Китайские закладки в российской боевой технике

Автор: ·

Китайские закладки в российской боевой технике

В последних числахНоября прошлого года наткнулся на статью в Комсомольской правде «В Россию поставляют ноутбуки-шпионы?», обращение в ней шла о защищенном ноутбуке Getac А790 Тайваньской компании Getac Technology.

На рисунке продемонстрирован данный «красивый мужчина»

В статье говорилось о наличии на этом компьютере предустановленной программе Computrace LoJack, созданной канадской компанией Absolute Software. Утверждалось, что программа приходит в активированном виде и сходу пробует подключиться к серверам в Канаде. Помимо этого компания производитель стимулировала продавцов техники в Российской Федерации для предоставления ей форвардной информации о клиентах данных защищенных компьютеров.

В заключении делался однозначный вывод о целевой акции потенциального соперника и утверждалось, что эти компьютеры активно используются в Российских вооруженных силах….

Прочтя статью в «Комсомолке» сходу отыскал в памяти о материале двухлетней давности посвященной данной же программе на сайте rom.by «BIOS-ный троян от Absolute Software». В том месте описывался работы и механизм размещения в БИОС программного модуля для сетевой активации программ удаленного мониторинга и управления вычислительной совокупностью. Так что тема не нова, легко кроме того в голову не имело возможности прийти, что такую «паленую» технику закупают армейские.

Заинтересовавшись зашел на сайт разработчика программы и просматриваю, — программа отправляет эти геолокации на удаленный сервер, имеет возможности удаленной стирания информации и блокировки компьютера с дисков по командам с серверов компании Absolute Software. Также вероятен полный цикл удаленного менеджмента ноутбука начиная от обновления БИОС, удаления и установки любых программ и заканчивая переустановкой ОС. Официальное назначение программы — предотвращение утечки данных и применения ноутбука при его кражи либо утраты.

Программная часть совокупности Computrace LoJack,складывается из двух модулей, первый прописывается в БИОС на этапе производства компьютера, а второй подгружается из сети , если обладатель компьютера решает воспользоваться программой Computrace LoJack. Причем данный сервис не бесплатен, необходимо платить порядка $50 за годовую подписку на услуги компании Absolute Software.

Альтруизм не характерен бизнесу, бесплатная активация платного сервиса показывает, что приобретаемая информация оправдывает денежные затраты (безвозмездно не означает «бесплатно»), кто платит за данные думаю также ясно…

Посмотрев на изображение защищенного ноутбука Getac А790 сходу вспомнился замеченный на площадке одного из клиентов подобный серый ящик, он был задвинут в угол, целый в пыли, и похоже в далеком прошлом не употреблялся. Захотелось «пощупать» машинку самому и в следующий приход к клиенту сходу направился к этому пыльному коробке.

Открываю и не веру своим глазам, это не ноутбук Getac А790, это если судить по шильдику на лицевой панели Российский компьютер МВК-2, более того, на этикетке все информацию о модели и производителе, где написано, что это изделие произведено компанией «ИнфоПро» в 2011году. Также на ноутбуке красуется голографический стикер спецпроверки.

Для незнающих поясню, спецпроверка и специсследования это нужные процедуры (и весьма дорогостоящие) чтобы техника показалась на тайных объектах и в армиях. По окончании этих испытаний техника считается надёжной с позиций утечек тайной и тайной информации и может употребляться на тайных и защищенных объектах.

Ящик заинтриговал и не включить его я просто не смог, руки сами потянулись к клавиатуре, включаю, на экране появляется заставка инициализации и сходу все делается на собственные места, — хороший вариант «бизнеса по русски».

Компания ИнфоПро кроме того не удосужилась переписать в БИОС собственную заставку инициализации и на русском компьютере МВК -2 гордо высвечивается наименование: Getac А790.

Я не поленился и заснял это «чудо» на мобильник, вот ОНО.

Сходу стало еще занимательнее, МВК-2 это вам не какой-то в том месте «левый» Getac А790. МВК-2 это Мобильный Вычислительный Комплекс,- главный защищенный компьютер Армии России, отечественная разработка, в армиях их тысячи, если не десятки тысяч…

Ну, по поводу отечественной отечественной сборки и разработки мне стало все сходу ясно, а вот имеется ли в том месте по окончании специсследований и спецпроверки (о чем свидейтельствовал голографический стикер) программы компании Absolute Software мне было весьма интересно. Воспользовавшись свободным временем, кроме того не задавая вопросы клиента (каюсь, безнравствен) просканировал БИОС на наличие сигнатуры программы Computrace LoJack, которую забрал из статьи на сайте rom.by. А также не удивился, в то время, когда их в том месте нашёл.

