Ano ang isang Hardware Trojan? Bakit Maaaring Maging Panganib ang Iyong Mga Smartphone

Ilang linggo na ang nakalilipas, Bloomberg iniulat na Tsina ay bakay sa mga Amerikanong tech firms, kabilang ang Apple at Amazon, sa pag-install ng mga secret microchips sa server boards sa panahon ng proseso ng produksyon. Ang mga hardware na ito trojans ay, tulad ng kabayo ng Griyego na ginamit upang lumabas sa mga sundalo, na idinisenyo upang lumitaw na hindi nakakapinsala habang sa katunayan sila ay gumagawa ng lihim na malisyosong operasyon.

Tinanggihan ng pinangalanang mga kumpanya ng tech ang ulat na ito; sa ngayon, wala kaming paraan upang malaman kung sino ang tama. Kung totoo, ito ay potensyal na ang pinakamalaking nakahahamak na paglabag sa seguridad ng hardware na aming nakita. Kung hindi totoo, well … may sapat pa rin ang mga kahinaan sa seguridad ng hardware upang pumunta sa paligid.

Mas maaga sa taong ito, ang bug ng Specter / Meltdown ay isiniwalat. Ang kapansanan sa seguridad na ito ay nakakaapekto sa halos lahat ng processor, mula sa mga powering consumer computer sa mga server ng kumpanya, at pinapayagan nito ang malisyosong code upang ma-access ang potensyal na kumpidensyal na impormasyon. Ito ay isang kasalanan sa disenyo ng hardware: software mga patch (mga update na nilayon upang iwasto ang kasalanan) ay ginawang magagamit sa lalong madaling panahon pagkatapos at, opisyal na, na may hindi gaanong epekto sa pagganap (hindi ito talagang bale-wala).

Ngunit hindi ito nakakaapekto ikaw direkta, bukod sa isang bahagyang mas mabagal na computer … o ginagawa ba ito?

Ang mga Microprocessors Sigurado sa Lahat

Ang average na tao ay nakikipag-ugnayan sa mga marka ng mga microprocessors araw-araw. Hindi ito kasama sa mga server at internet router na nagpoproseso ng iyong email at social media: isipin na mas malapit sa bahay. Malamang na may isang smartphone at isang personal na computer o tablet.

Kaugnay na Video:

Marahil ay isang Amazon Echo o isa pang smart speaker? Isang electronic doorbell o intercom? Ang iyong kotse lamang, kung wala pang 10 taong gulang, ay may dose-dosenang mga processor na responsable para sa lahat ng bagay mula sa pagkontrol sa radyo upang kumilos sa preno. Ang isang bug sa multo / meltdown sa mga break ng iyong sasakyan ay isang nakakatakot na pag-iisip.

Ang mga bug na ito ay nangyari dahil ang disenyo ng hardware ay mahirap. Bilang bahagi ng aking pananaliksik, kailangan kong mag-disenyo at magpatupad ng mga processor. Paggawa ng mga ito sa trabaho ay sapat na hamon, ngunit tinitiyak na sila ay ligtas? Exponentially harder.

Ang ilan ay maaaring tandaan na noong 1994, kinailangan pang ipaalaala ni Intel ang isang linya ng mga processor ng maraming sasakyan, na nagkakahalaga ng milyun-milyong dolyar. Ito ay isang kaso kung saan ang pinakamahusay na designer chip sa mundo ay gumawa ng isang flawed chip. Hindi isang kahinaan sa seguridad, isang maling resulta sa ilang mga operasyon.

Ito ay mas madali upang makita at itama kaysa sa isang kahinaan sa seguridad, na kung saan ay madalas na hindi mapaniniwalaan o kapani-paniwala nuanced - ang mga interesado sa pagbabasa ng higit pa tungkol sa multo / Meltdown pagsasamantala ay makikita ito ay isang napaka, napaka sopistikadong pag-atake. Noong nakaraang taon, natagpuan ng isang researcher ng cybersecurity ang ilang undocumented instructions sa isang Intel i7 processor. Ang mga tagubilin ay ang mga operasyong atomic na maaaring gawin ng isang processor: halimbawa, pagdaragdag ng dalawang numero, o paglipat ng data mula sa isang lugar papunta sa isa pa. Ang bawat programa na pinatatakbo mo ay malamang na nagpapatupad ng libu-libo o milyun-milyong tagubilin. Ang mga natuklasan ay hindi isiwalat sa opisyal na manu-manong, at para sa ilan, ang kanilang eksaktong pag-uugali ay nananatiling hindi maliwanag.

Ang processor na pagmamay-ari mo at gamitin ay maaaring gawin ang mga bagay na hindi sasabihin sa iyo ng nagbebenta. Ngunit ito bang isyu ng dokumentasyon? O isang tunay na depekto sa disenyo? Lihim ng intelektwal na ari-arian? Hindi namin alam, ngunit malamang na isa pang kahinaan sa seguridad na naghihintay na mapagsamantalahan.

