Hva er en maskinvare trojan? Hvorfor Smartphones kan være i fare

Noen få uker siden, Bloomberg rapporterte at Kina spionerte på amerikanske tech firmaer, inkludert Apple og Amazon, ved å installere hemmelige mikrochips på serverbord under produksjonsprosessen. Disse maskinvarene trojanere er, som den greske hesten pleide å snike seg i soldater, designet for å virke harmløs mens de faktisk utfører hemmelige ondsinnede operasjoner.

De nevnte teknologibedrifter har nektet denne rapporten; For øyeblikket har vi ingen måte å vite hvem som har rett. Hvis det er sant, er dette potensielt det største skadelige sikkerhetsbrudd vi har sett på maskinvare. Hvis ikke sant, vel … er det fortsatt nok maskinvare sikkerhetsproblemer å gå rundt.

Tidligere i år ble Specter / Meltdown bug avslørt. Dette sikkerhetsproblemet påvirker nesten alle prosessorer, fra de som driver forbrukerdatamaskiner til bedriftsservere, og det gjør at ondsinnet kode kan få tilgang til potensielt konfidensiell informasjon. Dette var en feil i maskinvaredesignen: programvare lapper (oppdateringer beregnet på å rette feilen) ble gjort tilgjengelig kort tid etter, og offisielt, med ubetydelig ytelse innvirkning (det er ikke veldig ubetydelig).

Men dette påvirker ikke du direkte, bortsett fra en litt tregere datamaskin … eller gjør det?

Mikroprosessorer er overalt

Den gjennomsnittlige personen samhandler med antall mikroprosessorer hver dag. Dette inkluderer ikke serverne og internettruterne som behandler e-post og sosiale medier: tenk nærmere hjemme. Du har sannsynligvis en smarttelefon og en personlig datamaskin eller nettbrett.

Relatert video:

Kanskje et Amazon Echo eller en annen smart høyttaler? En elektronisk dørklokke eller intercom? Din bil alene, hvis mindre enn 10 år gammel, har dusinvis av prosessorer ansvarlig for alt fra å kontrollere radioen til å fungere på bremsene. En Spectre / Meltdown-lignende feil på bilens pauser er en skremmende tanke.

Disse feilene oppstår fordi maskinvare design er hard. Som en del av min forskning har jeg hatt å designe og implementere prosessorer. Å gjøre dem arbeid er utfordrende nok, men at de er sikre? Eksponentielt vanskeligere.

Noen husker kanskje at i 1994 måtte Intel huske en linje med buggy-prosessorer, og kostet dem millioner av dollar. Dette var et tilfelle hvor de beste chipdesignerne i verden produserte en feilaktig chip. Ikke et sikkerhetsproblem, bare et feilresultat på enkelte operasjoner.

Dette er mye lettere å oppdage og korrigere enn et sikkerhetsproblem, som ofte er utrolig nyansert - de som er interessert i å lese mer om Specter / Meltdown-utnytningen, vil se at det er et veldig, svært sofistikert angrep. I fjor fant en cybersecurityforsker flere ukodede instruksjoner på en Intel i7-prosessor. Instruksjoner er atomoperasjonene en prosessor kan utføre: for eksempel, legge til to tall eller flytte data fra ett sted til et annet. Hvert program du kjører sannsynligvis utfører tusenvis eller millioner av instruksjoner. De oppdagede blir ikke avslørt i den offisielle håndboken, og for noen er deres eksakte oppførsel uklar.

Prosessoren du eier og bruker, kan gjøre ting selgeren ikke forteller deg om. Men er dette et dokumentasjonsproblem? Eller en ekte designfeil? Intellektuell eiendom hemmelighet? Vi vet ikke, men det er sannsynligvis et annet sikkerhetsproblem som venter på å bli utnyttet.

Sikkerhetsproblemene i maskinvare

Hvorfor er maskinvaren så fundamentalt usikker? For det første er sikkerhet et aspekt som ofte overses i en ingeniørutdanning på tvers av spekteret fra maskinvare til programvare. Det er så mange verktøy, begreper, paradigmer som elevene må lære, at det ikke er lite tid til å ta med sikkerhetshensyn i læreplanen; Nyutdannede forventes å lære på jobben.

Bivirkningen er at i mange bransjer anses sikkerhet som kirsebær på kaken i stedet for en grunnleggende ingrediens. Dette er heldigvis begynt å forandre: Cybersecurity-programmer popper opp på tvers av universiteter, og vi blir bedre på å trene sikkerhetsbevisste ingeniører.

En annen grunn er kompleksitet. Bedrifter som faktisk lager sjetonger, trenger ikke nødvendigvis å designe dem fra grunnen, da byggeblokkene er kjøpt fra tredjeparter. For eksempel, til forrige gang, kjøpte Apple design for grafikkprosessoren på iPhones fra Imagination Technologies. (De har siden flyttet til interne design). Ideelt sett samsvarer spesifikasjonene perfekt med designet. I virkeligheten kan ikke-dokumenterte eller feiltokumenterte funksjoner på tvers av forskjellige byggeblokker samhandle på subtile måter for å produsere sikkerhetsmutter som angripere kan utnytte.

I motsetning til programvare har disse svake punktene langvarige effekter og er ikke lett korrigert. Mange forskere bidrar til å løse disse problemene: Fra teknikker for å verifisere at design samsvarer med spesifikasjoner til automatiserte verktøy som analyserer interaksjoner på tvers av komponenter og validerer atferd.

En tredje grunn er stordriftsfordeler. Fra forretningsperspektivet er det kun to spill i byen: ytelse og strømforbruk. Den raskeste prosessoren og den lengste batterilevetiden vinne markedet. Fra det tekniske perspektivet er de fleste optimaliseringer skadelige for sikkerheten.

I sikkerhetskritiske sanntidssystemer (tenk autonome biler, fly, etc.), hvor hvor lenge noe som trengs for å gjennomføre er kritisk. Dette har vært et problem for en stund. Nåværende prosessorer er designet for å utføres så raskt som mulig meste parten av tiden, og vil av og til ta lange perioder; å forutsi hvor lenge noe vil ta er utrolig utfordrende. Vi vet hvordan å designe forutsigbare prosessorer, men nesten ingen er kommersielt tilgjengelige. Det er lite penger å bli gjort.

Endre fokus på Cybersecurity

På sikt vil det samme ikke være troverdig for sikkerheten. Etter hvert som internettets alder begynner på oss, og antallet prosessorer per husholdning, bil og infrastruktur fortsetter å øke, vil selskapene uten tvil komme over til sikkerhetsbevisst maskinvare.

Bedre utdannede ingeniører, bedre verktøy og mer motivasjon for sikkerhet - når et frimerke av sikkerhetskvalitet betyr at du selger mer enn dine konkurrenter - vil presse for god cybersikkerhet på alle nivåer.

Inntil da? Kanskje utenlandske land har forstyrret det, kanskje ikke; uansett, ikke stole på maskinvaren din. Det irriterende oppdateringsvarselet som holder popping opp? Oppdater. Kjøper en ny enhet? Kontroller produsentens sikkerhetsoppføring. Kompleks råd om valg av gode passord? Lytte. Vi prøver å beskytte deg.

Denne artikkelen ble opprinnelig publisert på The Conversation av Paulo Garcia. Les den opprinnelige artikkelen her.