Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Kiberuzbrucēji var noslēpt ļaunprogrammatūru mākoņserveru aparātprogrammatūrā

Kiberuzbrucēji var noslēpt ļaunprogrammatūru mākoņserveru aparātprogrammatūrā

Paranoiskāk noskaņoti datordrošības eksperti jau sen ir brīdinājuši, ka datoram, kas pabijis svešās rokās, vairs nedrīkst uzticēties. Tagad kāda uzņēmuma pētnieki ir pierādījuši, ka dažos gadījumos šis apgalvojums ir pareizs arī attiecībā uz datoriem, kurus nekad neskar jūsu roka — mākoņu serveriem.

 

 

Kā ziņo izdevums Wired, otrdien drošības firmas Eclypsium pētnieki publicēja eksperimenta rezultātus, ar kuriem viņi pierādīja, ka ir iespējams viltīgs triks ar noteiktām mākoņdatošanas serveru kategorijām: var iznomāt serveri no mākoņdatošanas pakalpojumu sniedzēja (viņi savā eksperimentā koncentrējās uz IBM) un mainīt tā aparātprogrammatūru, noslēpjot tās kodā izmaiņas, kuras saglabājas arī pēc tam, kad pašreizējās nomas termiņš beidzas un to pašu serveri sāk nomāt cits klients. Un lai gan viņi veica tikai nekaitīgas izmaiņas IBM servera aparātprogrammatūrā, viņi tomēr brīdina, ka ar šo pašu paņēmienu var ievietot ļaunprogrammatūru servera slēptajā kodā, un tā paliks neatklāta, kad kāds cits pārņems šo serveri, tā ļaujot ļaundariem pēc sirds patikas izspiegot, modificēt vai dzēst datus šajā serverī.

„Kad organizācija izmanto publisku mākoņdatošanas infrastruktūru, tā būtībā aizņemas svešu aprīkojumu — apmēram tāpat kā cilvēks iegādājas eBay lietotu aparatūru, un tā var jau būt inficēta, pirms to sākam lietot,” uzsver Jurijs Buligins, Eclypsium dibinātājs un bijušais Intel sarežģīto apdraudējumu izpētes komandas vadītājs. „Tieši tāpat aparatūra var būt inficēta, ja mākoņpakalpojumu sniedzējs nav „iztīrījis” savu aparatūru visdziļākajā līmenī, ieskaitot aparātprogrammatūru.”

Šī mākoņa „tīrīšanas” problēma, norāda Eclypsium pētnieki, gan neattiecas uz visiem mākoņu serveriem. Tipiska mākoņdatošanas sistēma ģenerē katra sava klienta datoru kā tā saukto virtuālo mašīnu, sava veida izolētu „akvāriju” datorā, kas ir nošķirts no servera faktiskās aparatūras un citu klientu virtuālajām mašīnām tajā pašā serverī. Bet ikviens mākoņpakalpojumu sniedzējs, no Amazon līdz Oracle un Rackspace, piedāvā arī tā sauktos „dzelžu” serverus, kurus klients nomā un tad pilnībā kontrolē, tā cerot uz labāku veiktspēju vai lielāku drošību. IBM ir tūkstošiem korporatīvo klientu, kuri lieto „dzelžu” serverus gan video konferenču mitināšanai, gan mobiliem maksājumiem un neiroloģiskās stimulācijas procedūrām.

Nomājot „dzelžu” serveri, uzbrucējs var iegūt daudz bīstamāku piekļuves līmeni komponentiem, kuros tad var ievietot ļaunprogrammatūru un nodot to nākamajam servera nomniekam. „Šī problēma noteikti ir sāpīgāka un daudz vieglāk ļaunprātīgi izmantojama ar „dzelžu” servera pakalpojumu,” saka Buligins.

Gan pētniecībā, gan reālajā pasaulē, jau ir pierādīts, ka aparātprogrammatūra mikroshēmās, kas kontrolē visu, var nodrošināt slēptu mājvietu ļaunprātīguam kodam. Šīs infekcijas spēj izvairīties no parastiem antivīrusiem un pat sekmīgi pārciest pilnīgu datora disku satura izdzēšanu.

