ACQUAã®ããã12æ19æ¥äºåã ã¼ãã¼
目次:
数週間前、 ブルームバーグ 中国は、生産過程でサーバーボードに秘密のマイクロチップをインストールすることで、中国がAppleやAmazonを含むアメリカのハイテク企業を狙っていたと報告した。これらのハードウェア トロイの木馬 ギリシャ軍の馬が兵士を忍び寄るのと同様に、無害に見えるように設計されていますが、実際には彼らは秘密の悪意のある操作を実行します。
指名されたハイテク企業はこの報告を否定しています。現時点では、誰が正しいのかを知る方法がありません。もしそうであれば、これは私たちが見てきた潜在的に最大の悪意のあるハードウェアセキュリティ違反です。そうでない場合は、そうだ…それでも回避するのに十分なハードウェアセキュリティの脆弱性がある。
今年初めに、Spectre / Meltdownのバグが公開されました。このセキュリティ上の脆弱性は、一般消費者向けコンピュータから企業のサーバーまで、事実上すべてのプロセッサに影響を及ぼし、悪意のあるコードが潜在的に機密情報にアクセスすることを可能にします。これはハードウェア設計の問題でした:ソフトウェア パッチ (障害を修正することを意図したアップデートは)間もなく利用可能になりました、そして公式には、ごくわずかなパフォーマンスへの影響で(それは実際には無視できません)。
しかし、これは影響しません 君は ちょっと遅いコンピュータとは別に直接、それとも…?
マイクロプロセッサはどこにでもあります
平均的な人は、毎日、多数のマイクロプロセッサと対話しています。これにはあなたのEメールやソーシャルメディアを処理するサーバーやインターネットルーターは含まれません。あなたはおそらくスマートフォンとパーソナルコンピュータまたはタブレットを持っています。
関連ビデオ
おそらくAmazon Echoや他のスマートスピーカー?電子ドアベルやインターホン?あなたの車だけで、10歳未満であれば、ラジオの制御からブレーキの作動までのすべてを担当する何十ものプロセッサを搭載しています。あなたの車の休憩中の幽霊/メルトダウンのようなバグは恐ろしい考えです。
これらのバグはハードウェア設計が ハード 。私の研究の一環として、私はプロセッサを設計し実装しなければなりませんでした。それらを機能させることは十分に挑戦的ですが、それらが安全であることを保証すること?指数関数的に難しいです。
1994年に、Intelは数百万ドルものコストのかかる一連のプロセッサを思い出さなければならなかったことを覚えているかもしれません。これは、世界最高のチップ設計者が欠陥のあるチップを製造したケースです。セキュリティ上の脆弱性ではなく、一部の操作では誤った結果がもたらされます。
これは、非常に微妙なセキュリティ上の脆弱性よりも検出と修正がはるかに簡単です。Specter/ Meltdownエクスプロイトについてもっと知りたいという人は、非常に洗練された攻撃であることがわかります。昨年、サイバーセキュリティ研究者がIntel i7プロセッサに関する文書化されていない命令をいくつか見つけました。命令は、プロセッサが実行できるアトミック操作です。たとえば、2つの数値を加算したり、ある場所から別の場所にデータを移動したりします。実行するプログラムはすべて、数千から数百万の命令を実行する可能性があります。発見されたものは公式マニュアルには開示されていません、そして、ある人たちのために、それらの正確なふるまいは不明のままです。
あなたが所有し使用するプロセッサは、ベンダがあなたに知らないことをすることができます。しかし、これはドキュメントの問題ですか?それとも本物のデザインの欠陥?知的財産の秘密は?われわれは知りませんが、悪用されるのを待っている可能性があるもう1つのセキュリティ上の脆弱性です。
ハードウェアの脆弱性
ハードウェアが根本的に安全ではないのはなぜですか? 1つには、セキュリティは、ハードウェアからソフトウェアまで、幅広い分野でエンジニアリング教育で見過ごされがちな側面です。生徒が習得しなければならないツール、概念、パラダイムが非常に多いため、カリキュラムにセキュリティに関する考慮事項を含める時間がほとんどありません。卒業生は仕事で学ぶことが期待されています。
副作用は、多くの業界でセキュリティが基本的な要素というよりはむしろ重要な要素であると考えられていることです。幸いなことに、これは変化し始めています。サイバーセキュリティプログラムは大学を超えて出現しており、セキュリティを重視するエンジニアのトレーニングが向上しています。
第二の理由は複雑さです。ビルディングブロックはサードパーティから購入されるため、実際にチップを製造する企業は必ずしもチップを最初から設計する必要はありません。たとえば、最近まで、アップルはイマジネーションテクノロジーズからiPhone上のグラフィックプロセッサ用のデザインを購入しました。 (彼らはその後、社内デザインに移行しました)。理想的には、仕様は設計と完全に一致します。実際には、さまざまなビルディングブロックにまたがって文書化されていない、または誤って文書化されている機能が微妙な方法で相互作用して、攻撃者が悪用する可能性があるセキュリティの抜け穴を作り出す可能性があります。
ソフトウェアとは異なり、これらの弱点は長続きする効果を持ち、簡単には修正されません。多くの研究者がこれらの問題を解決するために貢献しています。設計が仕様に適合することを検証するためのテクニックから、コンポーネント間の相互作用を分析し動作を検証する自動ツールまで。
3番目の理由は規模の経済です。ビジネスの観点からすると、街にはパフォーマンスと消費電力という2つのゲームしかありません。最速のプロセッサと最長のバッテリ寿命が市場に勝ちます。エンジニアリングの観点からは、ほとんどの最適化はセキュリティにとって有害です。
安全重視のリアルタイムシステム(自律走行車、飛行機などを考える)では、 どのぐらいの間 実行には何かが重要です。これはしばらくの間問題でした。現在のプロセッサはできるだけ速く実行するように設計されています ほとんどの時間 そして時折長い期間がかかるでしょう。どれくらいの時間がかかるかを予測することは、信じられないほど困難です。予測可能なプロセッサの設計方法はわかっていますが、市販されているものは事実上ありません。稼ぐお金はほとんどありません。
サイバーセキュリティへの注目の変化
長期的に見ても、セキュリティについては同じことが言えません。モノのインターネットの時代が到来し、1世帯あたりのプロセッサ数、車両、およびインフラストラクチャの数が増え続けるにつれて、企業は間違いなくセキュリティを重視するハードウェアに移行するでしょう。
セキュリティの質の高さが競合他社を上回る販売を意味する場合、優れたトレーニングを受けたエンジニア、優れたツール、およびセキュリティに対するより高いモチベーションが、あらゆるレベルで優れたサイバーセキュリティを推進します。
それまで?たぶん外国がそれを妨害したのかもしれません。とにかく、あなたのハードウェアを信用しないでください。ポップアップし続ける厄介な更新通知?更新。新しい機器を購入しますか?製造元のセキュリティ記録を確認してください。良いパスワードを選ぶ際の複雑なアドバイスは?聴く。私たちはあなたを守ろうとしています。
この記事は、もともとPaulo GarciaによるThe Conversationに掲載されました。ここで元の記事を読んでください。