так. давайте еще раз разложим все по полочкам.
Пусть это будет канал РЛС(о другой военной технике пока не будем говорить), давим мы его или излучаем спец сигнал в той же полосе. отлично. Сперва мы попадаем во входные фильтры, затем в МШУ, затем в смесители и последующую фильтрацию. Потом в АЦП, с АЦП на блок цифровой обработки. Положим что хитрый сигнал просочился через все это, с небольшими искажениями. И таки залез в АСИК или ФПГА. Что он будет делать дальше? И самое главное, как он доберется до процессора, что бы через пин шины данных, таки залезть в приемник закладки?


Такая бомба либо сожгет все электромагнитным импульсом, либо тупо заблокирует все приемники, АРУшки отработают и постараются защитить приемники от сгорания. После того как всплеск мощности закончиться, все вернется на круги своя.

Вытащить пусть даже 2^16 базу сигнала, при заблокированном приемнике, или приемнике в насыщении, не так то просто.


ЗЫ. Давайте строить диалог все таки более детально, "сами дураки, я все знаю" конечно сильное высказывание, но у нас в клубе "джентльменам на слово редко верят". Дайте схему реально возможного устройства и подобной закладки.

1. В США тоже не патентуют. У них существует Semiconductor Chip Protection Act of 1984, который подразумевает обычную регистрацию. Согласно этому закону реверс инжениринг не является незаконным.
Поэтому известная компания Сhipworks, как и многие другие, спокойно их реверсят и продают. Об этом написано и у них в FAQ.
2. Вроде бы не пускали китайские чипы на американские рынки. Подробнее тут в комментариях уважаемый автор с Электроникса об этом упоминает.

Насчет закладок тоже выскажу мнение.
Тема выливается в грандиозный холивар. И есть люди, которые категорически не верят в целесообразность закладок и даже физическую возможность их добавить и эксплуатировать. И вся тема сводится к сокращению ресурса или дистанционному (!) отключению. Предлагаю взглянуть шире. На хабре был обзор средств слежки АНБ. Предлагаю ознакомиться с теми закладками, которые УЖЕ используются. Поработаю капитаном Очевидность. На мой взгляд, закладками могут быть любые уязвимости, например:
Ошибки (оставленные или привнесенные), позволяющие обойти защищенный режим процессора, позволяющие выполнить произвольный код. Снять защиту от чтения (все помнят историю с Actel с доказанной закладкой). Получить доступ к отладчику или внутренним регистрам. И это все существует на сегодняшний день, если верить обнародованным данным. Например, используются уязвимости маршрутизаторов Cisco, о которых может не знать сам производитель. Вирус, написанный под такой проц, будет обладать преимуществом перед мониторами, антивирусами и т.п.
В таком ключе сама топология оригинального отечественного чипа может стать предметом секретности. На мой дилетантский взгляд =)
И далее, далее. В самом конце будут идти радиозакладки, о которых все любят поспорить.

Насчет радиозакладок.. Сейчас уже есть возможность заложить радиозакладку в ПЛИС, используя стандартную логику кристала)) Такие работы ведутся, кое-что публикуется. Такая закладка может позволить производителю оборудования шифрования считать из BOM'а ключи с расстояния нескольких метров. Практически не имея никаких специальных антенн на плате. Звучит, как фантастика, но используется UWB передача через EMI с накоплением сигнала на стороне приемника. Получается очень медленно, десятки или единицы байт в секунду. Несколько ссылок для тех, кого эта тема заинтересует
1. http://www.edn.com/design/integrated-circu...ator-on-an-FPGA
2. https://www.jstage.jst.go.jp/article/elex/9/9/9_868/_pdf
3. http://www.eecs.umich.edu/eecs/research/Pr...nthesizable.pdf
4. http://wwweb.eecs.umich.edu/wics/publicati...rk_JSSC2011.pdf
И т.д. искать по Synthesizable Ultra-Wideband Transmitter
Есть подозрения, что можно сделать и приемник полностью синтезируемый без внешнего тракта.