Ang Kahinaan ng Hardware

Bakit mahalaga ang hardware na sa panimula? Para sa isa, ang seguridad ay isang aspeto na kadalasang tinatanaw sa isang engineering education sa kabuuan ng spectrum mula sa hardware sa software. Mayroong maraming mga tool, konsepto, paradigms na dapat matutunan ng mga mag-aaral, na may kaunting oras upang isama ang mga pagsasaalang-alang sa seguridad sa kurikulum; Ang mga nagtapos ay inaasahang matututo sa trabaho.

Ang side effect ay na sa maraming industriya, ang seguridad ay itinuturing na cherry sa keyk sa halip na isang pangunahing sangkap. Ito ay, sa kabutihang-palad, nagsisimula nang magbago: ang mga programang cybersecurity ay lumalaganap sa mga unibersidad, at nakakakuha kami ng mas mahusay sa pagsasanay sa mga nakakaintriga sa seguridad sa mga inhinyero.

Ang pangalawang dahilan ay kumplikado. Ang mga kompanya na talagang gumagawa ng mga chips ay hindi kinakailangang idisenyo ang mga ito mula sa simula, dahil ang mga bloke ng gusali ay binili mula sa mga ikatlong partido. Halimbawa, hanggang kamakailan lamang, ang Apple ay bumili ng mga disenyo para sa graphics processor sa mga iPhone mula sa Imagination Technologies. (Sila ay inilipat na sa mga in-house na disenyo). Sa isip, ang mga pagtutukoy ay ganap na tumutugma sa disenyo. Sa katunayan, ang mga hindi dokumentado o mali na dokumentado na mga tampok sa iba't ibang mga bloke ng gusali ay maaaring makipag-ugnayan sa mga mahiwagang paraan upang makagawa ng mga butas ng seguridad na maaaring gamitin ng mga sumasalakay.

Hindi tulad ng sa software, ang mga mahihinang puntong ito ay may matagal na pangmatagalang epekto at hindi madaling naitama. Maraming mga mananaliksik ang nag-aambag upang malutas ang mga problemang ito: mula sa mga pamamaraan para sa pag-verify na ang mga pagtutugma ng mga pagtutugma ng disenyo sa mga automated na tool na pag-aralan ang mga pakikipag-ugnayan sa mga bahagi at patunayan ang pag-uugali.

Ang ikatlong dahilan ay ang ekonomiya ng scale. Mula sa pananaw ng negosyo, mayroon lamang dalawang laro sa bayan: pagganap at paggamit ng kuryente. Ang pinakamabilis na processor at ang pinakamahabang buhay ng baterya ay nanalo sa merkado. Mula sa perspektibo sa engineering, karamihan sa mga pag-optimize ay nakakapinsala sa seguridad.

Sa mga kritikal na real time system (mag-isip ng mga autonomous na kotse, eroplano, atbp.), Kung saan gaano katagal Ang isang bagay na kinakailangan upang maisagawa ay kritikal. Ito ay isang problema para sa isang habang. Ang mga kasalukuyang processor ay dinisenyo upang maisagawa nang mabilis hangga't maaari halos lahat ng oras, at paminsan-minsan ay kukuha ng mahahabang panahon; Ang panghuhula kung gaano katagal ang aabutin ay hindi kapani-paniwalang mahirap. Alam namin kung paano mag-disenyo ng mga predictable na processor, ngunit halos walang available sa komersyo. May maliit na pera na gagawin.

Pagbabago ng Focus sa Cybersecurity

Sa mahabang panahon, ang parehong hindi mananatili para sa seguridad. Tulad ng edad ng Internet ng Mga Bagay, at ang bilang ng mga processor sa bawat sambahayan, sasakyan, at sa imprastraktura ay patuloy na tataas, ang mga kumpanya ay walang alinlangan na lumipat patungo sa seguridad na nakakamalay na hardware.

Mas mahusay na sinanay na mga inhinyero, mas mahusay na mga tool, at higit pang pagganyak para sa seguridad - kapag ang isang selyo ng kalidad ng seguridad ay nangangahulugan na ikaw ay nagbebenta ng higit sa iyong mga kakumpitensiya - ay itulak para sa magandang cybersecurity sa lahat ng antas.

Hanggang pagkatapos? Marahil ang mga banyagang bansa ay nakagambala dito, marahil ay hindi; anuman, huwag kang magtiwala sa iyong hardware. Na ang pesky update abiso na mapigil popping up? I-update. Pagbili ng isang bagong aparato? Tingnan ang rekord ng seguridad ng tagagawa. Mas komplikadong payo sa pagpili ng mga magagandang password? Makinig. Sinusubukan naming protektahan ka.

Ang artikulong ito ay orihinal na na-publish saAng Pag-uusap ni Paulo Garcia. Basahin ang orihinal na artikulo dito.