Mikroshēmu kiberdrošības trūkumu novēršana joprojām prasa pārāk ilgu laiku

ĒRIKS KARTERS Ēriks Kārters





Kad Intel un drošības pētnieku grupa maijā atklāja jaunu drošības trūkumu esamību vecākajās uzņēmuma mikroshēmu paaudzēs, ziņas nāca ar īpaši satraucošu detaļu: bija vajadzīgs vairāk nekā gads, lai atrastu risinājumu vienai no nepilnībām. .

Pētnieki saka, ka viņi 2018. gada aprīlī brīdināja Intel par ievainojamību, ko viņi nodēvēja par ZombieLoad, taču tās labojums tika plaši ieviests tikai pagājušajā mēnesī. Salīdzinājumam, programmatūras uzņēmumiem parasti paiet ne vairāk kā 90 dienas, lai izdotu ielāpus pēc tam, kad viņu kodā ir atklāta ievainojamība. Jo ilgāk defekts netiek novērsts, jo lielāka iespēja, ka hakeris to atradīs.

Daniels Gruss, Grācas Tehnoloģiju universitātes profesors Austrijā un viens no pētniekiem kurš palīdzēja izcelt ZombieLoad , domā, ka lietas varētu virzīties ātrāk. E-pastā MIT Technology Review Gruss saka, ka, kad viņš un citi pētnieki pagājušā gada aprīlī paziņoja Intel par ievainojamību, viņi sniedza neatkarīgi pārbaudītu koncepcijas pierādījumu, lai pierādītu, ka tā ir patiesa problēma. 2018. gada maijā viņi sniedza Intel papildu informāciju par kļūdu, kas varētu ļaut hakeriem iegūt sensitīvus datus no lietojumprogrammām, kas darbojas iekārtās.



Intel saka, ka sākotnēji nevarēja reproducēt pētnieku atzīmēto drošības caurumu, un tāpēc pirms jebkādu darbību veikšanas bija nepieciešami papildu pierādījumi. Šī gada sākumā tā beidzot konstatēja, ka patiešām ir ievainojamība, un izlaida labojumu.

Spriedze uzsver problēmas, kas saistītas ar aparatūras nepilnībām. Tās bieži vien ir daudz dārgākas un grūtāk risināmas nekā programmatūras problēmas, tādējādi atverot ievainojamības logu, kas var ietekmēt miljardus mikroshēmu. Tādējādi viss, sākot no serveriem datu centros līdz planšetdatoriem un mobilajiem tālruņiem, tiek uzlauzts.

Spoks un sabrukums

Spiediens pēc ātrākas reakcijas ir pieaudzis kopš 2018. gada sākuma, kad priekšlaicīgi noplūda informācija par citu mikroshēmas defektu kopu, kas nodēvēta par Spectre un Meltdown. Izcēlās haoss, jo uzņēmumi steidzās noskaidrot, cik neaizsargāti tie ir pret uzbrukumiem, un mikroshēmu uzņēmumi centās izdot programmatūras labojumus. Epizode piešķīra lielāku nozīmi mikroshēmu ievainojamībām, iespējams, mudinot hakerus tās cītīgāk meklēt.



Parasti, kad pētnieki atklāj programmatūras vai aparatūras drošības trūkumus, viņi par to konfidenciāli ziņo attiecīgajam uzņēmumam. Trūkums tiek slēpts, kamēr uzņēmums strādā pie risinājuma, tāpēc ļaundari netiek brīdināti par tā esamību. Pēc tam, kad labojums ir gatavs, uzņēmums uzsāk publicitātes pasākumu, lai cilvēki to lietotu pēc iespējas ātrāk.

Šis process, kas pazīstams kā koordinēta ievainojamības atklāšana (CVD), diezgan labi darbojas programmatūras ielāpēšanai, kas parasti aizņem ne vairāk kā 90 dienu nozares laika posmā. Taču joprojām ir nepieciešams satraucoši ilgs laiks, lai novērstu dažus ar mikroshēmu saistītos riskus.

Jāatzīst, ka ar tiem rīkoties ir sarežģītāk. Mikroshēmu saimē var būt desmitiem versiju, un katra no tām izmanto operatīvo programmatūru, kas pazīstama kā mikrokods un kas ir tai pielāgota. Lai novērstu trūkumus, ir jāatjaunina mikrokods visām šīm versijām.



Aparatūras drošības caurumu risinājumi var ietvert arī tādu lietu kā operētājsistēmu atjauninājumus, kas nozīmē, ka mikroshēmu ražotājiem ir cieši jāsadarbojas ar citiem uzņēmumiem, lai nodrošinātu, ka viņu pārskatītais mikrokods joprojām darbojas saskaņā ar citu programmatūru, pirms tiek ieviests labojums.

