Bir Donanım Trojan Nedir? Akıllı Telefonlarınız Neden Risk Altında Olabilir?

$config[ads_kvadrat] not found

⚡️Срочно! Бегите ?‍♂️?‍♂️за деньгами!??

⚡️Срочно! Бегите ?‍♂️?‍♂️за деньгами!??

İçindekiler:

Anonim

Birkaç hafta önce, Bloomberg Çin'in, üretim süreci boyunca sunucu kartlarına gizli mikroçipler takarak, Apple ve Amazon dahil olmak üzere Amerikan teknoloji firmalarına casusluk yaptığını bildirdi. Bu donanım trojan Eskiden Yunan atının askerlere gizlice girdiği gibi, gerçekte gizli kötü niyetli operasyonlar gerçekleştirirken zararsız görünmek üzere tasarlandığı gibi.

Söz konusu teknoloji firmaları bu raporu reddetti; Şu anda kimin doğru olduğunu bilmenin bir yolu yok. Doğruysa, bu potansiyel olarak gördüğümüz en büyük kötü amaçlı donanım güvenliği ihlalidir. Doğru değilse, peki… etrafta dolaşmak için yeterince donanım güvenlik açığı var.

Bu yılın başlarında, Spectre / Meltdown hatası açıklandı. Bu güvenlik açığı, güç veren tüketici bilgisayarlarından şirket sunucularına, neredeyse her işlemciyi etkiler ve kötü amaçlı kodların potansiyel olarak gizli bilgilere erişmesine izin verir. Bu donanım tasarımında bir hataydı: yazılım yamalar (hatayı düzeltmeye yönelik güncellemeler) kısa bir süre sonra ve resmi olarak ihmal edilebilir bir performans etkisiyle (gerçekten ihmal edilemez) hazır hale getirildi.

Ancak bu etkilenmez sen doğrudan, biraz yavaş bir bilgisayar dışında… ya da öyle mi?

Mikroişlemciler Her Yerde

Ortalama bir insan her gün mikroişlemci puanlarıyla etkileşime girer. Bu, e-postanızı ve sosyal medyanızı işleyen sunucuları ve internet yönlendiricilerini içermez: eve daha yakın düşünün. Muhtemelen bir akıllı telefon ve kişisel bir bilgisayar veya tablet var.

İlgili video:

Belki bir Amazon Yankı veya başka bir akıllı konuşmacı? Elektronik bir kapı zili mi, interkom mu? Yalnızca arabanız, 10 yaşından küçükse, radyoyu kontrol etmekten frene basmaya kadar her şeyden sorumlu onlarca işlemciye sahiptir. Aracınızın molalarında Spectre / Meltdown benzeri bir böcek korkutucu bir düşüncedir.

Bu hatalar donanım tasarımı olduğu için ortaya çıkar. zor. Araştırmamın bir parçası olarak, işlemciler tasarlamak ve uygulamak zorunda kaldım. Onları çalıştırmaları yeterince zorlayıcı, ancak güvende olmalarını sağlıyor mu? Katlanarak zor.

Bazıları 1994’te, Intel’in milyonlarca dolara mal olan bir dizi buggy işlemciyi hatırlamak zorunda olduğunu hatırlayabilir. Bu, dünyadaki en iyi talaş tasarımcılarının kusurlu bir talaş ürettiği bir durumdu. Güvenlik açığı değil, yalnızca bazı işlemlerde yanlış sonuç.

Bu, genellikle inanılmaz derecede farklı olan bir güvenlik açığından, tespit edilmesi ve düzeltilmesinden çok daha kolaydır - Spectre / Meltdown istisnası hakkında daha fazla okumak isteyenler, çok karmaşık bir saldırı olduğunu görecektir. Geçen yıl, bir siber güvenlik araştırmacısı bir Intel i7 işlemcisinde belgelenmemiş birkaç talimat buldu. Talimatlar bir işlemcinin gerçekleştirebileceği atomik işlemlerdir: örneğin, iki sayı eklemek veya verileri bir yerden bir yere taşımak. Çalıştırdığınız her program binlerce veya milyonlarca talimatı yerine getirir. Keşfedilenler resmi el kitabında açıklanmadı ve bazıları için kesin davranışları belirsizliğini koruyor.

Sahip olduğunuz ve kullandığınız işlemci, satıcının size söylemediği şeyleri yapabilir. Ancak bu bir dokümantasyon sorunu mu? Veya gerçek bir tasarım hatası? Fikri mülkiyet sırrı? Bilmiyoruz, ancak muhtemelen kullanılmayı bekleyen başka bir güvenlik açığı var.

Donanımın Güvenlik Açıkları

Donanım neden bu kadar temelde güvensiz? Birincisi, güvenlik, bir mühendislik eğitiminde donanımdan yazılıma kadar geniş bir yelpazede gözden kaçırılan bir özelliktir. Öğrencilerin öğrenmesi gereken çok fazla araç, kavram ve paradigma vardır; bu programlara güvenlikle ilgili düşünceleri dahil etmek için çok az zaman vardır; mezunların işi öğrenmeleri beklenir.

Yan etkisi, birçok sektörde güvenliğin temel bir bileşen yerine pastadaki vişne olarak kabul edilmesidir. Bu, neyse ki değişmeye başlıyor: üniversiteler arasında siber güvenlik programları ortaya çıkıyor ve güvenlik konusunda bilinçli mühendislerin eğitimi konusunda daha iyi hale geliyoruz.

İkinci bir sebep karmaşıklıktır. Cipsleri üreten firmalar, yapı taşları üçüncü şahıslardan satın alındığından, bunları sıfırdan tasarlamaları gerekmez. Örneğin, yakın zamana kadar Apple, iPhone'lardaki grafik işlemcisi için Imagination Technologies'den tasarımlar satın aldı. (O zamandan beri şirket içi tasarımlara geçtiler). İdeal olarak, teknik özellikler tasarıma mükemmel şekilde uyar. Gerçekte, farklı yapı taşlarındaki belgelenmemiş veya yanlış belgelendirilmiş özellikler, saldırganların yararlanabileceği güvenlik boşlukları oluşturmak için ince yollarla etkileşime girebilir.

Yazılımın aksine, bu zayıf noktaların uzun süren etkileri vardır ve kolayca düzeltilmezler. Birçok araştırmacı bu problemleri çözmeye katkıda bulunuyor: tasarımların spesifikasyonlar ile eşleştiğini doğrulayan tekniklerden bileşenler arasındaki etkileşimi analiz eden ve davranışları doğrulayan otomatik araçlara.

Üçüncü bir sebep ise ölçek ekonomileridir. İş açısından bakıldığında, şehirde sadece iki oyun var: performans ve güç tüketimi. En hızlı işlemci ve en uzun pil ömrü pazarı kazanır. Mühendislik perspektifinden bakıldığında, çoğu optimizasyon güvenliğe zararlıdır.

Güvenlik açısından kritik gerçek zamanlı sistemlerde (otonom arabalar, uçaklar, vb. Düşünün), ne kadar yürütmek için bir şey önemlidir. Bu bir süredir sorun oldu. Mevcut işlemciler mümkün olduğunca çabuk yürütmek için tasarlanmıştır çoğu zaman ve zaman zaman uzun sürecek; Bir şeyin ne kadar süreceğini tahmin etmek inanılmaz derecede zor. Tahmin edilebilir işlemcilerin nasıl tasarlandığını biliyoruz, ancak neredeyse hiçbiri ticari olarak mevcut değil. Kazanılacak çok az para var.

Siber Güvenliğe Odaklanmak

Uzun vadede, aynı şey güvenlik için de geçerli olmayacak. Nesnelerin İnterneti'nin yaşı bize bağlı olduğundan ve hanehalkı, araç başına ve altyapıdaki işlemci sayısı artmaya devam ettikçe, şirketler şüphesiz güvenlik bilincine sahip donanıma yöneleceklerdir.

Daha iyi eğitimli mühendisler, daha iyi araçlar ve güvenlik için daha fazla motivasyon - güvenlik kalitesinin bir damgası rakiplerinizden daha fazlasını sattığınız anlamına gelir - her seviyede iyi siber güvenlik için zorlar.

O zamana kadar? Belki de yabancı ülkeler buna müdahale etmiş, belki de değil; ne olursa olsun, donanımınıza güvenmeyin. Haşhaş tutan sürekli sinir bozucu güncelleme bildirimi? Güncelleştirme. Yeni bir cihaz mı alıyorsunuz? Üreticinin güvenlik kaydını kontrol edin. İyi şifreler seçme konusunda karmaşık tavsiyeler? Dinleyin. Seni korumaya çalışıyoruz.

Bu makale, ilk olarak Paulo Garcia tarafından yapılan Konuşma'da yayınlandı. Orijinal makaleyi buradan okuyun.

$config[ads_kvadrat] not found