מהו סוס טרויאני? מדוע הטלפון החכם שלך עלול להיות בסיכון

לפני כמה שבועות, בלומברג דיווחה כי סין ריגול על חברות טכנולוגיה אמריקאיות, כולל אפל ואמזון, על ידי התקנת שבבים סודיים על לוחות השרתים במהלך תהליך הייצור. חומרה זו טרויאנים הם, כמו הסוס היווני המשמש להתחמקות חיילים, שנועדו להופיע מזיק בעוד בפועל הם מבצעים פעולות זדוניות חשאיות.

חברות טכנולוגיה בשם הכחישו את הדו"ח הזה; כרגע, אין לנו שום דרך לדעת מי צודק. אם זה נכון, זה הפוטנציאל הגדול ביותר האבטחה חומרה זדוני שראינו. אם לא נכון, טוב … יש עדיין מספיק פגיעויות אבטחה חומרה ללכת מסביב.

מוקדם יותר השנה, את Specter / Meltdown באג נחשף. פגיעות אבטחה זו משפיעה על כל מעבד כמעט, מאלו המחשבים את מחשבי הצרכן לשרתים של החברה, ומאפשרת לקוד זדוני לגשת למידע חסוי. זה היה אשם בעיצוב החומרה: תוכנה טלאים (עדכונים שנועדו לתקן את התקלה) היו זמינים מיד לאחר מכן, באופן רשמי, עם השפעה ביצועים זניחים (זה לא ממש זניח).

אבל זה לא משפיע אתה ישירות, מלבד מחשב קצת יותר איטי … או עושה את זה?

מעבדים הם בכל מקום

האדם הממוצע מתקשר עם עשרות מיקרו-מעבדים מדי יום. זה לא כולל את השרתים נתבי אינטרנט כי התהליך הדוא"ל שלך מדיה חברתית: לחשוב קרוב לבית. סביר להניח שיש לך טלפון חכם ומחשב אישי או טאבלט.

וידיאו קשור:

אולי הד אמזון או רמקול חכם אחר? פעמון אלקטרוני או אינטרקום? המכונית שלך לבד, אם פחות מ -10 שנים, יש עשרות מעבדים אחראי על כל דבר, החל שליטה הרדיו כדי לפעול על הבלמים. ספקטר / Meltdown דמוי באג על הפסקות המכונית שלך היא מחשבה מפחידה.

באגים אלה מתרחשים בגלל עיצוב החומרה קשה. במסגרת המחקר שלי, הייתי צריך לעצב וליישם מעבדים. מה שהופך אותם לעבוד הוא מאתגר מספיק, אבל להבטיח שהם בטוחים? קשה יותר באופן אקספוננציאלי.

יש שיזכרו שבשנת 1994 נאלצה אינטל להיזכר בשורה של מעבדי באגים, שעלתה להם מיליוני דולרים. זה היה מקרה שבו המעבדים שבב הטוב ביותר בעולם הפיק שבב פגום. לא פגיעות אבטחה, רק תוצאה שגויה על כמה פעולות.

זה הרבה יותר קל לזהות ולתקן מאשר פגיעות אבטחה, אשר לעתים קרובות ניואנס מאוד - אלה המעוניינים לקרוא יותר על Specter / Meltdown לנצל יהיה לראות את זה מאוד, מתוחכם מאוד התקפה. בשנה שעברה, חוקר cybersecurity מצא כמה הוראות מתועד על מעבד i7 של אינטל. ההוראות הן פעולות האטום שמעבד יכול לבצע: לדוגמה, הוספת שני מספרים או העברת נתונים ממקום למקום. כל תוכנית אתה מפעיל סביר מבצעת אלפי או מיליוני הוראות. אלה שהתגלו לא נמסרו במדריך הרשמי, ולעתים, ההתנהגות המדויקת שלהם אינה ברורה.

המעבד שבבעלותך והשימוש בו יכול לעשות דברים שהספק לא סיפר לך עליהם. אבל האם זה נושא תיעוד? או פגם עיצוב אמיתי? קניין רוחני סודי? אנחנו לא יודעים, אבל סביר להניח כי עוד פגיעות אבטחה מחכה לניצול.

