Age of Wonders 3 Let's Play
Съдържание:
Преди няколко седмици, Bloomberg съобщава, че Китай шпионира американските технически фирми, включително Apple и Amazon, като инсталира тайни микрочипове на сървърните дъски по време на производствения процес. Тези хардуер троянски коне са, подобно на гръцкия кон, използван да се промъкне във войници, предназначени да изглеждат безвредни, докато в действителност те извършват тайни злонамерени операции.
Посочените технически фирми отричат този доклад; в момента нямаме начин да разберем кой е прав. Ако е вярно, това е потенциално най-голямото нарушение на сигурността на злонамерен хардуер, което сме виждали. Ако не е вярно, добре … все още има достатъчно уязвимости в хардуерната сигурност, за да се заобиколят.
По-рано тази година беше разкрита грешката на Spectre / Meltdown. Тази уязвимост по отношение на сигурността засяга почти всеки процесор, от захранването на потребителските компютри до сървърите на компаниите, и позволява злонамерен код да има достъп до потенциално поверителна информация. Това беше грешка в дизайна на хардуера: софтуер лепенки (актуализациите, предназначени за коригиране на грешката) бяха предоставени скоро след това и официално с незначително въздействие върху производителността (не е съвсем незначително).
Но това не се отразява ти директно, с изключение на малко по-бавен компютър… или го прави?
Микропроцесорите са навсякъде
Средният човек си взаимодейства с десетки микропроцесори всеки ден. Това не включва сървърите и интернет рутерите, които обработват електронната ви поща и социалните медии: мислете по-близо до дома. Вероятно имате смартфон и персонален компютър или таблет.
Сродни видеоклипове:
Може би Amazon Echo или друг интелигентен говорител? Електронен звънец или домофон? Само Вашата кола, ако е на по-малко от 10 години, има десетки процесори, отговорни за всичко - от контролирането на радиото до действието на спирачките. Подобна на Spectre / Meltdown грешка при прекъсванията на колата е плашеща мисъл.
Тези грешки се появяват поради хардуерния дизайн трудно, Като част от моите изследвания трябваше да проектирам и внедря процесори. Да ги накараме да работят е достатъчно предизвикателство, но да се гарантира, че те са сигурни? Експоненциално по-трудно.
Някои може би ще си спомнят, че през 1994 г. Intel трябваше да си припомни линия от бъги процесори, които им струваха милиони долари. Това беше случай, в който най-добрите дизайнери на чипове в света произведоха дефектен чип. Не е уязвимост в сигурността, а просто неправилен резултат за някои операции.
Това е много по-лесно за откриване и коригиране от уязвимостта на сигурността, която често е невероятно нюансирана - тези, които се интересуват от четене на повече за експлоатацията на Spectre / Meltdown ще видят, че е много, много сложна атака. Миналата година изследовател от киберсигурността намери няколко недокументирани инструкции на процесор Intel i7. Инструкции са атомните операции, които един процесор може да извърши: например, добавяне на два номера или преместване на данни от едно място на друго. Всяка програма, която изпълнявате, вероятно изпълнява хиляди или милиони инструкции. Откритите не са оповестени в официалния наръчник, а за някои тяхното точно поведение остава неясно.
Процесорът, който притежавате и използвате, може да прави неща, за които продавачът не ви казва. Но дали това е въпрос на документация? Или истински недостатък на дизайна? Интелектуалната собственост е тайна? Не знаем, но вероятно е друга уязвимост, която трябва да бъде използвана.
Уязвимостите на хардуера
Защо хардуерът е толкова фундаментално опасен? От една страна, сигурността е аспект, който често се пренебрегва в инженерното образование в целия спектър от хардуера до софтуера. Има толкова много инструменти, концепции, парадигми, които студентите трябва да научат, че има малко време да се включат съображения за сигурност в учебната програма; от завършилите се очаква да учат на работното място.
Страничният ефект е, че в много индустрии сигурността се счита за череша на тортата, а не като основна съставка. За щастие, това започва да се променя: програмите за киберсигурност се появяват навсякъде в университетите и ние се развиваме по-добре в обучението на инженерите за сигурност.
Втората причина е сложността. Фирмите, които всъщност изработват чипове, не трябва непременно да ги проектират от нулата, тъй като строителните блокове се купуват от трети страни. Например, доскоро Apple купи дизайни за графичния процесор на iPhones от Imagination Technologies. (Оттогава те са се преместили във вътрешен дизайн). В идеалния случай, спецификациите напълно отговарят на дизайна. В действителност, недокументирани или погрешно документирани характеристики в различни блокове могат да взаимодействат по изтънчени начини, за да създадат пропуски в сигурността, които атакуващите могат да използват.
За разлика от софтуера, тези слаби места имат дълготрайни ефекти и не се коригират лесно. Много изследователи допринасят за решаването на тези проблеми: от техники за проверка, че дизайните отговарят на спецификациите към автоматизирани инструменти, които анализират взаимодействията между компонентите и валидират поведението.
Трета причина са икономиите от мащаба. От бизнес гледна точка в града има само две игри: производителност и консумация на енергия. Най-бързият процесор и най-дългият живот на батерията печелят пазара. От инженерна гледна точка повечето оптимизации са вредни за сигурността.
В критични за безопасността системи в реално време (мислете автономни автомобили, самолети и т.н.), където колко дълго нещо, което е необходимо да се изпълни, е критично. Това е проблем за известно време. Текущите процесори са проектирани да изпълняват възможно най-бързо през повечето време и от време на време ще отнеме дълги периоди; предсказване колко дълго ще отнеме това е невероятно предизвикателство. Ние знаем как да проектираме предсказуеми процесори, но на практика никой не е наличен в търговската мрежа. Има малко пари, които трябва да бъдат направени.
Промяна на фокуса върху киберсигурността
В дългосрочен план същото няма да важи и за сигурността. С напредването на възрастта на Интернет на нещата и броя на процесорите на домакинство, превозното средство и сред инфраструктурата продължава да се увеличава, без съмнение компаниите ще се движат към хардуер, съобразен със сигурността.
По-добре обучени инженери, по-добри инструменти и по-голяма мотивация за сигурност - когато печатът за качество на сигурността означава, че продавате повече от конкурентите си - ще настоява за добра киберсигурност на всички нива.
До тогава? Може би чужди държави са се намесили в нея, може би не; независимо от това, не се доверявайте на хардуера си. Това досадни актуализация, която продължава да се появява? Update. Закупуване на ново устройство? Проверете данните за сигурността на производителя. Комплексни съвети при избора на добри пароли? Слушам. Опитваме се да ви защитим.
Тази статия е първоначално публикувана на Разговор от Пауло Гарсия. Прочетете оригиналната статия тук.
Apple потвърждава разтопяването, Spectre Chip Flaw - какви продукти са изложени на риск?
Apple разкри кои от продуктите на Mac, iPhone, iPad, iPod touch, Apple Watch и Apple TV са засегнати от експлозиите на Meltdown и Spectre.
Проучването открива, че хроничната пушачи на марихуана са изложени на риск от депресия
Ново проучване показва, че младите хора, зависими от марихуана, показват признаци на променени мозъчни функции, които могат да доведат до депресия и повишен риск от психоза.
Aspergillus: Нови генни тестове на пациентите, изложени на риск от гъбична инфекция
Неотдавнашен доклад в Nature Communications установява, че инвазивните гъбични спори, които се намират в възглавници, почви и климатици, могат да процъфтяват в човешките бели дробове, особено при хора с една генетична мутация. Ако не се лекува, тази гъба може да образува топка в белодробната тъкан.