Интересная статья о закладках http://www.bostonreview.net/evgeny-morozov...-spying-privacy
В ней сказано, что директор ФБР посетил Силиконовую долину и попросил компании делать побольше закладок в своих разработках))) Известный факт, оборудование Хуавей американцы запретили покупать в государственные структуры.


Согласен с ув. Dr.Alex. Если опорный сигнал гетеродина пролезает через приемный тракт на антенну приемника в достаточной мере, чтобы этим успешно пользовались разные специальные люди с пеленгатором на значительном расстоянии, то протащить сигнал в блок тоже можно. И UWB очень хорошо пролезает через экраны и развязки. Но опять таки, повторюсь, это только один небольшой сценарий использования закладок.

Ув. des00 просит говорить конкретно. Нет конкретики — нет и темы закладок. Но это ведь передний край, мы многое можем не знать и даже не догадываться. И защититься можно только технологической независимостью. Многие методы вообще сегодня еще не придуманы и, возможно, появятся завтра. А мы будем не готовы и полностью зависимы.

Где гарантия, что Квартус, к примеру, в многомегабайтной прошивке не сохраняет запакованные, зашифрованные исходники) Или где гарантия, что он так не сможет сделать завтра) Это я так, в порядке бреда.


Пока он не попадет на стол к инженерам вероятного противника) Для чего-то же делают межблочное шифрование)

Пока не процитируете меня, где я высказался в таком духе, не вижу смысла продолжать.

на самом деле ето уже "end of story". учитывая, что российских Ацп нет, дальше гнать сигнал и не нужно - дальше просто отключится АЦП, и станция ослепнет.

но если даже продолжать.
на самом деле ведь известно что обычно делают в таких случаях asic и fpga. Фильтрация, фазирование, гетеродинирование, фурье, перевод данных во внутреннее представление цифровой системы (упаковка). В принципе, для математика не должно составлять проблемы придумать сигнал, проходящий через такую структуру насквозь.
Навскидку их сразу 2: белый шум DrAlex, и родной станционный сигнал(((
К сожалению, задача разработки такой штуки действительно не невозможная - в реальности, наверняка после разрухи 90 годов США имеют разведданные о многих технических параметрах наших систем. Раз уж они купили в сборе и с образцами разработку Як-141.
Кроме того, регулярные облеты разведчиками всех новых образцов техники. Меня всегда удивляло, как спокойно они продают АЦП AD.

des00 так и не понял идею, а продолжает смешивать мух с котлетами.
Он всё ещё пытается пробиться через экранирование и фильтрование входных/выходных проводов, хотя я сразу сказал что основной путь, который наиболее пристально сейчас анализируется, совсем другой.


Вы тоже немножко смешали мух с фуагра.
Вообще неуместно ставить вопрос, как сигнал пройдёт через "гетеродинирование, фильтрацию" и т.п. Он пройдёт ровно так же, как и законный сигнал. Всё.
А что касается демодуляции, пакетирования и т.д, то всё это уже не имеет решительно никакого значения.
Потому что ещё до того, как все эти действия начнут производиться, сэмплы с АЦП спокойно будут лежать в буфере большими кусками. Вот это и есть енд оф стори.

2 x736C
Спасибо, хоть что-то вещественное в теме появилось.


Нет, давайте четко конкретизируем предмет обсуждения. По вашим ссылкам приведены программно-аппаратные закладки, которые естественно могут быть и естественно, при наличии у устройства подключения во внешний мир, могут быть легко активированы.

Итак еще раз. Обсуждаем вопрос, реализации и дистанционной активации программно-аппратной закладки в микросхеме MCU/FPGA/ASIC, в устростве, не имеющем подключений во внешний мир. Остальное меня, как разработчика беспроводных устройств связи не интерсует.


UWB очень интересный материал, но :
1. В ваших ссылках рассматривается вопрос о формировании такого сигнала. Я могу сфоримровать любой сигнал, но вот принять ..... (с) Откровения старого модемщика.
2. Одна из ссылок гугла http://www.kit-e.ru/articles/wireless/2004_1_64.php
Полоса такого сигнала широкая, не думаю что линейные искажения, вызыванные фильтрами такому сигналу не вредят. Да и если посмотреть на структуры приемников в статье, то все как обычно : широкополосная антена, качественный МШУ, демодулятор и т.д.


