А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Рис. 7.7. Механизмы активации и их классификация

Надо отметить, что некоторые трояны сконструированы так, что они всегда включены, а другие находятся в спящем режиме до тех пор, пока их не активируют. Чтобы перевести троян в активный режим, необходимо запустить определенное событие — внутреннее или внешнее. Когда пусковое устройство запускает троян, то последний может или оставаться активным всегда, или вернуться в спящее состояние после некоторого времени.

Внутреннее событие происходит внутри заряженной микросхемы. Это событие может зависеть от времени или от заранее заданных злоумышленником физических условий. Так аппаратный счетчик в устройстве может запустить троян в любое заранее запрограммированного время. Такие трояны также называют «бомбами замедленного действия». Запускающие троян механизмы могут периодически мониторить физические параметры микросхемы, такие как окружающая температура и величина потребляемой энергии механические ускорения и вибрация и т. д.

Для внешней активации трояна необходимо внешнее воздействие на микросхему. Таким воздействием может быть стандартный пользовательский ввод или какой-то комбинированный вывод микросхемы. Пусковыми механизмами стандартного пользовательского ввода могут быть командные клавиши, переключатели, клавиатура, или ключевые слова/фразы в сплошном потоке входных данных. Запустить пусковое устройство трояна извне могут также любые системные компоненты, которые так или иначе взаимодействуют с целевым устройством, (электронной системой) в котором расположена эта заряженная микросхема.

Аппаратные трояны с внутренней активацией

Способы активации троянов на основе комбинационной логики

Внутренняя активация основывается на некоторых специфических состояниях, при достижении которых в целевом устройстве происходит активация аппаратной закладки.

В большинстве случаев она строится на схемах секвенциальной (последовательностной) или комбинационной логики.

На рис. 7.8 представлен пример такого устройства.

Рис. 7.8. Принцип построения трояна на основе комбинационной логики

Аппаратный троян с активацией на основе схем комбинационной логики «оживает» (запускается) при достижении так называемого «триггерного состояния», когда определенные заданные злоумышленником значения (векторы) обнаруживаются (формируются) на определенных узлах внутренней электрической схемы ИС. Этот тип активационного механизма может быть реализован только с использованием комбинационной логики (на основе использования стандартного комбинационного триггера). В работе [8] авторы приводят пример так называемого «однотактного чит-кода» — специфического адреса на шине, который мнгновенно активизирует аппаратный троян. На практике такая комбинационная активация может потребовать большего набора определенных одновременных состояний на некоторых узлах, например на внутренних регистрах микросхемы, совмещенных с заранее заданным неким специфическим словом на шине данных и определенным словом на адресной шине. В работе [9] приводится конкретный пример, в котором для активации встроенной аппаратной закладки использовались определенные комбинированные наборы на входах ИС. В частности, это может быть определенный входной набор (код запуска трояна), объединяющий данные, управляющие команды, адреса и даже отдельные команды самотестирования.

Механизмы активации троянов на основе последовательностной логики

Аппаратный троян с активацией на основе последовательностной логики также запускается определенной последовательностью событий. Если сравнивать с «комбинационной» активацией, то активация на «последовательностной» логике имеет намного большее пространство состояний, так как триггерный механизм здесь может реализовываться с использованием классической теории конечного автомата. Так, в работе [9] отмечается, что поскольку конечный автомат обеспечивает логическую глубину, последовательность событий обычно описывается маловероятными логическими величинами, и обнаружить их во время тестирования и верификации ИС намного труднее.

Рис. 7.9. Принцип построения трояна на основе последовательной логики

Последовательный троян

Простейшим последовательностным триггером является стандартная схема синхронного счетчика рис. 7.9 которая активируется после совершения определенного количества циклов синхронизации. В работе [8] такие трояны справедливо названы «минами замедленного действия». В работе [10] также обсуждаются разные счетчики асинхронных последовательностей, в которых при определенных событиях осуществляется приращение, например, увеличение фронта импульса на выходе вентиля. Эти же авторы предполагают возможность использования злоумышленниками гибридного механизма активации, комбинируя синхронные и асинхронные триггеры.

В работе [11] рассматриваются так называемые «последовательные чит-коды». Например, к активации аппаратного трояна может приводит последовательность байт Oxd, Охе, Oxc, Оха, Oxf, Oxb, Оха, Oxd в течение различных восьми циклов синхронизации. При этом нет абсолютной необходимости в том, чтобы данные байты приходили последовательно, они могут быть сколь угодно далеко разнесены по времени (дни, месяцы и даже годы). Таким образом, активация аппаратного трояна может достигаться гораздо более сложной последовательностью событий.

Понятно, что задать алгоритм срабатывания последовательностного триггера не представляет особого труда для любого разработчика аппаратного трояна. Единственная проблема, связанная с увеличением сложности — это потребляемая трояном мощность и количество логических вентилей, необходимых для его реализации. В связи с этим экспертами были предложены возможные для использования злоумышленниками внутренние последовательностные механизмы активации, которые используют известные физические и аналоговые эффекты в ИС. Например, классические функции мониторинга температуры чипа или потребляемой мощности легко могут быть включены в механизм пусковой схемы. Более того, в работе [10] приводится конкретный пример такой схемы, состоящей всего лишь из электрической емкости, заряжающейся через резистор. Величина заряда и напряжение на емкости определяются активностью окружающей логики, которая в свою очередь с высокой вероятностью может отражать активность всей микросхемы. Аппаратная закладка запускается при достижении на емкости определенного значения порогового напряжения, что очень просто реализовать на практике.