Инженеры ИнфоПро из БИОС собственных компьютеров ничего не удалили, а все особые изучения не распознали наличие в МВК-2 данной официальной «закладки».

Тупизна производителя поражала, имеется официальные программы для сборки/разборки БИОС, возможно любой модуль из БИОС удалить, или засунуть без неприятностей, что мешало экспертам ИнфоПро засунуть собственную заставку для экрана и вырезать скандальный модуль из БИОС? Эту процедуру освоили все отечественные сборщики, она не неповторима…

К сожалению машина не была подключена ни к Интернету ни к локальной сети, исходя из этого не удалось взглянуть сетевой активности на IP адресах, дабы узнать в каком состоянии находится сервис компании Absolute Software.

Единственное, что сделал, это сфотографировал экраны диспетчера устройств в программе Sandra, дабы на досуге разобраться с аппаратурой в мобильного вычислительного комплекса (как раз так официально именуется МВК-2). Было чувство, что кто-то $50 баксов за активацию программы Computrace LoJack платит не просто так, в данной штуковине имеется еще закладки.

Cразу обратил внимание на сетевой чип Broadcom установленный в МВК-2. По кодам производителя вышел на конкретную микросхему Broadcom BCM 5752.

Вот это фото.

Фактически у Broadcom целая линейка чипов ВСМ 57хх, помимо этого она производит и платы расширения с этими чипами на борту. Чипы этого семейства засветились на множестве хакерских сайтов, издание Хакер о нем писал в прошедшем сезоне как минимум два раза. Была статья «Руткит в сетевухе: фантазии программиста о создании непобедимого руткита» и более конкретная новость ссылаясь на успешный эксплоит: «Руткит в сетевой карте» французского исследователя.

В этом чипе имеется личная флеш-память (возможно подключить и дополнительно внешнюю флоеш-память на выделенном SPI интерфейсе), личная ОП, личный RISC процессор.

Вот официальная блок схема данной микросхемы:

Практически это компьютер в компьютере, причем программы, прошитые внутри его флеш-памяти, выполняются как на своем встроенном RISC процессоре, так и на центральном процессоре вычислительной установки, на протяжении инициализации совокупности (расширенный БИОС на периферийных контроллерах).

В соответствии с документации в микросхемы находится всего 16Кбайт флеш-памяти, но на внешнем интерфейсе возможно разместить дополнительно до 8Мбайт программ и данных. Воображаете какое количество в том направлении возможно «напихать» всего?

В связке с программой Computrace LoJack таковой сетевой чип может все, что угодно… Определить содержимое флеш-памяти этого чипа возможно лишь на инструментальном стенде, да да и то не факт, что это окажется. У меня снова начался приступ шпиономании, но уже не виртуальной, а сетевой.

Внимательно всматриваюсь в блок-схему чипа, возможно сообщить сверлю ее взором, и наконец, до меня доходит, — TPM Security Core – это же ТРМ модуль!, наблюдаю в документацию и совершенно верно, как раз в чипе ВСМ 5752 из этого семейства имеется встроенный ТРМ модуль стандарта 1.2, подключенный к LPC интерфейсу.

Наличие ТРМ модуля в Русском защищенном компьютере это нонсенс, законодательно не разрещаеться кроме того ввозить технику с этими модулями, единственный вариант, чип может находиться на плате, но должен быть физически отключен на этапе производства и быть в неработоспособном состоянии.

Формально запрет основан на применении в этих ТРМ модулях криптографических методов зарубежной разработки. Подлинная обстоятельство запрета, в том, что ТРМ модули это хранения ключей и средство генерации имеющих в корне цепочки доверия неповторимый для каждого чипа ключ (PRIVEK), что есть корневым ключом шифрования по RSA методу (его тайной частью).

Данный ключ неизвлекаем, его знают лишь производители чипа, и по идее никто более. Но, все производители крипто-средств обязательно имеют контакты со спец-работами, думаю не требуется растолковывать у кого будут храниться дубликаты этих ключей?.

Знание корневого ключа для конкретного ТРМ модуля разрешает расшифровать содержимое памяти ТРМ модуля и помимо этого, неизменно совершенно верно локализовать место конкретной вычислительной установки в сетевом пространстве.

