Kaj je strojna oprema Trojan? Zakaj so vaši pametni telefoni v nevarnosti

Pred nekaj tedni, Bloomberg Poročali so, da Kitajska špijunira ameriške tehnološke družbe, vključno z Apple in Amazon, tako da v proizvodni proces v strežniške plošče vgradi skrivna mikročipa. Ta strojna oprema trojanci so, tako kot grški konj, ki se je uporabljal, da se prikradejo vojakom, ki so zasnovani tako, da se zdijo neškodljivi, medtem ko dejansko izvajajo skrivne zlonamerne operacije.

Omenjena tehnološka podjetja so to poročilo zanikala; trenutno ne moremo vedeti, kdo ima prav. Če je res, je to morda največja kršitev varnosti zlonamerne strojne opreme, ki smo jo videli. Če to ni res, tudi… še vedno je dovolj varnostnih ranljivosti, ki jih lahko uporabite.

V začetku tega leta je bila razkrita napaka Spectre / Meltdown. Ta varnostna ranljivost vpliva na skoraj vsak procesor, od tistih, ki napajajo potrošniške računalnike do strežnikov podjetja, in zlonamerni kodi omogoča dostop do potencialno zaupnih informacij. To je bila napaka pri oblikovanju strojne opreme: programska oprema obliži (posodobitve, namenjene odpravi napake) so bile kmalu na voljo in so bile uradno dosežene z zanemarljivim učinkom na zmogljivost (ni zanemarljivo).

Toda to ne vpliva vas neposredno, razen rahlo počasnejšega računalnika … ali ne?

Mikroprocesorji so povsod

Povprečen človek vsak dan sodeluje s številnimi mikroprocesorji. To ne vključuje strežnikov in internetnih usmerjevalnikov, ki obdelujejo vašo e-pošto in družabne medije: pomislite bližje domu. Verjetno imate pametni telefon in osebni računalnik ali tablični računalnik.

Podoben videoposnetek:

Mogoče Amazon Echo ali drug pametni zvočnik? Elektronsko zvonce ali interkom? Vaš avto sam, če je star manj kot 10 let, ima na ducate procesorjev, ki so odgovorni za vse, od nadzora radia do delovanja na zavorah. Specter / Meltdown-like hrošča na prelomih vašega avtomobila je zastrašujoča misel.

Do teh napak pride zaradi oblikovanja strojne opreme težko. Kot del mojega raziskovanja sem moral oblikovati in izvajati procesorje. Delo z njimi je dovolj zahtevno, vendar zagotavlja, da so varni? Eksponentno težje.

Nekateri se bodo morda spomnili, da je leta 1994 Intel moral priklicati linijo procesorjev, ki so jih stali na milijone dolarjev. To je bil primer, ko so najboljši oblikovalci čipov na svetu izdelali napačen čip. Ni varnostna ranljivost, le napačen rezultat pri nekaterih operacijah.

To je veliko lažje zaznati in popraviti kot varnostno ranljivost, ki je pogosto izjemno niansirana - tisti, ki se zanimajo za več o tem, kako izkoristiti Spectre / Meltdown, bodo videli, da je to zelo, zelo prefinjen napad. Lani je raziskovalec za kibernetsko varnost našel nekaj nedokumentiranih navodil na procesorju Intel i7. Navodila so atomske operacije, ki jih lahko izvaja procesor: na primer dodajanje dveh številk ali premikanje podatkov iz enega kraja v drugega. Vsak program, ki ga izvajate, verjetno izvaja tisoče ali milijone navodil. Ugotovitve niso razkrite v uradnem priročniku, za nekatere pa njihovo natančno vedenje ostaja nejasno.

Procesor, ki ga imate v lasti in ga uporabljate, lahko počne stvari, o katerih vam prodajalec ne pove. Ali je to vprašanje dokumentacije? Ali resnično pomanjkljivost? Skrivnost intelektualne lastnine? Ne vemo, vendar je verjetno še ena varnostna ranljivost, ki čaka na izkoriščanje.

