La prevedibile banalità del Male

Dies ist ein automatisch aus dem Italienischen übersetzter Text. Wenn Sie unsere Arbeit schätzen und sie gerne in Ihrer Sprache lesen, denken Sie über eine Spende nach, damit wir sie weiterhin durchführen und verbessern können.

Die Artikel von Cassandra-Kreuzung Ich bin unter Lizenz CC BY-SA 4.0 | Cassandra-Kreuzung ist eine Spalte, die von erstellt wurde Marco Calamari mit dem „nom de plume“ von Kassandra, geboren 2005.

Mit einer Reihe logischer Überlegungen entführt uns Cassandra in die wunderbare Welt der Firmware und des Satelliteninternets. Ganz durchlesen, denn es gibt ein sehr interessantes „Update“!

Dieser Artikel wurde geschrieben am 21. März 2022 von Cassandra

Cassandra Crossing 498/ Die vorhersehbare Banalität des Bösen

Ist es im Cyberkrieg wirklich so schwierig, das Internet über Satellit „abzuschalten“?

Cassandra hatte eine ziemlich genaue Vorstellung von einem wahrscheinlichen Akt des Cyberkriegs, und zwar so sehr, dass sie beschloss, ihre Meinung zum Wohle ihrer 24 unermüdlichen Leser zu äußern.

Dabei handelt es sich um den Stromausfall mehrerer Zehntausend VIASAT-Satelliten-Internetnutzer (vertrieben unter verschiedenen Handelsnamen) in einigen europäischen Ländern, darunter der Ukraine, der gleich zu Beginn der Feindseligkeiten auftrat.

Offizielle Quellen berichten, dass eine bestimmte Anzahl von Satellitenmodems, die von Quelle zu Quelle schwankt, aber immer in der Größenordnung von 10.000 Einheiten liegt, außer Betrieb genommen wurde und „wahrscheinlich“ ersetzt werden muss.

Obwohl dies eine ziemlich genaue Beschreibung ist, ist sie von der mystischen Aura der Technologie und Geheimhaltung umgeben, die, wie die Clarkes drittes Gesetz ausspricht, macht es von Magie nicht zu unterscheiden.

Mal sehen, ob Cassandra den Schleier lüften und erklären kann, dass wir es nicht mit hochwissenschaftlichen Waffen zu tun haben, sondern mit der schlichten Alltäglichkeit und Altertümlichkeit von Hardware- und Software-Architekturen sowie offensichtlich mit der natürlichen Tendenz, wo immer möglich zu sparen. und die für die Branche typische Menge an Fehlern und Auslassungen.

Eine Prämisse, falls es nötig sein sollte; Cassandra ist nicht im Besitz vertraulicher Informationen, sondern beherrscht den Umgang mit Suchmaschinen und Foren nur mit annähernd durchschnittlicher Kompetenz.

Es ist nicht einmal auf dem neuesten Stand moderner und/oder proprietärer Technologien, verfügt aber über eine gewisse, wenn auch mittlerweile veraltete, Erfahrung in der industriellen Entwicklung von Hardware und Software.

Mehr ist nicht nötig. Ausgehend von diesen Elementen kann Cassandra ein Ereignis erklären und trivialisieren, das alles andere als mysteriös, sondern so aufregend und raffiniert ist wie eine Schüssel Grieß oder ein DDOS auf niedriger Stufe.

Und wählen Sie eine der vielen Möglichkeiten aus, ein Satellitenmodem zu kompromittieren, die hier ausführlich aufgeführt sind dieser Beitrag, kann vermuten, was wirklich passiert ist.

Also fangen wir gemeinsam mit den 24 unternehmungslustigen Lesern ganz von vorne an.

Jedes Modem, ja jedes IT-Objekt verfügt über Firmware, also Software, auch sehr komplexe, die dauerhaft in einer Hardwarekomponente der gedruckten Schaltung gespeichert ist.
Dabei kann es sich auch um eine einfache uSD-Karte handeln, wie sie zum Erweitern des Speichers von Smartphones verwendet wird, oder um anspruchsvollere und speziellere Hardwarekomponenten.

Es spielt keine Rolle, denn wichtig ist, dass diese Software zusammen mit der Komponente, die sie enthält, in einer Box eingeschlossen ist, vielleicht elegant und sicherlich mit Steckdosen und Lichtern ausgestattet, und die Box ist irgendwo installiert.
In unserem Fall, da wir es mit Satelliten-Internetverbindungen zu tun haben, wahrscheinlich ein sehr abgelegener Ort, vielleicht kalt und hoch oben.

Und die Firmware sollte natürlich aktualisiert werden können, ohne dass die Verpackung geöffnet werden muss, ohne dass ein Techniker seinen Laptop daran anschließen muss, möglicherweise ohne manuellen Eingriff, möglicherweise völlig automatisch, mit einem einzigen Vorgang.

Um eine Firmware zum ersten Mal zu laden, können verschiedene Methoden verwendet werden, aber im Allgemeinen gibt es auf der Leiterplatte jedes Geräts dieses Typs einen Anschluss JTAG; Es handelt sich um einen Industriestandard, der es Ihnen ermöglicht, programmierbare Komponenten auf standardisierte Weise zu programmieren (schön, oder?). Lass es los und mach weiter

Der JTAG-Anschluss ist so leistungsstark und gefürchtet, dass er normalerweise nur während der Entwicklung oder Reparatur verwendet wird, während er bei Geräten, die zum Verkauf bestimmt sind, nicht zugänglich ist (das Loch in der Box fehlt) und der Stecker oft nicht einmal auf die Leiterplatte gelötet ist Schaltung, aber der Sitz bleibt leer.

Der Segen und die Freude der Hardware-Freaks von vor ein paar Jahren bestand darin, die Box zu öffnen, die genaue Stelle auf der gedruckten Schaltung zu finden, an der der JTAG-Stecker hätte montiert werden sollen, und zwei Drähte daran anzulöten, die zu einem geeigneten USB-Adapter führten. Und die Geek-Magie konnte beginnen!

Im Normalbetrieb wird die Firmware natürlich nicht auf diese Weise aktualisiert, sondern (Sie haben es sicher schon einmal auf Ihrem Heimmodem gemacht) über die Webschnittstelle des Modems selbst, indem Sie die aktualisierte Firmware von der Website des Herstellers herunterladen und hineinschreiben Sie können die Komponente mit einem einfachen Klick auf eine Schaltfläche öffnen.

Alle etwas moderneren Objekte, zum Beispiel Haushalts-IoT-Objekte, erledigen oder können diesen Vorgang völlig automatisch und für den Benutzer unsichtbar durchführen.

Kommen wir zurück zu unseren Satellitenmodems.
Alle Geräte, die über Funk kommunizieren, wie zum Beispiel Satellitenmodems, aber auch viele gängige Fernseher, verfügen über die Möglichkeit, Firmware herunterzuladen, die per Funk übertragen wird.

Gibt es ein besseres System als dieses für eine kleine Box, die an abgelegenen Standorten installiert wird? DER Modem Die von Viasat verwendeten Geräte sind mit dieser Fähigkeit ausgestattet.

Das Laden der Firmware wird offensichtlich durch ein Verteilungssystem gesteuert, das teilweise durch die Architekturen von Satellitensystemen eingeschränkt ist; Dabei handelt es sich um Architekturen, bei denen wir versuchen, dem Satelliten die gesamte mögliche Komplexität zu nehmen (definitiv schwieriger zu aktualisieren!), indem wir sie so weit wie möglich in der Software der Erdstationen konzentrieren.

Das Problem der zuverlässigen und sicheren Verteilung von Firmware wird auf industrieller Ebene längst mit verschiedenen Methoden gelöst, die jedoch im Widerspruch zu den Kosten, zu den Zwängen alter Softwarearchitekturen und zu den Einschränkungen der Hardware stehen.
Dies führt oft dazu, dass Lösungen voller kryptografischer Schlüssel sind, die manuell aktualisiert oder sogar in die Software integriert werden müssen, und ähnliche „Vergnügungen“. Sogar moderne Waffensysteme werden so bedient, kein Wunder also.

Wagen wir uns nun, nur mit Occams Rasiermesser bewaffnet, auf das Gebiet der Hypothesen.

Dieses Werkzeug reicht aus, um eine einfache und banale Hypothese aufzustellen, die das Ereignis perfekt erklärt. Dabei handelte es sich um die Kompromittierung des Firmware-Aktualisierungssystems einer einzelnen Bodenstation und einen einzigen Befehl, der eine „bösartige“ Version der Firmware auf die gesamte „Flotte“ von Modems lud.

Eine Firmware, ob bösartig oder nicht, hat beim Booten die volle Kontrolle über die Hardware; Es kann einfach nicht funktionieren, keine weiteren Updates zulassen und für immer dort bleiben, oder effektiver den Bootloader (das Äquivalent des Master Boot Record) der Karte überschreiben und das Modem dauerhaft blockieren, wodurch ein Neustart verhindert wird.

Modems können mit Maßnahmen zur Vermeidung dieser Situationen ausgestattet werden, beispielsweise einer zweiten schreibgeschützten Kopie der Firmware, die nur die Aktualisierung der Firmware ermöglicht. Diese Maßnahmen sind jedoch teuer, nicht immer vorhanden und nicht immer sogar Wenn sie vorhanden sind, können sie verwendet werden und werden nicht immer tatsächlich verwendet.

Es handelt sich also nicht um einen destruktiven Angriff; Das Modem ist intakt und die Firmware, die für jedes Modem vor Ort läuft, könnte neu geladen werden, indem das gesamte virtuelle Dateisystem über JTAG kopiert wird, wenn ein Anschluss vorhanden wäre, der nicht vorhanden ist, und dann die Box geöffnet und einer an die gedruckte Schaltung gelötet wird.

Allerdings sind die Kosten eines solchen Verfahrens inakzeptabel; Es ist viel kostengünstiger, dem Benutzer ein neues Modem zuzusenden und es von ihm austauschen zu lassen. Aber wer hat heute schon 10.000 versandfertige Modems auf Lager? Und wie sieht es mit der Logistik aus, sie in das Kriegsgebiet zu bringen?

Hier kann die Leugnung einer kritischen Infrastruktur in einem noch kritischeren Moment und Bereich mit einer Art Angriff erklärt werden, leider einer „normalen Verwaltung“ in der Welt der Informationssicherheit, die genauso faszinierend ist wie eine Schüssel Grieß.

Aber es bleibt die bewiesene und bestätigte Tatsache, dass jemand das Satelliteninternet in einem Kriegsgebiet irgendwie wirklich „getötet“ hat.

Und es war wirklich zu einfach.

UPDATE: Während der langen Entstehung dieses Artikels hat Viasat „zugelassen„, dass die Dinge einfach so passiert sind; Sie könnten nichts weniger von Ihrer Lieblingsprophetin erwarten!

UPDATE: Der CEO von Viasat bestätigt implizit, dass es sich bei dem Problem um eine veränderte Firmware handelt, und liefert Details zur Logistik, die auch die von Cassandra vorhergesagten Details bestätigen.

Mark Dankberg, Vorsitzender von Viasat, sagte auf einer Satellitenkonferenz, dass … „Tausende Modems offline geschaltet wurden.“ In den meisten Fällen müssen Modems, die offline gegangen sind, ersetzt werden. „Sie können wiederaufbereitet werden, daher recyceln wir Modems durch“,.

Mark Dankberg, CEO von Viasat, sagte auf einer Satellitenkonferenz: „…Tausende Modems sind offline gegangen und müssen ersetzt werden.“ Sie können repariert werden, also recyceln wir sie.“

Marco Calamari