Může být backdoor začleněn do libovolného produktu a lze jej pak odhalit?

Backdoor, který de-facto představuje úmyslnou či neúmyslnou chybu se s určitou pravděpodobností nachází v každém komplexním systému.

Tato věta se může zdát nadnesená, ale vychází bohužel z reality, a to i kdybychom brali v úvahu jen odhalené a evidované zranitelnosti.

Stačí se jen zeptat kvalitního pentestera s letitou praxí, kolik jím nalezených kritických zranitelností je veřejně zaevidováno, a možná budete v šoku. Ano, je to tak, v CVE/NVD databázi nejsou evidovány všechny zranitelnosti a několik desítek tisíc jich zřejmě schází.

V oblasti průmyslové špionáže, a kybernetické války může být cílem útočníka jak krádež informací, tak i narušení integrity a dostupnosti a útočník mnohdy nepotřebuje mít do produktu ani vzdálený přístup a spíš než o backdoor se může jednat o logickou bombu, která se rovněž spustí až při splnění určitých podmínek. Ale zpět k backdoorům.

Backdoor může být snadno začleněn do jakéhokoliv produktu, ovšem jeho odhalení už vůbec nemusí být tak triviální. Backdoor se totiž může nacházet v jakémkoliv zařízení a může být velice obtížné jej odhalit, protože dokud nedojde k jeho zneužití, tak o jeho přítomnosti nemusí mít nikdo ani tušení. Backdoor může být navíc aktivován jen za určitých podmínek, popsáno např. zde v části věnované ETERNALBLUE.

Teoreticky může být backdoor do HW nebo SW produktu zaveden v jakékoliv fázi SDLC. Může se objevit už ve specifikaci požadavků, ale může být přidán i kdykoliv později v rámci analýzy a návrhu, nebo může být doplněn při kódování anebo se do produktu může dostat až při integraci, anebo dokonce pokud se produkt skládá z více komponent, tak až před nasazením v konkrétním prostředí.

V okamžiku kdy je backdoor součástí HW, tak může být velice obtížné jej detekovat, protože firmy zpravidla neposkytující detailní specifikaci svých produktů a už vůbec ne čipů. A lze konstatovat, že zatímco navrhnout čip s backdoorem není tak složité, tak najít backdoor v již hotovém čipu je vzhledem k jeho konstrukci a technologii výroby skoro nemožné. Ale nelze to vyloučit a někdy se to i podaří, jako v případě Super Micro Computer, kdy se jednalo o čip o velikosti zrnka rýže.

Vycházejíc z prosté selské logiky, pokud někdo investuje do backdooru, tak jej chce zachovat a využívat po co nejdelší dobu. Jak to udělá? Nejlépe se tato věc dá pojmenovat interní konspirací na straně dodavatele systému, kdy o backdooru ví naprosto minimální počet lidí a pokud to lze, tak každý z nich ví jen něco, což není vůbec jednoduché. Případné zájemce si dovolujeme odkázat na matematický model, pomocí kterého lze doložit, za jak dlouho a při kolika zainteresovaných lidech by to tzv. prasklo.

Mnohem jednoduší je přítomnost backdooru v produktu oficiálně přiznat a tvrdit, že se nejedná o backdoor, ale žádoucí chtěnou vlastnost, která má nesporný přínos. Jako příklad můžeme uvést systém Minix v procesorech Intel nebo Platform Security Processor v AMD, které jsou prakticky ve všech zařízeních a o jejichž zneužitelnosti bezpečnostní komunita mluví od samého začátku.

Druhou mnohem pravděpodobnější variantou je dodatečná implementace backdooru někde v dodavatelsko odběratelském řetězci, kde kromě nezbytných technických znalostí musí mít implementátor backdooru i možnosti dodávku zařízení nebo komponenty zachytit a upravit. Pak může být backdoor přítomen jen v určité verzi nebo modelové řadě produktu určeném pro konkrétní trh, což podstatně snižuje šanci na jeho odhalení.

Backdoor je výhodnější zavést nikoli v hlavním výrobním závodu podniku, kde často probíhá audit, ale spíše někde dál v dodavatelsko-odběratelském řetězci. Důvod je prostý, jednak v těch menších firmách není bezpečnost na takové výši, a proto do nich lze snáze proniknout a backdoor nasadit. A když pak časem k odhalení backdooru přeci jen dojde, což nelze vyloučit, a je zahájeno vyšetřování, povedou stopy jinam a výrobce si zachová čistý štít.

