NanoKVM — это аппаратный KVM-переключатель, разработанный китайской компанией Sipeed. Это устройство, выпущенное в прошлом году, позволяет удалённо управлять компьютером или сервером при помощи виртуальной клавиатуры, мыши и монитора. Благодаря своему компактному размеру и низкой стоимости устройство быстро привлекло внимание Интернета, особенно когда компания пообещала выпустить его код в опенсорс. Однако, как мы увидим, это устройство обладает серьёзными проблемами безопасности.

Как работает это устройство?

Как уже говорилось, NanoKVM — это KVM-переключатель, предназначенный для удалённого управления компьютерами или серверами. У него есть разъём HDMI, три разъёма USB-C, разъём Ethernet для сетевых подключений и специальный последовательный интерфейс. Также в комплекте содержится небольшой аксессуар для управления питанием внешнего компьютера.

Пользоваться им довольно просто. Сначала устройство подключается к Интернету Ethernet-кабелем. Когда оно находится онлайн, доступ к нему можно получить через стандартный веб-браузер (должен быть включён JavaScript JIT). Устройство поддерживает Tailscale VPN, но приложив усилия (читай: хакнув его), можно настроить его работу с любым VPN, например, с сервером WireGuard или OpenVPN. После настройки им можно управлять через браузер из любой точки мира.

Устройство можно подключить к целевому компьютеру HDMI-кабелем и передавать видеовывод, который обычно отображается на мониторе. Это позволяет смотреть на экран компьютера непосредственно в браузере, по сути, используя его в качестве виртуального монитора.

Через USB-соединение NanoKVM также способен эмулировать клавиатуру, мышь, CD-ROM, USB-накопитель и даже сетевой USB-адаптер. Это значит, что пользователь может удалённо управлять компьютером, как будто физически находится рядом с ним, только через веб-интерфейс.

Хоть работа его схожа с функциональностью инструментов удалённого управления наподобие RDP или VNC, оно обладает одним ключевым отличием: на целевой компьютер не нужно устанавливать никакое ПО. Достаточно просто подключить устройство и сразу получить доступ к удалённому управлению им. NanoKVM даже позволяет заходить в BIOS, а благодаря дополнительному аксессуару для управления питанием можно удалённо включать и выключать компьютер, выполнять его перезагрузку.

Поэтому оно невероятно полезно — пользователи могут включить машину, зайти в BIOS, поменять настройки, примонтировать виртуальный загрузочный CD и установить операционную систему с нуля, как будто сидят у компьютера. Даже если он находится на другом конце света.

К тому же NanoKVM достаточно дёшев. Полнофункциональная версия со всеми портами, встроенным экранчиком и корпусом стоит чуть больше 60 евро, а урезанная версия — примерно 30 евро. Для сравнения: похожее устройство на базе RaspberryPi под названием PiKVM стоит около 400 евро. Однако PiKVM гораздо мощнее и надёжнее, а при наличии KVM-сплиттера позволяет одновременно управлять несколькими устройствами.

Как говорилось выше, сообщение о выпуске устройства вызвало довольно серьёзный бум в Интернете; не только из-за низкой цены, но и из-за малых размеров и минимального энергопотребления. На него даже можно подавать питание непосредственно от целевого компьютера через USB-кабель, который также используется для симуляции клавиатуры, мыши и других USB-устройств. То есть достаточно лишь одного USB-кабеля — в одном направлении он питает NanoKVM, в другом — позволяет симулировать клавиатуру, мышь и другие устройства компьютера, которыми пользователь хочет управлять.

Устройство создано на основе опенсорсной архитектуры процессоров RISC-V, и производитель в конце прошлого года всё же выпустил ПО устройства под опенсорсной лицензией. (Точнее, одна из частей кода остаётся закрытой, но сообщество пользователей уже нашло ему подходящую опенсорсную замену, а производитель пообещал вскоре раскрыть и эту часть.)

