Što je hardver Trojan? Zašto vaši pametni telefoni mogu biti u opasnosti

Prije nekoliko tjedana, Bloomberg izvijestila je da Kina špijunira američke tehničke tvrtke, uključujući Apple i Amazon, instaliranjem tajnih mikročipova na ploče poslužitelja tijekom proizvodnog procesa. Ovaj hardver trojanaca su, kao i grčki konj, ušuljao se u vojnike, dizajniran da izgleda bezopasno, dok u stvarnosti izvode tajne zlonamjerne operacije.

Navedene tehnološke tvrtke negirale su ovo izvješće; u ovom trenutku nemamo načina znati tko je u pravu. Ako je istina, to je potencijalno najveća povreda sigurnosti zlonamjernog hardvera koju smo vidjeli. Ako to nije istina, dobro… još uvijek ima dovoljno sigurnosnih propusta u hardveru.

Ranije ove godine otkriven je bug Spectre / Meltdown. Ova sigurnosna ranjivost utječe na gotovo svaki procesor, od napajanja potrošačkih računala do poslužitelja tvrtke, a zlonamjernom kodu omogućuje pristup potencijalno povjerljivim informacijama. To je bio greška u dizajnu hardvera: softver zakrpe (ažuriranja namijenjena za ispravljanje pogreške) uskoro su dostupna i službeno, s neznatnim učinkom na izvedbu (to zapravo nije zanemarivo).

Ali to ne utječe vas izravno, osim malo sporijeg računala … ili to radi?

Mikroprocesori su svugdje

Prosječna osoba svakodnevno komunicira s mnoštvom mikroprocesora. To ne uključuje poslužitelje i internetske usmjerivače koji obrađuju vašu e-poštu i društvene medije: mislite bliže kući. Vjerojatno imate pametni telefon i osobno računalo ili tablet.

Povezani videozapis:

Možda Amazon Echo ili neki drugi pametni zvučnik? Elektronsko zvono ili interfon? Samo vaš automobil, ako je star manje od 10 godina, ima na desetke procesora koji su odgovorni za sve, od kontrole radija do kočenja. Spectre / Meltdown-sličan kukac na pauzama vašeg automobila je zastrašujuća misao.

Do ovih grešaka dolazi zbog dizajna hardvera teško, Kao dio mog istraživanja morao sam osmisliti i implementirati procesore. Raditi ih dovoljno je dovoljno izazovno, ali osigurati da su sigurni? Eksponencijalno teže.

Neki bi se mogli sjetiti da je 1994. Intel morao podsjetiti na liniju procesora s greškama, što ih je koštalo milijune dolara. To je bio slučaj kada su najbolji dizajneri čipa na svijetu proizveli pogrešan čip. Nije sigurnosna ranjivost, samo pogrešan rezultat na nekim operacijama.

To je mnogo lakše otkriti i ispraviti nego sigurnosna ranjivost, koja je često nevjerojatno nijansirana - oni koji su zainteresirani za čitanje više o Spectre / Meltdown iskorištavanju vidjet će vrlo, vrlo sofisticiran napad. Prošle je godine istraživač cybersecuritya pronašao nekoliko nedokumentiranih uputa na Intel i7 procesoru. Upute su atomske operacije koje procesor može izvesti: na primjer, dodavanje dva broja ili premještanje podataka s jednog mjesta na drugo. Svaki program koji pokrenete vjerojatno izvršava tisuće ili milijune uputa. Otkriveni nisu objavljeni u službenom priručniku, a za neke njihovo točno ponašanje ostaje nejasno.

Procesor kojeg posjedujete i koristite može učiniti stvari o kojima vam prodavatelj ne govori. No, je li to pitanje dokumentacije? Ili pravi nedostatak dizajna? Intelektualno vlasništvo u tajnosti? Ne znamo, ali je vjerojatno da će još jedna sigurnosna ranjivost čekati da bude iskorištena.

Ranjivosti hardvera

Zašto je hardver tako fundamentalno nesiguran? Kao prvo, sigurnost je aspekt koji se često zanemaruje u inženjerskom obrazovanju diljem spektra od hardvera do softvera. Postoji toliko mnogo alata, koncepata, paradigmi koje učenici moraju naučiti, da je malo vremena za uključivanje sigurnosnih razmatranja u kurikulum; Od diplomanata se očekuje da uče na poslu.

Nuspojava je da se u mnogim industrijama sigurnost smatra višnjom na torti, a ne kao temeljni sastojak. To se, na sreću, počinje mijenjati: programi za kibernetičku sigurnost pojavljuju se na sveučilištima, a mi postajemo sve bolji na obuci inženjera koji su svjesni sigurnosti.

Drugi razlog je složenost. Tvrtke koje zapravo izrađuju čipove ne izrađuju ih nužno od nule, budući da se građevni blokovi kupuju od trećih strana. Primjerice, Apple je donedavno kupovao dizajnere za grafički procesor na iPhones od Imagination Technologies. (Od tada su se preselili u vlastite dizajne). Idealno, specifikacije savršeno odgovaraju dizajnu. U stvarnosti, nedokumentirane ili pogrešno dokumentirane značajke različitih građevnih blokova mogu međusobno djelovati na suptilne načine kako bi proizvele sigurnosne rupe koje bi napadači mogli iskoristiti.

Za razliku od softvera, ove slabe točke imaju dugotrajne učinke i nisu lako ispravljene. Mnogi istraživači pridonose rješavanju ovih problema: od tehnika za provjeru da dizajni odgovaraju specifikacijama do automatiziranih alata koji analiziraju interakcije između komponenti i potvrđuju ponašanje.

Treći razlog je ekonomija razmjera. Iz poslovne perspektive, u gradu postoje samo dvije igre: performanse i potrošnja energije. Najbrži procesor i najdulji vijek trajanja baterije osvajaju tržište. Iz inženjerske perspektive, većina optimizacija je štetna za sigurnost.

U sigurnosnim sustavima u stvarnom vremenu (mislim na autonomne automobile, zrakoplove itd.), Gdje koliko dugo nešto što je potrebno za izvršenje je kritično. Ovo je problem neko vrijeme. Trenutni procesori dizajnirani su za što brže izvršavanje većinu vremena i povremeno će trajati duže; predvidjeti koliko dugo će trajati nešto je nevjerojatno izazovno. Mi znamo kako dizajnirati predvidljive procesore, ali praktički nitko nije komercijalno dostupan. Malo novca treba zaraditi.

Promjena fokusa na cybersecurity

Dugoročno gledano, isto neće vrijediti za sigurnost. Kako nas doba interneta stvari osvješćuje, a broj procesora po kućanstvu, vozilu i među infrastrukturom i dalje raste, tvrtke će nesumnjivo krenuti prema sigurnosno svjesnom hardveru.

Bolje obučeni inženjeri, bolji alati i više motivacije za sigurnost - kada pečat kvalitete sigurnosti znači da prodajete više od konkurenata - poticat će na dobru cyber sigurnost na svim razinama.

Dotad? Možda su se u to miješale strane zemlje, možda ne; bez obzira, ne vjerujte svom hardveru. To dosadna obavijest o ažuriranju koja se stalno pojavljuje? Ažuriranje. Kupujete novi uređaj? Provjerite sigurnosni zapis proizvođača. Kompleksni savjeti o odabiru dobrih lozinki? Slušati. Pokušavamo vas zaštititi.

Ovaj je članak izvorno objavljen na razgovoru Paula Garcie. Pročitajte izvorni članak ovdje.