Как правило, если речь идёт о «закладках», имеется в виду программная часть — от системной прошивки и BIOS до высокоуровневого ПО. Но программное обеспечение виновато не всегда. Возможность присутствия аппаратных «жучков» уже обсуждалась в прошлом году в связи с Supermicro. Теперь же обнаружены нелегальные версии некоторых сетевых коммутаторов Cisco Systems.
Само имя Cisco в представлениях не нуждается: это один из самых известных производителей и поставщиков сетевого оборудования. Вокруг Cisco даже сложился своеобразный культ среди ИТ-специалистов. Как выяснила F-Secure Consulting, этим могут пользоваться злоумышленники, предлагая «поддельные» устройства со знакомым логотипом. Речь идёт о коммутаторах Cisco Catalyst 2960-X. Эти устройства уже не новы и не блещут запредельными скоростями, но в ряде случаев их возможностей всё ещё достаточно.
Пока зафиксировано лишь два случая, в обоих речь идёт о модели WS-2960X-48TS-LV05, полученной якобы от проверенного поставщика, гарантирующего подлинность продукции. Выявить «нестандартность» коммутаторов удалось благодаря обновлению системного ПО, которое привело к их неработоспособности.
Внешне устройства мало чем отличались от оригинальных, хотя при пристальном изучении разницу и можно было заметить, как указано в отчете F-Secure. К счастью, никаких «бэкдоров» в конструкции поддельных коммутаторов найдено не было, однако вполне возможно, что это своеобразный «пробный шар» со стороны злоумышленников.
Внутри устройств обнаружились следы ремонта и модификации; в частности, очевидно, что чипы флеш-памяти, хранящие прошивку, были заменены. Это могло произойти и в рамках обычного ремонта, однако никаких официальных данных об этой процедуре найти не удалось.
Внутри одного из коммутаторов обнаружилась крошечная дополнительная платка, содержащая чип I2C EEPROM ёмкостью 512 Кбит. Она соединялась с основной системой посредством дополнительных проводов — примерно так же «чипируются» игровые консоли. Второе устройство также содержало дополнительный EEPROM, однако в этом случае дополнение было выполнено намного более профессионально.
После обновления ПО устройства отказались проходить аутентификацию, что и привело к их обнаружению. Разумеется, самой Cisco крайне не понравился сам факт появления на рынке такой продукции, поскольку он ставит под удар имя и репутацию компании, о чём она и заявила. Полный отчёт об исследовании поддельных коммутаторов Cisco можно скачать с сайта F-Secure, он содержит подробный разбор с массой технических деталей.