Opensource is geen wondermiddel

Een spreker op het Chaos Communication Congress vroeg zich af of het gebruik van opensource-hardware vertrouwensproblemen bij hardware kan oplossen.

Nu veel mensen geloven dat opensource-software veiliger is dan private software, zien we ook pogingen om een vergelijkbare theorie toe te passen op de ontwikkeling van hardware. Bij het 36e Chaos Communication Congress (36C3), de hackersconferentie van vorige maand, spraken de experts Andrew “bunnie” Huang, Sean “xobs” Cross en Tom Marble hun twijfels uit over of het gebruik van opensource-ontwikkeling genoeg is om vertrouwensproblemen bij hardware op te lossen. Huang sprak uitvoerig over het onderwerp.

Verschillen tussen hardware en software op het gebied van vertrouwen

De veiligheid van opensource-software zit hem niet alleen in de openheid, maar ook in de veelgebruikte tools die helpen om ervoor te zorgen dat het programma dat u uiteindelijk met deze software draait trouw is aan de gepubliceerde broncode. Programmeurs ondertekenen hun software bijvoorbeeld met een digitaal certificaat, en het systeem controleert het certificaat vóór het draaien van de software op de computer van een gebruiker.

Met hardware is dit een ander verhaal. Aangezien er geen hardware-equivalent bestaat voor hashing of digitale handtekeningen, hebben gebruikers geen tools om de authenticiteit van de hardware te vergelijken met de gepubliceerde informatie over die hardware. De laatste keer dat een apparaat of chip wordt gecontroleerd, is in de fabriek. En hoe langer de periode tussen de fabriekscontrole en het gebruik van het apparaat, hoe groter de kans op een succesvolle MITM-aanval.

Wat kan er misgaan?

Over het algemeen kan er werkelijk waar van alles gebeuren met chips of hele apparaten vanaf het moment dat ze de fabriek verlaten tot ze voor het eerst gebruikt worden.  Ten eerste kan de firmware worden vervangen. (Natuurlijk, firmware is eigenlijk een software-probleem, dus dat kan worden gecontroleerd, maar dan moet u nog altijd op de hardware vertrouwen tijdens die controle.) Daarom concentreerde Huang zich vooral op problemen (vervanging van componenten, modificaties en implantaten) die puur en alleen met de hardware te maken hebben.

Het toevoegen van componenten

Er past tegenwoordig een volledig ongeautoriseerde module in de oplaadkabel van een usb-aansluiting. Het is natuurlijk nóg makkelijker om met geavanceerdere apparaten met meerdere componenten te rommelen, aangezien er dan meer ruimte is voor implantaten. Het enige goede nieuws hier is dat het betrekkelijk eenvoudig is om een toegevoegde chip te detecteren.

Het vervangen van componenten

De eenvoudigste verwisseltruc is om met de merknaam te knoeien. Een voorbeeld dat echt is gebeurd: een zich vreemd gedragende microcontroller liet bij een visuele check het juiste merk zien (STMicroelectronics) op een volledig andere chip. Het bedrog zat hem in een dure component die was vervangen door een goedkope, maar de goedkopere component had van alles kunnen bevatten.

Chipmodificatie

Mensen denken vaak dat chips niet kunnen worden gemodificeerd zodra ze de fabriek verlaten, maar dat is niet waar. Vaak is wat we als één enkele chip zien in werkelijkheid een geheel van aparte microchips in één pakket. Een ervaren kwaadwillende kan dezelfde technologie gebruiken om nóg een stukje silicium aan hetzelfde pakket toe te voegen en deze te verbinden met bestaande contacten.

 

 

Chip-op-chip-implantaat. Image source

 

Het materiaal dat nodig is om dit te doen is relatief goedkoop en vrij beschikbaar (volgens de spreker kost een wirebonding-machine uit China slechts $ 7.000), al is het vervalste resultaat wel te detecteren met röntgenstraling.

Wafer-level chip-scale-pakketten (WL-CSP) zijn veel duurder om te modificeren, maar het bedrog wordt dan ook niet gedetecteerd door röntgenstraling.

Modificatie van het geïntegreerde circuit (IC)

Bedrijven ontwerpen chips normaal gesproken voor hun specifieke taken, maar besteden de productie ervan uit; alleen grote marktspelers kunnen het zich veroorloven om hun eigen chips te produceren. Op deze manier is er meer dan één manier om het eindproduct te modificeren zodat het nog altijd voldoet aan de besproken voorwaarden. En als een chip of apparaat de handen van de ontwerper verlaat, is het zeldzaam dat er nog iemand de moeite neemt om het product te vergelijken met de originele specificaties.

Op welk moment kan hardware worden gewijzigd?

De spreker had het over verschillende vervangingsscenario’s, variërend van redelijk lastig (onderschepping van de lading tijdens vervoer als een extreem voorbeeld) tot betrekkelijk eenvoudig. Over het algemeen kan iedereen die een product koopt daarmee knoeien en het aan de verkoper retourneren, die het dan weer opnieuw verkoopt. En tijdens de verschillende aanbestedingsfases hebben het verpakkingsteam van de fabrikant, de douane, en nog veel meer partijen toegang tot het materiaal, en al die mensen kunnen er dus in principe mee rommelen. Het gebruik van opensource-hardware zou de veiligheid dus niet veel verbeteren.

Conclusies

Tegen het einde van zijn presentatie speculeerde Huang over wat voor veranderingen er nodig zouden zijn in de productie van hardware om ervoor te zorgen dat de eindgebruikers de veiligheid van chips en apparaten na konden gaan. Degenen die geïnteresseerd zijn in die filosofie, evenals de technische details van chipmodificatie, kunnen de presentatievideo bekijken.

Niet alle manieren om hardware gevaarlijk te maken zijn duur of arbeidsintensief, en het belangrijkste: er bestaat geen direct verband tussen de complexiteit van een aanval en hoe moeilijk deze te detecteren is. Voor zakelijke gebruikers is het belangrijk om bewust te zijn van het gevaar en niet enkel op endpoint-beveiligingsproducten te vertrouwen; zakelijke infrastructuurbeschermingssystemen weren geavanceerde dreigingen en gerichte aanvallen af.

Tips