В ожидании троянского дракона
АрхивИз журнала "Компьютерра"Аппаратные закладки существенно отличаются от закладок программных. Если программы можно хоть как−то контролировать, то при покупке компьютера приходится мириться с тем, что в его чипы могут быть внедрены вредоносные инструкции.
Весной 2004 года Томас Рид, много лет назад бывший главкомом военно−воздушных сил США и членом Совета национальной безопасности в администрации Рейгана, выпустил книгу воспоминаний "Над бездной. История холодной войны глазами инсайдера". В этих мемуарах читателям впервые было поведано о тайных операциях хайтек−саботажа ЦРУ против советской экономики. В частности, о взрыве газопровода в Сибири в 1982 году, якобы подстроенном американской разведкой с помощью умышленной продажи в СССР чипов со скрытыми внутренними дефектами в схемах.
В России эту публикацию, конечно, заметили и устами специалистов объяснили, что подобные заявления, выражаясь попроще, "полная чушь и брехня". Ибо в начале 1980−х годов работа советских нефте− и газопроводов компьютерной техникой еще не управлялась, так что никаких чипов там не было и в помине. Серьезные аварии и взрывы, спору нет, случались, однако их причиной были вовсе не происки ЦРУ, а наше собственное разгильдяйство и нарушение техники безопасности. В выпусках "КТ" #533 и #536 аргументы и взгляды сторон на эту историю изложены достаточно подробно, а фактов там вполне хватает, чтобы разглядеть, как реальные события - борьба ЦРУ с нелегальными закупками СССР передовых западных технологий и крупная авария в Сибири - искусственно подогнаны под некую успешную хайтек−диверсию спецслужб ради победы Запада в холодной войне.
Иначе говоря, из мемуаров высокопоставленного пенсионера в целом было понятно, что разведкой и военно−промышленным комплексом США затеяны очередные тайные игры, однако суть их в то время была не очень ясна. Зато сейчас уже хорошо известно, что как раз в тот период, в 2004–05 годы, Пентагон и спецслужбы энергично пытались переломить наметившуюся тенденцию в индустрии полупроводников - а именно перемещение производства чипов и компьютерного железа из США и Западной Европы в страны Азии, особенно в Китай. Экономические причины этой тенденции очевидны. Однако с военно−политической точки зрения строить новейшие электронные системы армии и разведки США на основе китайских чипов для американских силовых структур было в высшей степени неприемлемо.
В те времена в прессе появлялась лишь скупая информация о предпринимаемых в этой области усилиях. Теперь же об острой необходимости решать давно назревшую проблему американские СМИ пишут открыто и регулярно. Но что интересно, в качестве единственного реального эпизода с вражескими закладками в чипах упоминается та самая история о взрыве сибирского газопровода в 1982 году. О том, что она не подтверждена никакими официальными документами и с самого начала по всем признакам походила на фальсификацию, никто не вспоминает.
Угрозы в теории
Что же именно может оказаться опасным в чипах иностранного происхождения? Специалисты предупреждают, что цепочки поставок компьютерного железа становятся все более разветвленными и непрозрачными, отражая извилистые процессы глобализации экономики. Глава департамента безопасности США Майкл Чертоф на недавнем брифинге выразился следующим образом: "Все чаще, покупая компьютер, вы получаете компоненты... произведенные во множестве стран мира. Нам необходимо найти способы... позволяющие гарантировать, что кто−нибудь не встроил в эти очень мелкие компоненты нечто такое, что может быть включено дистанционно".
Аппаратные закладки существенно отличаются от закладок программных. Если программы можно хоть как−то менять или контролировать, по крайней мере теоретически, то при покупке компьютера (принтера, монитора, маршрутизатора...) приходится мириться с тем, что в его чипы могут быть внедрены вредоносные инструкции или бреши в безопасности, которые кто−то неизвестный знает и умеет использовать в своих интересах.
Разнообразие сценариев для таких аппаратных закладок ограничивается лишь фантазией гипотетических разработчиков. Допустим, блок памяти в офисном сетевом принтере может сохранять "снимки" распечатываемых документов, а затем тайно отсылать похищенное по известному интернет−адресу. В более изощренных сценариях чипы роутеров какой−нибудь военной сети могут в определенный момент времени или по команде извне обрушить систему или начать работатьпод управлением неприятеля.