Можете поделиться ссылками на то как UWB живет в каналах с искажениями АЧХ и прочим (как бы экраны не только поглотители, но и фильтры.


Прошу понять меня правильно, мой интерес чисто конкретный : функциональная схема устройва, которое позволит дистанционно активировать закладку в устройстве без интерфейсов во внешний мир. Ни больше, не меньше.


Ну и каким местом это закладка ? Это грязный бакдор авторов, который упростит копирование. только и всего.



Так, давайте теорию заговора отложим. Кто хочет обсуждать это - добро пожаловать в форум общение. И так : АЦП режет какой то сигнал, на какой то произвольной тактовой частоте, с непонятно какой предварительной обработкой сигнала. Расстройка несушки там может быть дестятки мегагерц, фильтрация полосы тоже, искажения тем более.

Пусть даже в АЦП стоит UWB приемник. Что он сделает, пусть даже со своим собственным сигналом, непонятно как преобразованным приемным трактом?


Это мое резюме, основанное на том, как вы участвуете в теме. Если что-то знаете по теме, так расскажите. Только без теорий заговоров, намеков на скрытый смысл и прочее. Если не хотите рассказывать, тогда зачем вообще в теме участвовать?


Посмотрие пожалуйста с чего началось обсуждение. С дистанционно активированной закладки в устройстве БЕЗ внешних интефейсов в мир.

Если знаете расскажите. Ну лежат у вас семплы непонятно чего нарезанного. Что вы будете делать с ними дальше?

Когда мы говорим об аппаратных "закладках", то речь не идет о воздействии на конкретное устройство. Это мало кому интересно и слишком сложно реализуемо.

Речь идет о комплексной и системной "работе по площадям": если насадить вредоносные куски в возможно большем числе устройств, микросхем и т.п., то при подаче управляющего воздействия повышается вероятность того, что какое-то устройство, выполняющее критические функции, окажется в тех условиях, когда это воздействие на вредоносный кусок достигнет цели и принесет желаемый/разрушительный эффект.

Ситуация, аналогичная компьютерным вирусам с троянскими функциями:
- распространяем.
- собираем информацию о том, куда это попало. Здесь любые средства хороши.
- oh exploitable!

И на каждое "устройство БЕЗ внешних интефейсов в мир" найдется вагон устройств с внешними интерфейсами.

Приемник UWB-сигнала на основе узких широкополосных импульсов очень прост технически. Отличается нетребовательностью к форме сигнала во временной области. Необходимо иметь определенное количество энергии, распределенной в частотном диапазоне в определенные моменты времени. Понятно, что широкополосность — необходимое требование. Еще одно — стабильность опорного генератора. Демодулятора как такого вообще в приемнике нет. Это если говорить о формирователе строго периодичных сигналов от ПЛИС к приемнику, ссылки на который привел.
Существуют side-channle атаки, где форма сигнала не определена вообще. Никаких специальных антенн или модуляторов нет. То есть атака на процессор стандартного компа, чтение RSA ключа, например. Самой наглядной ссылки не нашел. Попадалось такое исследование, чтение ключа со стандартного ноутбука чуть ли не на китайский sdr-донгл.
Кое-что тут: https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-811.pdf

ШПС же тоже разный бывает, различны методы расширения спектра. По Вашей ссылке UWB система связи с неплохой пропускной способностью.
Не нашел статью. В МАИ, кажется, занимаются построением таких приемопередатчиков для систем мониторинга. Статья была в КиТ'е с обзором. Все очень простенькое и малопотребляющее. Прием происходит сразу на высокой частоте. Фактически накопление на конденсаторе и пороговой детектор, насколько понял.


