本文來源為“西雅圖雷尼爾”，雷鋒網(wǎng)授權(quán)轉(zhuǎn)載。

前言

今天糾結(jié)了很久，要不要寫這個敏感的話題。但是我想了想還是寫吧，真正懂這塊的人不太多，愿意拿出來講的更少 。我雖然早已離開安全行業(yè)，但我是少數(shù)了解secure boot，UEFI，fuse 等技術(shù)，又對電路也比較熟悉，又有合適平臺發(fā)表獨立觀點的人，所以還是簡單從安全的角度說一下，說句公道話。

簡單來說，我的判斷是彭博社對于間諜芯片的報道是完全沒有根據(jù)的，至少是夸大了無數(shù)倍的虛假報道。

依據(jù)有兩點：

1.芯片需要工作，需要有合適的供電，需要有合適的邏輯控制單元。很難在不被發(fā)現(xiàn)的情況下，加一個芯片。

2.即便是rootkit了服務器，大量高安全級別的網(wǎng)絡是和外網(wǎng)做隔離的。無法接收或者傳送有效的情報。 即便有APT攻擊的配合，難度非常非常大，以至于這條路不太現(xiàn)實。

間諜軟件迄今為止的最高水平：Lojax

先說說，迄今為止實戰(zhàn)中水平最高的間諜軟件Lojax。這個惡意軟件感染系統(tǒng)后，即便你重裝系統(tǒng)，甚至換硬盤也沒有用。關(guān)于這個劃時代的rootkit，國內(nèi)的安全界報道非常少。

盡管在blackhat這種安全會議中，研究人員已經(jīng)討論了很久BIOS rootkit/ ACPI Rootkit/ UEFI rootkit的可行性，但是由于難度太大，實際上從來沒有在真實環(huán)境中發(fā)現(xiàn)過這種類型的惡意軟件。這次Lojax的發(fā)現(xiàn)是第一次在野外環(huán)境發(fā)現(xiàn)UEFI rootkit，開啟了UEFI rootkit的新時代。

（下面是一些技術(shù)細節(jié)，不懂就直接跳過）

首先初步介紹一下，UEFI是替換傳統(tǒng)bios的一套firmware接口服務，現(xiàn)在新電腦一般都是UEFI。

▲UEFI的工作流程

▲如果UEFI 打開了secure boot的模式，理論上能保證系統(tǒng)的安全

最近發(fā)現(xiàn)的Lojax rootkit應該是一個名叫Sednit 組織（又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear 背后是俄羅斯）用于攻擊巴爾干和歐洲中東部的政府機構(gòu)。

這個惡意軟件利用非常嫻熟和精湛的技術(shù)，利用正規(guī)的RWEverything 系統(tǒng)信息軟件或者uefiinfo或者系統(tǒng)的firmware版本，然后再從SPI閃存模塊中將UEFI的原始firmware給讀出來，然后再把病毒插進原始的firmware，接著再將攜帶病毒的副本寫回到SPI閃存。

▲將rootkit寫進SPI的流程

▲SPI存儲芯片位置和大小

如果管理員沒有打開secure boot的選項，這種惡意軟件直接就可以將惡意軟件寫進去SPI。

如果系統(tǒng)管理員把secureboot打開了，就難了很多。因為UEFI在裝載各個模塊的時候都會檢查簽名，如果文件被動過手腳很容易發(fā)現(xiàn)問題。而且如果打開secureboot，通常是SPI寫保護的。惡意軟件沒法把加料的固件寫回到SPI中去。

如果固件的版本比較老，這個惡意軟件會利用一個已知的安全漏洞利用race condition來把惡意軟件寫道到SPI閃存里，該漏洞是UEFI很久之前的漏洞。

至此，惡意軟件就常駐在主板的這個小小SPI存儲器中，無論你重裝系統(tǒng)，還是換硬盤，都不會對這個病毒產(chǎn)生任何影響。研究者稱，要根除這個惡意軟件辦法只有一個，就是重新擦寫SPI flash，這個對于普通人來講，甚至普通公司的IT來講都是非常困難的事情?；蛘吒耈EFI固件，UEFI固件會重新擦寫SPI flash的整個BIOS區(qū)域。前提是UEFI更新會擦除干凈感染的BIOS區(qū)域。如果更新固件都搞不定，那只有更換主板這一條路了。

