Yngve Forssélls orkester - Lita inte på tjejer
Innehållsförteckning:
Några veckor sedan, Bloomberg rapporterade att Kina spionerade på amerikanska teknikföretag, inklusive Apple och Amazon, genom att installera hemliga mikrochips på serverns styrelser under produktionsprocessen. Dessa hårdvaror trojaner är, som den grekiska hästen brukade smyga i soldater, som är utformad för att verka ofarlig medan de i verkligheten utför hemliga skadliga operationer.
De namngivna tekniska företagen har förnekat denna rapport; För tillfället har vi inget sätt att veta vem som har rätt. Om det är sant, är det potentiellt det största skadliga hårdvaruproblemet vi har sett. Om inte sant, ja … finns det fortfarande tillräckligt med säkerhetsproblem för hårddiskar att gå runt.
Tidigare i år avslöjades Specter / Meltdown buggen. Det här säkerhetsproblemet påverkar praktiskt taget alla processorer, från de som driver konsumentdatorer till företagservrar, och det gör att skadlig kod kan komma åt potentiellt konfidentiell information. Detta var ett fel i hårdvarudesignen: programvara plåster (uppdateringar avsedda att korrigera felet) gjordes snart efter och, officiellt, med försumbar prestationspåverkan (det är inte riktigt försumbar).
Men detta påverkar inte du direkt, förutom en lite långsammare dator … eller gör det?
Mikroprocessorer är överallt
Den genomsnittliga personen interagerar med många mikroprocessorer varje dag. Detta inkluderar inte servrar och internet routrar som behandlar din e-post och sociala medier: tänk dig närmare hemma. Du har sannolikt en smartphone och en persondator eller surfplatta.
Relaterad video:
Kanske ett Amazon Echo eller en annan smart högtalare? En elektronisk dörrklocka eller intercom? Din bil ensam, om mindre än 10 år gammal, har dussintals processorer ansvariga för allt från att styra radioen till att fungera på bromsarna. En Spectre / Meltdown-liknande bugg på bilens paus är en skrämmande tanke.
Dessa fel uppstår eftersom hårdvaru design är hård. Som en del av min forskning har jag haft att designa och implementera processorer. Att göra dem arbete är utmanande nog, men att de är säkra? Exponentiellt hårdare.
Vissa kanske kommer ihåg att Intel år 1994 skulle återkalla en rad buggy-processorer och kostade dem miljoner dollar. Detta var ett fall där de bästa chipdesignerna i världen producerade ett bristfälligt chip. Inte ett säkerhetsproblem, bara ett felaktigt resultat på vissa operationer.
Det här är mycket lättare att upptäcka och korrigera än ett säkerhetsproblem, vilket ofta är otroligt nyanserat. De som är intresserade av att läsa mer om Specter / Meltdown exploit kommer att se att det är en väldigt mycket sofistikerad attack. Förra året hittade en cybersecurityforskare flera okodade instruktioner på en Intel i7-processor. Instruktioner är de atomoperationer som en processor kan utföra, till exempel, lägga till två nummer eller flytta data från en plats till en annan. Varje program du kör sannolikt utför tusentals eller miljontals instruktioner. De upptäckta beskrivs inte i den officiella handboken, och för vissa är deras exakta beteende oklart.
Processorn du äger och använder kan göra saker som leverantören inte berättar om. Men är det här en dokumentationsfråga? Eller en äkta designfel? Immateriell äganderätt? Vi vet inte, men det är troligt att ett annat säkerhetsproblem väntar på att utnyttjas.
Säkerhetsproblemen i maskinvara
Varför är hårdvaran så grundläggande osäker? För det första är säkerhet en aspekt som ofta förbises i en teknisk utbildning över hela spektret från hårdvara till programvara. Det finns så många verktyg, begrepp, paradigmer som eleverna måste lära sig, att det finns liten tid att inkludera säkerhetshänsyn i läroplanen. akademiker förväntas lära sig på jobbet.
Biverkningen är att i många branscher betraktas säkerhet som körsbär på kakan snarare än en grundläggande ingrediens. Det lyckas lyckligtvis: cybersäkerhetsprogrammen dyker upp över universiteten, och vi blir bättre på att träna säkerhetsmedvetna ingenjörer.
En andra anledning är komplexitet. Företag som faktiskt tillverkar chips utformar inte nödvändigtvis dem från början, eftersom byggstenarna köps från tredje part. Till exempel, förrän Apple köpte design för grafikprocessorn på iPhones från Imagination Technologies. (De har sedan flyttat till inbyggda mönster). Idealiskt matchar specifikationerna perfekt designen. I själva verket kan odödliga eller felaktigt dokumenterade funktioner över olika byggstenar interagera på subtila sätt för att producera säkerhetsmutningar som attacker kan utnyttja.
Till skillnad från programvara har dessa svaga punkter långvariga effekter och är inte lätträttade. Många forskare bidrar till att lösa dessa problem: från tekniker för att verifiera dessa mönster matchar specifikationerna till automatiserade verktyg som analyserar interaktioner över komponenter och validerar beteende.
En tredje orsak är stordriftsfördelar. Ur affärsperspektivet finns det bara två spel i staden: prestanda och strömförbrukning. Den snabbaste processorn och den längsta batteritiden vinner marknaden. Från det tekniska perspektivet är de flesta optimeringar skadliga för säkerheten.
I säkerhetskritiska realtidssystem (tänk autonoma bilar, flygplan etc.), var hur länge något som krävs för att genomföra är kritiskt. Detta har varit ett problem ett tag. Nuvarande processorer är utformade för att utföras så snabbt som möjligt för det mesta, och kommer ibland att ta långa perioder; förutsäga hur lång tid det tar att ta är oerhört utmanande. Vi vet hur man utformar förutsägbara processorer, men nästan ingen finns kommersiellt tillgängliga. Det finns lite pengar att göra.
Ändra fokus på cybersecurity
På sikt kommer detsamma inte att vara sant för säkerheten. När ålderens Internet-tid börjar på oss, och antalet processorer per hushåll, fordon och infrastruktur fortsätter att öka, kommer företagen utan tvekan att röra sig mot säkerhetsmedveten hårdvara.
Bättre utbildade ingenjörer, bättre verktyg och mer motivation för säkerhet - när ett stämpel av säkerhetskvalitet betyder att du säljer mer än dina konkurrenter - kommer att driva på god cybersäkerhet på alla nivåer.
Tills dess? Kanske främmande länder har stört det, kanske inte; Oavsett, lita inte på din hårdvara. Den sorgliga uppdateringsanmälan som håller på att dyka upp? Uppdatering. Köper en ny enhet? Kontrollera tillverkarens säkerhetspost. Komplexa råd om hur du väljer bra lösenord? Lyssna. Vi försöker skydda dig.
Den här artikeln publicerades ursprungligen på The Conversation av Paulo Garcia. Läs den ursprungliga artikeln här.
Vad är SCA7-sjukdomen? Varför forskare kan vara ett steg närmare en botemedel
Neurodegenerativa sjukdomar som Parkinsons och Alzheimers påverkar över 10 miljoner och 44 miljoner människor världen över. Albert La Spada tacklar en annan dödlig sjukdom, SCA7, genom att försöka hitta en bot för den DNA-härledda sjukdomen, och kan ha slutligen identifierat en behandling framåt.
Varför FBI-direktören säger att presidiet kan vara öppet för weedrökare
James Comey, FBI: s regissör, vet detta: utan gnällrörande nördar kommer hans agentur att vara överträffad av gryn-rökning nördar.
Varför är träning hård? Hjärnor av lata människor avslöjar varför vi inte kan hjälpa men undviker att träna
Människor kan inte hjälpa men undvika att träna, men det kanske inte är deras fel, enligt en studie i tidskriften Neuropsychologia. De fann att även tänk på övningar orsakar en strid i hjärnan som måste övervinnas innan varje träning börjar