boot loader, etc., rất đa dạng. Khả năng này là do em nghĩ ra và có vẻ hợp lý hơn khả năng thứ nhất.
Thai Duong Những thông tin về quyền truy cập, cấu hình hệ thống, thông tin dịch vụ mạng đều nằm trong OS, nếu reinstall lại OS thì những thứ đó sẽ mất hết, hoặc giả sử malware giấu được chúng trong một hidden partition thì vẫn không tự activate được nếu không lấy lại được quyền admin. Tôi nghiêng về giả thuyết 1. của Pakachi Nu viết bên trên hơn.
ReplyDeletePakachi Nu Tôi đồng ý là sửa lại firmware có thể có ứng dụng như trong điểm 1. bạn viết bên trên, nhưng không nghĩ điểm 2. có thể thực hiện được ngay cả trong trường hợp toàn bộ poison codes được giấu hoàn toàn trong firmware. Theo tôi hiểu OS khi đọc file sẽ sử dụng mapping/file table được tạo ra sau khi HD được format, nghĩa là HD firmware hoàn toàn không biết (OS không send thông tin về một file cụ thể nào cả) mà chỉ thực hiện việc đọc binary data từ physical cluster/sector cụ thể trên đĩa cứng để bàn giao cho OS. Như vậy khả năng HD firmware inject codes vào một file cụ thể nào đó rất khó.
Chỉ có một khả năng firmware inject codes vào quá trình boot khi BIOS/UEFI load booting codes từ MBR/GPT mà như vậy poison codes phải cực kỳ phức tạp vì phải làm thay chức năng của OS, chưa kể phải hoàn toàn cross-platform cho tất cả các thể loại OS/processor. Tôi vẫn cho rằng không thể giấu được spyware này trong flash memory dành cho firmware.
Tôi đang đọc một số tài liệu về Stuxnet trong đó các chuyên gia của Symmatec cho rằng trong số hàng chục triệu virus/malware đã từng được các công ty security lớn phát hiện chỉ có vài chục cái khai thác được zero-day exploit. Riêng Stuxnet có tới 4 cái, nhưng Stuxnet vẫn phải dựa trên OS để lây nhiễm và attack. Vì Stuxnet là một dạng worm trong local network nên dù có install lại OS nhưng máy tính vẫn có thể bị lây nhiễm lại (sử dụng 4 zero-day exploit) nếu toàn bộ network không được clean cùng lúc. Điều này rất khác vói claim của Kaspersky về khả năng tự lây nhiễm sau khi reinstall OS từ HD firmware, hoàn toàn không nhắc đến zero-day. Đọc về vụ Stuxnet mới biết thực ra công lao của Kaspersky phát hiện ra con worm này không quá lớn.
Nguyen Hai Trieu Anh Cám ơn bạn đã gửi link. Hóa ra phương án attach thông qua MBR/GPT mà tôi đoán bên trên gần trùng với cách thức hoạt động của Greyfish mô tả trong tài liệu của Kaspersky. Điểm khác biệt là Kaspersky cho rằng Greyfish được mã hóa giấu vào Windows registry, mà như vậy sẽ bị xóa khi reformat/reinstall OS (trong khi tôi speculate là malware được giấu hoàn toàn trong HD firmware, mà tôi nghĩ không thể vì quá lớn).
ReplyDeleteChính Kaspersky thừa nhận:
"The EQUATION group’s HDD firmware reprogramming module is extremely rare. During our research, we’ve only identified a few victims who were targeted by this module."
Và bản thân Kaspersky cũng không giải thích rõ ràng những trường hợp bị firmware reprogramming thì cơ chế tái lây nhiễm như thế nào nếu không có sự trợ giúp của outside attack (qua worm, USB exploit, web exploit). Họ chỉ khẳng định được điểm 1. bạn Pakachi Nu viết biên trên là giấu một hidden partition không cho OS phát hiện. Nếu chỉ có vậy máy tính sau khi reformat/reinstall OS sẽ không thể tự bị mất quyền kiểm soát được.
Tóm lại đọc tài liệu của Kaspersky tôi vẫn chưa tin reflashed firmware có thể inject được mã độc vào quá trình boot hay sau khi OS đã khởi động nến không có tác động từ bên ngoài.
Giang Le anh Thai Duong đã giải thích rồi, nhưng em nói kỹ hơn với ví dụ cụ thể.
ReplyDeleteTrong giả thuyết thứ hai, firmware chọn MBR để thay thế chẳng hạn. MBR chỉ có 512 bytes locate tại sector 0 của ổ cứng. Firmware hoàn toàn có thể biết BIOS đang load MBR bằng cách so sánh xem sector đang đọc có phải là 0 ko. Nếu đúng, firmware sẽ thay đổi MBR trên bộ nhớ trả về. Thực tế, chỉ cần thay đổi MBR vài chục byte là attacker có thể can thiệp vào quá trình boot của OS, cụ thể là Windows. Rất nhiều loại malware sử dụng kỹ thuật thay đổi MBR này, hướng vào mass users như TDL4, Gapz hay Rovnix.
Firmware flash memory rất nhỏ, tất nhiên hacker sẽ ko store các payload lớn vào trong firmware mà vào các hidden partition. Với ví dụ MBR modification nói trên, họ sẽ có second stage tương đối nhỏ nhúng vào infected MBR, rồi từ đó load final stage payloads lớn hơn được stored trong hidden partitions.
Tất nhiên, tất cả chỉ là giả thuyết vì chưa ai có NSA firmware cả. Tuy nhiên, khả năng lây nhiễm lại hệ thống là có thật.
Thai Duong Ngoại trừ trường hợp MBR tôi nghĩ trình tự đọc file sẽ như sau:
ReplyDelete- OS: gửi cho tôi 24Kb binary data from sector 1024, 64Kb from sector 128642...
- Firmware: đây là 24Kb và đây là 64Kb...
- OS: lấy 10Kb from first bloc combine with 20Kb from the second bloc .... to get the system32.dll.
Tôi đồng ý là một firmware cực kỳ phức tạp có thể phân tích được binary data để phân biệt request cho system32.dll nhưng tôi không nghĩ một cái malware như vậy có thể nhét vào flash memory (và vẫn phải đảm bảo các IO function bình thường).