Apa itu Trojan Perkakasan? Mengapa Telefon Pintar Anda Boleh Berisiko

Beberapa minggu yang lalu, Bloomberg melaporkan bahawa China telah mengintip firma teknologi Amerika, termasuk Apple dan Amazon, dengan memasang mikrocip rahsia di papan pelayan semasa proses pengeluaran. Perkakasan ini trojan adalah, seperti kuda Yunani yang digunakan untuk menyelinap dalam tentera, direka untuk kelihatan tidak berbahaya semasa dalam kenyataannya mereka melakukan operasi rahsia yang rahsia.

Firma teknologi bernama telah menafikan laporan ini; Pada masa ini, kita tidak dapat mengetahui siapa yang betul. Jika benar, ini berpotensi menjadi pelanggaran keselamatan perkakasan yang paling besar yang telah kita lihat. Sekiranya tidak benar, … masih ada kelemahan keselamatan perkakasan untuk pergi.

Awal tahun ini, bug Specter / Meltdown telah didedahkan. Kelemahan keselamatan ini menjejaskan hampir setiap pemproses, dari komputer pengguna yang berkuasa ke pelayan syarikat, dan membolehkan kod jahat untuk mengakses maklumat yang berpotensi sulit. Ini adalah salah dalam reka bentuk perkakasan: perisian patch (kemas kini yang dimaksudkan untuk membetulkan kesalahan) telah disediakan tidak lama lagi dan, secara rasmi, dengan kesan prestasi yang tidak dapat dielakkan (ia tidak dapat diabaikan).

Tetapi ini tidak menjejaskan anda secara langsung, selain daripada komputer yang sedikit perlahan … atau adakah ia?

Microprocessors Are Everywhere

Orang biasa berinteraksi dengan beberapa mikropemproses setiap hari. Ini tidak termasuk pelayan dan router internet yang memproses e-mel dan media sosial anda: berfikir lebih dekat ke rumah. Anda mungkin mempunyai telefon pintar dan komputer peribadi atau tablet.

Video Berkaitan:

Mungkin Amazon Echo atau penceramah pintar lain? Satu loceng elektronik atau interkom? Kereta anda sendiri, jika berusia kurang dari 10 tahun, berpuluh-puluh pemproses yang bertanggungjawab terhadap segala-galanya daripada mengawal radio untuk bertindak di atas brek. A bug semacam / hancur seperti pada rehat kereta anda adalah pemikiran yang menakutkan.

Pepijat ini berlaku kerana reka bentuk perkakasan adalah keras. Sebagai sebahagian daripada penyelidikan saya, saya perlu merancang dan melaksanakan pemproses. Membuat mereka bekerja cukup mencabar, tetapi memastikan mereka selamat? Secara eksponen lebih sukar.

Ada yang mungkin ingat bahawa pada tahun 1994, Intel terpaksa mengingati barisan pemproses buggy, membebankan mereka berjuta-juta dolar. Ini adalah kes di mana pereka cip terbaik di dunia menghasilkan cip yang cacat. Bukan kelemahan keselamatan, hanya hasil yang salah pada beberapa operasi.

Ini adalah lebih mudah untuk mengesan dan membetulkan daripada kelemahan keselamatan, yang sering dipenuhi - yang berminat untuk membaca lebih banyak tentang eksploitasi Spek / Meltdown akan melihat ia adalah satu serangan yang sangat canggih. Tahun lepas, penyelidik keselamatan siber mendapati beberapa arahan tidak dokumentasi mengenai pemproses Intel i7. Arahan adalah operasi atom yang boleh diproses oleh pemproses: sebagai contoh, menambah dua nombor, atau memindahkan data dari satu tempat ke tempat lain. Setiap program yang anda jalankan mungkin melaksanakan beribu-ribu atau jutaan arahan. Yang ditemui tidak didedahkan pada manual rasmi, dan untuk sesetengahnya, kelakuan yang tepat mereka masih tidak jelas.

Pemproses yang anda miliki dan gunakan boleh melakukan perkara yang vendor tidak memberitahu anda tentang. Tetapi ini isu dokumentasi? Atau kecacatan rekaan tulen? Rahsia harta intelek? Kami tidak tahu, tetapi kemungkinan kelemahan keselamatan lain yang menunggu untuk dieksploitasi.

