本文來(lái)源為“西雅圖雷尼爾”，雷鋒網(wǎng)授權(quán)轉(zhuǎn)載。

前言

今天糾結(jié)了很久，要不要寫這個(gè)敏感的話題。但是我想了想還是寫吧，真正懂這塊的人不太多，愿意拿出來(lái)講的更少 。我雖然早已離開安全行業(yè)，但我是少數(shù)了解secure boot，UEFI，fuse 等技術(shù)，又對(duì)電路也比較熟悉，又有合適平臺(tái)發(fā)表獨(dú)立觀點(diǎn)的人，所以還是簡(jiǎn)單從安全的角度說(shuō)一下，說(shuō)句公道話。

簡(jiǎn)單來(lái)說(shuō)，我的判斷是彭博社對(duì)于間諜芯片的報(bào)道是完全沒有根據(jù)的，至少是夸大了無(wú)數(shù)倍的虛假報(bào)道。

依據(jù)有兩點(diǎn)：

1.芯片需要工作，需要有合適的供電，需要有合適的邏輯控制單元。很難在不被發(fā)現(xiàn)的情況下，加一個(gè)芯片。

2.即便是rootkit了服務(wù)器，大量高安全級(jí)別的網(wǎng)絡(luò)是和外網(wǎng)做隔離的。無(wú)法接收或者傳送有效的情報(bào)。 即便有APT攻擊的配合，難度非常非常大，以至于這條路不太現(xiàn)實(shí)。

間諜軟件迄今為止的最高水平：Lojax

先說(shuō)說(shuō)，迄今為止實(shí)戰(zhàn)中水平最高的間諜軟件Lojax。這個(gè)惡意軟件感染系統(tǒng)后，即便你重裝系統(tǒng)，甚至換硬盤也沒有用。關(guān)于這個(gè)劃時(shí)代的rootkit，國(guó)內(nèi)的安全界報(bào)道非常少。

盡管在blackhat這種安全會(huì)議中，研究人員已經(jīng)討論了很久BIOS rootkit/ ACPI Rootkit/ UEFI rootkit的可行性，但是由于難度太大，實(shí)際上從來(lái)沒有在真實(shí)環(huán)境中發(fā)現(xiàn)過這種類型的惡意軟件。這次Lojax的發(fā)現(xiàn)是第一次在野外環(huán)境發(fā)現(xiàn)UEFI rootkit，開啟了UEFI rootkit的新時(shí)代。

（下面是一些技術(shù)細(xì)節(jié)，不懂就直接跳過）

首先初步介紹一下，UEFI是替換傳統(tǒng)bios的一套firmware接口服務(wù)，現(xiàn)在新電腦一般都是UEFI。

▲UEFI的工作流程

▲如果UEFI 打開了secure boot的模式，理論上能保證系統(tǒng)的安全

最近發(fā)現(xiàn)的Lojax rootkit應(yīng)該是一個(gè)名叫Sednit 組織（又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear 背后是俄羅斯）用于攻擊巴爾干和歐洲中東部的政府機(jī)構(gòu)。

這個(gè)惡意軟件利用非常嫻熟和精湛的技術(shù)，利用正規(guī)的RWEverything 系統(tǒng)信息軟件或者uefiinfo或者系統(tǒng)的firmware版本，然后再?gòu)腟PI閃存模塊中將UEFI的原始firmware給讀出來(lái)，然后再把病毒插進(jìn)原始的firmware，接著再將攜帶病毒的副本寫回到SPI閃存。

▲將rootkit寫進(jìn)SPI的流程

▲SPI存儲(chǔ)芯片位置和大小

如果管理員沒有打開secure boot的選項(xiàng)，這種惡意軟件直接就可以將惡意軟件寫進(jìn)去SPI。

如果系統(tǒng)管理員把secureboot打開了，就難了很多。因?yàn)閁EFI在裝載各個(gè)模塊的時(shí)候都會(huì)檢查簽名，如果文件被動(dòng)過手腳很容易發(fā)現(xiàn)問題。而且如果打開secureboot，通常是SPI寫保護(hù)的。惡意軟件沒法把加料的固件寫回到SPI中去。

如果固件的版本比較老，這個(gè)惡意軟件會(huì)利用一個(gè)已知的安全漏洞利用race condition來(lái)把惡意軟件寫道到SPI閃存里，該漏洞是UEFI很久之前的漏洞。

至此，惡意軟件就常駐在主板的這個(gè)小小SPI存儲(chǔ)器中，無(wú)論你重裝系統(tǒng)，還是換硬盤，都不會(huì)對(duì)這個(gè)病毒產(chǎn)生任何影響。研究者稱，要根除這個(gè)惡意軟件辦法只有一個(gè)，就是重新擦寫SPI flash，這個(gè)對(duì)于普通人來(lái)講，甚至普通公司的IT來(lái)講都是非常困難的事情?；蛘吒耈EFI固件，UEFI固件會(huì)重新擦寫SPI flash的整個(gè)BIOS區(qū)域。前提是UEFI更新會(huì)擦除干凈感染的BIOS區(qū)域。如果更新固件都搞不定，那只有更換主板這一條路了。