Однако реальная проблема — это безопасность.

Понятно, что компания стремилась выпустить устройство как можно быстрее. На самом деле, одна из первых версий имела незначительный изъян архитектуры — из-за ошибки в соединениях схемы устройство иногда не могло распознавать входящие HDMI-сигналы. Компания отозвала и бесплатно заменила все неисправные устройства. Разработка ПО тоже стремительно прогрессировала, но в подобных случаях основной упор обычно делают на реализацию основной функциональности, а безопасности уделяют меньше внимания.

Поэтому неудивительно, что разработчики совершили несколько серьёзных просчётов — поспешное производство часто приводит к глупым ошибкам. Но часть изъянов безопасности, обнаруженных мной при кратком изучении, вызывает откровенное беспокойство.

В самом первом анализе безопасности было выявлено множество уязвимостей... и сделаны довольно неожиданные открытия. Например, исследователь безопасности даже обнаружил в прошивке устройства фотографию кота. Разработчики Sipeed признали существование изъянов и относительно быстро устранили часть из них, но многие проблемы остались нерешёнными.

Когда я сам купил это устройство, то провёл краткий аудит безопасности и обнаружил множество настораживающих проблем. Устройство изначально поставлялось с паролем по умолчанию, а доступ по SSH включался при помощи этого пароля. Я сообщил об этом производителю, и, к его чести, он довольно быстро устранил недочёт. Но остались и многие другие проблемы.

В интерфейсе пользователя полно изъянов безопасности — отсутствует защита от CSRF, отсутствует возможность инвалидации сессий и многое другое. Более того, ключ шифрования, используемый для парольной защиты (при входе через браузер) жёстко прописан и одинаков для всех устройств. Это серьёзный недочёт безопасности, потому что он позволяет нападающему с лёгкостью расшифровывать пароли. Сильно озадачивает то, что разработчикам это пришлось объяснять, и не один раз.

Также беспокойство вызывает использование устройством китайских DNS-серверов. Конфигурирование собственных параметров DNS при этом довольно сильно осложнено. Кроме того, устройство обменивается данными с серверами Sipeed в Китае, скачивая не только обновления, но и упомянутый выше компонент с закрытыми исходниками. Для этого компонента оно должно верифицировать ключ идентификации, хранящийся в устройстве в незашифрованном виде. Настораживает и то, что устройство не верифицирует целостность обновлений ПО, содержит странную версию VPN-приложения WireGuard (которое не работает в некоторых сетях) и работает на сильно урезанной версии Linux с отсутствующими systemd и apt. И это лишь некоторые из проблем.

Были ли эти проблемы просто недосмотром? Возможно. Но дополнительные подозрения вызывает наличие tcpdump и aircrack — инструментов, применяемых для анализа сетевых пакетов и тестирования безопасности беспроводных подключений. Да, они полезны для отладки и разработки, но в то же время это инструменты хакинга, которые можно использовать в опасных целях. Я могу понять, почему разработчики могут применять их на этапе тестирования, но им совершенно нет места в продакшен-версии устройства.

Скрытый микрофон

Потом я обнаружил нечто ещё более настораживающее — крошечный микрофон, о котором не говорится в официальной документации. Это миниатюрный SMD-компонент размеров всего 2 x 1 мм, способный, однако, записывать на удивление высококачественное аудио.

Ещё больше озадачивает то, что все необходимые для записи инструменты уже установлены в устройстве! Просто подключившись через SSH (помните, что устройство изначально использовало пароли по умолчанию!), я смог начать записывать аудио при помощи инструментов amixer и arecord. После записи аудиофайл можно с лёгкостью скопировать на другой компьютер. Также почти не требуется никаких усилий для того, чтобы потоков�� передавать аудио по сети, что позволило бы нападающему вести прослушку в реальном времени.

