А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Трояны могут внедряться в любые элементы информационной системы. Как уже многократно утверждалось, локализация трояна может ограничиваться отдельным компонентом систем, а может быть рассредоточена и на нескольких компонентах, таких как процессор, память, схемы входа-выхода, источники питания или схемы синхронизации. Особенность локализации определяется сложностью конкретного проекта ИС, трудностью внедрения и тем эффектом, который должен вызвать аппаратный троян. А для этого необходимо знать все возможные механизмы работы аппаратных троянов. Ниже постараемся на характерных примерах кратко рассмотреть последствия, которые можно ожидать от их внедрения и охарактеризовать типовые угрозы, связанные с аппаратными троянами в микросхемах специального назначения.

Надо отметить, что аппаратные трояны являются относительно новыми угрозами кибербезопасности, при этом они существенно расширяют возможности для атаки на информационные системы. Рапсе атаки ограничивались только программными средствами, сосредотачиваясь на «слабых местах» программного обеспечения. Средства защиты конкретного программного обеспечения разрабатывались исходя из аутентичности аппаратного обеспечения, поэтому общепринятые подходы к защите программными средствами не способны обеспечить безопасность от аппаратных троянов. С этой точки зрения аппаратные закладки представляют достаточно сложную проблему обеспечения безопасности.

Трояны могут быть внедрены не только в ИС специализированного назначения (ASIC) (хотя в большинстве случаев они для этого и предназначены), но и в коммерческие электронные компоненты, находящиеся в свободной продаже (COTS — Commercial Off The Shelf), это микропроцессоры, цифровые сигнальные процессоры или в виде программных изменений в «прошивке» ПЛИС (FPGA). Учитывая, что изменения вносятся на самый низкий иерархический уровень системы, механизмы и типы нарушающего действия могут иметь самый разнообразный характер. В общем случае эти воздействия можно условно классифицировать как изменение функциональности, изменения спецификации, утечка информации или отказ в обслуживании. Специфические аппаратные трояны могут реализовать как любое отдельное из этих нарушающих воздействий, так и их комбинации.

Аппаратные трояны, изменяющие функциональность ИС через внедрение дополнительной логической схемы или посредством выключения части существующей логики, непосредственно ставят под угрозу целостность и сохранность информационной системы. Изменение данных в памяти, воздействие на вычислительные операции или на коммуникационный канал являются характерными целями рассматриваемого внедрения. Модификации функциональности могут носить очень разнообразный характер; воздействия этого класса аппаратных троянов ограничены только ресурсами системы, воображением и «умением» (квалификацией) злоумышленника. Например, в [7] представлен сценарий, в котором относительно простая деструктивная аппаратная закладка может вставить ошибку в алгоритм на основе известной китайской теоремы об остатках при вычислении криптографического алгоритма с открытым ключом (RSA), что в итоге приводит к компрометации RSA-ключа.

В работе [6] приводится пример модификации, в результате которой модуль обнаружения ошибок принимает входные сигналы, которые по спецификации должны быть отклонены. Эти сигналы могут использоваться злоумышленником для организации атаки.

Непосредственные ошибки в ИС, как например Pentium FDIV (ошибка в модуле операций с плавающей запятой в оригинальных процессорах Pentium выпуска 1994 года), могут быть воспроизведены аппаратной закладкой, причем для предотвращения ее обнаружения может использоваться выборочное включение. Специальные аппаратные трояны в ряде случаев могут разрабатываться для обеспечения возможности изменения порядка выполнения инструкций центрального процессора, для организации утечки данных через побочные каналы, для изменения содержимого программируемой постоянной памяти (PROM), что наиболее опасно для микросхем специального назначения.

Изменение функциональности системы может быть использовано для поддержки более широких атак. Очевидно, что возможности нанесения ущерба безопасности существенно увеличиваются при совместном использовании аппаратной и программной атаки [6]. В качестве примера в работе [7] приведены внесенные несанкционированные изменения в центральном процессоре, поддерживающие атаку на программное обеспечение. В результате такой атаки предоставление доступа к памяти и модификация программы способствуют расширению несанкционированных разработчиком полномочий с возможностью последующего доступа в систему через «черный вход» и атакой с кражей пароля.

Изменяющие спецификацию многочисленные разновидности аппаратных троянов характеризуются тем общим свойством, что они искажают основные параметрические характеристики специализированной ИС или ее спецификации, не относящиеся к ее функциональности. Такие параметрические характеристики включают систему синхронизации или значения временных характеристик, а также величину потребляемой мощности ИС. Эффект обычно достигается путем непосредственного изменения внутренних физических свойств — топологии межсоединений и геометрии транзисторных структур. В отличие от аппаратных троянов, которые влияют на функциональность, для этого класса троянов характерны изменения топологии линий разводки и транзисторов, и их разрушительные действия могут приводить к полным отказам системы по определенному внешнему сигналу [7].

Теоретически можно предположить, что в дополнение к рассматриваемым модификациям в конструкцию микросхем может быть включена и такая аппаратная закладка, чтобы изменение спецификации имело триггерный или активационный механизм. Для рассматриваемого класса характерны различные типы воздействий на ИС, включая ограничение вычислительных возможностей системы путем внесения несанкционированных изменений в схемы генератора в работу системной частоты, модификация вычислительных блоков или ячеек входа-выхода, при которой выполняемые этими узлами функции не изменяется, но ухудшаются их электрические и динамические характеристики. Изменение размещения вентилей или разводки схемы, функционально эквивалентное, но при этом имеющее более высокие паразитные составляющие пассивных элементов, обуславливает ухудшение рабочих характеристик при высокой нагрузочной активности и проявляется в возникновении временных ошибок (сбоев). В работе [6] и далее в главе 6 нашей вышеупомянутой энциклопедии приведены примеры схем с перемычками в виде резистора, следствием которого становятся ошибки типа «закоротки» при некоторых режимах работы, и внесением конденсатора, приводящего к увеличению времени задержки за счет увеличения емкостной нагрузки.