Častý to případ brandovaných mobilních telefonů, na které místní poskytovatel nahrává vlastní aplikace, které pak nejdou bez root práva normálním způsobem odinstalovat. Více zde. Také je potřeba vzít v úvahu, že v případě Android telefonů/tabletů si kdokoliv může upravit OS a sám si jej zkompilovat https://source.android.com/ včetně kernelu a třeba i nějakého backdooru a žádný bezpečnostní SW v user módu nemá šanci cokoliv odhalit.

Jako vůbec nejefektivnější se jeví vyhledání zranitelností, které jsou backdoorem anebo umožní vlastní backdoor zavést v dané implementaci SW/HW, třebas i s pomocí interních informací jako jsou zdrojové kódy. Své o tom ví třeba CISCO, které problém s backdoory řeší během roku i několikrát, bez ohledu na to jestli je pravda, co se tvrdí.

Těch způsobů a jejich možných kombinací bude jistě více a žádný pevně daný postup existovat zřejmě nebude. Když se podíváme na leaknutý Vault7, pak by se to dalo spíše nazvat „zero day“ hacking.

Implementace backdooru do produktu je každopádně dvojsečná zbraň, protože ten, kdo se tak rozhodne, musí mít záruku, že backdooru nezneužije někdo jiný, anebo že se dokonce on sám nestane obětí. Což nelze v dnešní době dost dobře zajistit, protože daný produkt může být nakonec nasazen i jinde, než jeho autor předpokládal. Jinými slovy s čím kdo zachází, tím také schází.

Určitou paralelu zde lze spatřit např. s ransomwarem NotPetya, který měl útočit jen na vybrané cíle na Ukrajině, ale nakonec se to zvrtlo a rozšířil se prakticky po celé Evropě. Výrobce produktu s globálním pokrytím by tak dost riskoval, pokud by do něj backdoor začlenil, obzvlášť pokud se daný produkt podstatně podílel na jeho HDP.

Specifickým a zajímavým cílem k implementaci backdoor se tak mohou spíše stát velké cloudové implementace. Už jen z prostého důvodu, že lze zacílit na mnoho velkých a zpravidla sektorově příbuzných zákazníků (nejde jen o soukromý sektor!) ať už k získání informací či jejich modifikaci nebo znepřístupnění.

Tlak na maximální kontrolu a monitoring všeho může mít mnoho podob (v ČR, např. zákon o vojenském zpravodajství) implementaci vládních backdoor, (v minulosti např. v podobě úmyslně oslabené kryptografie DES, kterou by mohli lámat anebo Escrow Encryption Standardu, kdy ani žádné lámání není potřeba, neboť je k dispozici master klíč, což vyvolalo odpor odborné veřejnosti a vedlo k neúspěchu, nestačilo a objevují se nové inciativy), se vytváří i velký potenciál možného zneužití, nikoliv jejich vlastníky, ale kriminálním prostředím.

Takže co s tím? No, evidentně je nutné znovu zopakovat to, co již zaznělo v úvodu tohoto článku, backoodory, byly, jsou a budou nadále součástí mnoha produktů, a nedělejme si iluze, že by tomu snad mohlo být v dohledné době jinak. Jednoznačně odmítnout určitý produkt není řešení.

Není možné se spokojit jen s prohlášením, že určitý produkt by mohl představovat bezpečnostní hrozbu, to bychom brzy ztratili možnost volby a stali se zcela závislí na určité technologii. Je třeba nadále provádět důkladné penetrační testy a hledat zranitelnosti a backdoory.

Rezignace na penetrační testy, ať už z důvodu nedostatku kvalifikovaného personálu nebo finančních prostředků a jejich nahrazení tzv. papírovou bezpečností jako jsou svérázně pojaté přístupy k analýze rizik, kdy se hodnotí např. jen hrozba, je cesta do pekla. Je to totiž stejné jako kdyby Euro NCAP skončilo s realizací crashtestů aut a začalo jim vydávat hvězdičky podle toho, co jim někdo řekl.

Kromě pentestů se nabízí implementovat, a to i za cenu vyšších nákladů více heterogenní IT infrastrukturu, zavést účinná bezpečnostní opatření organizační i technické povahy a to na všech vrstvách a jejich účinnost pravidelně vyhodnocovat.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Miroslav Čermák

    Tak řešení na odhalování trojanů v HW již máme.
    https://www-hackster-io.cdn.ampproject.org/c/s/www.hackster.io/news/researchers-spot-silicon-level-hardware-trojans-in-chips-release-their-algorithm-for-all-to-try-ba00bbd56248.amp
    Tak schválně kolik se toho odhalí a v čem.


K článku “Může být backdoor začleněn do libovolného produktu a lze jej pak odhalit?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: