從安全的角度看彭博間諜晶元報道的真實性

本文來源為「西雅圖雷尼爾」，雷鋒網授權轉載。

今天糾結了很久，要不要寫這個敏感的話題。但是我想了想還是寫吧，真正懂這塊的人不太多，願意拿出來講的更少 。我雖然早已離開安全行業，但我是少數了解secure boot，UEFI，fuse 等技術，又對電路也比較熟悉，又有合適平台發表獨立觀點的人，所以還是簡單從安全的角度說一下，說句公道話。

簡單來說，我的判斷是彭博社對於間諜晶元的報道是完全沒有根據的，至少是誇大了無數倍的虛假報道。

依據有兩點：

1.晶元需要工作，需要有合適的供電，需要有合適的邏輯控制單元。很難在不被發現的情況下，加一個晶元。

2.即便是rootkit了伺服器，大量高安全級別的網路是和外網做隔離的。無法接收或者傳送有效的情報。 即便有APT攻擊的配合，難度非常非常大，以至於這條路不太現實。

間諜軟體迄今為止的最高水平：Lojax

先說說，迄今為止實戰中水平最高的間諜軟體Lojax。這個惡意軟體感染系統後，即便你重裝系統，甚至換硬碟也沒有用。關於這個劃時代的rootkit，國內的安全界報道非常少。

儘管在blackhat這種安全會議中，研究人員已經討論了很久BIOS rootkit/ ACPI Rootkit/ UEFI rootkit的可行性，但是由於難度太大，實際上從來沒有在真實環境中發現過這種類型的惡意軟體。這次Lojax的發現是第一次在野外環境發現UEFI rootkit，開啟了UEFI rootkit的新時代。

（下面是一些技術細節，不懂就直接跳過）

首先初步介紹一下，UEFI是替換傳統bios的一套firmware介面服務，現在新電腦一般都是UEFI。

UEFI的工作流程

如果UEFI 打開了secure boot的模式，理論上能保證系統的安全

最近發現的Lojax rootkit應該是一個名叫Sednit 組織（又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear 背後是俄羅斯）用於攻擊巴爾幹和歐洲中東部的政府機構。

這個惡意軟體利用非常嫻熟和精湛的技術，利用正規的RWEverything 系統信息軟體或者uefiinfo或者系統的firmware版本，然後再從SPI快閃記憶體模塊中將UEFI的原始firmware給讀出來，然後再把病毒插進原始的firmware，接著再將攜帶病毒的副本寫回到SPI快閃記憶體。

將rootkit寫進SPI的流程

SPI存儲晶元位置和大小

如果管理員沒有打開secure boot的選項，這種惡意軟體直接就可以將惡意軟體寫進去SPI。

如果系統管理員把secureboot打開了，就難了很多。因為UEFI在裝載各個模塊的時候都會檢查簽名，如果文件被動過手腳很容易發現問題。而且如果打開secureboot，通常是SPI防寫的。惡意軟體沒法把加料的固件寫回到SPI中去。

如果固件的版本比較老，這個惡意軟體會利用一個已知的安全漏洞利用race condition來把惡意軟體寫道到SPI快閃記憶體里，該漏洞是UEFI很久之前的漏洞。

至此，惡意軟體就常駐在主板的這個小小SPI存儲器中，無論你重裝系統，還是換硬碟，都不會對這個病毒產生任何影響。研究者稱，要根除這個惡意軟體辦法只有一個，就是重新擦寫SPI flash，這個對於普通人來講，甚至普通公司的IT來講都是非常困難的事情。或者更新UEFI固件，UEFI固件會重新擦寫SPI flash的整個BIOS區域。前提是UEFI更新會擦除乾淨感染的BIOS區域。如果更新固件都搞不定，那只有更換主板這一條路了。

研究論文中的結論

這已經是迄今為止，最最牛逼的間諜軟體了。

PCB雖然密布晶元和線路，但是沒有一個是多餘的。

晶元不是外星產物，晶元是邏輯，是電路。是電路就需要供電，就需要走線，你不改原理圖，不改PCB版圖，如何安裝一個額外的晶元？要知道主板級別的電路板上，最簡單的都是4層，6層。伺服器的有8層，10層。走一根電源線，要知道動多少線路么？這跟用口香糖粘一個竊聽器完全是兩碼事。

不要說多加一個晶元，哪怕是多加了一個電容，回來審板的人肯定會發現。根本到不了PVT就露餡了。

僅僅用一個rootkit，搞不定高安全級別，外網隔離的系統。

從彭博社的指控來看，在主板上加這麼一個小晶元就能突破系統的secure boot，攻破系統，然後竊取商業機密。

我們假設，僅僅是假設，超微的主板設計人員，整個團隊都被買通了，在板子上加了一個模塊，然後這個模塊類似於Lojax一樣，在SPI裡面保留了一塊連刷UEFI firmware都不會刷掉的超級rootkit，而且這個rootkit還被簽名了。

也就是說即便給這個rootkit開了掛，即便在2018年想利用這樣的rootkit控制高安全級別的系統，與外網隔離的系統也是不現實的（彭博社的報道說這個事情發生在更早的2015年以前，更加不太可能）。前面講了這麼牛逼的lojax rootkit是當今rootkit的最高水平，現在看到的這個rootkit也僅僅是針對Windows系統，也僅僅是針對非物理隔離的計算機網路。

而無論是Amazon還是Apple，還是CIA還是其他安全部門，操作系統各不相同（大部分都是unix內核的系統），你很難做到僅僅靠一個rootkit搞定所有的系統，而且是搞定跟外網隔離的系統，搞定所有流量都會受到審計的系統。（你的rootkit想去外面下載一個木馬都沒法下的）

即便我們站在2018看，設計這樣一套突破secure boot並實現彭博社新聞中功能的rootkit也是不太現實的。

Apple和Amazon都發表了措辭嚴厲的文章，批評彭博社發表不負責任的報道。

我這篇文章是純粹從技術實現的角度和rootkit最新技術水平的角度，分析彭博社報道的真實性。

美國媒體最近幾年被川普痛斥為Fake News是不無道理的。彭博社的這篇報道中存在著大量的猜測和假想。在hack的原理解釋方面也非常不專業，完全是糊弄。這麼一個非常嚴肅的大新聞，處理的非常不專業。在twitter上很多安全人士都表示這篇文章存在太多太多的漏洞和不準確之處，沒有安全背景，沒有工程實踐經驗。

而市場對這篇文章的反應也很激烈，超微直接跌去近一半市值。聯想受影響，今天股價也跌去15%。（非常鄙視聯想，急急忙忙跳出來說，我們沒有用超微的主板。可笑你聯想能生產高品質伺服器么，你產品能進高安全的環境么）。

這篇文章雖然是假新聞，但是會對電子產業鏈產生深遠的影響。繼紐約時報之後，彭博社的牌坊也倒了，現在還能看的也就剩WSJ了。

本文來源為「西雅圖雷尼爾」，雷鋒網授權轉載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！