Джек М. Жермен
24 июля 2020 4:00 утра PT
Контрафактное оборудование, особенно в корпоративные настройки, это постоянная проблема, которая часто остается незамеченной. Наличие такого оборудования в сети создает серьезные финансовые, эксплуатационные и риски для безопасности.
Компания F-Secure, специализирующаяся в области кибербезопасности, 15 июля выпустила отчет о расследовании, в котором подробно описываются поддельные коммутаторы Cisco Catalyst серии 2960-X. В докладе освещаются проблемы, с которыми сталкиваются организации, обнаружившие контрафактные устройства в своей ИТ-инфраструктуре.
Расследование было сосредоточено на паре контрафактных сетевых коммутаторов. Следователи определили, что подделки были разработаны для обхода процессов, которые аутентифицируют компоненты системы. Этот вывод подчеркивает проблемы безопасности, связанные с контрафактным оборудованием, согласно отчету.
Команда аппаратной безопасности F-Secure Consulting исследовала две разные поддельные версии коммутаторов Cisco Catalyst серии 2960-X. Подделки были обнаружены ИТ-компанией после того, как обновление программного обеспечения остановило их работу.
Это обычная реакция поддельного или модифицированного оборудования на новое программное обеспечение. По запросу компании F-Secure Consulting провела тщательный анализ подделок, чтобы определить последствия для безопасности.
«Подделка оборудования Cisco действительно является давней проблемой. Многочисленные предыдущие сообщения в СМИ достаточно хорошо это подчеркивают», — заявил TechNewsWorld Дмитрий Янушкевич, старший консультант отдела аппаратной безопасности F-Secure Consulting.
Отчет представляет собой подробный технический анализ того, как работают контрафактные устройства. Он показывает, как существующие IP могут быть скомпрометированы, продублированы и обойдена защита, чтобы сделать практически идеальные клоны существующих продуктов, добавил он.
Содержание статьи
Risky Business
Широкий спектр рисков связан с организациями, использующими ложные переключатели; включая финансовые, операционные и вопросы безопасности.
Финансовый риск в долгосрочной перспективе может оказаться более дорогостоящим, чем покупка оригинальных устройств. Это предполагает, что поддельные устройства приобретаются со скидкой в первую очередь. Согласно отчету, компании с контрафактными единицами не будут иметь действительных контрактов на поддержку или им может быть отказано в запросах на поддержку.
Операционный риск связан с вероятностью того, что блоки перестанут работать. Это может быть вызвано обновлениями прошивки или проблемами, которые не поддерживаются или не решаются поставщиком. Это, в свою очередь, приводит к серьезным простоям, которые могут сказаться на работе и средствах любой компании.
Отверстия безопасности
Пожалуй, наиболее значительным риском является нарушение безопасности. Поддельная единица может работать за пределами законных и аутентифицированных прошивок. Такое встроенное ПО может включать в себя преднамеренные «черные ходы», имплантированные для мониторинга и взлома сетевого трафика.
Имплантаты обхода аутентичности, даже без закулисных намерений, также могут создавать уязвимости, которые могут подорвать изначально запланированные меры безопасности встроенного ПО производителя. Подделка ослабляет защитную позицию устройства от известных или будущих атак на микропрограмму Cisco, поясняется в отчете F-Secure.
Кроме того, злоумышленникам было бы гораздо легче добиться настойчивости. Проверка подлинности уже нарушена при компрометации контрафактной единицы. Поддельные единицы могут быть легко изменены, чтобы ввести бэкдоры в организации.
Big Ticket Items
Подделка аппаратного обеспечения является серьезной проблемой как для компаний, производящих продукцию, так и для их клиентов, признал F-Secure, и она может стать прибыльным делом для плохих игроков.
Фальшивомонетчики постараются сократить каждый возможный угол, чтобы максимально снизить прямые производственные затраты. В результате получается продукт сомнительного качества и плохой осанки. В отчете отмечается, что это касается как первоначального производителя, так и потребителя такого продукта.
Основной мотив изготовления контрафактной продукции — это почти всегда деньги. Если фальшивомонетчики могут заработать, скажем, треть от цены оригинального устройства, это, скорее всего, стоит того, поскольку устройства, безусловно, достаточно дороги.
Напротив, бэкдор устройства для компрометации сети компании может быть дорогостоящим, высококвалифицированным заданием против выбранной цели, считают исследователи.
Результаты расследований
Следователи F-Secure обнаружили, что у поддельных устройств не было никаких бэкдор-подобных функций. Тем не менее, они применяли различные меры, чтобы обмануть систему безопасности.
Например, один из подразделений использовал то, что исследовательская группа считает ранее обнаруженной уязвимостью программного обеспечения, чтобы подорвать процессы безопасной загрузки, которые обеспечивают защиту от вмешательства во встроенное ПО.
«Мы обнаружили, что подделки были созданы, чтобы обойти меры аутентификации, но мы не нашли доказательств того, что подразделения представляли какие-либо другие риски», — сказал Янушкевич, ведущий автор отчета.
«Мотивы фальшивомонетчиков, скорее всего, сводились к тому, чтобы зарабатывать деньги на продаже устройств. Но мы видим, что мотивированные злоумышленники используют такой же подход к скрытным бэкдор-компаниям, поэтому важно тщательно проверять любое модифицированное оборудование», — пояснил он. ,
Убедительные копии
Подделки были физически и функционально похожи на подлинный коммутатор Cisco. Один из инженеров подразделения предполагает, что фальшивомонетчики либо вложили значительные средства в тиражирование оригинального дизайна Cisco, либо имели доступ к фирменной технической документации, чтобы помочь им создать убедительную копию, отмечает отчет.