Progresa pazīmes

Kopš Spectre un Meltdown mikroshēmu nozare ir veikusi dažus apsveicamus CVD procesa uzlabojumus. Braiens Jorgensens, Intel produktu garantijas un drošības vecākais direktors, saka, ka saziņai starp uzņēmumiem, kas iesaistīti to mikroshēmu drošības caurumu novēršanā, iepriekš viss bija jāplūst caur Intel. Tagad viņi bieži var tieši sadarboties savā starpā, lai pārbaudītu, vai ielāps darbojas ar viņu savstarpēji saistītajām sistēmām.

Lai labotu aparatūras trūkumus, uzņēmumiem bieži ir jāatjaunina gan mikrokoda, gan operētājsistēmas programmatūra. Tās ir bijušas atsevišķas darbības, kas palielina laiku, kas nepieciešams, lai labotu. Jorgensens saka, ka Intel tagad ir ļāvis apvienot atjauninājumus, lai abus varētu veikt vienlaikus.



Šādas izmaiņas ir apsveicamas, taču joprojām ir daudz citu jomu, kurās var paveikt vairāk. Tajos ietilpst:

  • Attiecību uzlabošana ar drošības pētniekiem

Akadēmiķi un nozares pētnieki, kuri atklāj un ziņo par mikroshēmu trūkumiem, saka, ka mikroshēmu ražotāji joprojām var būt pārāk slepeni attiecībā uz to, ko viņi dara, lai tos novērstu. Tas var radīt neuzticību. Gruss saka, ka aparatūras uzņēmumiem ideālā gadījumā pētniekiem būtu jānodrošina ikdienas atjauninājumi. Viņš arī ierosina, iespējams, neitrālai trešajai pusei uzraudzīt kiberdrošības incidentu apstrādi.

  • Piekrītu noteikt aparatūras CVD termiņu

Nesens ziņojums no bezpeļņas Kiberdrošības politikas un tiesību centra (CCPL) brīdina, ka gadījumos, kad aparatūras defektu novēršanas process aizņem ilgāku laiku nekā parasti programmatūras ielāpu veikšanai, CVD procesā iesaistītajiem uzņēmumiem var rasties kārdinājums veikt vienpusējas darbības, lai aizsargātu savus klientus un savus pašus. intereses.

Tas var novest pie tā, ka defekti tiks atklāti pirms ielāpu pilnīgas pārbaudes. Vienošanās par laika grafiku aparatūras drošības caurumu novēršanai palīdzētu. Pusvadītāju nozare tagad varētu uzņemties grafiku šāda CVD termiņa noteikšanai.

  • Cilvēku izglītošana par nepieciešamību risināt ar aparatūru saistītus riskus

Programmatūras labojumu izstrāde ir diezgan bezjēdzīga, ja tie netiek izmantoti. Programmatūras ielāpu ieviešana nav piemērota, bet aparatūras ielāpiem tā ir patiešām slikta, saka Ari Švarcs, CCPL izpildkoordinators un bijušais ASV Nacionālās drošības padomes personāla kiberdrošības vecākais direktors.

Vienkāršas lietas, piemēram, mudināt cilvēkus regulāri pārstartēt mājas maršrutētājus, lai tajos esošās mikroshēmas saņemtu programmatūras atjauninājumus, joprojām ir izaicinājums. Intel un citi mikroshēmu uzņēmumi ir uzsākuši vairāk programmu, lai izglītotu cilvēkus par riskiem un to novēršanu, taču būs jāpieliek vēl lielākas pūles.

  • Strādāt vairāk, lai novērstu drošības trūkumus mikroshēmu dizainā

Jaunākās paaudzes mikroshēmas, kuras tirgū nāk no Intel un citiem, vairs nav neaizsargātas pret tādiem uzbrukumiem kā ZombieLoad un Spectre, pateicoties izmaiņām to darbībā. Taču vienmēr pastāv risks, ka parādīsies jauna veida ievainojamības.

Lai to samazinātu, mikroshēmu ražotājiem būs jāvelta vairāk resursu, lai pārbaudītu nepilnības jaunās paaudzes silīcija mikroshēmās un izstrādātu drošāku dizainu saviem pusvadītājiem. Izdevumu palielināšana šajās jomās būs sāpīga uzņēmumiem, kas darbojas intensīvi konkurētspējīgā nozarē, taču tagad, kad mikroshēmas tiek iestrādātas arvien vairāk ierīču, sākot no autonomiem transportlīdzekļiem un beidzot ar viedajiem skaļruņiem mājās, drošības kļūmju izmaksas dramatiski pieaug.

paslēpties