Бэкдор

Бэкдор, backdoor (от англ. back door — «чёрный ход» (буквально «задняя дверь») — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить тайный доступ к данным или удалённому управлению компьютером^[1].

Предназначение[править | править вики-текст]

Основное назначение бэкдора — скрытное и быстрое получение доступа к данным, чаще всего зашифрованным. Например, бэкдор может быть встроен в алгоритм шифрования для последующей прослушки защищённого канала злоумышленником^[1][2].

Основные свойства бэкдора[править | править вики-текст]

Идеальный бэкдор[править | править вики-текст]

• сложно обнаружить;
• можно использовать многократно;
• легко отрицать — выглядит, как ошибка, и в случае обнаружения разработчик может сослаться на то, что допустил эту ошибку случайно и злого умысла не имел;
• эксплуатируем только при знании секрета — только тот, кто знает, как активируется бэкдор, может им воспользоваться;
• защищён от компрометации предыдущими использованиями — даже если бэкдор был обнаружен, то невозможно установить, кем он до этого эксплуатировался, и какой информацией завладел злоумышленник;
• сложно повторить — даже если бэкдор был кем-то найден, то его невозможно будет использовать в другом коде или в другом устройстве.

Распространённые принципы создания бэкдоров в алгоритмах[править | править вики-текст]

• слабая устойчивость алгоритма к криптоанализу;
• специально подобранные константы — алгоритм может стать неустойчивым к криптоанализу при выборе определённых значений констант, используемых в его работе;
• сложность в безопасной реализации — это означает, что безопасная реализация алгоритма работает слишком медленно, и все будут использовать небезопасный вариант, что и выгодно злоумышленнику.

Гипотетические примеры бэкдоров в современных алгоритмах[править | править вики-текст]

Уязвимость генератора псевдослучайной последовательности DUAL_EC_DRBG[править | править вики-текст]

Данный генератор был разработан в АНБ и стандартизован в качестве криптографически стойкого генератора псевдослучайных чисел национальным институтом стандартов и технологий США NIST в 2006 году. Однако уже в 2007 году независимыми исследователями было высказано предположение, что в этот алгоритм мог быть встроен бэкдор.^[3][4][5]

Иллюстрация работы алгоритма согласно спецификации АНБ^[6]:

Данный алгоритм использует эллиптические кривые. ${\displaystyle P}$ — генератор группы точек на эллиптической кривой, ${\displaystyle Q}$ — точка на эллиптической кривой — константа, определённая стандартом, как она была выбрана неизвестно. Параметры самой кривой также заданы стандартом.

Принцип работы:

Уравнение кривой ${\displaystyle y=x^{3}+ax+b~mod~p}$ можно переписать в виде ${\displaystyle x=\varphi (x,y)~mod~p}$ и записать следующие выражения для работы алгоритма:

${\displaystyle r_{i}=\varphi (s_{i}*P)}$ , ${\displaystyle t_{i}=\varphi (r_{i}*Q)}$ , ${\displaystyle s_{i+1}=\varphi (r_{i}*P)}$

${\displaystyle s_{i}}$ — внутреннее состояние генератора на текущем шаге

${\displaystyle s_{i+1}}$ — внутреннее состояние генератора на следующем шаге

${\displaystyle t_{i}}$ — выход генератора на текущем шаге

Предполагаемый бэкдор:

Так как ${\displaystyle p}$ — простое число, то существуют такое число ${\displaystyle e}$, что ${\displaystyle e*Q=P}$. Нахождение ${\displaystyle e}$ — вычислительно сложная задача дискретного логарифмирования на эллиптической кривой, для решения которой на сегодняшний день не существует эффективных алгоритмов. Но если предположить, что злоумышленник знает ${\displaystyle e}$ , то получается следующая атака: Если ${\displaystyle x=t_{i}}$ — очередной выход генератора, и если существует такое ${\displaystyle y}$, что ${\displaystyle y^{2}\equiv x^{3}+ax+b~mod~p}$, то точка ${\displaystyle A=(x,y)}$, лежит на кривой и для неё выполняется следующее равенство: ${\displaystyle A=r_{i}*Q}$. Зная число ${\displaystyle e}$ можно вычислить: ${\displaystyle s_{i+1}=\varphi (e*A)=\varphi (e*r_{i}*Q)=\varphi (r_{i}*P)}$. Таким образом, злоумышленник, знающий число ${\displaystyle e}$, может не только вычислить следующий выход генератора, но и быстро перебрать все возможные внутренние состояния генератора и восстановить его начальное внутреннее состояние. Сосгласно независимым исследованиям^[7][2], при знании ${\displaystyle e}$ достаточно всего 30 байт выходной последовательности генератора, чтобы простым перебором ${\displaystyle 2^{15}}$ значений восстановить его начальное внутреннее состояние. По мнению исследователей, такая уязвимость может быть расценена как бэкдор.

Ошибка в реализации протокола проверки сертификатов TLS от компании Apple[править | править вики-текст]

Исследователями компании Яндекс была обнаружена уязвимость в реализации протокола TLS в одном из программных продуктов Apple^[2]. По их мнению, данная ошибка вполне может оказаться бэкдором, намеренно встроенным в алгоритм кем-то из разработчиков.

Участок кода с ошибкой:

static DSStatus SSLVerifySignedServerKeyExchnge(....)
{
     DSStatus err;
     ....
     if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
          goto fail;
          goto fail;
     if ((SSHashSHA1.final(&hashCtx, &hashOut)) != 0)
          goto fail;
     ....
     fail:
          ....
          return err;
}

Как можно видеть, после второго оператора if стоят две строчки goto fail, и вторая строчка выполняется всегда, независимо от результата if. Таким образом процедура проверки сертификата проходит не полностью. Злоумышленник, знающий об этой уязвимости, может подделать сертификат и пройти проверку подлинности. Это позволит ему организовать атаку типа «Человек посередине», тем самым вмешаться в защищённое соединение между клиентом и сервером. Исследователи, обнаружившие данную ошибку в реализации, не могут точно сказать, намеренно она была сделана или случайно. Вполне возможно, что это бэкдор, встроенный в алгоритм кем-то из разработчиков.

Примеры методов создания бэкдоров[править | править вики-текст]

Специально подобранные константы[править | править вики-текст]

Очень многие современные криптографические алгоритмы используют при своей работе определённый набор внутренних констант. Как правило, эти константы задаются стандартом и выбираются из соображений криптографической стойкости к известным на данный момент видам криптоанализа. Но выбор констант при стандартизации алгоритма теоретически может быть использован разработчиками и со злым умыслом: например, для создания определённых уязвимостей и бэкдоров в алгоритме.

В качестве такого примера использования констант можно привести недавние исследовательские работы на тему так называемого «вредоносного хэширования»^[8][9], где авторам удалось построить коллизии для криптографической хэш-функции SHA1 путём модификации её раундовых констант. Отметим, что предложенная авторами исследования атака не является атакой на саму хэш-функцию SHA1, она позволяет лишь находить коллизии при условии возможности изменения раундовых констант и только для определённых типов файлов.

Краткое описание SHA1:

SHA1 — современная раундовая хэш-функция. Алгоритм хэширования следующий:

• Инициализируются 32-битные значения ${\displaystyle a=h_{0},b=h_{1},c=h_{2},d=h_{3},e=h_{4}}$
• Входное сообщение разбивается на блоки длиной 512 бит
• Каждый блок сообщения обрабатывается и дополняется специальным образом, по алгоритму, определённому в стандарте
• Полученный блок сообщения хэшируется в 4 этапа по 20 раундов в каждом, причём для каждого этапа используется своя константа ${\displaystyle K_{1},K_{2},K_{3}}$ или ${\displaystyle K_{4}}$
• Выходом функции для каждого блока будут новые значения ${\displaystyle a,b,c,d,e}$, которые добавляются к результату: ${\displaystyle h_{0}=h_{0}+a,h_{1}=h_{1}+b,h_{2}=h_{2}+c,h_{3}=h_{3}+d,h_{4}=h_{4}+e}$
• Итоговым результатом хэширования будет 160-битное значение полученное конкатенацией пяти 32-битных значений ${\displaystyle h_{0},h_{1},h_{2},h_{3},h_{4}}$ после обработки последнего блока сообщения.

Построение коллизий:

Целью рассматриваемой атаки является нахождение таких констант ${\displaystyle K_{1},K_{2},K_{3},K_{4}}$ и таких сообщений ${\displaystyle M_{1}}$ и ${\displaystyle M_{2}}$ , что ${\displaystyle Hash(M_{1})=Hash(M_{2})}$. Данная атака модифицирует только первые 512 бит (1-ый блок) сообщений для которых требуется построить коллизию. Алгоритм базируется на уже известной разностной атаке на SHA1, предложенной в 2005 году^[10][11] и имеющей сложность порядка ${\displaystyle 2^{69}}$ операций, что делает её трудноосуществимой на практике. Поэтому до настоящего времени ни одной реальной коллизии для SHA1 найдено не было.

Но в случае создания вредоносного варианта SHA1 злоумышленник может варьировать не только блоки сообщений ${\displaystyle M_{1}}$ и ${\displaystyle M_{2}}$, но и раундовые константы ${\displaystyle K_{1},K_{2},K_{3},K_{4}}$. Согласно исследованиям^[9], это сильно снижает сложность атаки до порядка ${\displaystyle 2^{48}}$ операций и делает построение таких коллизий реальной задачей которую можно выполнить на нескольких компьютерах. Таким образом, авторам исследования удалось построить одноблоковые коллизии для многих известных типов файлов.

Одноблоковая коллизия:

${\displaystyle M_{1}}$ и ${\displaystyle M_{2}}$ — первые блоки сообщений (512 бит), которые отличаются между собой, но дают одинаковую хэш-сумму

${\displaystyle Content}$ — остальное содержимое, которое одинаково для обоих файлов

Пример использования вредоносного хэширования для создания бэкдоров[править | править вики-текст]

С помощью описанной атаки были созданы два sh-скрипта, которые при выборе ${\displaystyle K_{1}=5a827999~,~K_{2}=88e8ea68~,~K_{3}=578059de~,~K_{4}=54324a39}$ дают одинаковую хэш-сумму SHA1, но работают по-разному.

Как можно видеть, различие между этими двумя скриптами заключается только в первых блоках по 512 бит, которые представляют из себя закоментированный мусор. Но содержимое этих блоков затем используется в условии if , следовательно скрипты при запуске работают по-разному. Подобные файлы могут быть использованы создателем со злым умыслом.

Конкурс бэкдоров Underhanded C Contest[править | править вики-текст]

Суть данного конкурса состоит в том, что участники должны прислать код, реализующий какой-нибудь криптографический алгоритм. Этот код должен выглядеть безопасно, но при этом содержать в себе бэкдор, который трудно обнаружить, но можно использовать в реальной системе.^[12] В качестве примера такого кода приведём победителя Underhanded C Contest 2007:

#define TOBYTE(x) (x) & 255
#define SWAP(x,y) do { x^=y; y^=x; x^=y; } while (0)

static unsigned char A[256];
static int i=0, j=0;

void init(char *passphrase) {
    int passlen = strlen(passphrase);
    for (i=0; i<256; i++)
        A[i] = i;
    for (i=0; i<256; i++) {
        j = TOBYTE(j + A[TOBYTE(i)] + passphrase[j % passlen]);
        SWAP(A[TOBYTE(i)], A[j]);
    }
    i = 0; j = 0;
}

unsigned char encrypt_one_byte(unsigned char c) {
    int k;
    i = TOBYTE(i+1);
    j = TOBYTE(j + A[i]);
    SWAP(A[i], A[j]);
    k = TOBYTE(A[i] + A[j]);
    return c ^ A[k];
}

