Gli specialisti di hardware security del fornitore di sicurezza informatica F-Secure hanno pubblicato un rapporto in cui spiegano le loro indagini su una coppia di switch di rete contraffatti (Il report completo è disponibile su F-Secure Labs). L’indagine, che ha concluso che i falsi sono stati progettati per bypassare i processi di autenticazione dei componenti di sistema, illustra le sfide di sicurezza poste dalla presenza di hardware contraffatto.
Il team Hardware Security di F-Secure Consulting ha studiato due diverse versioni contraffatte degli switch Cisco Catalyst serie 2960-X. Le contraffazioni sono state scoperte da una società IT dopo che un aggiornamento del software ha impedito il loro funzionamento, una comune conseguenza dell’hardware contraffatto o modificato. Su richiesta della società, F-Secure Consulting ha effettuato un’analisi approfondita delle contraffazioni per determinare le implicazioni per la sicurezza.
Gli esperti F-Secure hanno scoperto che sebbene gli apparati contraffatti non avessero alcuna funzionalità simile a una backdoor, hanno adottato varie misure per ingannare i controlli di sicurezza. Ad esempio, una delle unità ha sfruttato quella che il team di ricerca ritiene essere una vulnerabilità del software non ancora scoperta per minare i processi di boot che forniscono protezione contro la manomissione del firmware.
“Abbiamo scoperto che le contraffazioni sono state costruite per aggirare le misure di autenticazione, ma non abbiamo trovato prove che suggerissero che le unità rappresentassero altri rischi”, ha affermato Dmitry Janushkevich, senior consultant del team Hardware Security di F-Secure Consulting e autore principale del rapporto. “Le motivazioni dei contraffattori erano probabilmente limitate a trarre profitto vendendo i componenti. Ma vediamo che gli attaccanti motivati usano lo stesso tipo di approccio per creare furtivamente backdoor verso le aziende, motivo per cui è importante controllare attentamente qualsiasi hardware modificato”.
Gli apparati contraffatti erano fisicamente e operativamente simili a un autentico switch Cisco. Uno dei tecnici del team F-Secure suggerisce che i contraffattori hanno investito molto nella replica del design originale di Cisco o hanno avuto accesso a documentazione ingegneristica proprietaria, che li ha aiutati a creare una copia convincente.
Secondo il responsabile del team Hardware Security di F-Secure Consulting, Andrea Barisani, le organizzazioni devono affrontare notevoli sfide nel tentativo di mitigare le implicazioni di sicurezza legate a contraffazioni sofisticate come quelle analizzate nel rapporto.
“I dipartimenti di sicurezza non possono permettersi di ignorare hardware che è stato manomesso o modificato, motivo per cui devono indagare su eventuali apparati contraffatti inseriti con inganno nelle loro infrastrutture”, ha spiegato Barisani. “Senza smantellare l’hardware ed esaminarlo da zero, le organizzazioni non possono sapere se un dispositivo modificato ha avuto un impatto rilevante sulla sicurezza. E a seconda del caso, l’impatto può essere abbastanza notevole da compromettere completamente le misure intese a proteggere la sicurezza, i processi, l’infrastruttura di un’organizzazione, ecc.”
F-Secure offre i seguenti consigli per aiutare le organizzazioni a non utilizzare componenti contraffatti:
• Acquistare tutti i componenti da rivenditori autorizzati
• Avere chiari processi interni e politiche che regolano i processi di approvvigionamento
• Assicurarsi che tutti i componenti eseguano il software disponibile più recente fornito dai produttori
• Prendere nota delle differenze anche fisiche tra le diverse unità dello stesso prodotto, a prescindere da quanto possano essere sottili
“Siamo leader mondiali quando si tratta di ‘breaking and making’ schemi di boot sicuri, che sono fondamentali per proteggere la proprietà intellettuale e garantire l’autenticità di firmware e prodotti hardware. La nostra analisi dettagliata di questo caso evidenzia non solo le sfide nel determinare le implicazioni di sicurezza delle contraffazioni, ma anche il modo in cui possiamo supportare e rassicurare le organizzazioni che scoprono dispositivi sospetti nella loro infrastruttura”, ha aggiunto Barisani.