Квартус — всего лишь пример того, к чему теоретически может привести технологическая зависимость.
Еще пример того, насколько неочевидным может быть направление атаки. Не так давно придуман метод получения RSA-ключа из компьютера по ультразвуку, который производят конденсаторы и индуктивности импульсного источника питания, даже через экран. http://www.tau.ac.il/~tromer/acoustic/
10 лет назад трудно было себе это представить.

Интересно было бы глянуть, в сети не нашел:
Security Trends for FPGAS: From Secured to Secure Reconfigurable Systems

О возможности передать команду на кристал, ничего не могу сказать. Но даже то, что было перечислено, весомый аргумент в пользу развития своих высокотехнологичных производств. имхо.

Со всем уважением, Вы таки не один в теме.
Обсуждение началось с закладок в чипе, и этот чип МОЖЕТ быть не только процессором, но и АЦП, усилителем, или любым другим чипом, НАПРЯМУЮ ВЗАИМОДЕЙСТВУЮЩИМ с внешним миром.
Лично для меня убийство АЦП или усилителя в тракте перед процессором ничем не лучше убийства самого процессора, поэтому мне интересны все варианты.

Не смог пройти мимо, вставлю и свои пять копеек.

Во-первых, не суть важно какое устройство будет с закладкой процессор, плис, ацп, да хоть цап фапч или dds. Падение любого компонента системы как правило ведёт к отказу всей системы.

Во-вторых, сложность вставки закладки: нужно проанализировать топологию и вставить свой кусок.
Вот пример: свой блок "слушает" шину данный и по появлению хеша активирует закладку.
Теперь реакция: простой, грубый и надёжный вариант - влияние на глобальную линию сброса. Всё устройство просто падает.
Понятно, что сложность вставки такой закладки не очень серьёзна.
Итак в процессорах: шина данный - да любая: кеш, dma, uart, spi ...; глобальный сброс присутствует.
В плис: сброс также есть; шину проще всего использовать от какого либо hard ip: hard cpu, memory controller, transceiver.
Вывести устройство из строя навсегда тоже просто: плавкая перемычка (все прекрасно помнят первые ПЗУ. В КМОП это вполне реализуется и места много не займёт (перемычка-то одна)).
Как дотащить до этой шины данные (ИМХО) дело десятое. Это может быть и эзернет пакет, почта, вирус, пакет данных (какой либо: фото, видео, ...). ИМХО над этой проблемой пользователь закладки может подумать и потом, плюс работать по площадям.

Ну и напоследок страшная история:
Сразу скажу что ссылку не приведу (не помню). Но как-то прочитал одну научную статью. Суть её - исследование возможности внесения закладки. Взяли ребята за основу RTL код процессора LEON3 и добавили в RTL свой кусок. И времени это заняло не так много и по объёму было около 0.5%. Т.е. в конечном нетлисте её хрен найдёшь. Активизируется закладка по пакету с нужным хешом. А делает закладка следующее: она влияет на безопасность процессов. А конкретно разрешает доступ к памяти других процессов (в том числе и root). Я думаю не нужно объяснять какие возможности для компрометирования системы подобная закладка даёт (повышение привилегий, кража паролей и т.д.).

Так что (ИМХО) технологическая независимость вещь хоть и очень дорогая и во многом параноидальная, но всё же не лишняя. Это же касается и производства масок.
PS. Прошу сильно не пинать. Здоровая критика и скепсис приветствуются.

Вы тему-то прочитали? Этот принцип уже обсосан.
Только вот:
1) Нет ровно никакого смысла считать хэш. Просто сверять каких-нить 128 жалких бит на совпадение, и вероятность случайного выключения можно считать тождественно равной нулю.
2) В случае эзернета и любых других интерфейсов с известным протоколом всё банально, нечего обсуждать.
Споры возникают по поводу проникновения через интерфейс с неизвестным протоколом.
Я утверждаю что можно, кто-то не верит.
3) Возможность врага найти в кристалле (не имея исходников) тот провод, порча которого гарантированно сломает проц, тоже подверглась сомнению. Правда, никто не поддержал.

