• 晶片資安第一站

產業觀測總覽

編輯台
Posted by 編輯台
2022-07-11

晶片型硬體木馬怎麼分?6大類35項一次看懂

撰文:資策會資安所網駭中心晶片安全技術組 木馬程式於資訊產業中,是用於描述使用偽裝來隱藏其真實目的惡意軟件。因其無自行複製與感染文件,主要目的通常是透過觸發該木馬程式,藉由該程式繞過系統的即有安全防護,輸出、輸入、執行特定軟體或資料,俗稱後門。 硬體木馬則有別於常談論的木馬程式(軟體),是於CPU中,嵌入實體電路邏輯閘的方式,使用特定觸發機制來取得執行權限。 硬體木馬可被定義為:被故意植入電子系統中的特殊模塊以及電路,或者設計者無意留下的缺陷模塊以及電路,這種模塊或電路平日中潛伏在原始電路之中,在特殊條件觸發下,該模塊或電路能夠被攻擊者利用,以實現對原始電路進行有目的性的修改,以及實現破壞性功...

Read More
編輯台
Posted by 編輯台
2022-07-11

晶片電路惡意邏輯威脅》110個Gate-level開源電路釋出,實現多源檢測

撰文:資策會資安所網駭中心晶片安全技術組 硬體木馬檢測技術除了透過Trust-hub蒐集的88個木馬樣本,朔模出惡意硬體木馬電路分類器模型,還透過與工研院、擷發科技、中原大學黃世旭顧問合作110個Gate-level(邏輯閘層次)實際電路模組的場域驗證,藉此建立了一套Gate-level設計電路的惡意邏輯威脅檢測工具。 下表為這110個實際電路模組的名稱與作用,並且因為一個晶片電路的功能於是十分複雜的,不會只靠單一設計所組成,因此數量則是該benchmark由幾個模組所構成,而這邊所整理的則是單純由Standard cell library所構成的模組內容。 表1:實際電路樣本資料 資料來源:...

Read More
編輯台
Posted by 編輯台
2022-07-11

從1到1萬》硬體木馬變形電路自動生成術

撰文:資策會資安所網駭中心晶片安全技術組 近年來,隨著製程科技的進步,以及物聯網、行動裝置和自動駕駛等嵌入式系統的普及,積體電路的設計也逐漸趨於複雜,也驅使晶片中分項分工更為細緻。因此,向第三方IC設計公司購買矽智財(Intellectual Property, IP)或委託晶圓代工廠製作的情況也不在少數,整個IC的製造過程日漸暴露在大量不信任的環境之下。 其中,如果在晶片設計製造過程中遭到刻意改動,則該電路稱為硬體特洛伊木馬,在現今大量使用晶片的環境下,如何檢測硬體特洛伊木馬是不可忽視的重要議題。因此,我們開發了一套硬體木馬偵測模組,藉由機器學習模型,透過輸入之電路萃取特徵辨別出植入的硬體木...

Read More
姸文 王
Posted by 王姸文
2022-06-30

MITRE》2021 CWE 最重大硬體弱點:旁通道攻擊名列其中

為提高整體資安意識,非營利組織 MITRE 每年都會發布《CWE 25 大最危險軟體弱點》;2021年它們首度將焦點將擴增至硬體弱點的範圍。 MITRE 與硬體 CWE SIG 合作,發表《2021 CWE™ 最重大硬體弱點》;其中,未能防止旁通道攻擊與未能提供韌體更新從 96 個候選名單中遭點名,躋身最重大硬體弱點之列。 2021 CWE 最重大硬體弱點一覽表(資料來源:CWE) 最重大硬體通用弱點列表(以下按 CWE 編號排序,不代表排名):  ● CWE-1189:系統單晶片(SoC)上的共享資源,未能在受信任與不受信任的代理之間適切地分隔共享資源。  ● CWE-1191:晶片未能實施...