Захотелось проверить наличие активности ТРМ модуля на МВК-2, сделать это легко, для этого имеется две возможности. В системных ASPI таблицах имеется особый объект, обрисовывающий наличие ТРМ модуля, но это лишь отметка в памяти. Устройство может находиться, а записи в таблицах о его наличии может и не быть, так что данный способ не хватает надежен и помимо этого в случае если его нет в таблицах, ОС его также не заметит и соответственно не будет применять.

Второй метод значительно надежнее, любое устройство взаимодействует с остальными компонентами вычислительной совокупности через регистры, в случае если эти регистры активны (их возможно просматривать и в них писать данные) то устройство работоспособно. По идее отключенный в условиях производства ТРМ модуль не должен иметь работоспособных регистров. Проверить это легко, все регистры ТРМ модуля стандарта 1.2 находятся на системной шине в фиксированном адресном пространстве 0FED4_0000h — 0FED4_FFFFh, это не я придумал, так написано в стандарте.

Опять включая исследуемый МВК-2 я уже имел под рукой программу для просмотра регистров на системной шине (собственного производства конечно).

Ожидаемый итог подтвердился, регистры ТРМ модуля были в рабочем состоянии. Лишь вот информация в них не соответствовала спецификации. В одном из активных регистров обнаружились Скан-коды клавиатуры…

Было похоже, что информация о сканкоде последней надавленной клавиши запоминается в регистрах, предназначенных для работы ТРМ модуля, а это уже напоминало аппаратный кейлоггер.

Вероятно ли такое, — в полной мере, потому, что контроллер клавиатуры и ТРМ модуль расположены на одном интерфейсе – LPC и данный интерфейс выполнен по схеме последовательного соединения всех устройств подключенных к нему. Практически ТРМ модуль был перевоплощён в сниффер, слушающий LPC шину и запоминающий в собственных регистрах данные с клавиатуры.

Кейлоггер в МВК-2 это само собой разумеется сильно, могу ли я ошибаться, — непременно, потому, что это предварительный итог внешнего изучения. Если бы удалось залезть вовнутрь данной машинки то возможно это или доказать, или опровергнуть, в любом случае необходимо разбираться, но у меня таковой возможности нет…

Закономерный вопрос, быть может кто уже разбирался и пришел к заключению что все нормально,- трудиться возможно?

Сомневаюсь, эксперты каковые не в состоянии поменять заставку в БИОС, не опытные про закладку в БИОС программы Computrace LoJack врядли кроме того знают о ТРМ модулях, не говоря уж о том, дабы разбираться в их спецификациях.

Так что эта непроверенная техника поступаетв Россию под гордым именем «Мобильный Вычислительный Комплекс МВК-2» и несет на своем борту и явную закладку и непроверенный аппаратный кейлоггер. А этими комплексами комплектуются очень важные объекты и изделия, вот один из примеров, скачанный из Интернет:

Подвижные узлы связи Р-849М1(М) и Р-986М

Р-849М1(М) рекомендован для обеспечения телефонной связи на маленьких, ультракоротких волнах на стоянке и в движении автомобиля операторам авиационных средств связи.

В изделии обеспечивается управление радиостанциями с главного пульта управления на базе мобильной ПЭВМ типа МВК-2, резервного пульта управления и дистанционное управление с выносного пульта, удаленного на расстояние до 200 м.

P.S.

Эта статья «вылеживалась» фактически год, но не требуется думать, что создатель все это время хранил данные в тайне, — отнюдь. Те, кому по долгу работы положено знать об этом, были сходу поставлены в известность.

Но повторилась история, обрисованная в первой статье про китайские закладки, не смотря на то, что начальники несущие ответственность за тему ИБ в Российской Федерации полностью сменились…..

Это говорит о незыблемости универсального правила перестановок в Российских бюрократических структурах информационной безопасности – от пересадок в креслах сущность не изменяется. Иначе говоря универсальное правило, обрисованное Крыловым еще двести лет тому назад, осталось неизменным, как и дороги, как и …….

Короли все равно обнажённые, а мне, хоть я отнюдь не «мальчик» приходится опять выступать в данной роли, и тыкать пальцем в непотребное.

Хоть и сменилось управление ИБ России, а подход к теме остался неизменным. Реакции на данные о аппаратных закладках в МВК-2 не было, и эта «паленая» техника до сих пор поступает на защищенные объекты.

Создатель: R_T_T

Случайная запись:

Китайские асы против российских: кадры конкурса «Авиадартс» в КНР


Статьи по теме:

Метки: