Русская Википедия:Бэкдор

Бэкдор, тайный вход (от Шаблон:Lang-en — «чёрный ход», буквально «задняя дверь») — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом^[1].

Основной целью бэкдора является скрытное и быстрое получение доступа к данным, в большинстве случаев — к зашифрованным и защищённым. Например, бэкдор может быть встроен в алгоритм шифрования для последующей прослушки защищённого канала злоумышленником^[1]^[2].

Основные свойства бэкдора

Идеальный бэкдор

сложно обнаружить;
можно использовать многократно;
легко отрицать — выглядит как ошибка, и в случае обнаружения разработчик может сослаться, что допустил эту ошибку случайно и злого умысла не имел;
эксплуатируем только при знании секрета — только тот, кто знает, как активируется бэкдор, может им воспользоваться;
защищён от компрометации предыдущими использованиями — даже если бэкдор был обнаружен, то невозможно установить, кем он до этого эксплуатировался и какой информацией завладел злоумышленник;
сложно повторить — даже если бэкдор был кем-то найден, то его невозможно будет использовать в другом коде или в другом устройстве.

Распространённые принципы создания бэкдоров в алгоритмах

слабая устойчивость алгоритма к криптоанализу;
специально подобранные константы — алгоритм может стать неустойчивым к криптоанализу при выборе определённых значений констант, используемых в его работе;
сложность в безопасной реализации — это означает, что безопасная реализация алгоритма работает слишком медленно, и все будут использовать небезопасный вариант, что и выгодно злоумышленнику.

Гипотетические примеры бэкдоров в современных алгоритмах

Уязвимость генератора псевдослучайной последовательности DUAL_EC_DRBG

Данный генератор был разработан в АНБ и стандартизован в качестве криптографически стойкого генератора псевдослучайных чисел национальным институтом стандартов и технологий США NIST в 2006 году. Однако уже в 2007 году независимыми исследователями было высказано предположение, что в этот алгоритм мог быть встроен бэкдор.^[3]^[4]^[5]

Иллюстрация работы алгоритма согласно спецификации АНБ^[6]:

Файл:DUAL EC DRBG.jpg

Данный алгоритм использует эллиптические кривые. <math> P </math> — генератор группы точек на эллиптической кривой, <math> Q </math> — точка на эллиптической кривой — константа, определённая стандартом, как она была выбрана неизвестно. Параметры самой кривой также заданы стандартом.

Принцип работы:

Уравнение кривой

<math>

 y^2 = (x^3+ax+b) \bmod p

</math> можно переписать в виде <math> x = \varphi(x, y) \bmod p </math> и записать следующие выражения для работы алгоритма:

<math> r_i = \varphi(s_i*P)</math> , <math> t_i = \varphi(r_i*Q)</math> , <math> s_{i+1} = \varphi(r_i*P)</math>

<math> s_i</math> — внутреннее состояние генератора на текущем шаге

<math> s_{i+1}</math> — внутреннее состояние генератора на следующем шаге

<math> t_i </math> — выход генератора на текущем шаге

Предполагаемый бэкдор:

Так как <math> p </math> — простое число, то существуют такое число <math> e </math>, что <math> e*Q=P</math>. Нахождение <math> e </math> — вычислительно сложная задача дискретного логарифмирования на эллиптической кривой, для решения которой на сегодняшний день не существует эффективных алгоритмов. Но если предположить, что злоумышленник знает <math> e </math> , то получается следующая атака: Если <math> x=t_i </math> — очередной выход генератора, и если существует такое <math> y </math>, что <math> y^2 \equiv (x^3+ax+b) \bmod p</math>, то точка <math> A =(x,y)</math>, лежит на кривой и для неё выполняется следующее равенство: <math> A=r_i*Q </math>. Зная число <math> e </math> можно вычислить: <math> s_{i+1}=\varphi(e*A)=\varphi(e*r_i*Q)=\varphi(r_i*P) </math>. Таким образом, злоумышленник, знающий число <math> e </math>, может не только вычислить следующий выход генератора, но и быстро перебрать все возможные внутренние состояния генератора и восстановить его начальное внутреннее состояние. Согласно независимым исследованиям^[2]^[7], при знании <math> e </math> достаточно всего 30 байт выходной последовательности генератора, чтобы простым перебором <math> 2^{15} </math> значений восстановить его начальное внутреннее состояние. По мнению исследователей, такая уязвимость может быть расценена как бэкдор.

Ошибка в реализации протокола проверки сертификатов TLS от компании Apple

Исследователями компании Яндекс была обнаружена уязвимость в реализации протокола TLS в одном из программных продуктов Apple^[2]. По их мнению, данная ошибка вполне может оказаться бэкдором, намеренно встроенным в алгоритм кем-то из разработчиков.

Участок кода с ошибкой:

static DSStatus SSLVerifySignedServerKeyExchnge(....)
{
     DSStatus err;
     ....
     if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
          goto fail;
          goto fail;
     if ((SSHashSHA1.final(&hashCtx, &hashOut)) != 0)
          goto fail;
     ....
     fail:
          ....
          return err;
}

Как можно видеть, после первого оператора if стоят две строчки goto fail, и вторая строчка выполняется всегда, независимо от результата if. Таким образом процедура проверки сертификата проходит не полностью. Злоумышленник, знающий об этой уязвимости, может подделать сертификат и пройти проверку подлинности. Это позволит ему организовать атаку типа «Человек посередине», тем самым вмешаться в защищённое соединение между клиентом и сервером. Исследователи, обнаружившие данную ошибку в реализации, не могут точно сказать, намеренно она была сделана или случайно. Вполне возможно, что это бэкдор, встроенный в алгоритм кем-то из разработчиков.

Примеры методов создания бэкдоров

Специально подобранные константы

Очень многие современные криптографические алгоритмы используют при своей работе определённый набор внутренних констант. Как правило, эти константы задаются стандартом и выбираются из соображений криптографической стойкости к известным на данный момент видам криптоанализа. Но выбор констант при стандартизации алгоритма теоретически может быть использован разработчиками и со злым умыслом: например, для создания определённых уязвимостей и бэкдоров в алгоритме.

В качестве такого примера использования констант можно привести недавние исследовательские работы на тему так называемого «вредоносного хеширования»^[8]^[9], где авторам удалось построить коллизии для криптографической хеш-функции SHA1 путём модификации её раундовых констант. Отметим, что предложенная авторами исследования атака не является атакой на саму хеш-функцию SHA1, она позволяет лишь находить коллизии при условии возможности изменения раундовых констант и только для определённых типов файлов.

Краткое описание SHA1:

SHA1 — современная раундовая хеш-функция. Алгоритм хеширования следующий:

Инициализируются 32-битные значения <math> a = h_0 , b = h_1 , c = h_2 , d = h_3 , e = h_4 </math>
Входное сообщение разбивается на блоки длиной 512 бит
Каждый блок сообщения обрабатывается и дополняется специальным образом, по алгоритму, определённому в стандарте
Полученный блок сообщения хэшируется в 4 этапа по 20 раундов в каждом, причём для каждого этапа используется своя константа <math>K_1, K_2, K_3 </math> или <math>K_4 </math>
Выходом функции для каждого блока будут новые значения <math>a, b, c, d, e </math>, которые добавляются к результату: <math> h_0 = h_0 + a, h_1 = h_1 + b, h_2 = h_2 + c, h_3 = h_3 + d, h_4 = h_4 + e </math>
Итоговым результатом хеширования будет 160-битное значение полученное конкатенацией пяти 32-битных значений <math> h_0, h_1, h_2, h_3, h_4 </math> после обработки последнего блока сообщения.

Построение коллизий:

Целью рассматриваемой атаки является нахождение таких констант <math> K_1, K_2, K_3, K_4 </math> и таких сообщений <math>M_1</math> и <math>M_2</math> , что <math>Hash(M_1) = Hash(M_2)</math>. Данная атака модифицирует только первые 512 бит (1-й блок) сообщений, для которых требуется построить коллизию. Алгоритм базируется на уже известной разностной атаке на SHA1, предложенной в 2005 году^[10]^[11] и имеющей сложность порядка <math> 2^{69} </math> операций, что делает её трудноосуществимой на практике. Поэтому до настоящего времени ни одной реальной коллизии для SHA1 найдено не было.

Но в случае создания вредоносного варианта SHA1 злоумышленник может варьировать не только блоки сообщений <math>M_1</math> и <math>M_2</math>, но и раундовые константы <math> K_1, K_2, K_3, K_4 </math>. Согласно исследованиям^[9], это сильно снижает сложность атаки до порядка <math> 2^{48} </math> операций и делает построение таких коллизий реальной задачей которую можно выполнить на нескольких компьютерах. Таким образом, авторам исследования удалось построить одноблоковые коллизии для многих известных типов файлов.

Одноблоковая коллизия:

Файл:Mal sha1.jpg

<math>M_1</math> и <math>M_2</math> — первые блоки сообщений (512 бит), которые отличаются между собой, но дают одинаковую хеш-сумму

<math> Content </math> — остальное содержимое, которое одинаково для обоих файлов

Пример использования вредоносного хеширования для создания бэкдоров

С помощью описанной атаки были созданы два sh-скрипта, которые при выборе <math> K_1=5a827999~,~K_2=88e8ea68~,~K_3=578059de~,~K_4=54324a39</math> дают одинаковую хеш-сумму SHA1, но работают по-разному.

Файл:Malicious sh.jpg

Как можно видеть, различие между этими двумя скриптами заключается только в первых блоках по 512 бит, которые представляют собой закоментированный мусор. Но содержимое этих блоков затем используется в условии if , следовательно скрипты при запуске работают по-разному. Подобные файлы могут быть использованы создателем со злым умыслом.

Аппаратные бэкдоры

Бэкдоры могут встраиваться не только в программное обеспечение, но и в аппаратуру. Подобные бэкдоры могут использоваться производителями аппаратной начинки для встраивания в неё вредоносных функций на этапе производства.

Аппаратные бэкдоры имеют ряд преимуществ над программными:

Не могут быть обнаружены антивирусами, сканерами кода и другим защитным ПО.
Не могут быть устранены обновлением или заменой программного обеспечения.

Примером аппаратного бэкдора может быть вредоносная прошивка BIOS. Согласно исследованиям^[12], такая прошивка может быть построена на основе свободных прошивок Coreboot^[13] и SeaBIOS. Coreboot не является полноценным BIOS: он отвечает только за обнаружение имеющегося на машине оборудования и передачу управления самой «начинке BIOS», в качестве которой может быть использован модифицированный злоумышленником под свои нужды SeaBIOS.

Принцип действия вредоносной прошивки кратко можно описать так: сразу после включения заражённого компьютера, ещё до загрузки операционной системы, она производит попытку установить соединение с сервером злоумышленника через интернет. Если такая попытка удалась, то производится удалённая загрузка какого-нибудь буткита, который уже в свою очередь предоставляет злоумышленнику возможность производить с заражённым компьютером вредоносные действия: кражу данных или удалённое администрирование. Если же попытка соединения с интернетом не удалась, то происходит нормальная загрузка операционной системы. Несомненным плюсом для злоумышленника является то, что сама по себе модифицированная прошивка не содержит в себе никакого вредоносного кода, а буткиты трудно обнаруживаются.

См. также

Примечания

Шаблон:Примечания

Ссылки

Шаблон:Вредоносное программное обеспечение

↑ ^1,0 ^1,1 J.P. Aumasson Cryptographic bacdooring Шаблон:Wayback
↑ ^2,0 ^2,1 ^2,2 Евгений Сидоров, Криптографические баги и бэкдоры Шаблон:Wayback, Yandex security meet up, 24.07.2015
↑ Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Шаблон:Wayback, CRYPTO 2007, august 2007
↑ Шаблон:Cite news
↑ Киви Берд, Неслучайные случайности Шаблон:Wayback // Компьютерра, 07 декабря 2007
↑ John Bryson, Patrick Gallagher, Recommendation for Random Number Generation Using Deterministic Random Bit Generators Шаблон:Wayback, p. 60, 2012
↑ Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Шаблон:Wayback, pages 6-7, CRYPTO 2007, august 2007
↑ Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaeffer, Malicious SHA-1 Шаблон:Wayback, 14.08.2014
↑ ^9,0 ^9,1 Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaffer, Malicious Hashing: Eve’s Variant of SHA-1 Шаблон:Wayback, 2014 year
↑ Wang, X., Yao, A.C., Yao, Cryptanalysis on SHA-1. NIST — First Cryptographic Hash Work-shop Шаблон:Wayback, 31 October 2005
↑ Wang, X., Yin, Y.L., Yu, H. , Finding collisions in the full SHA1 Шаблон:Wayback, CRYPTO 2005
↑ Jonathan Brossard, Аппаратные бэкдоры — это практично Шаблон:Wayback, 12 марта 2012
↑ Обзор проекта свободного BIOS — Coreboot Шаблон:Wayback, 9 октября 2014

[Cryptographic_backdooring-1] 1,0 ^1,1 J.P. Aumasson Cryptographic bacdooring Шаблон:Wayback

[Yandex_security_meet_up-2] 2,0 ^2,1 ^2,2 Евгений Сидоров, Криптографические баги и бэкдоры Шаблон:Wayback, Yandex security meet up, 24.07.2015

[3] Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Шаблон:Wayback, CRYPTO 2007, august 2007

[wired-schneier-4] Шаблон:Cite news

[kiwi07-5] Киви Берд, Неслучайные случайности Шаблон:Wayback // Компьютерра, 07 декабря 2007

[6] John Bryson, Patrick Gallagher, Recommendation for Random Number Generation Using Deterministic Random Bit Generators Шаблон:Wayback, p. 60, 2012

[7] Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Шаблон:Wayback, pages 6-7, CRYPTO 2007, august 2007

[Malicious_SHA1-8] Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaeffer, Malicious SHA-1 Шаблон:Wayback, 14.08.2014

[Eve's_variant_of_SHA1-9] 9,0 ^9,1 Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaffer, Malicious Hashing: Eve’s Variant of SHA-1 Шаблон:Wayback, 2014 year

[SHA1-analyse-10] Wang, X., Yao, A.C., Yao, Cryptanalysis on SHA-1. NIST — First Cryptographic Hash Work-shop Шаблон:Wayback, 31 October 2005

[SHA1-analyse-2-11] Wang, X., Yin, Y.L., Yu, H. , Finding collisions in the full SHA1 Шаблон:Wayback, CRYPTO 2005

[Аппаратный_бэкдор-12] Jonathan Brossard, Аппаратные бэкдоры — это практично Шаблон:Wayback, 12 марта 2012

[Coreboot-13] Обзор проекта свободного BIOS — Coreboot Шаблон:Wayback, 9 октября 2014

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.