Лично меня интересует использование импортной элементной базы.
Я сильно сомневаюсь в том, что спец не сможет, поглядев на фотошаблоны, понять что перед ним АЦП, а потом не сможет найти его опорный клок.
Это приводит нас в ситуацию, когда все АЦП импортные. К тому же российских все равно нет.

Так вот, задача с анализом шумов на мой взгляд интересная. Все-таки работать с родным сигналом мне кажется более гемморойно. Определение среднего значения сигнала по-моему проще сделать в аналоге. Работа с белым шумом абстрагирует нас от схем гетеродинов. Если известно где клок, известно что он стабилен, и неизвестна его частота, то нужно качать частоту задающего последовательность внешнего генератора, и, добившись отключения изделия (подходя по частоте задающего сверху и снизу), можно точно определить частоту опорного генератора АЦП, даже не воруя никакую документацию. Определить отключение изделия тоже представляется возможным - в момент отключения изделие должно изменить свое поведение (типа differential analisys). Возникает еще вопрос, как бороться с адаптивным аттенюатором на входе ацп, и как реализовать коррелятор.
Интересно, может кто может помоделировать такую хрень ?

В этом тут сомневался только йес, а он как раз специалист :-)))))))


Никак. С полезными вещами не надо бороться.

Я говорю про наших зарубежных друзей. Нормализация шума будет портить корреляцию. Значит, нужно придумать способ как это преодолеть. В итоге было бы неплохо проработать метод, и попытаться экспериментально его подтвердить.
Это будет мясо для размышлений: кто виноват, и что дальше делать.
Не думаю, что банальные вещи, которые я говорю, не пришли в голову тем кто системно занимался такими штуками.

В смысле, я имел в виду, если аттенюатор внешний по отношению к АЦП (в МШУ). Понятно, что со внутренним бороться не нужно.
Правда, остается еще вопрос, как подобрать саму последовательность. Возможно, кстати что для этого годится опять тот же differential power analisys из статьи про закладки в Actel http://www.cl.cam.ac.uk/~sps32/ches2012-backdoor.pdf.
А, тогда проще от обратного: чип на мониторы питания и лупить в него случайной последовательностью и слушать его, и подбирать код. А потом уже, после подбора последовательности, можно эксперементировать с нормировкой шума внешним АРУ.

О блин. Хоть прям садись и пили)

По идее на каждый код АЦП должен генерить стандартную сигнатуру. Отклонение от сигнатуры и есть признак "чужого".

Не фантазируйте. :-))))) Подобные фразы может выдавать тот кто разбирается в ЦОС на отлично и написал не один демодулятор.


Тут и подтверждать нечего.
Базовый эксперимент выглядел так.
Берётся простой приёмник (радиоканал — АЦП — проц) из любого предыдущего проекта.
Допустим, к нему уже есть программа, непрерывно принимающая сигнал с эфира, написанная разработчиком А.
Разработчик А адаптирует программу следующим образом:
— освобождает часть ресурсов проца разработчику Б любым способом (увеличивает тактовую, сужает полосу, впаивает более толстый проц)
— создаёт для разработчика Б простейшее окружение, в котором может выполняться написанная Б подпрограмма (выделяет кусок памяти для кода, данных, и гарантирует периодический вызов его подпрограммы. Идеально если "основная" программа А работает по прерываниям, а всё оставшееся время в фоновом режиме получает подпрограмма разработчика Б)

Разработчик Б знает только тип проца, для которого он будет писать, и примерно частоту/полосу приёмника (и то только для упрощения базового эксперимента).
Больше ничего ни о приёмнике, ни о программе А он не знает.
Задачу разработчика Б вы уже поняли.
Он должен написать эту самую подпрограмму, которая, анализируя содержимое памяти проца, должна понять, не присутствует ли часом в эфире некий им же придуманный сигнал.
Удался ли эксперимент, мне даже неудобно говорить. Неужели ответ не очевиден?

да демодулятор я не писал((( нормировка будет замедлять накопление ?

с программой проще. Хочется, чтобы не было процессора- просто конденсатор и коррелятор. Процессор сильно шумит для АЦП


Ваш базовый опыт очень познавателен, но все-таки малополезен. Вы ведь не делаете американские АЦП ?)

