Страницы

Counter-terrorist shop. Часть 1. Сетевое оборудование.


В конце прошлого года была опубликована очередная порция разоблачений Сноудена - каталог  различных программных и аппаратных закладок, разработанных подразделением АНБ - ANT. Лишь только малая часть представленных закладок широко обсуждалась в Интернете, в то время как пристального внимания заслуживает каждая позиция из каталога.

Вся информация об устройствах носит гриф "Секретно" (Secret, S) либо "Совершенно секретно" (Top Secret, TS) и должна оставаться секретной до 2032 года. Каталог актуален на май 2008 года с отдельными позициями, которые должны были стать доступными в конце 2008 года. Думаю, сегодня этот каталог раза в 2 толще, ибо бюджет АНБ, по всей видимости, постоянно рос.

Сетевое оборудование


Перехват сетевого трафика и проникновение в защищенные сети является одним из приоритетных направлений подразделения АНБ - TAO. Поэтому значительная часть каталога уделена закладкам для маршрутизаторов Cisco, Juniper, Huawei.

Juniper

Закладка Внутренности гурмана (GOURMETTROUGH)

Позволяет полностью управлять маршрутизатором, используя скрытые каналы передачи информации. Сохраняется при перезагрузке и апгрейде операционной системы маршрутизатора.

Продукты:  NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.

Цена: 0$

Закладка Внутренности Суфле (SOUFFLETROUGH)

Полный контроль над маршрутизатором. Сохраняется при перезагрузке и апгрейде ОС. Может быть установлена удаленно если на межсетевом экране установлена другая закладка АНБ - BANANAGLEE. Используется в настоящий момент.

Продукты: линейки Juniper SSG-300 и Juniper SSG-500.

Стоимость 0$

Закладка Школьная Монтата, Горная Монтана и Оштукатуренная Монтана (SCHOOLMONTANA, SIERRAMONTANA, STUCCOMONTANA)
  

Дает полный доступ к маршрутизатору Juniper. Прописывается в BIOS. Сохраняется при перезагрузке, обновлении ОС маршрутизатора и даже при физической замене карты памяти с прошивкой (!).

Продукты: Серии маршрутизаторов Juniper J, M и T. В реестре ФСТЭК почти не встречаются, так как в продаже заменены более новыми аналогами от Juniper.

Закладка Перемычка (FEEDTROUGH)


Позволяет подгружать другие закладки АНБ, тем самым сохраняя возможность заражения маршрутизатора при замене ОС/сбросе настроек. "Неоднократно использовалась на множестве целевых систем."

Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, NetScreen 200, NetScreen 500, ISG 1000.
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.

Huawei

Закладка Вода из большого пальца
Дает полный доступ к маршрутизатору и проходящему трафику. Остается при перезагрузке и апгрейде операционной системы (в том числе загрузочной области!). Проверена в деле.

Продукты: Eudemon 200, Eudemon 500, Eudemon 1000. Не сертифицированы во ФСТЭК.

Закладка Вода в голове
Может быть установлена удаленно через Интернет персоналом АНБ. Прошивается в ROM память маршрутизатора. Позволяет удаленно перехватывать и анализировать все проходящие через роутер пакеты.

Продукты: не указаны (все роутеры Huawei?).

Cisco

Закладка Реактивный Плуг (JETPLOW)

Дает полный удаленный доступ к межсетевому экрану и трафику. Сохраняется при перезагрузке. Возможен удаленный апгрейд закладки и удаленная инсталляция если на фаирволе стоит другая закладка АНБ BANANAGLEE.  "Широко используется в настоящее время." Подходит не для всех версий ОС.

Продукты: Вся 500 линейка Cisco PIX и 5500 линейка Cisco ASA.
Нужно сказать, что МЭ Cisco - это самый сертифицированный продукт в реестре ФСТЭК. К тому же сертифицированы не отдельные экземпляры (как, например, у Juniper) - а вся серия. Это значит, что железки попадают к конечному пользователю, фактически, прямо с завода, без какого-либо дополнительного контроля. Кроме того сертификат ФСТЭК на линейку ASA 55хх позволяет использовать эти межсетевые экраны для защиты секретных сведений (гостайны).

Цена - 0$.

Резюме

Как указано в каталоге, все перечисленные выше закладки для маршрутизаторов и межсетевых экранов бесплатны для структур АНБ и партнеров. Это значит, что АНБ могло установить их в неограниченном количестве, используя свои ресурсы на таможне/в транспортной компании или на заводах-изготовителях. Кроме того многие закладки модульные: загрузчик хранится в ROM/BIOS маршрутизатора и подгружает полнофункциональную часть с серверов АНБ по команде. При сертификации устройства (в том числе на наличие недекларированных возможностей) скорее всего исследуется только высокоуровневая часть программного обеспечения маршрутизатора (операционная система). Поэтому закладка от АНБ весьма вероятно сможет пройти все уровни сертификации ФСТЭК/ФСБ, оставшись необнаруженной. 

Если эта тема получит достаточную огласку в СМИ, то нас может ждать такое закручивание гаек, которого мы еще не видели. Весь прогресс в сертификации удобных, недорогих и быстрых межсетевых экранов Cisco, Juniper, StoneGate будет остановлен, и процесс повернется вспять. В итоге мы будем вынуждены пользоваться Кольчугами, Швейцарами, ЗАСТАВАми и прочим неоправданно дорогим говном отечественным продуктом.

