Аппаратный троян

Вредоносное ПО, встроенное в оборудование; его сложнее обнаружить и устранить, чем уязвимости программного обеспечения

Аппаратный троян ( HT ) — это вредоносная модификация схемы интегральной схемы . Аппаратный троян полностью характеризуется своим физическим представлением и поведением. Полезная нагрузка HT — это вся деятельность, которую троян выполняет при срабатывании. В общем, трояны пытаются обойти или отключить защитный барьер системы: например, утечка конфиденциальной информации посредством радиоизлучения . HT также могут отключить, повредить или уничтожить весь чип или его компоненты.

Аппаратные трояны могут внедряться как скрытые «входные двери», которые вставляются во время проектирования компьютерного чипа , используя предварительно изготовленное ядро ​​интеллектуальной собственности полупроводниковой интегральной схемы специального назначения (ASIC) , которое было приобретено у ненадежного источника, или внедряться внутри компании недобросовестным сотрудником, действующим либо самостоятельно, либо от имени недобросовестных групп с особыми интересами, либо в целях спонсируемой государством слежки и шпионажа. ^[1]

В одной из статей, опубликованных IEEE в 2015 году, объясняется, как конструкция оборудования, содержащая троян, может привести к утечке криптографического ключа через антенну или сетевое соединение, при условии, что для активации утечки данных применяется правильный триггер «пасхального яйца». ^[2]

В правительственных ИТ-отделах с высоким уровнем безопасности аппаратные трояны являются хорошо известной проблемой при покупке оборудования, такого как: KVM-переключатель , клавиатуры, мыши, сетевые карты или другое сетевое оборудование. Это особенно актуально при покупке такого оборудования из ненадежных источников, которые могли разместить аппаратные трояны для утечки паролей клавиатуры или обеспечения удаленного несанкционированного доступа. ^[3]

Фон

В разнообразной глобальной экономике аутсорсинг производственных задач является распространенным способом снижения стоимости продукта. Встроенные аппаратные устройства не всегда производятся фирмами, которые их проектируют и/или продают, и не всегда в той же стране, где они будут использоваться. Аутсорсинг производства может вызвать сомнения относительно доказательств целостности произведенного продукта (т. е. уверенности в том, что конечный продукт не имеет никаких изменений в конструкции по сравнению с его исходным дизайном). Любой, кто имеет доступ к производственному процессу, теоретически может внести некоторые изменения в конечный продукт. Для сложных продуктов небольшие изменения с большими эффектами могут быть труднообнаружимы.

Угроза серьезного, злонамеренного изменения дизайна может быть особенно актуальна для государственных учреждений. Разрешение сомнений относительно целостности оборудования является одним из способов снижения уязвимости технологий в военном , финансовом , энергетическом и политическом секторах экономики . Поскольку изготовление интегральных схем на ненадежных заводах является обычным явлением, появились передовые методы обнаружения, позволяющие обнаружить, когда противник спрятал дополнительные компоненты или иным образом нарушил работу схемы.

Характеристика аппаратных троянов

HT можно охарактеризовать несколькими методами, такими как его физическое представление, фаза активации и фаза действия. Альтернативные методы характеризуют HT по триггеру, полезной нагрузке и скрытности.

Физические характеристики

Одной из физических характеристик трояна является тип. Тип трояна может быть как функциональным, так и параметрическим. Троян становится функциональным, если злоумышленник добавляет или удаляет любые транзисторы или вентили в исходной конструкции чипа. Другой тип трояна, параметрический троян, изменяет исходную схему, например, утончая провода, ослабляя триггеры или транзисторы, подвергая чип воздействию радиации или используя сфокусированные ионные пучки (FIB) для снижения надежности чипа.

Размер трояна — это его физическое расширение или количество компонентов, из которых он состоит. Поскольку троян может состоять из многих компонентов, разработчик может распределить части вредоносной логики на чипе. Дополнительная логика может занимать чип там, где это необходимо для изменения, добавления или удаления функции. Вредоносные компоненты могут быть разбросаны, что называется свободным распределением, или состоять всего из нескольких компонентов, что называется плотным распределением, поэтому область, где вредоносная логика занимает макет чипа, мала.

В некоторых случаях, злоумышленники, прилагающие большие усилия, могут перегенерировать макет так, чтобы изменить размещение компонентов ИС. В редких случаях изменяется размер чипа. Эти изменения являются структурными.