Ranljivosti strojne opreme

Zakaj je strojna oprema tako temeljno nevarna? Prvič, varnost je vidik, ki je pogosto spregledan v inženirskem izobraževanju po vsem spektru od strojne opreme do programske opreme. Obstaja toliko orodij, konceptov, paradigem, ki se jih morajo učenci naučiti, da je malo časa za vključitev varnostnih vprašanj v učni načrt; se pričakuje, da se bodo diplomanti učili na delovnem mestu.

Neželeni učinek je, da se v številnih panogah varnost šteje za češnjo na torto in ne za temeljno sestavino. Na srečo se to začne spreminjati: programi za kibernetsko varnost se pojavljajo na vseh univerzah in izboljšujemo usposabljanje inženirjev, ki se zavedajo varnosti.

Drugi razlog je kompleksnost. Podjetja, ki dejansko izdelujejo čipe, jih nujno ne oblikujejo od začetka, saj so gradniki kupljeni od tretjih oseb. Na primer, do nedavnega je Apple kupil modele za grafični procesor na iPhones od Imagination Technologies. (Od takrat so se preselili v notranje izdelke). V idealnem primeru se specifikacije popolnoma ujemajo z zasnovo. V resnici lahko nedokumentirane ali napačno dokumentirane značilnosti v različnih gradbenih elementih medsebojno delujejo na subtilne načine za ustvarjanje varnostnih vrzeli, ki bi jih napadalci lahko izkoristili.

Za razliko od programske opreme imajo te šibke točke dolgotrajne učinke in jih ni mogoče zlahka popraviti. Številni raziskovalci prispevajo k reševanju teh težav: od tehnik za preverjanje, ali modeli ustrezajo specifikacijam do avtomatiziranih orodij, ki analizirajo interakcije med komponentami in potrjujejo vedenje.

Tretji razlog so ekonomije obsega. S poslovnega vidika sta v mestu samo dve igri: zmogljivost in poraba energije. Najhitrejši procesor in najdaljša življenjska doba baterije je zmagovalec trga. S tehničnega vidika je večina optimizacij škodljiva za varnost.

V varnostno kritičnih sistemih v realnem času (pomislite na avtonomne avtomobile, letala itd.), Kjer kako dolgo nekaj, kar je potrebno za izvršitev, je kritično. To je bila težava že nekaj časa. Trenutni procesorji so zasnovani za čim hitrejše izvajanje večino časa in bo občasno trajalo dolgotrajno; napovedovanje, kako dolgo bo trajalo nekaj, je izredno zahtevno. Vemo, kako oblikovati predvidljive procesorje, vendar praktično nobeden ni komercialno dostopen. Malo je denarja.

Spreminjanje osredotočenosti na kibernetsko varnost

To dolgoročno ne velja za varnost. Ko se bo začela doba interneta stvari, in število procesorjev na gospodinjstvo, vozilo in med infrastrukturo se še naprej povečuje, bodo podjetja nedvomno prešla na varnostno osveščeno strojno opremo.

Boljše usposobljeni inženirji, boljša orodja in večja motivacija za varnost - če žig kakovosti varnosti pomeni, da boste prodajali več kot vaši konkurenti - bo spodbujala dobro kibernetsko varnost na vseh ravneh.

Do takrat? Mogoče so se vanje vmešale tuje države, morda ne; ne glede na to, ne zaupajte svoji strojni opremi. To neprijetno posodobitev obvestila, ki ohranja popping up? Nadgradnja. Nakup nove naprave? Preverite varnostni zapis proizvajalca. Kompleksni nasveti pri izbiri dobrih gesel? Poslušaj. Poskušamo vas zaščititi.

Ta članek je bil prvotno objavljen na pogovoru Paula Garcie. Preberite izvirni članek tukaj.