▲研究論文中的結(jié)論

這已經(jīng)是迄今為止，最最牛逼的間諜軟件了。

漏洞百出的彭博社指控

PCB雖然密布芯片和線路，但是沒有一個是多余的。
芯片不是外星產(chǎn)物，芯片是邏輯，是電路。是電路就需要供電，就需要走線，你不改原理圖，不改PCB版圖，如何安裝一個額外的芯片？要知道主板級別的電路板上，最簡單的都是4層，6層。服務器的有8層，10層。走一根電源線，要知道動多少線路么？這跟用口香糖粘一個竊聽器完全是兩碼事。
不要說多加一個芯片，哪怕是多加了一個電容，回來審板的人肯定會發(fā)現(xiàn)。根本到不了PVT就露餡了。

僅僅用一個rootkit，搞不定高安全級別，外網(wǎng)隔離的系統(tǒng)。

從彭博社的指控來看，在主板上加這么一個小芯片就能突破系統(tǒng)的secure boot，攻破系統(tǒng)，然后竊取商業(yè)機密。

我們假設，僅僅是假設，超微的主板設計人員，整個團隊都被買通了，在板子上加了一個模塊，然后這個模塊類似于Lojax一樣，在SPI里面保留了一塊連刷UEFI firmware都不會刷掉的超級rootkit，而且這個rootkit還被簽名了。

也就是說即便給這個rootkit開了掛，即便在2018年想利用這樣的rootkit控制高安全級別的系統(tǒng)，與外網(wǎng)隔離的系統(tǒng)也是不現(xiàn)實的（彭博社的報道說這個事情發(fā)生在更早的2015年以前，更加不太可能）。前面講了這么牛逼的lojax rootkit是當今rootkit的最高水平，現(xiàn)在看到的這個rootkit也僅僅是針對Windows系統(tǒng)，也僅僅是針對非物理隔離的計算機網(wǎng)絡。

而無論是Amazon還是Apple，還是CIA還是其他安全部門，操作系統(tǒng)各不相同（大部分都是unix內(nèi)核的系統(tǒng)），你很難做到僅僅靠一個rootkit搞定所有的系統(tǒng)，而且是搞定跟外網(wǎng)隔離的系統(tǒng)，搞定所有流量都會受到審計的系統(tǒng)。（你的rootkit想去外面下載一個木馬都沒法下的）

即便我們站在2018看，設計這樣一套突破secure boot并實現(xiàn)彭博社新聞中功能的rootkit也是不太現(xiàn)實的。

Apple和Amazon都發(fā)表了措辭嚴厲的文章，批評彭博社發(fā)表不負責任的報道。

結(jié)語

我這篇文章是純粹從技術(shù)實現(xiàn)的角度和rootkit最新技術(shù)水平的角度，分析彭博社報道的真實性。

美國媒體最近幾年被川普痛斥為Fake News是不無道理的。彭博社的這篇報道中存在著大量的猜測和假想。在hack的原理解釋方面也非常不專業(yè)，完全是糊弄。這么一個非常嚴肅的大新聞，處理的非常不專業(yè)。在twitter上很多安全人士都表示這篇文章存在太多太多的漏洞和不準確之處，沒有安全背景，沒有工程實踐經(jīng)驗。

而市場對這篇文章的反應也很激烈，超微直接跌去近一半市值。聯(lián)想受影響，今天股價也跌去15%。（非常鄙視聯(lián)想，急急忙忙跳出來說，我們沒有用超微的主板。可笑你聯(lián)想能生產(chǎn)高品質(zhì)服務器么，你產(chǎn)品能進高安全的環(huán)境么）。

這篇文章雖然是假新聞，但是會對電子產(chǎn)業(yè)鏈產(chǎn)生深遠的影響。繼紐約時報之后，彭博社的牌坊也倒了，現(xiàn)在還能看的也就剩WSJ了。

本文來源為“西雅圖雷尼爾”，雷鋒網(wǎng)授權(quán)轉(zhuǎn)載。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。