Характеристики активации

Типичный троян основан на условиях: он активируется датчиками , внутренними логическими состояниями, определенным шаблоном ввода или внутренним значением счетчика. Трояны, основанные на условиях, в некоторой степени обнаруживаются по следам питания, когда они неактивны. Это происходит из-за токов утечки, генерируемых схемой триггера или счетчика, активирующей троян.

Аппаратные трояны могут быть запущены разными способами. Троян может быть активирован изнутри, что означает, что он отслеживает один или несколько сигналов внутри ИС . Вредоносная схема может ждать логики обратного отсчета, которую злоумышленник добавил в чип, так что троян просыпается через определенный промежуток времени. Противоположность этому — внешняя активация. Внутри чипа может быть вредоносная логика, которая использует антенну или другие датчики, к которым противник может получить доступ извне чипа. Например, троян может находиться внутри системы управления крылатой ракеты . Владелец ракеты не знает, что противник сможет отключить ракеты по радио .

Постоянно включенный троян может быть сокращенным проводом. Чип, модифицированный таким образом, выдает ошибки или выходит из строя каждый раз, когда провод интенсивно используется. Постоянно включенные схемы трудно обнаружить с помощью трассировки питания.

В этом контексте различают комбинационные трояны и последовательные трояны. Комбинационный троян отслеживает внутренние сигналы до тех пор, пока не произойдет определенное условие. Последовательный троян также является внутренне активируемой схемой на основе условий, но он отслеживает внутренние сигналы и ищет последовательности, а не определенное состояние или условие, как это делают комбинационные трояны.

Извлечение криптографического ключа

Для извлечения секретных ключей с помощью аппаратного трояна без его обнаружения необходимо, чтобы троян использовал случайный сигнал или какую-либо криптографическую реализацию.

Чтобы избежать хранения криптографического ключа в самом трояне и сокращения, можно использовать физическую неклонируемую функцию . ^[4] Физические неклонируемые функции имеют небольшой размер и могут иметь одинаковую компоновку, тогда как криптографические свойства различаются.

Характеристики действия

HT может изменить функцию чипа или изменить его параметрические свойства (например, вызвать задержку процесса). Конфиденциальная информация также может быть передана противнику (передача ключевой информации).

Трояны периферийных устройств

Относительно новым вектором угроз для сетей и сетевых конечных точек является HT, появляющийся как физическое периферийное устройство, которое предназначено для взаимодействия с сетевой конечной точкой с использованием утвержденного протокола связи периферийного устройства. Например, клавиатура USB , которая скрывает все вредоносные циклы обработки от целевой сетевой конечной точки, к которой она подключена, связываясь с целевой сетевой конечной точкой с использованием непреднамеренных каналов USB. После того, как конфиденциальные данные эксфильтрованы из целевой сетевой конечной точки в HT, HT может обработать данные и решить, что с ними делать: сохранить их в памяти для последующего физического извлечения HT или, возможно, эксфильтровать их в Интернет с использованием беспроводной связи или использования скомпрометированной сетевой конечной точки в качестве опорной точки. ^{[5] [6]}

Потенциальная угроза

Обычный троян пассивен большую часть времени использования измененного устройства, но активация может нанести фатальный ущерб. Если троян активирован, функциональность может быть изменена, устройство может быть уничтожено или отключено, он может слить конфиденциальную информацию или разрушить безопасность. Трояны скрытны, это означает, что предварительным условием для активации является очень редкое событие. Традиционных методов тестирования недостаточно. Производственный брак происходит в случайном месте, в то время как вредоносные изменения хорошо размещены, чтобы избежать обнаружения.

Обнаружение

Физический осмотр

Сначала разрезается формовочное покрытие, чтобы раскрыть схему. Затем инженер многократно сканирует поверхность, шлифуя слои чипа. Существует несколько операций для сканирования схемы. Типичные методы визуального контроля: сканирующая оптическая микроскопия (SOM), сканирующая электронная микроскопия (SEM), ^[7] пикосекундный анализ схем визуализации (PICA), контрастное изображение напряжения (VCI), изменение напряжения, вызванное светом (LIVA) или изменение напряжения, вызванное зарядом (CIVA). Чтобы сравнить план этажа чипа, необходимо сравнить его с изображением самого чипа. Это все еще довольно сложно сделать. Чтобы обнаружить троянское оборудование, которое включает в себя (крипто) ключи, которые отличаются, можно сделать разность изображений, чтобы выявить различную структуру на чипе. Единственный известный аппаратный троян, использующий уникальные криптоключи, но имеющий одинаковую структуру, — это. ^[8] Это свойство повышает необнаруживаемость трояна.