Данный код реализует алгоритм шифрования RC4 для встраиваемых устройств. Разработчиками была применена якобы дополнительная оптимизация для реализации макроса #define SWAP(x, y) do { x^=y; y^=x; x^=y; } while (0), который меняет местами значения двух переменных без использования третьей переменной. Но этот макрос работает правильно только если ${\displaystyle x\neq y}$, если же ${\displaystyle x=y}$ то значения обоих переменных становятся равными нулю. Таким образом, внутреннее состояние генератора RC4 постепенно зануляется и через некоторое число итераций на выход алгоритма шифрования будет поступать просто открытый текст. Этот бэкдор будет выглядеть как просто трудно выявляемая ошибка, потому что swap(x, y) кажется очень простой операцией, и маловероятно, что кто-то будет искать в её реализации ошибку, а уж тем более тестировать на двух одинаковых значениях переменных. По мнению авторов этого кода, подобные ошибки, которые сделаны из-за попытки оптимизировать какой-нибудь простой и известный алгоритм, часто делаются ненамеренно и встречаются в реальных алгоритмах.^[13]

Аппаратные бэкдоры[править | править вики-текст]

Бэкдоры могут встраиваться не только в программное обеспечение, но и в аппаратуру. Подобные бэкдоры могут использоваться производителями аппаратной начинки для встраивания в неё вредоносных функций на этапе производства.

Аппаратные бэкдоры имеют ряд преимуществ над программными:

• Не могут быть обнаружены антивирусами, сканерами кода и другим защитным ПО.
• Не могут быть устранены обновлением или заменой программного обеспечения.

Примером аппаратного бэкдора может быть вредоносная прошивка BIOS. Согласно исследованиям^[14], такая прошивка может быть построена на основе свободных прошивок Coreboot^[15] и SeaBIOS. Coreboot не является полноценным BIOS: он отвечает только за обнаружение имеющегося на машине оборудования и передачу управления самой «начинке BIOS», в качестве которой может быть использован модифицированный злоумышленником под свои нужды SeaBIOS.

Принцип действия вредоносной прошивки кратко можно описать так: сразу после включения заражённого компьютера, ещё до загрузки операционной системы, она производит попытку установить соединение с сервером злоумышленника через интернет. Если такая попытка удалась, то производится удалённая загрузка какого-нибудь буткита, который уже в свою очередь предоставляет злоумышленнику возможность производить с заражённым компьютером вредоносные действия: кражу данных или удалённое управление. Если же попытка соединения с интернетом не удалась, то происходит нормальная загрузка операционной системы. Несомненным плюсом для злоумышленника является то, что сама по себе модифицированная прошивка не содержит в себе никакого вредоносного кода, а буткиты трудно обнаруживаются.

Примечания[править | править вики-текст]

Ссылки[править | править вики-текст]

• Dan Shumow, Niels Ferguson. On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng. — 2007.
• Евгений Сидоров. Криптографические баги и бэкдоры. — 2015.
• John Bryson, Patrick Gallagher. Recommendation for Random Number Generation Using Deterministic Random Bit Generators. — U.S. Department of Commerce, 2012.

См. также[править | править вики-текст]

Вредоносное программное обеспечение Инфекционное вредоносное ПО Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Пакетный вирус · Хронология Методы сокрытия Бэкдор · Дроппер · Закладка · Компьютер-зомби · Полиморфизм · Руткит Вредоносные программы для прибыли Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер  · Scareware (Лжеантивирус) · Порнодиалер По операционным системам Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус Защита Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов Контрмеры Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast