Контакты
Подписка
МЕНЮ
Контакты
Подписка

Хакеры могут использовать прошивки сетевых карт для кибер-атак

Хакеры могут использовать прошивки сетевых карт для кибер-атак

Хакеры могут использовать прошивки сетевых карт для кибер-атак


30.03.2010

Независимый эксперт по проблемам сетевой безопасности Арриго Триулжи (Arrigo Triulzi) обнаружил возможность установки тайной виртуальной частной сети в обход межсетевого экрана, взломав firmware сетевых карт. Назвав эту методику Jedi Packet Trick, он собирается смоделировать сетевую атаку с ее применением на конференции по безопасности CanSecWest, пишет NetworkWorld.

Используя малоизвестный механизм удаленной диагностики некоторых сетевых карт Broadcom, Триулжи разработал способ установки измененной микропрограммы на сетевую карту, которая предписывает ей передавать пакеты данных на другую карту без уведомления операционной системы. Для установки прошивки специально обработанные пакеты данных направляются на уязвимую сетевую карту, которую контролирует межсетевой экран. Он получает пакеты и затем устанавливает вредоносную микропрограмму (firmware). Это обновление позволяет найти и напасть на вторую уязвимую сетевую карту, создавая туннель между ними в обход брандмауэра. Поскольку у сетевых карт есть прямой доступ к памяти компьютера, то можно использовать их прошивку, чтобы установить вредоносный программный код на графическую карту компьютера, которая имеет гораздо большую память для этого. Таким образом, в компьютере жертвы открывается фактически не обнаруживаемая "дыра".

Не один Труилжи нашел уязвимости сетевых карт. Два эксперта из компании French Network и организации Information Security Agency Ив-Алексис Перез (Yves-Alexis Perez) и Луи Дуфло (Loic Duflot) по отдельности разработали атаку, которая использует ошибку в удаленном управлении платы NetXtreme компании Broadcom. Их метод был опробован на компьютере под управлением операционной системы Linux, хотя по словам Дуфло, он может быть легко доработан для других операционных систем. Чтобы их метод сработал, карта должна поддерживать механизм удаленного управления под названием Alert Standard Format 2.0.

Указанные исследования иллюстрируют новый тип сетевых атак, которые не могут быть обнаружены традиционными методами, поскольку используют низкоуровневые программы. Ни один из экспертов, желающих выступить на CanSecWest не опубликует свой программный код. Таким образом, маловероятно, что эти методики будут использоваться в широко распространенных атаках. Однако профессионалы по безопасности все больше волнуются о возможностях сетевых нападений с целью захвата государственных тайн и корпоративной интеллектуальной собственности.

Дуфло считает, что предприятия, производящие аппаратные средства должны серьезно думать о сетевой безопасности оборудования, тем более, что они развивают основанные на микропрограммах технологии, такие как, например, Active Management Technology и Intelligent Platform Management Interface компании Intel. По его мнению, в настоящее время аппаратные средства используют слишком много встроенного программного обеспечения, которое может содержать уязвимости, позволяющие хакеру проникнуть на компьютер, считающийся защищенным.

Вместе с тем, стоит отметить, что компания Broadcom уже начала решать указанные проблемы через своих OEM-партнеров.

Источник: Nag.Ru