▲研究論文中的結(jié)論

這已經(jīng)是迄今為止，最最牛逼的間諜軟件了。

漏洞百出的彭博社指控

PCB雖然密布芯片和線路，但是沒有一個(gè)是多余的。
芯片不是外星產(chǎn)物，芯片是邏輯，是電路。是電路就需要供電，就需要走線，你不改原理圖，不改PCB版圖，如何安裝一個(gè)額外的芯片？要知道主板級(jí)別的電路板上，最簡(jiǎn)單的都是4層，6層。服務(wù)器的有8層，10層。走一根電源線，要知道動(dòng)多少線路么？這跟用口香糖粘一個(gè)竊聽器完全是兩碼事。
不要說(shuō)多加一個(gè)芯片，哪怕是多加了一個(gè)電容，回來(lái)審板的人肯定會(huì)發(fā)現(xiàn)。根本到不了PVT就露餡了。

僅僅用一個(gè)rootkit，搞不定高安全級(jí)別，外網(wǎng)隔離的系統(tǒng)。

從彭博社的指控來(lái)看，在主板上加這么一個(gè)小芯片就能突破系統(tǒng)的secure boot，攻破系統(tǒng)，然后竊取商業(yè)機(jī)密。

我們假設(shè)，僅僅是假設(shè)，超微的主板設(shè)計(jì)人員，整個(gè)團(tuán)隊(duì)都被買通了，在板子上加了一個(gè)模塊，然后這個(gè)模塊類似于Lojax一樣，在SPI里面保留了一塊連刷UEFI firmware都不會(huì)刷掉的超級(jí)rootkit，而且這個(gè)rootkit還被簽名了。

也就是說(shuō)即便給這個(gè)rootkit開了掛，即便在2018年想利用這樣的rootkit控制高安全級(jí)別的系統(tǒng)，與外網(wǎng)隔離的系統(tǒng)也是不現(xiàn)實(shí)的（彭博社的報(bào)道說(shuō)這個(gè)事情發(fā)生在更早的2015年以前，更加不太可能）。前面講了這么牛逼的lojax rootkit是當(dāng)今rootkit的最高水平，現(xiàn)在看到的這個(gè)rootkit也僅僅是針對(duì)Windows系統(tǒng)，也僅僅是針對(duì)非物理隔離的計(jì)算機(jī)網(wǎng)絡(luò)。

而無(wú)論是Amazon還是Apple，還是CIA還是其他安全部門，操作系統(tǒng)各不相同（大部分都是unix內(nèi)核的系統(tǒng)），你很難做到僅僅靠一個(gè)rootkit搞定所有的系統(tǒng)，而且是搞定跟外網(wǎng)隔離的系統(tǒng)，搞定所有流量都會(huì)受到審計(jì)的系統(tǒng)。（你的rootkit想去外面下載一個(gè)木馬都沒法下的）

即便我們站在2018看，設(shè)計(jì)這樣一套突破secure boot并實(shí)現(xiàn)彭博社新聞中功能的rootkit也是不太現(xiàn)實(shí)的。

Apple和Amazon都發(fā)表了措辭嚴(yán)厲的文章，批評(píng)彭博社發(fā)表不負(fù)責(zé)任的報(bào)道。

結(jié)語(yǔ)

我這篇文章是純粹從技術(shù)實(shí)現(xiàn)的角度和rootkit最新技術(shù)水平的角度，分析彭博社報(bào)道的真實(shí)性。

美國(guó)媒體最近幾年被川普痛斥為Fake News是不無(wú)道理的。彭博社的這篇報(bào)道中存在著大量的猜測(cè)和假想。在hack的原理解釋方面也非常不專業(yè)，完全是糊弄。這么一個(gè)非常嚴(yán)肅的大新聞，處理的非常不專業(yè)。在twitter上很多安全人士都表示這篇文章存在太多太多的漏洞和不準(zhǔn)確之處，沒有安全背景，沒有工程實(shí)踐經(jīng)驗(yàn)。

而市場(chǎng)對(duì)這篇文章的反應(yīng)也很激烈，超微直接跌去近一半市值。聯(lián)想受影響，今天股價(jià)也跌去15%。（非常鄙視聯(lián)想，急急忙忙跳出來(lái)說(shuō)，我們沒有用超微的主板?？尚δ懵?lián)想能生產(chǎn)高品質(zhì)服務(wù)器么，你產(chǎn)品能進(jìn)高安全的環(huán)境么）。

這篇文章雖然是假新聞，但是會(huì)對(duì)電子產(chǎn)業(yè)鏈產(chǎn)生深遠(yuǎn)的影響。繼紐約時(shí)報(bào)之后，彭博社的牌坊也倒了，現(xiàn)在還能看的也就剩WSJ了。

本文來(lái)源為“西雅圖雷尼爾”，雷鋒網(wǎng)授權(quán)轉(zhuǎn)載。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。