Функциональное тестирование

Этот метод обнаружения стимулирует входные порты чипа и контролирует выход для обнаружения производственных дефектов. Если логические значения выхода не соответствуют подлинному шаблону, то может быть обнаружен дефект или троян.

Встроенные тесты

Методы встроенного самотестирования (BIST) и проектирования для тестирования (DFT) добавляют схему (логику) в чип, предназначенный для проверки того, что чип в том виде, в котором он построен, реализует свою функциональную спецификацию. Дополнительная логика контролирует входной стимул и внутренние сигналы или состояния памяти, как правило, путем вычисления контрольных сумм или путем раскрытия внутренних регистров с помощью настраиваемой техники сканирования . В то время как DFT обычно координируется с каким-либо внешним механизмом тестирования, чипы с поддержкой BIST включают в себя пользовательские генераторы тестовых шаблонов. Функциональность BIST часто существует для выполнения проверки на высокой скорости (высокоскоростной), когда невозможно использовать цепочки сканирования или другие низкоскоростные возможности DFT. Оба метода изначально были разработаны для обнаружения производственных ошибок, но также имеют обоюдоострый потенциал для обнаружения некоторых эффектов вредоносной логики на чипе или для использования вредоносной логикой для скрытой проверки удаленного состояния внутри чипа.

Рассмотрим, как DFT распознает непреднамеренную логику. При управлении входами DFT подлинный чип генерирует знакомую сигнатуру, но дефектный или измененный чип отображает неожиданную сигнатуру. Сигнатура может состоять из любого количества выходных данных чипа: целая цепочка сканирования или промежуточный результат данных. В контексте обнаружения троянов логику DFT можно рассматривать как алгоритм шифрования: использование входных данных DFT в качестве ключа для подписи сообщения, полученного из поведения тестируемой конструкции. В контексте предотвращения вторжений функции BIST или DFT обычно отключаются (путем аппаратной перенастройки) за пределами производственной среды, поскольку их доступ к внутреннему состоянию чипа может подвергнуть его функцию скрытому наблюдению или подрывной атаке.

Анализ побочных каналов

Каждое электрически активное устройство испускает различные сигналы, такие как магнитные и электрические поля. Эти сигналы, которые вызваны электрической активностью, можно анализировать, чтобы получить информацию о состоянии и данных, которые обрабатывает устройство. Разработаны передовые методы измерения этих побочных эффектов, и они очень чувствительны ( атака по сторонним каналам ). Следовательно, можно обнаружить тесно связанные трояны с помощью измерения этих аналоговых сигналов. Измеренные значения можно использовать в качестве сигнатуры для анализируемого устройства. Также часто оценивается набор измеренных значений, чтобы избежать ошибок измерения или других неточностей. ^[9]

Смотрите также

• ФДИВ
• Аппаратный бэкдор
• Аппаратное запутывание
• Аппаратная безопасность
• Выключатель аварийного отключения
• Физическая неклонируемая функция (PUF)
• Переключатель безопасности
• Intel Management Engine