Eclypsium pētnieki pievērsušies jaudīgo Super Micro serveru aparātprogrammatūrai (IBM piedāvā šos serverus savos mākoņdatošanas pakalpojumos), kas pazīstama kā pamatplates vadības kontrolieris (baseboard management controller – BMC). BMC tiek izmantots, lai attālināti uzraudzītu un administrētu serveri, un tas var visu — gan piekļūt datora atmiņai, gan veikt izmaiņas tā operētājsistēmā. Iepriekšējos pētījumos Eclypsium pierādīja, ka BMC var izmantot, lai pārrakstītu citu komponentu aparātprogrammatūru, padarot šos datorus nelietojamus, vai lai paralizētu tos izspiešanas uzbrukumam.

Savos eksperimentos Eclypsium pētnieki iznomāja no IBM „dzelžu” mākoņserveri, tad veica nekaitīgas izmaiņas tā BMC aparātprogrammatūrā, vienkārši mainot vienu bitu tās kodā. Pēc tam viņi pārtrauca servera nomu, atdeva to atpakaļ pieejamo IBM iekārtu kopā — tātad lietošanā citiem klientiem. Dažas stundas vēlāk viņi iznomāja pietiekami daudz serveru, lai atkal atrastu precīzi to pašu mašīnu, identificējot to pēc mātesplates sērijas numura un citiem unikāliem identifikatoriem. Te nu viņi konstatēja, ka, lai gan bija saņēmuši it kā „svaigu” serveri, tam BMC aparātprogrammatūrā bija palikušas izmaiņas.

Atbildot uz Eclypsium pētījumu, IBM ir publicējis paziņojumu, kurā dēvē šo ievainojamību par „nenozīmīgu”, bet sola, ka turpmāk rūpīgi „tīrīs” savu serveru BMC aparātprogrammatūru pirms nodošanas nākamajam klientam. „Reaģējot uz šo ievainojamību, IBM ar rūpnīcas aparātprogrammatūru pārinstalē visas BMC, arī tās, kas jau ir atjauninātas, pirms tās tiek nodotas citiem klientiem,” teikts paziņojumā. „Visi BMC aparātprogrammatūras žurnāli tiek izdzēsti, un visas BMC aparātprogrammatūras paroles tiek atjauninātas.”

Bet Eclypsium pētnieki apgalvo, ka viņi vēl pirmdienas vakarā varējuši atkārtot savu triku, un tas nozīmē, ka IBM labojums tobrīd vēl nav bijis ieviests. Savukārt IBM pārstāvis paziņoja izdevumam Wired, ka „labojums ir ieviests, un mūsu darbs tuvojas noslēgumam”.

Tomēr citi aparātprogrammatūras pētnieki skeptiski vērtē gan IBM paziņojumu par ievainojamības „nenozīmīgumu”, gan tās paredzamo labojumu. Karstens Nols, kurš izstrādāja tā saukto „BadUSB” uzbrukumu, kas nemanāmi maina USB atmiņas kartes aparātprogrammatūru, norāda, ka BMC aparātprogrammatūru ir iespējams mainīt, gan lai nodrošinātu uzbrucējiem kontroli, gan lai tā „melotu” administratoriem, kad tie mēģina aparātprogrammatūru pārrakstīt — tādās reizēs aparātprogrammatūra ziņo atjaunināšanas mehānismam, ka jau ir atjaunināta, un uzbrucēju kods paliek savā vietā. „Kad aparātprogrammatūra ir inficēta, nemaz nav iespējams noteikt, vai tā joprojām ir inficēta, nedz arī to atkopt pēc inficēšanas,” saka Nols. Vēl viens pazīstams aparātprogrammatūras hakeris, HD Moore, apgalvo, ka pilnībā problēmu atrisina tikai atbilstošas aparatūras pievienošana serverim, lai pārbaudītu aparātprogrammatūras integritāti.

Savukārt IBM neatbildēja uz Wired jautājumu par to, vai var uzticēties aparātprogrammatūras atjauninājumiem. Un, tā kā Eclypsium pārbaudījusi tikai IBM „dzelžu” serverus, nav skaidrs, vai tāda pati aparātprogrammatūras problēma nav arī uz citiem uzņēmumiem.

Nols uzsver, ka ir arī laba ziņa: „dzelžu” serveri ir tikai neliela daļa no mākoņdatošanas sistēmas, un virtualizētos serverus būs daudz grūtāk inficēt, izmantojot aparātprogrammatūras triku. Bet tas ir mazs mierinājums visiem, kuri tagad izmanto šīs neaizsargātās sistēmas. „Tā ir neliela niša. Bet nav svarīgi, ka tā ir tikai niša,” uzsver Nols. „Pat nišas gadījumā tas ir ļoti nopietns uzbrukums. Un to nav viegli novērst.”

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

39 − 30 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu