• 晶片資安第一站

產業觀測

晶片型硬體木馬怎麼分?6大類35項一次看懂

2022-07-11

撰文:資策會資安所網駭中心晶片安全技術組 木馬程式於資訊產業中,是用於描述使用偽裝來隱藏其真實目的惡意軟件。因其無自行複製與感染文件,主要目的通常是透過觸發該木馬程式,藉由該程式繞過系統的即有安全防護,輸出、輸入、執行特定軟體或資料,俗稱後門。 硬體木馬則有別於常談論的木馬程式(軟體),是於CPU中,嵌入實體電路邏輯閘的方式,使用特定觸發機制來取得執行權限。 硬體木馬可被定義為:被故意植入電子系統中的特殊模塊以及電路,或者設計者無意留下的缺陷模塊以及電路,這種模塊或電路平日中潛伏在原始電路之中,在特殊條件觸發下,該模塊或電路能夠被攻擊者利用,以實現對原始電路進行有目的性的修改,以及實現破壞性功...

Read More

晶片電路惡意邏輯威脅》110個Gate-level開源電路釋出,實現多源檢測

2022-07-11

撰文:資策會資安所網駭中心晶片安全技術組 硬體木馬檢測技術除了透過Trust-hub蒐集的88個木馬樣本,朔模出惡意硬體木馬電路分類器模型,還透過與工研院、擷發科技、中原大學黃世旭顧問合作110個Gate-level(邏輯閘層次)實際電路模組的場域驗證,藉此建立了一套Gate-level設計電路的惡意邏輯威脅檢測工具。 下表為這110個實際電路模組的名稱與作用,並且因為一個晶片電路的功能於是十分複雜的,不會只靠單一設計所組成,因此數量則是該benchmark由幾個模組所構成,而這邊所整理的則是單純由Standard cell library所構成的模組內容。 表1:實際電路樣本資料 資料來源:...

Read More

從1到1萬》硬體木馬變形電路自動生成術

2022-07-11

撰文:資策會資安所網駭中心晶片安全技術組 近年來,隨著製程科技的進步,以及物聯網、行動裝置和自動駕駛等嵌入式系統的普及,積體電路的設計也逐漸趨於複雜,也驅使晶片中分項分工更為細緻。因此,向第三方IC設計公司購買矽智財(Intellectual Property, IP)或委託晶圓代工廠製作的情況也不在少數,整個IC的製造過程日漸暴露在大量不信任的環境之下。 其中,如果在晶片設計製造過程中遭到刻意改動,則該電路稱為硬體特洛伊木馬,在現今大量使用晶片的環境下,如何檢測硬體特洛伊木馬是不可忽視的重要議題。因此,我們開發了一套硬體木馬偵測模組,藉由機器學習模型,透過輸入之電路萃取特徵辨別出植入的硬體木...

Read More

MITRE》2021 CWE 最重大硬體弱點:旁通道攻擊名列其中

2022-06-30

為提高整體資安意識,非營利組織 MITRE 每年都會發布《CWE 25 大最危險軟體弱點》;2021年它們首度將焦點將擴增至硬體弱點的範圍。 MITRE 與硬體 CWE SIG 合作,發表《2021 CWE™ 最重大硬體弱點》;其中,未能防止旁通道攻擊與未能提供韌體更新從 96 個候選名單中遭點名,躋身最重大硬體弱點之列。 2021 CWE 最重大硬體弱點一覽表(資料來源:CWE) 最重大硬體通用弱點列表(以下按 CWE 編號排序,不代表排名):  ● CWE-1189:系統單晶片(SoC)上的共享資源,未能在受信任與不受信任的代理之間適切地分隔共享資源。  ● CWE-1191:晶片未能實施...