Read More
編輯台
Posted by 編輯台
2022-06-24

供應鏈新危機》晶片與電路隱藏的後門風險正逐漸籠罩

長期以來有個不斷重複提出的強勁趨勢:供應鏈是網路駭客的理想目標。 歐盟網路暨資訊安全局(ENISA)在2021年7月指出,供應鏈攻擊應會在 2020 年到 2021 年間增加四倍。根據該機構聲稱,這些供應鏈攻擊之中有 66% 將針對目標供應商的產品代碼,例如 Solarwinds。這些攻擊者透過導入後門程式,以方便在下一階段進行滲透,進而使用這些產品的用戶資訊系統,取得個人身份資訊等,尤其像是大企業、政府、軍隊與關鍵運營商等都是駭客最愛。 這表明組織應在使用第三方程式和軟體之前,將精力集中在驗證其安全性,以確保它們不會被篡改或操縱。 如今半導體供應鏈的緊張局勢 ,除了缺貨短料外,駭客對供應鏈的...

Read More
姸文 王
Posted by 王姸文
2022-05-25

錢進歐洲必知!歐盟晶片法案大科普

前言:2022 年 2 月,歐盟正式提出《晶片法案》(Chips Act),期待能夠吸引各家晶圓大廠進駐歐洲。若要著手布局歐洲市場,了解法案內容將事半功倍。這裡編譯了官方所提供的問答集,以提供各相關企業初步參考。 是什麼推動歐盟晶片法案誕生的? 對於數位和數位化產品來說,半導體晶片是必要的組成元件。從智慧手機與汽車,到醫療保健、能源、通訊和工業自動化的關鍵應用程式及基礎建設,晶片是現代數位經濟的核心關鍵。然而,新冠疫情暴露了歐洲和世界上其他地區在生態系的弱點:晶片嚴重短缺。歐洲必須強化在半導體領域的能力好確保未來的競爭力,保持他們在其技術產業的領先地位並確保供應量無虞。晶片產業是高度資本跟知識...

Read More
姸文 王
Posted by 王姸文
2022-03-15

工控資安標準 IEC 62443 導入經驗談

口述:漢德資深技術經理 林正偉/整理:曾華銳 IEC 62443 標準概況 IEC 62443是一個很龐大的標準,轄下有非常多的子標準。那它又可以分成四個子章節。目前台灣標檢局也正在積極針對這些標準進行解讀,並且各位有可能在接下來會看到相關標準在台灣發行。 除此之外,IEC 62443 仍有相當的部分尚未完成、發行。因此未來幾年內在工控資安領域,各位還可以看到非常多的標準陸續公告出來。 導入經驗:資產擁有者 就如同前面提到的 IEC 62443 是很大的一套標準;其中的子章節針對不同的角色,有各自適用的部分。 第一個是資產擁有者。所謂的資產擁有者就是場域的擁有者,比方我擁有一座工廠、一個電廠或...

Read More
姸文 王
Posted by 王姸文
2022-03-15

落實工控網路安全標準,大步邁向工業4.0

口述:立德技術經理 李培寧/整理:曾華銳 為什麼企業需要資安標準? 過去我們在業界看到的情況就是,大多數企業、組織的防護方案都側重於技術面。問題是,一封足夠精緻的釣魚信件就有可能繞過這一切的監控阻攔。因此,網路安全並不能單靠技術解決。再者,如果沒有一個好的程序,企業沒有辦法確認這些技術面/安全機制是否都有確切執行;至於人的部分,如果他們如果沒有相對應的知識,他們也沒有辦法提升網路安全水準。 因此,如果用「木桶理論」來比喻的話,要做好資安,我們可以歸類出三個重點:首先就是技術面,再來是程序面,最後就是人。這三件事情決定了「資安」這個水桶它能裝多少水。而透過標準,我們用有效率而且正規的做法,透過量...

Read More
姸文 王
Posted by 王姸文
2022-03-15

油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道

口述:資策會資安所副主任 高傳凱/整理:曾華銳 IEC 62443 是什麼樣的安全標準? IEC 62443的規範範疇專注於 ICS,也就是自動化控制系統。早期 ICS 只用於化學、電器這類工業開發、製造過程;但隨著應用領域逐漸擴張,如今它也成為油、水、電等等的關鍵基礎設施核心。 為什麼我們要開始關注 OT 資安? 以往的資安標準都專注在 IT 領域,像是後台機房或雲端網路。然而,這些經驗與標準無法移植到 OT 資安,因為兩者抱持的理念與面對的情境並不相同。 比如說 OT 系統更注重可用性且設備壽命相當長,因此我們無法直接使用 IT 資安的控管方式。再者,若是 IT 資安遭遇威脅,通常只會產生...

Read More
姸文 王
Posted by 王姸文
2022-05-25

錢進歐洲必知!歐盟晶片法案大科普

前言:2022 年 2 月,歐盟正式提出《晶片法案》(Chips Act),期待能夠吸引各家晶圓大廠進駐歐洲。若要著手布局歐洲市場,了解法案內容將事半功倍。這裡編譯了官方所提供的問答集,以提供各相關企業初步參考。 是什麼推動歐盟晶片法案誕生的? 對於數位和數位化產品來說,半導體晶片是必要的組成元件。從智慧手機與汽車,到醫療保健、能源、通訊和工業自動化的關鍵應用程式及基礎建設,晶片是現代數位經濟的核心關鍵。然而,新冠疫情暴露了歐洲和世界上其他地區在生態系的弱點:晶片嚴重短缺。歐洲必須強化在半導體領域的能力好確保未來的競爭力,保持他們在其技術產業的領先地位並確保供應量無虞。晶片產業是高度資本跟知識...

Read More
姸文 王
Posted by 王姸文
2021-12-30

台灣主導》半導體晶圓設備資安標準SEMI E187 鎖定四大重點

SEMI資安標準SEMI E187 四大重點:一、機台設備電腦作業等相關系統;二、資訊網路安全建立;三、端點保護措施;四、資訊安全嚴密監控。 國際半導體產業協會(SEMI)與工業局共同發布全球首個由台灣主導的半導體資安標準SEMI E187  ,此來推動晶圓設備資安標準,協助提升半導體產業供應商對設備資安防護;同時也可做為企業採購的資安要求,讓未來供應鏈新增設備從一開始就能符合資安標準。 資安標準SEMI E187  鎖定四大資安重點, 1.機台設備電腦作業等相關系統:所有設備作業系統需使用主流有安全性更新的版本,或使用長期支援的作業版本運行,其中也包含維護及更新工具。 2.資訊網路安全建立:...

Read More
姸文 王
Posted by 王姸文
2021-12-27

論網路安全性:來自半導體產業角度的分析

在過去十年,我們見證了半導體銷量第一次突破一兆大關;半導體產業也看到了客製化特定應用積體電路(ASICs)跟現場可程式化邏輯閘列陣(FPGAs)的成長。預計在 2025 年,全球將會有 416 億的連接設備產出 79.4 ZB (Zettabytes = 10 億 TB)的數據。因其隨處可見的普及性還有相對薄弱的安全性,物聯網設備對攻擊者來說成為了一個極具價值的攻擊目標;也因此,對於這些設備的保護需求也相當迫切。 隨著越來越多的領域開始運用到物聯網,如汽車產業,醫療產業以及基礎建設,安全性漏洞可能會造成嚴重的後果,像是巨大的經濟損失。以往的資安事件通常只會涉及隱私不保、財產損失,未來人們可能會...