את הפגיעויות של חומרה

מדוע החומרה כל כך לא בטוחה? ראשית, אבטחה היא היבט שלעתים קרובות מתעלמים ממנו בחינוך ההנדסי על פני הספקטרום מחומרה לתוכנות. יש כל כך הרבה כלים, מושגים, פרדיגמות שהסטודנטים צריכים ללמוד, שאין מספיק זמן לכלול שיקולי ביטחון בתכנית הלימודים; הבוגרים צפויים ללמוד בעבודה.

תופעת לוואי היא כי על פני תעשיות רבות, אבטחה נחשבת דובדבן על העוגה ולא מרכיב בסיסי. זה, למרבה המזל, מתחיל להשתנות: תוכניות cybersecurity הם צצים ברחבי האוניברסיטאות, ואנחנו משתפרים בהכשרה מהנדסים מודעים אבטחה.

סיבה שנייה היא המורכבות. חברות אשר למעשה מפוברקות שבבי לא בהכרח לעצב אותם מאפס, כמו אבני הבניין נרכשים מצדדים שלישיים. לדוגמה, עד לאחרונה, אפל קנתה עיצובים עבור מעבד גרפי על iPhones מ Imagination Technologies. (הם עברו מאז עיצובים בתוך הבית). באופן אידיאלי, מפרטים להתאים באופן מושלם את העיצוב. במציאות, תכונות מתועדות או מתועדות בטעות על פני אבני בניין שונות עשויות לפעול בדרכים מתוחכמות ליצירת פרצות אבטחה שהתוקפים עלולים לנצל.

שלא כמו בתוכנות, נקודות תורפה אלה הן בעלות השפעות ארוכות טווח ואינן ניתנות לתיקון בקלות. חוקרים רבים תורמים לפתרון בעיות אלה: מטכניקות לאימות עיצובים תואמים מפרטים לכלים אוטומטיים המנתחים אינטראקציות בין רכיבים ומאמתים התנהגות.

סיבה שלישית היא יתרונות לגודל. מנקודת מבט עסקית, יש רק שני משחקים בעיר: ביצועים צריכת החשמל. המעבד המהיר ביותר ואת חיי הסוללה הארוכה ביותר לנצח את השוק. מנקודת המבט ההנדסית, רוב האופטימיזציות מזיקות לאבטחה.

במערכות בזמן אמת קריטיות לבטיחות (לחשוב מכוניות אוטונומיות, מטוסים, וכו '), שם כמה זמן דבר מה שצריך לבצע הוא קריטי. זה כבר בעיה במשך זמן מה. המעבדים הנוכחיים מתוכננים לבצע במהירות האפשרית רוב הזמן, ולעיתים ייקח תקופות ארוכות; מנבא כמה זמן ייקח משהו מאתגר מאוד. אנחנו יודעים איך לעצב מעבדים צפויים, אבל כמעט אף אחד אינם זמינים מסחרית. יש מעט כסף לעשות.

שינוי התמקדות ב - Cybersecurity

בטווח הארוך, זה לא יהיה נכון לגבי הביטחון. ככל שעולה עידן האינטרנט באינטרנט, ומספר המעבדים למשק בית, לרכב ובתשתיות ממשיך לגדול, אין ספק שהחברות יפעלו ללא ספק לחומרה מודעת-ביטחונית.

מהנדסים טובים יותר, כלים טובים יותר, ועוד מוטיבציה לביטחון - כאשר חותמת של איכות אבטחה פירושה שאתה מוכר יותר מאשר המתחרים שלך - ידחוף cybersecurity טוב בכל הרמות.

עד אז? אולי מדינות זרות התערבו בה, אולי לא; ללא קשר, אל תסמוך על החומרה שלך. זה עדכון עדכון pesky שממשיך popping up? עדכון. קניית מכשיר חדש? בדוק את רשומת האבטחה של היצרן. ייעוץ מורכב על בחירת סיסמאות טובות? להקשיב. אנחנו מנסים להגן עליך.

מאמר זה פורסם במקור על השיחה של פאולו גרסיה. קרא את המאמר המקורי כאן.