继彭博新闻社10月9日更新了其所谓的“中国黑客利用间谍芯片攻击美科技公司”的报道之后,业内专家分析认为该事件的真实性越来越离谱。
然而,诡谲的是,该事件给各方带来的负面影响却越来越大。
“10月4日彭博新闻社报道刚出来的时候,指责所谓‘中国黑客’利用伪装芯片发动攻击的方式,经济上不合理、技术上又太复杂,我是不怎么相信的;10月9日彭博社进一步指摘‘黑客’在网卡接口处隐藏‘间谍芯片’,却又没有证据来证实这一点。”360集团技术总裁兼首席安全官谭晓生在接受《中国科学报》专访时说,彭博社前后两次报道提及的“黑客攻击”非常难以证伪——不可能把彭博社所指摘的所有主板都拆来检视,但也无法证实——彭博社并没有拿出实证,且其所取信的信源也没有可信度。
“总体感觉是被泼了脏水,但又很难自证清白,这就很痛苦了。”谭晓生认为,这种模棱两可的态度反而造成了坏的影响。
就在全球的技术专家都在忙着搞清这篇报道真相的同时,美国新闻界和民众却开始宣扬保护本国的“供应链安全”。如美国《大西洋月刊》和《国会山报》的文章都认为,“即便中国没有通过硬件入侵美国企业的服务器主板,彭博社的报道也暴露出了过于依赖中国的电子产品供应链条给美国带来巨大的安全危机”。
然而事实是,没有哪个产业比集成电路有着更鲜明的全球化烙印。如果说仅仅依赖中国的供应链就要承受“巨大安全危机”,那么无法想象每年进口全球芯片50%以上的中国要承受什么。
硬件安全,被忽视的问题
“(硬件安全)暴露出来的案例还不多,尚未引起足够的重视。彭博的这个报道实际上也给我们提了个醒。”中科院计算所研究员、计算机体系结构和芯片研究方向博士生导师韩银和在接受《中国科学报》记者采访时说,其实相比于软件安全、网络安全、数据安全等,硬件安全特别是从关键元器件发动的攻击,相当于一种新的“降维攻击”,要高度重视硬件安全的重要性。
谭晓生也告诉记者,芯片的确是攻破安全屏障的一个进攻点,而且因为它在最底层,如果有预置后门或埋了木马,幕后操纵者可以“一层层地向上打”。如果对这种攻击方式不甚了解的话,被攻击方很难察觉。
而从硬件出发,黑客可能从芯片层、电路板层、固件层发动攻击。
谭晓生介绍说,芯片级的主动攻击,可以做到与正常芯片外观、管脚、封装等都一样,但芯片内部电路被篡改。这种通过篡改原始集成电路设计,植入完成特殊功能的逻辑,业内称为芯片木马或者硬件木马。在满足一定条件的时候(如反复执行某个指令引起状态反转),木马会被唤醒,进而实施改变功能、窃取信息、物理摧毁、协助软件木马控制系统等攻击行为。
韩银和对记者说,2016年美国密歇根大学研究人员在IEEE安全领域顶级会议之一IEEE隐私与安全大会上已经证实,在芯片制造过程中可以植入硬件木马。在这次大会上,研究人员公开了一种只需要几十个门电路(整个芯片大概为几十亿个门级)的超小型硬件木马,这种木马可通过运行一系列“看上去完全无害的命令”触发处理器某项功能进而获得操作系统完整权限,危害极大。
更值得担忧的是,韩银和指出,该芯片木马只要芯片制造工厂中的一位员工就能进完成植入,而且基本无法通过任何现代硬件安全分析手段检测出来。
类似的,与芯片共同构成电路逻辑的电路板乃至执行某个特定功能的固件(介于软硬件之间),都有可能被植入恶意逻辑,这些同样非常难以发现。
“限于工艺能力,中国许多芯片在境内设计、在海外流片,在流片的过程中,如果有别有用心者对芯片做了手脚,检测起来也是非常难的。”谭晓生告诉记者,从这个角度来讲,对于供应链安全,中国才是最该担心的。
韩银和更是直言,硬件木马对于我国威胁更大:一方面该木马可以在制造阶段插入,由于半导体高端制造环节都在国外,这一隐患更大;另一方面,现有高性能芯片是非常好的硬件木马宿主,而我国无论是高端信息服务业和重要行业,每年都从美国进口大量的高端处理器。
中国如何应对硬件安全?