С точки зрения криптографии
Осенью 2007 г. получила заметный резонанс в Сети любопытная работа израильского профессора-криптографа Ади Шамира (Adi Shamir, наиболее известный как "S" в криптосхеме RSA), посвященная опасностям "крипто-багов" в современных программах и чипах. Вместе с ростом объема кода в программах, усложняющейся оптимизацией операций и увеличением длины слова в процессорах, напомнил Шамир, становится все более вероятным появление ошибок в конечных продуктах, запускаемых в массовое производство. Примеров тому хватает - вроде случайно обнаруженного в середине 1990-х "бага деления" в процессорах Pentium или недавно найденной ошибки умножения в программе Microsoft Excel.
Однако, как показал Шамир, если какая-нибудь спецслужба обнаружит или сама тайно встроит хотя бы одну пару таких целых чисел, произведение которых в каком-нибудь популярном микропроцессоре вычисляется некорректно (даже в единственном бите низкого разряда), то последствия этой ошибки будут сокрушительными с точки зрения криптографии и защиты информации. Потому что тогда буквально любой ключ в любой криптопрограмме на основе RSA, работающей на любом из миллионов компьютеров с этим процессором, может быть взломан с помощью единственного сообщения специально подобранного вида. Кроме того, по заключению профессора, аналогичная атака может быть осуществлена против любых криптосхем на основе дискретных логарифмов и эллиптических кривых (где, кроме того, можно эксплуатировать еще и баги деления). Иначе говоря, невыявленный вовремя мелкий баг способен радикально подрывать стойкость современных криптосхем с открытым ключом.
Очевидно, что даже если подобную закладку удастся выявить, бороться с ней все равно чрезвычайно сложно. В отличие от вредоносного ПО, от угроз которого можно избавиться программными заплатками и сравнительно быстрым обновлением софта на всех машинах системы, от аппаратных закладок в чипах спасет, как правило, лишь замена каждой "больной" микросхемы на другую, "здоровую". В сетях крупных организаций подобная процедура может длиться многие месяцы.
Практически в любом современном чипе может быть множество скрытых внутренних функций, к которым у пользователей нет не то что прямого доступа - они даже не знают об их существовании. Вот что говорит по этому поводу Стивен Кент (Stephen Kent), член Разведывательного научного совета, консультирующего разведслужбы США, и один из руководителей военно−промышленной корпорации BBN Technologies: "Давным−давно пройден тот этап, когда можно было комбинаторными методами протестировать все возможные входные сигналы для чипов. Если ныне кто−то вздумает спрятать там некую функцию, которая по особой входной команде заставит чип сделать нечто необычное, то не очень ясно, каким образом можно проверить чип на способность к таким действиям".
Более того, чип со скрытой аппаратной закладкой вовсе не обязательно должен быть встроен на фабрике при изготовлении устройства. Куда большую угрозу могут представлять ремонтные организации и субподрядчики, часто выступающие в качестве посредника при закупках оборудования. Опытный враг, внедрившийся в такую организацию, знает назначение закупаемой техники и в то же время имеет возможность незаметно подменить здоровые чипы зараженными. Или, к примеру, перепрошить микрокод программируемых микросхем.
Проблемы на практике
Повторимся: неопровержимые факты о работе вражеских закладок, зашитых в чипы, пока не предъявил никто. Зато сплошь и рядом случаются истории несколько иного рода, тесно связанные с описанными выше гипотетическими угрозами.
В январе текущего года начался судебный процесс над двумя братьями−предпринимателями из Техаса, Майклом и Робертом Эдманами (Michael, Robert Edman), продававшими крупные партии компьютерного оборудования правительственным и военным ведомствам США. В списке покупателей упомянуты Военно−воздушные силы, Корпус морской пехоты, Федеральное управление авиации, Министерство энергетики, а также несколько видных корпораций военно−промышленного комплекса вроде Lockheed Martin. Столь внушительный список клиентов объяснялся в первую очередь заманчивыми ценами, которые предлагали братья Эдманы на совершенно новое оборудование от известных производителей. Однако, как выяснило следствие, в действительности Эдманы через своего партнера в Китае массово закупали чрезвычайно дешевое, так называемое noname−оборудование, а также лейблы и упаковочные коробки знаменитых брэндов вроде Cisco Systems. Изготовленные клоны выглядели столь достоверно, что разницу никто не замечал. Прикрыли же этот весьма прибыльный для всех сторон бизнес лишь после того, как о происхождении оборудования узнало ФБР через свою агентуру в Китае.
Дракон по имени Huawei
В отчетах американских аналитиков, занимающихся исследованием военно-стратегических проблем в контексте ИТ-индустрии, одной из главных потенциальных угроз часто называется китайская компания-гигант Huawei Technologies. Базирующаяся в г. Шеньчжень, она является крупнейшим в Китае и одним из крупнейших в мире изготовителем сетевого и телекоммуникационного оборудования, которое используют 35 из 50 главных на планете операторов связи. Huawei имеет многочисленные центры разработки не только в Китае, но и в Швеции, Ирландии, США (два), Индии и России.
Американцы крайне обеспокоены связями корпорации с военными - в частности, тем, что основатель и бессменный глава Huawei Жень Чженфей в молодые годы служил в Народно-освободительной армии (НОАК) Китая. В Википедии, правда, об этом написано предельно нейтрально: "После окончания университета он стал работать в исследовательском институте армии в качестве военного технолога. Из-за непролетарского происхождения на протяжении почти всей военной карьеры не мог вступить в компартию, но за достижения получил признание на самых разных уровнях. В 1982 был уволен из армии в связи с большими сокращениями вооруженных сил. Став гражданским, в 1988 начал собственный бизнес в области электроники".
А вот что пишут американские аналитики: "Huawei была основана в 1988 году Жень Чженфеем, бывшим директором Академии инфоинжиниринга при Генштабе НОАК, отвечающей за телекоммуникационные исследования для китайских военных. Согласно исследованию корпорации RAND, Huawei поддерживает тесные связи с армией, которая выступает не только как важный клиент, но и как политический патрон Huawei, и как партнер в исследованиях-разработках".
Из подобных оценок естественным образом рождаются выводы о том, где в первую очередь надо искать коварные аппаратные закладки в поставляемом для США оборудовании.
Другой громкий скандал, разразившийся в США буквально на днях, выпукло отражает характерную особенность людей, находящихся на ответственной государственной службе. С одной стороны, они призваны заботиться о вопросах безопасности, а с другой - как и прочие нормальные люди - заинтересованы в личной прибыли, да еще получаемой сравнительно честным путем. Суть скандала - в истории вокруг новых электронных паспортов с "биометрическим" RFID−чипом. Такие паспорта, по действующим правилам, монопольно изготовляет правительственная типография GPO (Government Printing Office). Но американская промышленность сейчас не способна выпускать RFID, соответствующие международным стандартам для паспортов, поэтому обложки документов с запрессованными чипами поставляютнадежные партнеры−корпорации из дружественных стран, голландская Gemalto и германская Infineon. Но только формально, на бумаге.
На деле же, как раскопали журналисты, все новые американские паспорта "с самой современной защитой" изготавливаются в Азии. Производство RFID−чипов перенесено фирмами Gemalto и Infineon в Сингапур и Тайбэй, откуда изделия пересылаются в Таиланд. Тайцы из номинально голландской компания SmartTrac добавляют к чипам антенну и запрессовывают все хозяйство в единый модуль обложки. Здесь же уместно заметить, что в 2007 году компания SmartTrac Technology судилась в гаагском Международном суде с Китаем, обвиняя эту страну в краже своей запатентованной технологии для чипов электронных паспортов. Все эти обстоятельства, конечно же, прекрасно известны GPO, тем не менее они никак не отразились на процессе производства новых е−паспортов США, который приносит типографии весьма ощутимые прибыли. Перенос производства в Азию снизил закупочную стоимость бланков до 8 долларов, а Госдепартамент по−прежнему платит GPO по 15 долларов за штуку. Лишь за один прошлый год эта разница принесла около 100 млн. долларов "навара", хотя по федеральному статусу никакая коммерция и прибыль этой конторе вообще не положены.
"Ужасная природа этого бизнеса"
Приведенные примеры, характерные для функционирования бюрократических организаций в любом государстве, наглядно демонстрируют, почему для критичных с точки зрения безопасности приложений желательно иметь чипы и компьютерное железо, которым можно было бы доверять. Но одно дело - хотеть в теории и совсем другое - иметь на практике.