Организации сталкиваются с серьезными проблемами безопасности, пытаясь смягчить последствия сложных подделок, таких как анализируемые в отчете, для безопасности, по словам руководителя аппаратной безопасности F-Secure Consulting Андреа Барисани
.
«Департаменты безопасности не могут позволить себе игнорировать оборудование, которое было подделано или модифицировано, поэтому им необходимо расследовать любые подделки, в которые их обманули», — пояснил Барисани.
Если вы не разберете аппаратное обеспечение и не исследуете его с нуля, организации не могут знать, оказало ли модифицированное устройство большее влияние на безопасность. Она пояснила, что в зависимости от ситуации воздействие может быть достаточно значительным, чтобы полностью подорвать меры безопасности, предназначенные для защиты безопасности, процессов и инфраструктуры организации.
Более сложно, чем пиратство программного обеспечения
Подделка аппаратного обеспечения может быть намного сложнее, чем пиратство программного обеспечения, по словам Томаса Хэтча, технического директора и соучредителя SaltStack.
«Подделка программного обеспечения — это легкая вещь. Просто поместите законное программное обеспечение за платный портал. Подделка оборудования не так широко распространена, но гораздо реже», — сказал он TechNewsWorld.
Аппаратные фальшивомонетчики используют несколько бизнес-моделей, но в основном они основаны на попытках заработать больше денег с неполноценными деталями. Это часто обусловлено тем, что продавцы имеют под рукой, когда пытаются ликвидировать детали.
«В целом это скорее условно, чем систематически», — сказал Хэтч.
Как защититься от контрафактной продукции
F-Secure предлагает следующие советы, чтобы помочь организациям не использовать контрафактные устройства:
- Источник всех ваших устройств от авторизованного посредники
- имеют четкие внутренние процессы и политики, которые управляют процессами закупок
- Убедитесь, что на всех устройствах запущено последнее доступное программное обеспечение, предоставленное поставщиками
- Обратите внимание на физические различия между различными единицами один и тот же продукт, какими бы тонкими они ни казались
Во многих случаях поддельные блоки выходят из строя после обновления программного обеспечения. Компании, использующие эти модели, могут также искать подозрительные выходные сообщения консоли, такие как шаги аутентификации, терпящие неудачу.
Ключевым выводом из этого отчета является то, что без строгих мер безопасности оборудования IP может быть скомпрометирован и взломан. Покупатели должны быть осторожны с архитектурой и реализацией безопасности, чтобы такие нарушения IP оставались невозможными для злоумышленников.
Cisco предоставляет инструмент проверки работоспособности серийного номера, чтобы помочь в таком обнаружении. Само существование такого инструмента подчеркивает, насколько актуальна эта проблема.
Необходимы активные шаги
Само по себе контрафактное оборудование является формой атаки по цепочке поставок. По словам Янушкевича из F-Secure, не существует быстрого и простого способа проверить, является ли устройство контрафактным.
«Чаще всего это требует тщательного осмотра наружных и внутренних частей. В противном случае они были бы подделкой, слишком очевидной для продажи», — отметил он.
Cisco имеет специальную команду по защите бренда, которая занимается контрафактом и отслеживает ситуацию. Несмотря на усилия Cisco по борьбе с волной контрафактного оборудования, бизнес поддельных продуктов представляется слишком прибыльным, чтобы отговорить злоумышленников.
Это также объясняет, почему в случае двух исследованных нами устройств значительное количество времени и навыков было использовано для изготовления поддельных устройств, заметил Янушкевич.
Покупатели электронного оборудования должны убедиться, что они покупают у уважаемых источников, таких как продавцы с положительной репутацией, добавил SaltStack's Hatch. Кроме того, они должны проверить, что они получили рекламируемый компонент, особенно при покупке подержанных товаров или с неизвестного сайта.
«Иногда подделка — близкая модель, но рекламируется как нечто немного дороже», — предупредил он.
Мотивы шпионского калибра?
Как правило, аппаратная подделка — это мошенничество, чтобы заработать деньги. Но это может быть эффективным способом сделать черные ходы, добавил Хэтч.
«Контрафактное оборудование использовалось спонсируемыми государством спецслужбами еще до Второй мировой войны. Мне известно, что этот метод использовался различными государственными спецслужбами в последние годы, поэтому я не вижу причин, по которым он не будет использоваться независимые актеры, а также "предложил он.
Установка вредоносного оборудования в центры обработки данных зачастую не так сложна, как думают люди, предупредил он.
Хэтч предложил несколько дополнительных шагов, чтобы не опередить потенциальные бэкдоры от сетевого оборудования:
- Проверьте свое оборудование и установленное программное обеспечение и прошивку
- Не стесняйтесь обновлять свое программное обеспечение и прошивки от того, что было отправлено с аппаратным обеспечением
- Мониторинг исходящего сетевого трафика на предмет аномалий или вещей, которые выглядят странно
"Во многих случаях шифрованное исходящее соединение только для менее «Стандартное местоположение — это то, что должно беспокоить», — сказал он. 