Дальнейшее чтение

• Майнак Банга и Майкл С. Сяо: Региональный подход к идентификации аппаратных троянов, Брэдли Факультет электротехники и вычислительной техники, Вирджинский технологический институт, Host'08, 2008
• AL D'Souza и M. Hsiao: Диагностика ошибок последовательных схем с использованием модели на основе регионов, Труды конференции IEEE VLSI Design Conference, январь 2001 г., стр. 103–108.
• C. Fagot, O. Gascuel, P. Girard и C. Landrault: О расчете эффективных LFSR-семян для встроенного самотестирования, Proc. Of European Test Workshop, 1999, стр. 7–14
• G. Hetherington, T. Fryars, N. Tamarapalli, M. Kassab, A. Hassan и J. Rajski: Logic BIST для крупных промышленных проектов, реальные проблемы и тематические исследования, ITC, 1999, стр. 358–367
• WT Cheng, M. Sharma, T. Rinderknecht и C. Hill: Диагностика на основе сигнатур для Logic BIST, ITC 2006, октябрь 2006 г., стр. 1–9
• Раджат Субхра Чакраборти, Сомнат Пол и Сваруп Бхуния: Прозрачность по требованию для улучшения обнаружения аппаратных троянов, Кафедра электротехники и компьютерных наук, Университет Кейс Вестерн Резерв, Кливленд, Огайо, США
• Йер Джин и Йоргос Макрис: Обнаружение аппаратных троянов с помощью отпечатка задержки пути, Кафедра электротехники Йельского университета, Нью-Хейвен
• Реза Рад, Мохаммад Техранипур и Джим Плюскеллик: Анализ чувствительности к аппаратным троянам, использующим переходные сигналы источника питания, 1-й международный семинар IEEE по аппаратно-ориентированной безопасности и доверию (HOST'08), 2008 г.
• Дакши Агравал , Сельчук Бактир, Дениз Каракоюнлу, Панкадж Рохатги и Берк Сунар: Обнаружение троянов с использованием отпечатков микросхем, Исследовательский центр IBM TJ Watson, Йорктаун-Хайтс, Электротехническая и компьютерная инженерия, Вустерский политехнический институт, Вустер, Массачусетс, 10 ноября 2006 г.
• P. Song, F. Stellari, D. Pfeiffer, J. Culp, A. Weger, A. Bonnoit, B. Wisnieff, T. Taubenblatt: MARVEL — Распознавание и проверка вредоносных изменений с помощью излучения света, Международный симпозиум IEEE по аппаратно-ориентированной безопасности и доверию (HOST), стр. 117–121, 2011 г.
• Сяосяо Ван, Мохаммад Техранипур и Джим Плюскеллик: Обнаружение вредоносных включений в защищенное оборудование, проблемы и решения, 1-й международный семинар IEEE по безопасности и доверию, ориентированным на оборудование (HOST'08), 2008 г.
• Мирон Абрамович и Пол Брэдли: Безопасность интегральных схем — новые угрозы и решения
• Чжэн Гун и Марк Икс. Маккес: Аппаратные троянские побочные каналы на основе физических неклонируемых функций - Теория и практика информационной безопасности. Безопасность и конфиденциальность мобильных устройств в беспроводной связи 2011, Конспект лекций по информатике 6633, стр. 294-303.
• Василиос Мавроудис, Андреа Черулли, Петр Свенда, Дэн Цврчек, Душан Клинец, Джордж Данезис. Прикосновение зла: высоконадежное криптографическое оборудование из ненадежных компонентов. 24-я конференция ACM по компьютерной и коммуникационной безопасности, Даллас, Техас, 30 октября — 3 ноября 2017 г.
• Синму Ван, АТАКИ ТРОЯНСКИХ АППАРАТНЫХ ПРОГРАММ: АНАЛИЗ УГРОЗ И НЕДОРОГОЙ КОНТРМЕРЫ С ПОМОЩЬЮ ОБНАРУЖЕНИЯ БЕЗ GOLDEN И БЕЗОПАСНОГО ПРОЕКТИРОВАНИЯ, CASE WESTERN RESERVE UNIVERSITY.

Ссылки

1. Обнаружение аппаратных троянов с помощью отслеживания потока информации на уровне шлюза, Вэй Ху и др., публикация IEEE, 2015 г.
2. Обнаружение аппаратных троянов с помощью отслеживания потока информации на уровне шлюза, Вэй Ху и др., публикация IEEE, 2015 г.
3. Создание троянского оборудования дома, BlackHat Asia 2014
4. Цзэн Гун и Марк X. Маккес «Аппаратные троянские побочные каналы, основанные на физических неклонируемых функциях», WISTP 2011, LNCS 6633 стр. 293-303 doi :10.1007/978-3-642-21040-2_21
5. Дж. Кларк, С. Леблан, С. Найт, Взлом через аппаратное троянское устройство на базе USB, Future Generation Computer Systems (2010) (в печати). doi :10.1016/j.future.2010.04.008
6. Джон Кларк, Сильвен Леблан, Скотт Найт, «Аппаратное троянское устройство на основе непреднамеренных каналов USB», Сетевая и системная безопасность, Международная конференция по безопасности сетей и систем, стр. 1-8, 2009 Третья международная конференция по сетевой и системной безопасности, 2009. doi :10.1109/NSS.2009.48
7. Свэпп, Сьюзен. «Сканирующая электронная микроскопия (СЭМ)». Университет Вайоминга.
8. Цзэн Гун и Марк X. Маккес «Аппаратные троянские побочные каналы, основанные на физических неклонируемых функциях», WISTP 2011, LNCS 6633 стр. 293-303 doi :10.1007/978-3-642-21040-2_21
9. Tehranipoor, Mohammad; Koushanfar, Farinaz (2010). «Обзор таксономии и обнаружения аппаратных троянов». IEEE Design & Test of Computers . 27 : 10–25. doi :10.1109/MDT.2010.7. S2CID  206459491.

Внешние ссылки

• «Лекция об аппаратных троянах — Университет Флориды», архив 17 июля 2020 г., Wayback Machine
• Сайт «Trust-hub»