Коллектив авторов - Защита от хакеров корпоративных сетей

• по спецификации PCMCIA;

• инфракрасные;

• Ethernet/RJ45;

• USB;

• радио/антенны;

• последовательный/RS-232 порт (DB9);

• параллельный порт (DB25);

• iButton/однопроводной интерфейс.

Часто устройства снабжены интерфейсом расширения или программирования своих функций. Подобные интерфейсы не предназначены для повседневного использования пользователем, но для потенциального злоумышленника могут оказаться очень полезными. Обратите внимание на любые типы соединений, необычные отверстия, заслонки или конструктивные особенности блоков, которые могут подсказать расположение входов / выходов устройства или эксплуатационной панели, предназначенных для совершенствования или отладки устройства. Эти подсказки помогут выявить местоположение возможных малозаметных точек подключения к устройству для отладки или интерфейсов программирования. На рисунках 14.3 и 14.4 в качестве примера приведены два устройства: ключевой брелок, выполняющий функции аппаратного устройства идентификации, и «карманный» компьютер PDA. Корпуса этих устройств снабжены программным или тестирующим интерфейсом, который доступен всем пользователям. Показанные на рис. 14.3 точки тестирования имеют вид пяти точек медного цвета, которые становятся доступными после простого удаления небольшой пластмассовой замазки с задней части корпуса. После исследования или использования точек тестирования замазка может быть заменена на новую, уничтожая все улики вмешательства. На рисунке 14.4 показаны семь отверстий в пластмассовом корпусе устройства (они расположены в нижней части правой фотографии), которые позволяют воспользоваться точками тестирования при закрытом корпусе.

Рис. 14.3. Внешний интерфейс в задней части корпуса ключевого брелока RSA SecurID Hardware Authenticator Key

Рис. 14.4. Внешний интерфейс исследования «карманного» компьютера PDA BlackBerry 957 Device

Устройство может быть легко взломано или модифицировано, если через подобные интерфейсы передается важная информация или если интерфейсы используются для управления устройством или его программирования, но при этом полностью игнорируются требования безопасности и аутентификации или же на них обращается минимум внимания. Например, операционная система Palm для передачи системного пароля через последовательный порт во время операции HotSync использует не самые лучшие средства (для более подробных сведений см. пункт «Криптоанализ и методы запутывания»).

Анализ протокола

Передача данных может происходить как между элементами печатной платы, так и через внешний интерфейс с внешним миром. Понимание используемых при передаче данных методов является наиболее трудной частью хакинга аппаратных средств. В случае успеха это позволит отыскать важную информацию, управлять устройством или перепрограммировать его.

Контролировать неизвестные протоколы можно с помощью цифрового осциллографа или анализатора логических состояний (более подробные сведения можно узнать из пункта «Необходимый набор инструментов»). С их помощью передаваемые данные можно сначала перехватить, а затем сохранить для последующего анализа. Для анализа известных протоколов используются специализированные анализаторы протоколов. Атака на известный протокол может быть основана на генерации анализатором протокола деформированных или преднамеренно плохих пакетов с последующим наблюдением за результатами. Если управляющее устройством программное обеспечение правильно не обрабатывает ошибки или неверные пакеты (другими словами, не соответствует спецификации протокола), то ошибка может вызвать непредусмотренную операцию, полезную для злоумышленника. Для различных механизмов передачи данных разработано большое количество протоколов и спецификаций.

В спецификациях универсальной последовательной шины USB (www.usb.org) определены технические детали, определяющие предъявляемые требования к механическим и электронным компонентам USB-устройств и проектированию USB-совместимых устройств. USB Snoopy (www.jps.net/~koma) является ориентированным на выполнение в среде Windows инструментарием мониторинга с функциями анализатора протокола, который можно использовать как недорогую альтернативу решениям на основе аппаратных средств. Этот инструментарий перехватывает и отображает весь USB-трафик данных и чрезвычайно полезен для определения информации, передаваемой на ведущий компьютер и наоборот. Использование подобного инструментария может помочь в разгадке ожидаемых устройством команд или ожидаемого им формата данных. Поэтому с помощью этого инструментария можно попытаться послать устройству «недокументированные» команды или данные и обнаружить какие-нибудь аномалии.

Инфракрасный интерфейс (IR) является формой беспроводного способа передачи данных, который разработан для непосредственно соприкасающихся устройств и двухточечных линий связи. Инфракрасный интерфейс обычно используется в «карманных» компьютерах и сотовых телефонах для передачи телефонных номеров, данных записной книжки, дат, книг и других списков информации между устройством и ведущим компьютером. Ассоциация передачи данных в инфракрасном диапазоне (IrDA) опубликовала стандарт (www.IrDA.org), который является наиболее популярным стандартом передачи данных в инфракрасном диапазоне. Стандарт поддерживает широкий диапазон аппаратуры, вычислительных устройств и устройств связи.

Рис. 14.5. Пример отображения инструментальным средством PortMon данных, передаваемых через последовательный порт

За несколько лет последовательный и параллельный интерфейсы подключения устройств стали менее популярны. В течение этого времени внешние устройства были заменены на более новые устройства с инфракрасным или USB-интерфейсом. Но передачу данных в последовательном или параллельном формате можно реализовать очень просто, для этого требуется минимум накладных расходов. Инструментальное средство PortMon компании Sysinternals (www.sysinternals.com/ntw2k/freeware/portmon.shtml) контролирует и отображает работу всех последовательных и параллельных портов системы. Подобно USB Snoopy это инструментальное средство полезно для исследования передачи данных между ведущим компьютерным и анализируемым устройством.

Беспроводные технологии становятся очень популярными. Увеличивается число реализовавших их устройств. В большинстве случаев протоколы беспроводных технологий определяют передачу данных в открытом виде, что позволяет злоумышленнику контролировать трафик малыми силами. Так обстоит дело с пейджинговыми протоколами (POCSAG и FLEX), протоколом управления воздушным движением (ACARS), полицейскими и мобильными терминалами данных (MDC4800) и заслуживающими особого внимания двухсторонними пейджерами, как, например, пейджеры Research In Motion\'s BlackBerry (Mobitex). Протокол 802.11b wireless Ethernet (http://standards.ieee.org/getieee802) является наиболее популярным протоколом для сетевых устройств с беспроводным интерфейсом. Разработанное компанией WildPackets программное инструментальное средство Airopeek (www.wildpackets.com/products/airopeek) предназначено для анализа сетевого трафика в сетях, работающих по протоколу 802.11b wireless. Другим основанным на этом же протоколе программным средством мониторинга и анализа сетевого трафика является разработка Sniffer Technologies под названием Sniffer Wireless (www.sniffer.com/products/sniffer-wireless). Bluetooth (www.Bluetooth.com) и HomeRF (www.HomeRF.org) являются двумя потребительскими продуктами, ориентированными на работу по беспроводным протоколам. Каждый из них работает в 2,4 ГГц полосе частот и использует технологию сигнала с изменяющейся несущей (скачкообразной смены рабочей частоты) FHSS (Frequency Hopping Spread Spectrum).