Коррелятор это оптимальный обнаружитель полностью известного сигнала в белом шуме.
В остальных случаях он не является оптимальным.
Что-то тут всех в крайности тянет: одни всё усложняют, а другие упрощают :-))))

Извините, я не понимаю, разве задача не выглядит именно так ?
После того как мы построили схему, умеющую понять есть сейчас аддитивный шум, или его нет, у нас и возникает ситуация стандартной локационной задачи с полностью известным сигналом, для которой коррелятор лучшее средство. Или я не прав ?

Все из Вас приходится клещами тащить. Не стесняйтесь делиться с общественностью знанием. Поддержите творческую молодежь)
Уверен, за такую работу военные легко дадут не то что кандидатсткую, а докторскую и кучу богатых больных кому угодно, а по нынешним временам работы на пару недель - это же халява)

И денег можно нажить.
Как например такая тема: open source кит (на базе какого-нибудь BitScope) для поиска аппаратных закладок, аномалий и дефектов в чипах: плата кита 100 долларов)
Или: лабораторная работа по определению текущих кодов удаленного управления в современных БИС))) Ето же такое нужно курсе на 3 проходить в институте)
Представляю прогноз погоды на электрониксе:
температура +33, влажность 96%, константа удаленного управления 0x1ff,0x2fe, в новых сериях госдеп разбушевался - константа доходит до 0x3f25)))

Покурил тему, вспоминл работы на кафедре в аспирантуре 12 лет назад (делали связь на таких сигналах и геолокатор). Все так, но подобный приемник добавить в чип, сама по себе задача не простая. Количество ресурсов, может быть больше, чем основая задача чипа (АЦП например).

И как мне кажеться, достоинства UWB обратная сторона его недостатков. Сделать его дальнобойным можно, но ценой того, что все узкополосное ляжет, в виду того, что приемники будут перегружены. А это уже по факту банальная мощная глушилка, без всяких закладок.

По поводу ультразвука, забавно конечно, что народ защищался клеткой фарадея , но тем не менее, во времена CRT мониторов, у нас на кафедре велись работы, по дистанционному сьему изображения с экрана. Были положительные результаты.

Это даже обсуждать глупо.

Большое спасибо за книгу, очень интересно

А где бы книгу взять? В закромах не нашел, в инете тоже так лихо не получилось.

За книжку спасибо, любопытно будет почитать.


Там же, где лежат все подобные книжки. bookfi(dot)org

Метод древний. Но с ЭЛТ понятно, там очень большие сигналы, удобно развернутые во времени.
А тут обычный проц, у которого все выводы согласованы и т.д. Частоты намного выше, информация в спектре ЭМИ представлена неочевидным образом.
Вот, нашел все-таки эту статью:
https://eprint.iacr.org/2015/170.pdf

подброшу дров в топку: "Троян аппаратного уровня"


Нажмите для просмотра прикрепленного файла

ATPG тест должен "увидеть" такую подмену. Да и если уж есть ГСЧ, то он тестируется на равномерность выдаваемых данных. Вообщем они смогли бы обмануть только какие либо простые продакшн тесты для дешевой бытовой техники, где надо просто отсеять совсем не работающие девайсы. Ну или нам как всегда чегото не договаривают или пугают.

Сомневаюсь. Насколько я знаю ATPG делает верификацию детерминированной логики. ГСЧ к этому не относится.

ATPG видит только контрольные точки, и логику между ними. Если добавить свою логику и триггеры, не трогая исходную схему, тест этого не заметит. К примеру, у вас есть функция A=B*C. Вы можете добавить функцию A=B+C через мультиплексор A = TestMode ? B*C : B+C. Поскольку TestMode при анализе считается константой (здесь может быть любой другой константный для теста сигнал), ATPG подмены не увидит.

Ссылка в старую, но актуальную тему.

https://geektimes.ru/post/271964/

До кучи, тоже занятно
https://geektimes.ru/post/272800/