Read More
姸文 王
Posted by 王姸文
2021-12-10

無止境的軍備競賽:晶片新防護方案帶來了新隱憂

當先進晶片的使用年限因技術精進而延長,而像量子計算等新興科技虎視眈眈的要破解最複雜的加密機制,各種新的且不同的資安策略顯得更為重要。 這些方案包羅萬象,從無需解碼即可處理數據的同態加密,到在量子世界裡安全傳輸與接收數據的各種方式都有。除此之外,如今的資安變得更模組化,更靈活,分佈更廣,讓系統得以在更加漫長的生命週期中能進行更新,還能運用氣隙技術的基礎,透過信任和身分認證的雙重機制進行更安全的無線更新;這也是因應市場上希望供應鏈資訊可視化日漸高漲的聲浪。 為了達到最佳效力,安全設置必須安裝在軟硬體的各個層面,而且相關設計必須以能提供給更廣泛的系統使用為前提。但即使做到如此,隱憂仍然存在 ─ 因為...

Read More
姸文 王
Posted by 王姸文
2021-10-28

IC 產業必知》 3 大資安認驗證標準與 1 個安全成熟度模型

隨著物聯網普及,資安攻防的焦點開始從軟體轉移到韌體,乃至於晶片本身;再加上中美貿易戰打得火熱,使得晶片資安的重要性從個人、企業的高度拉升到國家安全的層級。於是,各家大廠與關鍵基礎設施紛紛要求自家供應鏈 /  商,提出產品 / 元件的資安防護證明,否則不予採購。 當資安品質扎扎實實影響到訂單,如何取得通行國際的資安認證就成為廠商不得不思考的問題。相對的,一旦取得認證,不僅不會被採購拒於門外,就連讓產品報價多個零也不是不可能! 用資安讓矽島繼續發光》 為了讓這座矽島繼續發光發熱,政府近年也開始重視 IC 資安議題,希望能夠繼續維持台灣在半導體領域的優勢。因此,經濟部技術處邀集了相關業者,並由資安所...

Read More
編輯台
Posted by 編輯台
2022-07-11

晶片電路惡意邏輯威脅》110個Gate-level開源電路釋出,實現多源檢測

撰文:資策會資安所網駭中心晶片安全技術組 硬體木馬檢測技術除了透過Trust-hub蒐集的88個木馬樣本,朔模出惡意硬體木馬電路分類器模型,還透過與工研院、擷發科技、中原大學黃世旭顧問合作110個Gate-level(邏輯閘層次)實際電路模組的場域驗證,藉此建立了一套Gate-level設計電路的惡意邏輯威脅檢測工具。 下表為這110個實際電路模組的名稱與作用,並且因為一個晶片電路的功能於是十分複雜的,不會只靠單一設計所組成,因此數量則是該benchmark由幾個模組所構成,而這邊所整理的則是單純由Standard cell library所構成的模組內容。 表1:實際電路樣本資料 資料來源:...

Read More
編輯台
Posted by 編輯台
2022-07-11

從1到1萬》硬體木馬變形電路自動生成術

撰文:資策會資安所網駭中心晶片安全技術組 近年來,隨著製程科技的進步,以及物聯網、行動裝置和自動駕駛等嵌入式系統的普及,積體電路的設計也逐漸趨於複雜,也驅使晶片中分項分工更為細緻。因此,向第三方IC設計公司購買矽智財(Intellectual Property, IP)或委託晶圓代工廠製作的情況也不在少數,整個IC的製造過程日漸暴露在大量不信任的環境之下。 其中,如果在晶片設計製造過程中遭到刻意改動,則該電路稱為硬體特洛伊木馬,在現今大量使用晶片的環境下,如何檢測硬體特洛伊木馬是不可忽視的重要議題。因此,我們開發了一套硬體木馬偵測模組,藉由機器學習模型,透過輸入之電路萃取特徵辨別出植入的硬體木...

Read More
姸文 王
Posted by 王姸文
2022-06-30

MITRE》2021 CWE 最重大硬體弱點:旁通道攻擊名列其中

為提高整體資安意識,非營利組織 MITRE 每年都會發布《CWE 25 大最危險軟體弱點》;2021年它們首度將焦點將擴增至硬體弱點的範圍。 MITRE 與硬體 CWE SIG 合作,發表《2021 CWE™ 最重大硬體弱點》;其中,未能防止旁通道攻擊與未能提供韌體更新從 96 個候選名單中遭點名,躋身最重大硬體弱點之列。 2021 CWE 最重大硬體弱點一覽表(資料來源:CWE) 最重大硬體通用弱點列表(以下按 CWE 編號排序,不代表排名):  ● CWE-1189:系統單晶片(SoC)上的共享資源,未能在受信任與不受信任的代理之間適切地分隔共享資源。  ● CWE-1191:晶片未能實施...

Read More
姸文 王
Posted by 王姸文
2021-11-01

不怕偽造或複製》4個保護機制確保晶片安全

為防範偽造,IC 設計公司需在晶片內實現保護矽智財的機制。目前已知的保護機制包括加密(encryption)、混淆(obfuscation),浮水印 (watermarking)、和指紋(fingerprinting)識別。 加密(encryption) 對使用可程式化邏輯閘陣列(FPGA) 實作的產品而言,防範偽造、複製、甚至篡改都是重要的課題。為保護晶片安全,編程 FPGA 的 bitstream 之儲存或傳送須加密或認證。若 FPGA 可遠距進行硬體更新,則更新過程也需要經過身份驗證,以防更新 bitstream 時被攻擊者植入惡意的邏輯。 混淆(obfuscation) 防止洩漏的另一...

Read More
姸文 王
Posted by 王姸文
2021-10-28

驅動數位化的晶片最常面臨哪三大安全威脅?

傳統上,資訊安全的威脅主要來自於軟體,而硬體安全(Hardware Security)至今仍未受到足夠的重視。 不過,隨著國家及產業間的競爭日漸激烈,硬體安全威脅的議題也逐漸逐漸浮上台面,尤其資訊及電子業是台灣最具競爭力的產業,若硬體的安全性受到危脅,對國家經濟必然會產生極大影響。 硬體安全的主要議題包括: 使用硬體實現基本的資訊安全功能,包括硬體加密模組(Encryption Module)及晶片指紋(PUF); 硬體安全性設計及檢測。作為安全模組的重要元件,對硬體加密模組的攻擊方法及反制措施一直都是學術及產業界的關注重點。 硬體安全性設計的主要需求來自過去數十年產業分工及全球化影響,尤其半...

Read More
姸文 王
Posted by 王姸文
2021-12-10

SRC 半導體十年計畫:如何在設計流程中確保晶片硬體安全?

2020 年底,美國 SIA(Semiconductor Industry Association)和 SRC(the Semiconductor Research Corporation)聯合發表《半導體十年計畫》。這個報告是由學界、政府和工業各界領導者共同制定,並確定了晶片科技未來的五個方向。本文摘錄則自其中的第 4 章第 4 節,探究未來的安全硬體設計趨勢。 複雜性是「安全」的大敵,然而我們對功能性、效能,以及電源效率的追求,使得現今的硬體平台複雜得無以復加。近代的單晶片系統設計大多包含了一系列特殊需求的加速器跟 IP 模塊。這些系統的安全架構很複雜,原因來自於它們現在都是微型分散式系統...

Read More
編輯台
Posted by 編輯台
2022-06-24

供應鏈新危機》晶片與電路隱藏的後門風險正逐漸籠罩

長期以來有個不斷重複提出的強勁趨勢:供應鏈是網路駭客的理想目標。 歐盟網路暨資訊安全局(ENISA)在2021年7月指出,供應鏈攻擊應會在 2020 年到 2021 年間增加四倍。根據該機構聲稱,這些供應鏈攻擊之中有 66% 將針對目標供應商的產品代碼,例如 Solarwinds。這些攻擊者透過導入後門程式,以方便在下一階段進行滲透,進而使用這些產品的用戶資訊系統,取得個人身份資訊等,尤其像是大企業、政府、軍隊與關鍵運營商等都是駭客最愛。 這表明組織應在使用第三方程式和軟體之前,將精力集中在驗證其安全性,以確保它們不會被篡改或操縱。 如今半導體供應鏈的緊張局勢 ,除了缺貨短料外,駭客對供應鏈的...

Read More
姸文 王
Posted by 王姸文
2022-02-24

ISO / SAE 21434: 確保現代載具硬體開發的安全性標準

要想證明車輛資安為何重要性的話,沒有什麼比 Charlie Miller 和 Chris Valasek 成功駭入吉普車並一路將它開到渠溝裡更令人印象深刻的了。(編按:兩人於 2015 年黑帽大會中遠端騎劫 Jeep Grand Cherokee 系統,贏得「吉普車駭客」的稱號)而隨著現代載具越來越自動化,一連串針對汽車產業不斷演化的威脅地景的討論油然而生。 平均來說,每台汽車包含了超過 150 個電子控制器,而有辦法進入最終設計的攻擊介面以及產生潛漏洞的機率持續增加。隨著汽車產業從垂直的硬體驅動平台,逐漸轉為水平的軟體定義平台,確保製造商跟供應商對其零件跟設計有著強大的網路安全措施以及數據隱...

Read More
姸文 王
Posted by 王姸文
2022-02-21

網路安全和半導體:他們的關聯性為何?

我們的日常生活已經離不開電子設備,甚至有人必須靠它們才能夠維繫生命。這些設備,例如你的手機或是筆電,只有在其內部晶片完好且沒有任何缺失的狀況下,才能運行無礙。一旦晶片出現問題,它就會開始破壞設備的整體完整性。 多年來,半導體晶片開始融入其他形式的技術,這樣的作法有助於影響半導體的設計方向和其工作方式。這些改變透過各式各樣的方式為消費者帶來巨大的利益;同時,它也為駭客製造許多機會,讓他們可以利用這些漏洞來實行犯罪。話雖如此,即使網路罪犯可以在電腦系統植入病毒,但在物聯網的世界裡,網路連結與之前相比已變得更先進且更安全。 安全的硬體基礎讓物聯網安全性超群絕倫 對於單晶片系統的設計師來說,物聯網應用...

Read More
姸文 王
Posted by 王姸文
2022-02-21

駭客的惡夢:可變式電腦處理器 Morpheus

處理器是主責軟體運行的核心零件,對所有軟體系統有著強大的影響力。所以一個安全的處理器有能力保護任何在其上運行的軟體,避免它們遭受攻擊。那麼,你有沒有想像過一種電腦處理器,它可以隨機更改基礎結構來阻擋駭客入侵? 不,它已經不是想像了。 2020 年的夏天,525 位資安專家花了三個月的時間,試圖像是破解其他處理器一樣地駭進 Morpheus 處理器。正如 Morpheus 之名 ─ 這詞來自於以在夢中有各種化身著名的希臘夢神 ─ 他們的嘗試全部因為 Morpheus 捉摸不定的結構而落空了。 關於 Morpheus 的研究是由美國國防高級研究計劃局(DARPA)所贊助的計劃其中一部分,目的是為了...

Read More
姸文 王
Posted by 王姸文
2022-01-06

共存機制:無線晶片裡頭尚待開採的安全漏洞金礦

晶片安全漏洞永遠會從研發人員想不到的角度出現;更糟的是,它們一旦從設計圖變成產品,一切就難以彌補。如今,資安學者們又挖掘出一個過去少有深入研究的漏洞所在;未來,我們會發現更多相關的問題嗎? 達姆施塔特工業大學跟布雷西亞大學的學者聯手發表論文,指出有新攻擊技術能夠利用設備的藍牙元件直接獲得網路密碼,並控制 Wi-Fi 晶片上的流量。這種新型攻擊的目標主要是俗稱「組合晶片(combo chips)」─ 專門用來處理無線通訊上不同類型電波(像是 Wi-Fi,藍牙跟 LTE)的特殊晶片。 論文中寫道,「證據顯示,共存(coexistence) ─ 就是跨類型無線傳輸協調技術 ─ 是個尚未被開發的攻擊介...

