А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Такой активационный триггер может быть как цифровым, так и аналоговым. Эксперты отмечают, что аналоговую активацию предпочтительно использовать с целью увеличения скрытности и сложности обнаружения трояна. Злоумышленник также без затруднения может использовать несколько индивидуальных триггеров последовательностного типа для активации различных троянов в ИС.

Активация троянов на основе использования элементов последовательностной логики может предусматривать как контентные, так и временные события. В работе [11] исследовались такие триггеры, когда активация трояна происходит только при определенных контентных данных и только в определенное время. Для простого активационного триггера было показано, что время тестирования, за которое можно с достаточно большой вероятностью активировать такой троян, составляет не менее 1035 лет: здесь рассматривалась вероятность определения такой комбинации определенных числовых кодов, вводимых с клавиатуры за определенный интервал времени. Только этот конкретный пример показывает всю сложность проблемы обнаружения трояна.

Авторы [11], «став на место злоумышленника», предложили также «температурный триггер». Принцип его действия заключается в следующем. Активность определенных участков ИС на кристалле фактически, с высокой вероятностью, модулирует частоту кольцевого генератора, выполненного на инверторах. В свою очередь, частота стандартного кольцевого генератора, построенного на используемых в микросхеме элементах, определяет тепловыделение, которое влияет на задержку в некотором другом подобном кольцевом генераторе. При достижении определенной величины задержки переключения кольцевого генератора происходит активация аппаратной закладки. Совершенно очевидно, что похожие механизмы могут быть построены на использовании в качестве сигнала для активации электромагнитных или радиочастотных помех, частоты или потребляемой мощности логической схемы, а так же временной характеристики потребляемой мощности определенных участков ИС.

Аппаратные трояны с внешней активацией

Механизмы внешней активация подразумевает некое взаимодействие встроенного аппаратного трояна с внешней средой, отличной от информационной или управляющей системы, в которую внедрен троян. Преимущества использования внешних триггеров для атакующего заключается в том, что активация инициируется источником, расположенным вне системы и поэтому не зависящим от нее [12]. В этой же работе приводятся примеры радиочастотных приемников и специальных антенн приема внешнего сигнала, внедренных непосредственно в «зараженный» прибор.

Так, в работе [9] рассматриваются физически встроенные в чип сенсоры, которые могут осуществлять постоянный мониторинг физических параметров: температуры, электрического напряжения, электромагнитных помех, влажности и даже высоты над уровнем моря. Активационные механизмы с подобными сенсорами на чипе специалисты по кибербезопасности часто называют «триггерами побочного канала» по аналогии с технологиями получения информации в электронных приборах без непосредственного влияния на них [13].

Многие другие известные внешние механизмы активации аппаратных троянов микросхем основаны на непосредственном взаимодействии с некоторым целевым прибором («активатором»). Также активация может быть инициализирована каким-то «прикрепленным» компонентом информационной бортовой системы, например дополнительной памятью.

Постоянно активные аппаратные трояны

Существуют и такие аппаратные закладки микросхем, которые всегда активны и не могут быть активированы или дезактивированы каким-то специальным триггерным механизмом. Возможны также аппаратные трояны, которые автоматически вносят «незаметные» изменения в спецификацию, функциональные возможности или систему синхронизации и абсолютно не нуждаются в триггерном механизме. В качестве примера таких постоянно действующих троянов можно привести аппаратную закладку, производящую утечку данных через побочный канал, который отражает активность специфической ИС.

Такие постоянно активные аппаратные закладки могут иметь и более «тонкие» триггерные механизмы запуска. В работе [12] обсуждается вариант такой модификации топологии, при которой отдельные узлы или части ИС имеют большую вероятность отказа, то есть можно говорить, что триггерный механизм постоянно действует и приводит к постепенной деградации рабочих характеристик ИС. В уже упоминаемой выше работе [7] рассматриваются некоторые возможные модификации в ИС, в результате работы которых она выходит из строя после определенного периода эксплуатации с заданной длительностью от нескольких месяцев до года и даже более. Примеры таких аппаратных троянов — преднамеренные (заказанные злоумышленниками) изменения в технологическом процессе изготовления микросхемы, приводящие к ухудшению надежности ИС. Трудность их обнаружения связана с тем, что вносимые изменения не влияют на параметры ИС, которые находятся в допустимых пределах, характерных для технологического процесса. Поскольку такие трояны постоянно активны, они не имеют побочных активационных эффектов, таких как изменения шумовых характеристик ИС, изменения характера потребляемой мощности или температуры.

Очевидно, что подобные изменения в техпроцессе изготовления микросхемы в серийном производстве не может выполнить какой-то один недобросовестный инженер-технолог, но эту процедуру вполне могут реализовать специалисты-агенты стран «потенциального противника».

Следует отметить и тот факт, что разработчику аппаратного трояна достаточно просто создать триггерный механизм активации, который будет трудно обнаружить, поскольку он может использовать огромное пространство состояний системы, в которую внедряется троян. Это пространство состояний включает все внутренние узлы логических схем, входов и выходов ИС, модификацию топологии ИС, вариации технологических процессов, аналоговые эффекты электроники в ИС. Гибридные механизмы, совмещающие некоторые или все известные триггерные принципы, делают работу по обнаружению аппаратных троянов все более трудной. Общее мнение исследователей сегодня сводится к тому, что постоянно действующие аппаратные трояны намного более трудны для обнаружения по сравнению со сложными конструкциями триггерных механизмов для предотвращения случайной активации или активации во время тестирования.

В заключение этого раздела следует отметить, что технически задача внести и активировать аппаратные трояны становится все проще с увеличением пространства состояний, повышением параллельности вычислений, усложнением внутренней разводки и возрастанием числа входов-выходов современных ИС. В таких условиях аппаратный троян может быть глубоко скрыт внутри конструкции ИС и очень трудно поддаваться обнаружению. Необходимо также с сожалением отметить, что разработки, направленные на предотвращение внесения аппаратных троянов на этапе проекта или изготовления ИС, все еще находятся в зачаточном состоянии, а информация об эффективных разработках в последние годы не публикуется в открытой научно-периодической печати.