На практике же корпорация Intel в прошлом году объявила о начале строительства своего нового большого завода, Fab 68, в Даляне, Китай. Несколько других американских компаний полупроводниковой индустрии, в частности Applied Materials и National Semiconductor, уже имеют производства в Китае. В целом на территорию США ныне приходится уже меньше четверти мирового производства чипов, причем цифра эта неуклонно снижается, а доля Китая, напротив, стремительно растет.
Существенно, что в Азию - ради общей конкурентоспособности на мировом рынке - переносятся производства по самым передовым технологиям. В результате Пентагон оказался в ситуации, когда для новейших электронных схем, управляющих ракетными системами наведения и перехвата, так называемые доверяемые чипы становится возможным производить в Америке лишь на основе очевидно устаревших технологий.
Суррогатное решение для этой проблемы придумало Агентство национальной безопасности. В 2004 году АНБ договорилось с корпорацией IBM о запуске совместного (поначалу секретного) проекта под названием Trusted Foundry Access ("Доступ к доверяемому цеху"). Согласно опубликованным ныне данным, эта программа "эксклюзивно американских" чипов для нужд обороны обошлась в 600 млн. долларов, а за прошедшие годы к ней присоединилось еще около десятка компаний военно−промышленного комплекса (в том числе BAE, Intersil, Northrop Grumman, Raytheon, Sarnoff, Teledyne).
То, что Trusted Foundry не решение проблемы, а вынужденная полумера, все прекрасно понимают. Во−первых, так удается проконтролировать лишь один аспект, собственно производство. Во−вторых, что куда важнее, контроль за уже существующими цехами не решает проблему переноса современных технологий за рубеж. Та же IBM, связавшая себя правительственным контрактом лишь до 2011 года, активно переносит производство в Азию. И вполне может статься, что уже в следующем десятилетии и IBM, и другие флагманы американской полупроводниковой индустрии станут так называемыми fabless−корпорациями, то есть сосредоточенными на разработках и не имеющими собственных производственных мощностей.
По этим причинам в DARPA, оборонном агентстве передовых исследовательских проектов, запущена альтернативная программа под названием Trust in ICs ("Доверие к интегральным схемам"). В процессе совместных исследований с корпорацией Raytheon, Университетом Джонса Хопкинса и рядом других организаций DARPA пытается отыскать превентивные решения для защиты чипов от закладок и заблаговременного выявления уязвимостейв случае их появления. Однако сложность задачи ясна всем. Как говорит один из участников проекта, "даже если вы обнаруживаете что−то существенное, вы никогда не можете быть уверены, что нашли всё. Такова ужасная природа этого бизнеса".
Две стороны медали
Проблема возможных аппаратных закладок в чипах обсуждается в спецслужбах уже давно. Возможно - с момента появления интегральных микросхем. Тем не менее далеко не все эксперты по инфобезопасности согласны, что реальные риски здесь действительно велики. Да, конечно, есть сведения, что разведывательные структуры давно экспериментируют с подобными технологиями хищения информации и саботажа. Однако по сию пору нет ни одного достоверного свидетельства, чтобы этой технологией хоть кто−нибудь воспользовался.
Знаменитый своими рациональными доводами и потому очень часто цитируемый в прессе гуру по безопасности Брюс Шнайер (Bruce Schneier) по этому поводу говорит следующее: "Разумеется, спецслужбы способны тайно встраивать уязвимости в микропроцессоры, однако угроза эта явно преувеличивается. Ну зачем кому−то так напрягаться и рисковать, когда в нынешних компьютерах, сетях и операционных системах и без того имеются тысячи уязвимостей, только и ждущих, чтобы их кто−нибудь обнаружил всего за несколько часов кропотливой работы?"
В спецслужбах вроде АНБ США, где гарантированно знают об угрозах аппаратных закладок куда больше Брюса Шнайера, с такой точкой зрения совершенно не согласны. Однако и склонить к сотрудничеству ведущих изготовителей процессоров тоже не могут. Не секрет, что корпорация Intel довольно давно и в самой категоричной форме отказалась от каких−либо совместных оборонных проектов с американским правительством - не видя, упрощенно говоря, как это сотрудничество может способствовать бизнесу компании.
Если развить ту же мысль в чуть иных выражениях, то любая ловля шпионов и вообще контрразведывательная деятельность подразумевает опору на агентуру. Для превентивного отлова функций аппаратных закладок неизбежно потребуются другие тайные функции, известные лишь спецслужбам. То есть - все те же шпионы...