Read More

供應鏈新危機》晶片與電路隱藏的後門風險正逐漸籠罩

2022-06-24

長期以來有個不斷重複提出的強勁趨勢:供應鏈是網路駭客的理想目標。 歐盟網路暨資訊安全局(ENISA)在2021年7月指出,供應鏈攻擊應會在 2020 年到 2021 年間增加四倍。根據該機構聲稱,這些供應鏈攻擊之中有 66% 將針對目標供應商的產品代碼,例如 Solarwinds。這些攻擊者透過導入後門程式,以方便在下一階段進行滲透,進而使用這些產品的用戶資訊系統,取得個人身份資訊等,尤其像是大企業、政府、軍隊與關鍵運營商等都是駭客最愛。 這表明組織應在使用第三方程式和軟體之前,將精力集中在驗證其安全性,以確保它們不會被篡改或操縱。 如今半導體供應鏈的緊張局勢 ,除了缺貨短料外,駭客對供應鏈的...

Read More

錢進歐洲必知!歐盟晶片法案大科普

2022-05-25

前言:2022 年 2 月,歐盟正式提出《晶片法案》(Chips Act),期待能夠吸引各家晶圓大廠進駐歐洲。若要著手布局歐洲市場,了解法案內容將事半功倍。這裡編譯了官方所提供的問答集,以提供各相關企業初步參考。 是什麼推動歐盟晶片法案誕生的? 對於數位和數位化產品來說,半導體晶片是必要的組成元件。從智慧手機與汽車,到醫療保健、能源、通訊和工業自動化的關鍵應用程式及基礎建設,晶片是現代數位經濟的核心關鍵。然而,新冠疫情暴露了歐洲和世界上其他地區在生態系的弱點:晶片嚴重短缺。歐洲必須強化在半導體領域的能力好確保未來的競爭力,保持他們在其技術產業的領先地位並確保供應量無虞。晶片產業是高度資本跟知識...

Read More

工控資安標準 IEC 62443 導入經驗談

2022-03-15

口述:漢德資深技術經理 林正偉/整理:曾華銳 IEC 62443 標準概況 IEC 62443是一個很龐大的標準,轄下有非常多的子標準。那它又可以分成四個子章節。目前台灣標檢局也正在積極針對這些標準進行解讀,並且各位有可能在接下來會看到相關標準在台灣發行。 除此之外,IEC 62443 仍有相當的部分尚未完成、發行。因此未來幾年內在工控資安領域,各位還可以看到非常多的標準陸續公告出來。 導入經驗:資產擁有者 就如同前面提到的 IEC 62443 是很大的一套標準;其中的子章節針對不同的角色,有各自適用的部分。 第一個是資產擁有者。所謂的資產擁有者就是場域的擁有者,比方我擁有一座工廠、一個電廠或...

Read More

落實工控網路安全標準,大步邁向工業4.0

2022-03-15

口述:立德技術經理 李培寧/整理:曾華銳 為什麼企業需要資安標準? 過去我們在業界看到的情況就是,大多數企業、組織的防護方案都側重於技術面。問題是,一封足夠精緻的釣魚信件就有可能繞過這一切的監控阻攔。因此,網路安全並不能單靠技術解決。再者,如果沒有一個好的程序,企業沒有辦法確認這些技術面/安全機制是否都有確切執行;至於人的部分,如果他們如果沒有相對應的知識,他們也沒有辦法提升網路安全水準。 因此,如果用「木桶理論」來比喻的話,要做好資安,我們可以歸類出三個重點:首先就是技術面,再來是程序面,最後就是人。這三件事情決定了「資安」這個水桶它能裝多少水。而透過標準,我們用有效率而且正規的做法,透過量...

Read More

油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道

2022-03-15

口述:資策會資安所副主任 高傳凱/整理:曾華銳 IEC 62443 是什麼樣的安全標準? IEC 62443的規範範疇專注於 ICS,也就是自動化控制系統。早期 ICS 只用於化學、電器這類工業開發、製造過程;但隨著應用領域逐漸擴張,如今它也成為油、水、電等等的關鍵基礎設施核心。 為什麼我們要開始關注 OT 資安? 以往的資安標準都專注在 IT 領域,像是後台機房或雲端網路。然而,這些經驗與標準無法移植到 OT 資安,因為兩者抱持的理念與面對的情境並不相同。 比如說 OT 系統更注重可用性且設備壽命相當長,因此我們無法直接使用 IT 資安的控管方式。再者,若是 IT 資安遭遇威脅,通常只會產生...

Read More
This site is registered on wpml.org as a development site.