سیستم عاملی در نقش جاسوس افزار

به گزارش کارگروه امنیت اطلاعات سایبربان؛ از هنگام بهوجود آمدن رایانه، موضوعاتی مانند امنیت سایبری و مقابله با هکرها، به اصلی‌ترین نگرانی سراسر جهان تبدیل شده‌اند. زیرا مهاجمان روزبه‌روز روش‌های تازهای را برای دستیابی به اطلاعات ایجاد می‌کنند.
هم‌اکنون علاوه بر روش‌های سنتی نرم‌افزاری، شیوه‌های گوناگون سخت‌افزاری بسیاری نیز پدید آمده‌اند که حریم خصوصی را تهدید کرده، بهسرقت اطلاعات می‌پردازند. در ادامه، شماری از آن‌ها بهطور خلاصه برشمرده می‌شوند و سپس جدیدترین نوع کشفشده معرفی می‌گردد.
•    الگوی حرکت ماوس: هکرها می‌توانند با استفاده از نمونه‌های حرکتی ماوس در مرورگر تور، به شناسایی کاربران بپردازند.
•    امواج الکترومغناطیسی: هر ابزاری که به برق می‌پیوندد، امواج الکترومغناطیسی تولید می‌کند. هکرها قادراند با سرقت این امواج، به شنود داده‌های ورودی از صفحه‌کلید بپردازند.
•    فن رایانه: هکرهای دانشگاه بن گوریون، بدافزاری به نام فنزمیتر ایجاد کرده‌اند که می‌تواند فن پردازنده‌ مرکزی را هک کرده، با تغییر سرعت آن، سیگنال‌های صوتی پدید آورد. سپس این سیگنال‌ها، با کمک یک میکروفون (مانند تلفن هوشمند) گرد‌آوری و ارسال می‌شوند.
•    ال‌ای‌دی: بدافزاری وجود دارد که می‌تواند ال‌ای‌دی را وادار کند، با فرکانس 6 هزار هرتز چشمک بزند، به‌نحوی ‌که با چشم انسان قابل ‌شناسایی نباشد. این اطلاعات را می‌توان با سرعت 4 هزار بیت در ثانیه، تا شعاع 20 متری فرستاد.
•    هدفون: محققان این دانشگاه، بهتازگی اعلام کرده‌اند؛ بدافزاری را به نام «اسپیکار» (Speak(a)r) توسعه داده‌اند که نوعی کد ویرانگر در خود دارد و می‌تواند برای شنود گفتوگوی کاربران، هدفون آن‌ها را به‌صورت موقت به یک میکروفون تبدیل کند.
•    دیسک سخت: هکرها ابزاری ساخته‌اند که می‌تواند حرکت هد خواندن و نوشتن را برای تولید صفر و یک شبیه‌سازی کرده، به شنود اطلاعات بپردازد.
•    امواج صوتی: پژوهشگران دانشگاه‌های میشیگان و کارولینای جنوبی، موفق به ساخت نوعی پیچ‌گوشتی صوتی شده‌اند که قابلیت هک ابزارهایی مانند: رایانه‌ها، تجهیزات پوشیدنی و روبات‌ها را فراهم می‌آورد.
•    ژیروسکوپ: حسگر ژیروسکوپ درون تلفن‌های هوشمند به‌سادگی ممکن است ازسوی هکرها مورد سوء استفاده قرار گرفته، تبدیل به‌ وسیله‌ای برای استراق سمع شود. هکرها با استفاده از نفوذ در ژیروسکوپ و برنامه مرتبط با آن و تبدیلش به میکروفون می‌توانند به‌آسانی از این وسیله به‌‌عنوان ابزار جاسوسی بهره‌برداری کنند.
•    موتور ویبره: موتور ویبره تلفن می‌تواند مانند یک بلندگو عمل کند و هر بلندگو قادر است یک میکروفون باشد. موقعیت یک سطح مغناطیسی را می‌توان با تغییر ولتاژ ورودی تغییر داد و به همین وسیله، موتور ویبره را به یک میکروفون، یا بلندگو تبدیل کرد.

پردازنده‌های مرکزی اینتل

به‌تازگی گروهی از پژوهشگران امنیتی گزارش دادند: اینتل یک فن‌آوری ویژه مدیریت از راه دور را در بسیاری از پردازندگان و مادربوردهای خود تعبیه کرده است. این فن‌آوری که با نام «Management Engine» شناخته می‌شود، امکان کنترل رایانه‌ها را از راه دور فراهم می‌کند. اما یک تفاوت بنیادین با دیگر روش‌های کنترل و مدیریت از راه دور دارد و آن مستقل بودن از هرگونه سخت‌افزار و نرم‌افزار سیستم‌عامل، وضعیت بوت، دیسک سخت و... است. به‌علاوه این فن‌آوری حتی درصورت خاموش بودن رایانه‌ها نیز به فعالیت خود ادامه می‌دهد. جالب‌تر این که قابلیت بالا درون پردازنده‌های اینتل، هسته اختصاصی دارد.
درحقیقت Management Engine یک رایانه کامل با برخورداری از ریزپردازنده‌ 32 بیتی ARM تعبیه شده است. این توانمندی، خود یک رایانه کوچک به‌شمار می‌رود که سیستم‌عامل ویژه‌ای را به نام «مینیکس 3» (MINIX 3) اجرا می‌کند.
ویژگی یادشده، در رایانه‌های با معماری 32 بیتی وجود دارد و حتی در هنگام قرار داشتن رایانه در حالت‌های Sleep و hibernate نیز به کار خود ادامه می‌دهد.
کاربرد قابلیت Management Engine ارائه امکان مدیریت رایانه‌ها از راه دور است. با هدف فراهم کردن این فرصت، Management Engine قادر به دسترسی به هر ناحیه‌ای از حافظه حتی بدون اطلاع پردازنده اصلی دستگاه است. این پردازنده، به هیچ عنوان متوجه دسترسی نام‌برده نمی‌شود. همچنین Management Engine یک سرور TCP/IP اجرا می‌کند و بسته‌های داده، روی برخی درگاه‌های خارج از کنترل و نظارت هر دیوار آتش (Firewall) تبادل می‌شوند.
ویژگی Management Engine، مربوط به چندین بخش ازجمله یک وب‌سرور با قابلیت دسترسی ازطریق شبکه است. درست همان‌طور که خواندید، پردازندگان اینتل، یک وب سرور داخلی گوش به فرمان دارند و از این وب سرور، برای روشن کردن و مدیریت از راه دور رایانه استفاده می‌شود.

معرفی مینیکس

سیستم‌عاملی که اینتل آن را بدون آگاهی مردم، در رایانه‌های آن‌ها کار گذاشته است، مینیکس نام دارد. مینیکس یک سیستم‌عامل شبه‌یونیکس است که در سال 1987 ازسوی اندرو تاننبام (Andrew Tanenbaum) به‌عنوان یک نرم‌افزار آموزشی گسترش داده شد.
عده‌ای از افراد معتقداند که مینیکس در توسعه‌ هسته‌ لینوکس، تأثیرگذار بوده است. با وجود این، در طراحی آن، 2 تفاوت بزرگ وجود دارد.
پس از انتشار مینیکس 3 (Minix 3) از آن، به‌عنوان یک ریزهسته (Microkernel OS) استفاده شد. تمام رایانه‌های شخصی، لپ‌تاپ‌ها و سرورهایی که از سال 2015 آغاز به‌کار کرده‌اند، ازسوی اینتل، به این سیستم‌عامل مجهز شده، آن را به پرکاربرترین نرم‌افزار تبدیل نمودند.
مینیکس ازلحاظ طراحی، در حلقه 3- پردازنده‌های اینتل اجرا می‌شود. معماری مجموعه شیوه‌نامه x86، از بابت مجوزهای اجرای دستورها به «ring»، یا حلقه‌هایی تقسیم می‌شود. حلقه 3، برای کم‌ترین دسترسی و حلقه صفر، برای بیشترین دسترسی درنظر گرفته شده است. همگام با تحول این ریزمعماری، نیاز به سطوح عمیق‌تر نیز به‌وجود آمد. سازوکار‌های تفکیک دسترسی بیشتری گسترش داده شدند و سطح مطلق صفر، به سطوح بیشتری با مجوزهای بالاتری جداسازی گردید که به‌صورت منفی (-) نام‌گذاری شده‌اند.
در دیدگاه امنیتی و دسترسی، این حلقه‌ها (Rings) هرچه به صفر نزدیک شوند، برنامه بالا، توانایی بیشتری برای دسترسی و کنترل سخت‌افزار می‌یابد. اما با عبور از صفر و رسیدن به حلقه‌های منفی، کُد، یا برنامه، قادر به تعامل بسیار عمیق با سخت‌افزار است و این از حیث امنیتی ممکن است تهدید بزرگی به‌شمار آید.
برنامه‌های معمولی مورد استفاده، در سطح 3+ و Management Engine، در سطح 3- اجرا می‌شوند، بنابراین دسترسی بی‌اندازه عمیقی به سخت‌افزار، ازجمله حافظه و پردازنده دارند. تهدیدات حلقه صفر در سطح هسته (Kernel)، تهدیدات حلقه 1- در سطح Hypervisor (یک سطح پایین‌تر از هسته و نزدیک‌تر به سخت‌افزار مطلق) انجام می‌گردند. تهدیدات حلقه 2- در حالت ویژه‌ای از پردازنده به نام SMM به‌کار می‌روند. در این حالت می‌توان کدها را به‌طور مستقیم به پردازنده ابلاغ کرد. بنابراین اگر تهدیدی به سطح‌های پایین‌تر از صفر دسترسی داشته باشد، علاوه بر کنترل کامل دستگاه می‌تواند به‌طور کامل پنهان بماند.

نفوذ به پردازنده‌های اینتل

از آن‌جایی که خصوصیت یادشده، دسترسی نامتناهی به سامانه دارد، هرگونه رخنه احتمالی امنیتی، فاجعه‌بار خواهد بود و باید بگوییم که همین حالا این اتفاق رخ داده است.
پژوهشگران شرکت امنیتی «Positive Technologies» موفق شده‌اند راهی بیابند که به‌کمک آن بتوان کدهای تأییدنشده (بدون امضای دیجیتال) را تقریبا روی همه‌ رایانه‌های دنیا اجرا کرد. این حمله ازطریق اکسپولیت کردن درگاه USB ویژه JTAG دستگاه‌های اینتل صورت می‌گیرد.
آسیب‌پذیری یادشده، به نفوذگران امکان می‌دهد تا با به‌کارگیری رابط خطایابی (debugging) موجود در دستگاه‌های مبتنی بر پردازندگان اینتل، از سد سازوکار‌های امنیتی رایج - چه در سطح نرم‌افزار و چه سخت‌افزار - عبور کنند و امکان تزریق کد را به‌دست آورند.
تا پیش از رده‌ اسکای‌لیک (Skylake)، خطایابی سطح پایین ماشین (low-level machine debugging) تنها ازطریق یک وسیله مخصوص که به درگاه «ITP-XDP» مادربورد متصل می‌شد، امکان‌پذیر بود. ازسویی با پیدایش نسل‌های تازه اینتل، یک رابط نو به نام DCI (پیونددهنده ارتباط مستقیم) معرفی شد که ازطریق یکی از درگاه‌های USB معمولی می‌توانست به رابط خطایابی JTAG مادربورد دسترسی یابد. قابلیتی که رسیدن به آن، بسیار ساده‌تر و کم‌هزینه‌تر است.
پژوهشگران موفق شده‌اند ازطریق درگاه USB، کدهای ویرانگر خود را مستقیما به دستگاه تزریق کنند. این اکسپلویت، روی پردازنده‌های اسکای‌لیک و جدیدتر از آن قابل استفاده است.
از آن‌جایی که ME بخشی از پردازنده شما است، نمی‌توانید آن را غیرفعال کنید. تنها باید منتظر عرضه وصله احتمالی ازسوی سازندگان مادربورد و لپ‌تاپ ماند.