The Vulnerabilities of Hardware

Kenapa perkakasan sangat tidak selamat? Untuk satu, keselamatan adalah satu aspek yang sering diabaikan dalam pendidikan kejuruteraan merentasi spektrum dari perkakasan untuk perisian. Terdapat begitu banyak alat, konsep, paradigma yang pelajar perlu belajar, bahawa ada sedikit masa untuk memasukkan pertimbangan keselamatan dalam kurikulum; graduan dijangka belajar di tempat kerja.

Kesan sampingannya ialah merentasi banyak industri, keselamatan dianggap sebagai ceri pada kek bukannya bahan asas. Inilah, malangnya, mula berubah: program keselamatan siber muncul di seluruh universiti, dan kami semakin baik dalam melatih para jurutera keselamatan yang berpengetahuan.

Sebab kedua adalah kerumitan. Syarikat-syarikat yang sebenarnya membuat cip tidak semestinya mereka bentuk dari awal, kerana blok bangunan dibeli dari pihak ketiga. Contohnya, sehingga baru-baru ini, Apple membeli reka bentuk untuk pemproses grafik di iPhone dari Imagination Technologies. (Mereka telah berpindah ke reka bentuk dalaman). Sebaik-baiknya, spesifikasi sepadan dengan reka bentuk. Pada hakikatnya, ciri tidak didokumentasikan atau salah didokumentasikan di blok bangunan yang berbeza mungkin berinteraksi dengan cara yang halus untuk menghasilkan kelemahan keselamatan yang mungkin dieksploitasi oleh penyerang.

Tidak seperti dalam perisian, titik lemah ini mempunyai kesan jangka panjang dan tidak mudah diperbetulkan. Ramai penyelidik menyumbang untuk menyelesaikan masalah ini: dari teknik untuk mengesahkan spesifikasi padanan reka bentuk kepada alat automatik yang menganalisis interaksi merentas komponen dan mengesahkan tingkah laku.

Alasan ketiga adalah skala ekonomi. Dari perspektif perniagaan, hanya terdapat dua pertandingan di bandar: prestasi dan penggunaan kuasa. Pemproses terpantas dan hayat bateri terpanjang memenangi pasaran. Dari perspektif kejuruteraan, kebanyakan pengoptimuman adalah berbahaya kepada keselamatan.

Dalam sistem masa nyata keselamatan (berfikir kereta autonomi, kapal terbang, dan lain-lain), di mana berapa lama sesuatu yang diperlukan untuk dilaksanakan adalah kritikal. Ini telah menjadi masalah untuk seketika. Pemproses semasa direka bentuk untuk dilaksanakan secepat mungkin selalunya, dan kadang-kadang akan mengambil masa yang panjang; meramalkan berapa lama yang akan diambil adalah sangat mencabar. Kami tahu bagaimana untuk merekabentuk pemproses yang boleh diramal, tetapi hampir tidak ada yang tersedia secara komersial. Ada sedikit wang yang perlu dibuat.

Menukar Fokus pada Keselamatan Siber

Dalam jangka panjang, perkara yang sama tidak akan berlaku untuk keselamatan. Seiring dengan zaman Internet Perkara berlaku kepada kita, dan bilangan pemproses setiap isi rumah, kenderaan, dan infrastruktur terus meningkat, syarikat pasti akan bergerak ke arah perkakasan keselamatan yang sedar.

Jurutera yang terlatih, alat yang lebih baik, dan lebih banyak motivasi untuk keselamatan - apabila setem kualiti keselamatan bermakna anda menjual lebih banyak daripada pesaing anda - akan mendorong keamanan siber yang baik di semua peringkat.

Sehingga nanti? Mungkin negara asing telah campur tangan dengannya, mungkin tidak; tidak peduli, jangan percaya perkakasan anda. Pemberitahuan kemas kini yang menjengkelkan itu terus muncul? Kemas kini. Membeli peranti baru? Semak rekod keselamatan pengeluar. Nasihat rumit untuk memilih kata laluan yang baik? Dengar. Kami cuba melindungi anda.

Artikel ini pada asalnya diterbitkan pada Percakapan oleh Paulo Garcia. Baca artikel asal di sini.