Физически удалить микрофон можно, но сделать это не так просто. Как видно на изображении, разборка устройства — хитрый процесс, а из-за крошечных размеров для выпайки микрофона потребуется микроскоп или лупа.

Подведём итог: в устройстве полно изъянов безопасности, изначально оно поставляется с паролями по умолчанию, общается с серверами в Китае, в нём предустановлены хакерские инструменты и даже есть встроенный микрофон, полностью оснащённый для записи аудио и не упомянутый в документации.

Я практически уверен, что причиной этих проблем стала крайняя небрежность и спешка при разработке, а не злой умысел. Однако, всё это не снижает беспокойства.

Тем не менее, эти открытия не означают, что устройством совершенно нельзя пользоваться.

Так как оно опенсорсное, на него вполне можно установить собственное ПО. На самом деле, один пользователь уже начал портировать на него собственный дистрибутив Linux, начав с Debian и позже перейдя на Ubuntu. Если повезёт, эта работа вскоре может привести к официальной поддержке Ubuntu Linux для устройства.

В этой специализированной версии Linux уже запускается модифицированный код KVM производителя, и через несколько месяцев у нас, вероятно, будет полностью независимое и гораздо более защищённое альтернативное ПО. Единственное небольшое неудобство заключается в том, что для его установки требуется физически вскрыть устройство, извлечь встроенную SD-карту и записать на неё новое ПО. Однако на самом деле этот процесс не так сложен.

И если уж мы вскрыли устройство, то можно также извлечь микрофон... или, если хотите, подключить динамик. Для своего теста я использовал динамик на 8 Ом и 0,5 Вт, выдававший на удивление качественный звук, по сути, превратив NanoKVM в крошечный музыкальный плеер. На самом деле, это не такая уж плохая идея, потому что в конце прошлого года в PiKVM тоже появилась двусторонняя поддержка аудио.

В заключение

Разумеется, возникает интересный вопрос: сколько ещё похожих устройств со скрытой функциональностью может находиться в наших домах? И не только тех, которые произведены в Китае. Вы точно уверены, что ни в одном из них нет миниатюрных микрофонов или камер?

Можно начать даже с iPhone — в прошлом году Apple согласилась выплатить 95 миллионов долларов, чтобы во внесудебном порядке уладить иск, поданный, потому что её голосовой помощник Siri записывает личные беседы. Компания передавала эти данные сторонним лицам и использовала их для таргетированной рекламы. Конечно же, «непреднамеренно»! Да, та самая Apple, которая так печётся о нашей защите.

И Google ведёт себя так же; про��ив неё подан похожий иск, связанный с голосовым помощником. Так что нет, маленькие китайские стартапы — не единственная проблема. А если вас беспокоят обязательства китайских компаний перед китайским государством, то не забывайте, что у компаний из США тоже есть обязательства сотрудничать с государством. Хоть Apple публично заявляет, что не сотрудничает с ФБР и другими правительственными организациями (потому что сильно заботится о приватности пользователей), в некоторых СМИ появилась информация о том, что Apple провела в своей штаб-квартире в Купертино серию тайных мероприятий Global Police Summit, на которых обучала полицию пользоваться её продуктами для надзора и контроля. И как сказал один из представителей полиции, он «никогда не участвовал в столь нацеленном на сотрудничество мероприятии». Вот так.

P.S. Как записывать аудио на NanoKVM

Если вы сами хотите протестировать встроенный микрофон, то просто подключите устройство через SSH и выполните следующие две команды:

• amixer -Dhw:0 cset name='ADC Capture Volume 20' (задаём высокую чувствительность микрофона)

• arecord -Dhw:0,0 -d 3 -r 48000 -f S16_LE -t wav test.wav & > /dev/null & (сохраняем звук в файл test.wav)

Теперь можете сказать или спеть что-нибудь (может быть, гимн Китая?) рядом с устройством, а затем нажать Ctrl + C, скопировать файл test.wav на компьютер и прослушать запись.