Read More
姸文 王
Posted by 王姸文
2021-12-24

晶片安全:網路安全的未來基石

全世界正站在網路安全發展的十字路口。頻傳的網路事件使得基礎建設進度停滯不前;重要數據遭竊,以及針對政府、企業,甚至是醫院的勒索攻擊變得稀鬆平常。網路攻擊事件不但數量直線攀升,而且也造成社會跟經濟的重大損失。 自 2017 年 Arm 安全宣言首次發布以來,科技公司已開始攜手合作,從晶片到系統全面加強安全性。然而,科技因素只是應變措施的其中一環;法律與制度同樣扮演了重要的角色。但在跨領域的努力跟合作上,我們需要再多下一倍的功夫。 幸運的是,我們正處於最好的時機。地緣政治紛爭,對區域供應鏈集中度的關切,以及全球半導體短缺,讓全球大眾把意識集中到一項他們不怎麼熟悉的科技:晶片。趁著全球生產鏈休眠的時...

Read More
姸文 王
Posted by 王姸文
2021-12-16

當晶片也能夠防駭,它有辦法結束資安戰爭嗎?

今時今日,網路犯罪對於各行各業來說是個真實存在且相當危險的威脅,但仍有許多企業並沒有採取應有的措施來保護自己,最終導致自己成為網路攻擊的受害者。 根據科技公司 Beaming 的研究,以英國企業來說,光是在 2019 年第三季,每個企業平均就曾遭受過 157,528 次攻擊;換算下來的話約是每 49 秒就遭受一次攻擊。而這數據跟前一年同期相比,成長了 243%。 對許多企業或是個人來說,沒有完善保護措施的設備是造成駭客攻擊的主因。為了解決這個問題,英國政府 2020 年與晶片供應商 Arm 合作,提出了一個五年 3,600 萬英鎊的研究計畫;該計畫的重點項目是研究新的抗駭晶片技術。然而,英國商...

Read More
姸文 王
Posted by 王姸文
2021-12-16

在著手修復漏洞之前,可以這樣降低晶片零日漏洞風險

本文成文於 2019 年,時值英特爾晶片爆發 ZombieLand 漏洞事件;這事件反映出晶片產業漏洞修補時程過長的問題。隨著晶片資安的重要性水漲船高,今日我們依然需要持續檢視相關機制,盡力減少空窗。 當英特爾和資訊安全專家在五月揭露了該公司的早期微晶片存在新的安全漏洞時,同時帶來了一個特別令人不安的警訊:他們花了超過一年的時間才找到其中一個問題的解決辦法。 專家表示,他們在 2018 年 4 月就向英特爾示警這個名為 ZombieLoad 的安全漏洞;然而直到上個月,針對這個漏洞的修補程式才被大量推出。相比之下,軟體公司從一發現漏洞到推出修補程式,時間上不會超過九十天。只要沒解決這個漏洞,時...

Read More
姸文 王
Posted by 王姸文
2021-12-02

為什麼駭客開始想對晶片下手了?六個原因告訴你

本文成文於 2017 年,時值英特爾爆出晶片韌體的管理引擎(Intel Management Engine,Intel ME)遭揭露具有安全性漏洞,連帶使得各家電腦廠商受到波及。然而事過境遷,我們對於晶片與韌體資安的態度與做法,與多年前相比並無根本性的改變。這也使得晶片資安始終壟罩著一片揮之不去的陰霾。 硬體、晶片,又或是與它們相關的控制晶片,裡面都有類似軟體的控制指令。這些指令常常都有著明顯的安全漏洞;而相較於軟體,硬體跟晶片更加難以更新。 換句話說,晶片跟硬體只是比較難執行程式修補的軟體。因此,再加上其他讓晶片駭侵行為更加誘人的因素,我們幾乎可以預期,將來會有更多從韌體和硬體層面著手的資安...

Read More
This site is registered on wpml.org as a development site.