中国是全球最大的芯片进口国,全世界50%以上的芯片进口到中国。
海关总署公开信息显示,2017年中国集成电路进口量高达3770亿片,同比增长10.1%;进口额为2601亿美元(约合17561亿元),同比增长14.6%。集成电路进口额占中国总进口额的14.1%。
随着智能物联网设备的爆发式增长,中国未来只会进口更多的芯片。而随着更多的设计者、生产者进入芯片产业链条,几家大公司垄断的格局也将被打破。当“企业信誉”变得更为复杂,则意味着供应链全流程中安全漏洞更多,甚至可能产生与软件领域那庞大的黑灰产业。在此背景下,中国如何对硬件安全挑战?
“安全问题不可能完全杜绝,至少现在从理论上没有绝对安全的计算机系统,只是攻防难度不同。”中科院计算所研究员、先进计算机系统研究中心主任包云岗在接受《中国科学报》记者采访时提出,就像我们追求健康一样,要有适当的手段来防止“病入膏肓”:不是绝对不生病,而是病痛来临之时能防能治。
投射到硬件安全方面,就是要找到性价比最高的安全保障方案——花合理的钱保障足够的安全。怎么做到这一点?“个人观点,更重要的是构建免疫系统,就是有未知入侵,也能很快识别,并快速响应减少危害,形成免疫。”
问题是,怎么构建这个免疫系统。
“这就需要核心技术了。”包云岗说,可以参考人体的免疫系统来研究相应的一整套技术系统,比如类似B细胞的识别入侵机制、T细胞的有效杀死病毒;当B细胞和T细胞被激活后,会形成免疫记忆等。
在韩银和看来,上述提到的“免疫系统”应该既包括“防”又包括“攻”。
“相关技术体系的构建也不能仅仅关注防守,也要重视‘攻’的技术,‘攻’的技术进步可以大大提升防守的能力。”韩银和对记者说,美国在这方面非常重视,而且有可能有成体系发展“芯片武器”的计划。相比而言,我们的研究还不够系统。
同时,韩银和还提示,面对潜在的硬件安全挑战,我国还应该建立健全供应链安全管理体系。“企业作为主体,建立关键元器件和系统可信审计制度,建立对芯片制作全过程的跟踪体系,避免伪制和过程中的恶意电路添加。”
现有技术能防御几多
硬件安全威胁重大,目前对其也并非完全束手无策。谭晓生告诉记者,芯片安全保护除了硬件检测外,还可以利用已有的网络安全技术实施防御。
“不论是芯片级、主板级还是固件级的攻击,它就算隐藏起来,也始终是一个‘坏人’。坏人总得干‘坏事’,而只要它干‘坏事’,就一定会留下一些行为上的特征:如功耗变大、网络流量异常、行为异常等。”谭晓生对记者说,通过一项名为边信道检测的技术,就可以检测到电流、噪声、电磁等的变化。
此外,通过网络行为检测和应用程序检测等多维度信息的收集,就会有更高概率发现恶意程序造成的机器异常,进而分析机器运行的程序是正常程序还是木马。
“这其实就是攻防维度之争。攻击者能控制多少维度、防御者能控制多少维度,二者对比可见高下。如果说作为防御者,有一些维度是攻击者无法控制的,那么就有可能通过这些维度检测到攻击者。”谭晓生说。
360网络攻防实验室负责人林伟介绍称,360今年发布的“安全大脑”就是这样一种理念:在无法判断哪些行为是攻击的情况下,尽量多地对行为和数据进行记录,然后对这些海量数据进行存储、分析、挖掘和关联,并配合人工智能技术,快速发现高级威胁。
“网络安全领域有个理念叫做‘零信任’,说白了就是‘啥都不能信’。在整个安全防御体系里,相信什么,可能就会‘死’在什么上面。”谭晓生对记者说,追求“零信任”,其实是追求全维度的分析检测,这需要大量的存储、计算和分析。所幸,随着近年来计算和存储成本的下降,“安全的钱舍得花了”。
不过,韩银和认为,要应对硬件安全挑战,我国在科研上还应围绕硬件安全组织开展方方面面的研究。
“国内已经有一些研究团队开始关注芯片安全的问题。中科院计算所在几年前成立集成电路安全团队,并已经取得了一些突破性的工作。但相对于国外研究,我们起步晚了一点。”韩银和说,由于硬件安全的危害性还没有完全展现出来,所以目前我国投入和重视程度都不足。
“这体现在研究上系统性不足,成果的核心技术主要集中在一些点的技术上,而且偏重于‘检’和‘防’的技术,而芯片木马‘攻’的技术也很重要,只有建立完整的“攻—检—防”技术体系,才能综合发挥作用。”韩银和说。