Was ist ein Hardware-Trojaner? Warum Ihre Smartphones gefährdet sein könnten

Vor ein paar Wochen, Bloomberg berichtete, dass China amerikanische Technologiefirmen, darunter Apple und Amazon, ausspionierte, indem es während des Produktionsprozesses geheime Mikrochips auf Serverplatinen installierte. Diese Hardware Trojaner sind, wie das griechische Pferd, das zum Einschleichen von Soldaten verwendet wurde, so gestaltet, dass sie harmlos erscheinen, während sie in Wirklichkeit geheime bösartige Operationen ausführen.

Die genannten Tech-Unternehmen haben diesen Bericht abgelehnt. Im Moment haben wir keine Möglichkeit zu wissen, wer recht hat. Wenn dies zutrifft, ist dies möglicherweise der größte Verstoß gegen bösartige Hardwaresicherheit, den wir gesehen haben. Wenn nicht wahr, naja… es gibt immer noch genug Sicherheitslücken in Bezug auf die Hardware.

Anfang des Jahres wurde der Spectre / Meltdown-Fehler bekannt gegeben. Diese Sicherheitsanfälligkeit betrifft praktisch jeden Prozessor, von Verbrauchern bis hin zu Firmenservern, und böswilliger Code ermöglicht den Zugriff auf möglicherweise vertrauliche Informationen. Dies war ein Fehler im Hardwaredesign: Software Patches (Updates zur Behebung des Fehlers) wurden bald danach zur Verfügung gestellt und hatten offiziell einen vernachlässigbaren Einfluss auf die Leistung (dies ist nicht wirklich unerheblich).

Dies wirkt sich jedoch nicht aus Sie direkt, abgesehen von einem etwas langsameren Computer… oder doch?

Mikroprozessoren sind überall

Die durchschnittliche Person interagiert täglich mit einer Vielzahl von Mikroprozessoren. Dies gilt nicht für Server und Internet-Router, die Ihre E-Mails und sozialen Medien verarbeiten: Denken Sie näher an Ihr Zuhause. Sie haben wahrscheinlich ein Smartphone und einen PC oder Tablet.

Ähnliches Video:

Vielleicht ein Amazon Echo oder ein anderer intelligenter Lautsprecher? Eine elektronische Türklingel oder Gegensprechanlage? Wenn Sie weniger als 10 Jahre alt sind, hat Ihr Auto Dutzende von Prozessoren, die für alles verantwortlich sind, von der Steuerung des Radios bis zum Bremsen. Ein Spectre / Meltdown-ähnlicher Fehler in den Pausen Ihres Autos ist ein erschreckender Gedanke.

Diese Fehler treten auf, weil der Hardwaredesign ist schwer. Als Teil meiner Forschung musste ich Prozessoren entwickeln und implementieren. Sie arbeiten zu lassen, ist eine Herausforderung, aber sicher, dass sie sicher sind? Exponentiell härter.

Einige erinnern sich vielleicht daran, dass sich Intel 1994 an eine Reihe fehlerhafter Prozessoren erinnern musste, die Millionen von Dollar kosteten. Dies war ein Fall, in dem die besten Chipdesigner der Welt einen fehlerhaften Chip produzierten. Keine Sicherheitslücke, nur ein falsches Ergebnis bei bestimmten Vorgängen.

Dies ist viel einfacher zu erkennen und zu korrigieren als eine Sicherheitslücke, die oft unglaublich nuanciert ist. Wenn Sie mehr über den Spectre / Meltdown-Exploit erfahren möchten, wird dies ein sehr ausgefeilter Angriff. Letztes Jahr fand ein Forscher im Bereich Cybersicherheit mehrere undokumentierte Anweisungen auf einem Intel i7-Prozessor. Anweisungen sind die atomaren Operationen, die ein Prozessor ausführen kann: beispielsweise das Hinzufügen von zwei Zahlen oder das Verschieben von Daten von einem Ort zu einem anderen. Jedes Programm, das Sie ausführen, führt wahrscheinlich Tausende oder Millionen von Anweisungen aus. Die entdeckten sind nicht im offiziellen Handbuch enthalten, und für einige bleibt ihr genaues Verhalten unklar.

Der Prozessor, den Sie besitzen und verwenden, kann Dinge erledigen, von denen der Verkäufer Ihnen nichts sagt. Aber ist das ein Dokumentationsproblem? Oder ein echter Designfehler? Geheimnis des geistigen Eigentums Wir wissen es nicht, aber es ist wahrscheinlich eine weitere Sicherheitslücke, die darauf wartet, ausgenutzt zu werden.

Die Schwachstellen von Hardware

Warum ist Hardware so grundsätzlich unsicher? Zum einen ist Sicherheit ein Aspekt, der in einer Ingenieurausbildung im gesamten Spektrum von Hardware bis Software oft übersehen wird. Es gibt so viele Werkzeuge, Konzepte und Paradigmen, die die Schüler lernen müssen, dass es wenig Zeit gibt, Sicherheitsüberlegungen in den Lehrplan aufzunehmen. Von Absolventen wird erwartet, dass sie am Arbeitsplatz lernen.

Der Nebeneffekt ist, dass in vielen Branchen die Sicherheit eher als Sahnehäubchen und nicht als grundlegender Bestandteil angesehen wird. Glücklicherweise beginnt sich dies zu ändern: Cybersicherheitsprogramme tauchen an Universitäten auf, und wir verbessern uns bei der Ausbildung sicherheitsbewusster Ingenieure.

Ein zweiter Grund ist die Komplexität. Unternehmen, die tatsächlich Chips herstellen, entwerfen sie nicht unbedingt von Grund auf neu, da die Bausteine ​​von Dritten gekauft werden. Bis vor kurzem kaufte Apple beispielsweise Designs für den Grafikprozessor auf iPhones von Imagination Technologies. (Sie sind seitdem zu Inhouse-Designs umgezogen). Idealerweise passen die Spezifikationen perfekt zum Design. In der Realität können undokumentierte oder falsch dokumentierte Features über verschiedene Bausteine ​​hinweg auf subtile Weise interagieren, um Sicherheitslücken zu erzeugen, die Angreifer ausnutzen können.

Im Gegensatz zu Software haben diese Schwachstellen dauerhafte Auswirkungen und lassen sich nicht leicht korrigieren. Viele Forscher tragen zur Lösung dieser Probleme bei: von Techniken zur Überprüfung der Übereinstimmung der Designs mit den Spezifikationen bis hin zu automatisierten Tools, die die Interaktionen zwischen Komponenten analysieren und das Verhalten validieren.

Ein dritter Grund sind Skaleneffekte. Aus betriebswirtschaftlicher Sicht gibt es in der Stadt nur zwei Spiele: Leistung und Stromverbrauch. Der schnellste Prozessor und die längste Akkulaufzeit gewinnen den Markt. Aus technischer Sicht sind die meisten Optimierungen für die Sicherheit schädlich.

In sicherheitskritischen Echtzeitsystemen (autonome Autos, Flugzeuge usw.), wo Wie lang etwas auszuführen ist kritisch. Dies ist seit einiger Zeit ein Problem. Aktuelle Prozessoren sind so konzipiert, dass sie so schnell wie möglich ausgeführt werden meistens und dauert gelegentlich längere Zeiträume; Vorhersagen, wie lange etwas dauert, ist unglaublich herausfordernd. Wir wissen, wie man vorhersagbare Prozessoren entwerfen kann, aber praktisch keiner ist im Handel erhältlich. Es ist wenig Geld zu verdienen.

Fokus auf Cybersecurity ändern

Auf lange Sicht gilt dies nicht für die Sicherheit. Da das Zeitalter des Internets der Dinge auf uns zukommt und die Anzahl der Prozessoren pro Haushalt, Fahrzeug und Infrastruktur immer weiter zunimmt, werden sich die Unternehmen zweifellos in Richtung sicherheitsbewusster Hardware bewegen.

Besser ausgebildete Ingenieure, bessere Werkzeuge und mehr Motivation für die Sicherheit - wenn Sie mit einem Stempel der Sicherheitsqualität mehr verkaufen als Ihre Konkurrenten -, werden Sie auf allen Ebenen für gute Cybersicherheit sorgen.

Bis dann? Vielleicht haben sich fremde Länder dagegen gestört, vielleicht auch nicht. Vertrauen Sie jedoch nicht auf Ihre Hardware. Diese nervige Update-Benachrichtigung, die immer wieder auftaucht? Aktualisieren. Ein neues Gerät kaufen? Überprüfen Sie die Sicherheitseinträge des Herstellers. Komplexe Beratung bei der Wahl guter Passwörter? Hör mal zu. Wir versuchen dich zu schützen.

Dieser Artikel wurde ursprünglich in der Unterhaltung von Paulo Garcia veröffentlicht. Lesen Sie hier den Originalartikel.