• 晶片資安第一站

在著手修復漏洞之前,可以這樣降低晶片零日漏洞風險

本文成文於 2019 年,時值英特爾晶片爆發 ZombieLand 漏洞事件;這事件反映出晶片產業漏洞修補時程過長的問題。隨著晶片資安的重要性水漲船高,今日我們依然需要持續檢視相關機制,盡力減少空窗。

當英特爾和資訊安全專家在五月揭露了該公司的早期微晶片存在新的安全漏洞時,同時帶來了一個特別令人不安的警訊:他們花了超過一年的時間才找到其中一個問題的解決辦法。

專家表示,他們在 2018 年 4 月就向英特爾示警這個名為 ZombieLoad 的安全漏洞;然而直到上個月,針對這個漏洞的修補程式才被大量推出。相比之下,軟體公司從一發現漏洞到推出修補程式,時間上不會超過九十天。只要沒解決這個漏洞,時間越長,駭客找到這個漏洞並進行攻擊的機率就越大。

英特爾表示,他們無法直接重現被專家標記出來的資安漏洞,因此他們需要有更多證據才有辦法採取下一步行動。今年稍早的時候,英特爾終於核實了該漏洞確實存在,而也隨即推出相關修補程式。這樣的緊繃局勢凸顯了處理硬體缺失的挑戰:比起軟體問題,處理硬體問題花費更高且更加困難,進而開啟了一個可能影響數十億晶片的漏洞之窗。這樣的局面,使得從資料中心的伺服器到平板電腦以及手機都處於被駭客入侵的風險。

在完成修補之前,保密防駭人人有責

通常,當研究人員發現安全性漏洞,他們對相關公司的回報內容會全程保密。這個漏洞會被藏得好好的,直到該公司找到解決之道,因此,有心人士理論上無從得知該漏洞的存在。接著,一旦修補程式到位,該公司就會廣為宣傳,使得人們可以儘早安裝執行這些修補程式。

這過程稱之為協調性弱點揭露(CVD)。它在軟體修復上的效果非常顯著,基本上不會超過 90 天的產業時段。然而,晶片處理起來更加複雜,使得修補日程曠日廢時。一個晶片組合可能包含了數十種的版本,每個版本都使用了為其量身訂做,所謂微代碼的運行軟體。要想修補漏洞,就必須得更新所有版本的微代碼。

然而,Spectre 跟 Meltdown 的晶片缺失細節在未完善前就提早洩漏,因此,自 2018 年初,就開始有聲浪在施壓要求要有更快速的應變能力。混亂隨之而來:企業急著搞清楚他們有多容易受到攻擊,而晶片供應商們則爭先恐後的推出軟體修補程式。事情演變至此,只是更加凸顯了晶片本身存在許多漏洞,如此一來倒像是鼓勵駭客更努力去找到這些可趁之機。

混亂之後,更好的協調機制

自 Spectre 和 Meltdown 攻擊出現以來,晶片產業針對 CVD 做了些不錯的改善措施。在過去,那些幫忙處理晶片安全漏洞的公司們,它們都是透過英特爾進行溝通協調的。現在,他們可以直接合作來驗證修補程式是否可以順利的在互聯系統上運行。

針對硬體漏洞的修補程式,公司往往需要更新其微代碼還有運行系統的軟體。這些都是各自獨立的運作,使得讓修補系統到位的時間也隨之增加。如今,英特爾則是將更新檔跟修補程式合併在一起,如此一來就可以同步執行更新跟修補。

這樣的改變是好的,但仍有許多部分也可以改進。例如:

  • 鞏固廠商與安全研究專家的信任

發現並回報晶片安全缺失的學術專家跟產業研究人員表示,當找到問題時,晶片供應商有時對於他們解決這些缺失的方法還是過於保密。如此一來,不信任感油然而生。最理想的狀況就是硬體公司提供每日更新給研究專家們,或是有一個公正的第三方來監控整個網路安全事件的處理過程。

  • 同意爲 CVD 建立截止日期

一份由非營利網路安全政策與法律中心的報告提出警告,當修復硬體缺失的過程比修補軟體弱點的時間更長時,涉入 CVD 的公司可能會傾向於採取單方面的行動來保護客戶以及自身的利益。這樣的舉動可能會讓這個弱點在修補程式完成測試之前就曝光,進而遭到惡意利用。雙方若有共識,同意在一定的時間框架內處理好這個硬體安全漏洞,可能會有幫助。

  • 教育民眾關於硬體資安風險的必要性

要是民眾不修補漏洞的話,開發軟體修補程式根本沒意義。但其實這是很簡單的事情,像是讓民眾經常性重啟他們的家用路由器,這樣一來晶片就可以接收到軟體更新。

然而,這樣的事情仍然是個挑戰。英特爾和其他的晶片公司已經推出許多程式,來教育人們有關這些風險還有如何解決這樣的問題,但顯然他們仍需更努力一些。

  • 努力減少晶片設計本身的弱點

歸功於工作方式的改變,對 ZombieLoad 和 Spectre 來說,英特爾和其他公司所推出在市場上的最新型晶片已經不再那麼容易受到攻擊了。但風險依然存在,總是會有新類型的漏洞會產生。

為了降低這樣的情況,晶片供應商將必須投注更多的資源在鑽研新一代矽晶片的弱點,並開發更安全的設計。在一個高度競爭的產業裡,增加這些領域的額外開支對於企業運作來說是痛苦的。然而,有鑑於現在晶片嵌入至越來越多的設備 ─ 從自動駕駛汽車到家用智慧音箱 ─ 處理安全性缺失的成本將急速上升。相比之下,資安的投資可能還便宜許多。

原文編譯自:Cybersecurity flaws in chips are still taking too long to fix

Share:
This site is registered on wpml.org as a development site.