Тенденция на использование низкоуровневых загрузчиков, прописанных в ROM/BIOS устройства, так же означает то, что все "отечественные" "аппаратные" межсетевые экраны типа ViPNet HW и Континент могут быть так же заражены, так как используют готовые (китайские?) аппаратные платформы.

Вообщем, ситуация во многом патовая. Будем игнорировать возможности АНБ и пользоваться Cisco/Forinet/Huawei/StoneGate? Или будем ставить отечественный МЭ, у которого весь функционал заключается в наличии нужного сертификата?

Что еще почитать?



18 комментариев:

  1. Ты сделал грубейшую ошибку в описании, применив термин "закладка", подразумевающий участие разработчиков. В опубликованных материалах речь идет об имплантах, т.е. чужеродных вставках. Тут скорее надо вести речь о руткитах, а не о закладках

    ОтветитьУдалить
    Ответы
    1. Даже если сотрудники Cisco не участвовали в разработке этих закладок, то это лишь по тому, что в этом, вероятно, не было необходимости.

      Слово "закладка" вполне применимо, по-моему мнению, и к поставщикам, и к установщикам, и к обслуживающему персоналу.

      Удалить
    2. Алексей, поддержу Артема. Перекладывание вины не так волнует, как предотвращение внедрения закладок, пусть и разработанных "без участия разработчика". Назови это хоть закладкой, хоть бэкдором, кто бы ее ни разработал, она использует конкретные уязвимости в устройствах - надо хотя бы их закрыть ;)

      Удалить
  2. Как-то термин "имплант" у нас в ИБ не применяется.
    Закладка или вредоносное ПО.

    ОтветитьУдалить
  3. Алексей явно позавидовал твоему посту...

    ОтветитьУдалить
  4. Вообще очень интересно. С каких это пор на решения Cisco ФСТЭК выдает сертификат на отсутствие НДВ и что это решение можно использовать для защиты ГТ. В основном в сертификатах указывается обратное.

    ОтветитьУдалить
    Ответы
    1. В реестре ФСТЭК у Cisco есть 2 сертификата с НДВ: 1584, 2524.
      МЭ 3 класса защищенности могут использоваться для защиты сведений с грифом Секретно (см. РД ФСТЭК Межсетевые экраны).

      Удалить
    2. Артем, все немного сложнее. Почитайте тексты самих сертификатов - для "сведений, не составлющих государственную тайну". «Межсетевой экран серии Cisco ASA 5500-X (модели: ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) с установленной версией ASA Software 9.1(1)» на соответствие требованиям Руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) - по 3–ему классу защищенности информации, не содержащей сведений, составляющих государственную тайну".

      Удалить
    3. Почитал. Большая половина сертификатов на Cisco по 3 классу МЭ без приписки "не содержащей гостайны".

      Удалить
    4. Артем, кроме выполнения требований к МЭ для С нужно 3 уровень отсутствия НДВ - для этого нужны исходники, а их западные компании не дают, для СС - нужен 2-ой, ОВ - 1й. Более того, есть решения где и ндв выполнен, но приписка все равно есть. Про гостайну в посте я бы поправил, вы сделали вывод на основании рд по мэ. Выполнение требований этого рд необходимое требование, но не достаточное.

      Удалить
    5. Кроме выполнения требований РД МЭ к 3 классу МЭ для защиты секретных сведений ничего более не нужно. Это прямо прописано в самом РД и соблюдается на практике.

      Удалить
    6. Это не так, ок, приведите пример конкретной секретной системы, где в качестве СЗИ стоит МЭ без сертификата на НДВ-3.
      Второе, надо понимать, что сертификаты на МЭ по классу МЭ-3 без НДВ-3 носят рекламный характер. Увы.
      С CISCO (поставщиком МО США) все ясно, вывод - развивать свою выч.технику (и внедрять свои закладки), естественно внедрять нашу технику в зарубежную инфраструктуру, в первую очередь в страны, где обнаружены эти "импланты" (лукавский термин).

      Удалить
    7. Ну да, термин "имплант" мне почему-то сразу Памелу Андерсон напоминает...
      :-)

      Удалить
  5. Главный вопрос в том, что из себя bananaglee представляет: он удаленный или требует физической доступности железа.

    ОтветитьУдалить
    Ответы
    1. Да. Такое ощущение, что из каталога вырвали пару очень важных страничек.

      Большой вопрос каким образом данные передаются от закладок к командным серверам. Используются какие-то готовые и развернутые технологии АНБ. Думаю там целые протоколы связи, использующие скрытые каналы передачи данных в легитимном трафике.

      Удалить
    2. Скорее всего активировался удаленно, какая-нибудь ошибка в обработке специфического протокола и вуаля code execution и установка. В релизе про bananaglee и т.п. для Cisco сказано, что сильная зависимость от версий, скорее всего по датировке документа (2007 год) - это версии PIXOS 6.x/7.x. Но кто сказал, что в новых все чисто и нет какого-нибудь ananasglue

      Удалить
  6. Чисто из интереса - а у нас в России кто-то вообще производит сам аппаратные платформы?

    ОтветитьУдалить