• 晶片資安第一站

晶片資安

晶片電路惡意邏輯威脅》110個Gate-level開源電路釋出,實現多源檢測

2022-07-11

撰文:資策會資安所網駭中心晶片安全技術組 硬體木馬檢測技術除了透過Trust-hub蒐集的88個木馬樣本,朔模出惡意硬體木馬電路分類器模型,還透過與工研院、擷發科技、中原大學黃世旭顧問合作110個Gate-level(邏輯閘層次)實際電路模組的場域驗證,藉此建立了一套Gate-level設計電路的惡意邏輯威脅檢測工具。 下表為這110個實際電路模組的名稱與作用,並且因為一個晶片電路的功能於是十分複雜的,不會只靠單一設計所組成,因此數量則是該benchmark由幾個模組所構成,而這邊所整理的則是單純由Standard cell library所構成的模組內容。 表1:實際電路樣本資料 資料來源:...

Read More

供應鏈新危機》晶片與電路隱藏的後門風險正逐漸籠罩

2022-06-24

長期以來有個不斷重複提出的強勁趨勢:供應鏈是網路駭客的理想目標。 歐盟網路暨資訊安全局(ENISA)在2021年7月指出,供應鏈攻擊應會在 2020 年到 2021 年間增加四倍。根據該機構聲稱,這些供應鏈攻擊之中有 66% 將針對目標供應商的產品代碼,例如 Solarwinds。這些攻擊者透過導入後門程式,以方便在下一階段進行滲透,進而使用這些產品的用戶資訊系統,取得個人身份資訊等,尤其像是大企業、政府、軍隊與關鍵運營商等都是駭客最愛。 這表明組織應在使用第三方程式和軟體之前,將精力集中在驗證其安全性,以確保它們不會被篡改或操縱。 如今半導體供應鏈的緊張局勢 ,除了缺貨短料外,駭客對供應鏈的...

Read More

網路安全和半導體:他們的關聯性為何?

2022-02-21

我們的日常生活已經離不開電子設備,甚至有人必須靠它們才能夠維繫生命。這些設備,例如你的手機或是筆電,只有在其內部晶片完好且沒有任何缺失的狀況下,才能運行無礙。一旦晶片出現問題,它就會開始破壞設備的整體完整性。 多年來,半導體晶片開始融入其他形式的技術,這樣的作法有助於影響半導體的設計方向和其工作方式。這些改變透過各式各樣的方式為消費者帶來巨大的利益;同時,它也為駭客製造許多機會,讓他們可以利用這些漏洞來實行犯罪。話雖如此,即使網路罪犯可以在電腦系統植入病毒,但在物聯網的世界裡,網路連結與之前相比已變得更先進且更安全。 安全的硬體基礎讓物聯網安全性超群絕倫 對於單晶片系統的設計師來說,物聯網應用...

Read More

共存機制:無線晶片裡頭尚待開採的安全漏洞金礦

2022-01-06

晶片安全漏洞永遠會從研發人員想不到的角度出現;更糟的是,它們一旦從設計圖變成產品,一切就難以彌補。如今,資安學者們又挖掘出一個過去少有深入研究的漏洞所在;未來,我們會發現更多相關的問題嗎? 達姆施塔特工業大學跟布雷西亞大學的學者聯手發表論文,指出有新攻擊技術能夠利用設備的藍牙元件直接獲得網路密碼,並控制 Wi-Fi 晶片上的流量。這種新型攻擊的目標主要是俗稱「組合晶片(combo chips)」─ 專門用來處理無線通訊上不同類型電波(像是 Wi-Fi,藍牙跟 LTE)的特殊晶片。 論文中寫道,「證據顯示,共存(coexistence) ─ 就是跨類型無線傳輸協調技術 ─ 是個尚未被開發的攻擊介...

Read More

晶片安全:網路安全的未來基石

2021-12-24

全世界正站在網路安全發展的十字路口。頻傳的網路事件使得基礎建設進度停滯不前;重要數據遭竊,以及針對政府、企業,甚至是醫院的勒索攻擊變得稀鬆平常。網路攻擊事件不但數量直線攀升,而且也造成社會跟經濟的重大損失。 自 2017 年 Arm 安全宣言首次發布以來,科技公司已開始攜手合作,從晶片到系統全面加強安全性。然而,科技因素只是應變措施的其中一環;法律與制度同樣扮演了重要的角色。但在跨領域的努力跟合作上,我們需要再多下一倍的功夫。 幸運的是,我們正處於最好的時機。地緣政治紛爭,對區域供應鏈集中度的關切,以及全球半導體短缺,讓全球大眾把意識集中到一項他們不怎麼熟悉的科技:晶片。趁著全球生產鏈休眠的時...

Read More

當晶片也能夠防駭,它有辦法結束資安戰爭嗎?

2021-12-16

今時今日,網路犯罪對於各行各業來說是個真實存在且相當危險的威脅,但仍有許多企業並沒有採取應有的措施來保護自己,最終導致自己成為網路攻擊的受害者。 根據科技公司 Beaming 的研究,以英國企業來說,光是在 2019 年第三季,每個企業平均就曾遭受過 157,528 次攻擊;換算下來的話約是每 49 秒就遭受一次攻擊。而這數據跟前一年同期相比,成長了 243%。 對許多企業或是個人來說,沒有完善保護措施的設備是造成駭客攻擊的主因。為了解決這個問題,英國政府 2020 年與晶片供應商 Arm 合作,提出了一個五年 3,600 萬英鎊的研究計畫;該計畫的重點項目是研究新的抗駭晶片技術。然而,英國商...

Read More

論網路安全性:來自半導體產業角度的分析

2021-12-27

在過去十年,我們見證了半導體銷量第一次突破一兆大關;半導體產業也看到了客製化特定應用積體電路(ASICs)跟現場可程式化邏輯閘列陣(FPGAs)的成長。預計在 2025 年,全球將會有 416 億的連接設備產出 79.4 ZB (Zettabytes = 10 億 TB)的數據。因其隨處可見的普及性還有相對薄弱的安全性,物聯網設備對攻擊者來說成為了一個極具價值的攻擊目標;也因此,對於這些設備的保護需求也相當迫切。 隨著越來越多的領域開始運用到物聯網,如汽車產業,醫療產業以及基礎建設,安全性漏洞可能會造成嚴重的後果,像是巨大的經濟損失。以往的資安事件通常只會涉及隱私不保、財產損失,未來人們可能會...

Read More

在著手修復漏洞之前,可以這樣降低晶片零日漏洞風險

2021-12-16

本文成文於 2019 年,時值英特爾晶片爆發 ZombieLand 漏洞事件;這事件反映出晶片產業漏洞修補時程過長的問題。隨著晶片資安的重要性水漲船高,今日我們依然需要持續檢視相關機制,盡力減少空窗。 當英特爾和資訊安全專家在五月揭露了該公司的早期微晶片存在新的安全漏洞時,同時帶來了一個特別令人不安的警訊:他們花了超過一年的時間才找到其中一個問題的解決辦法。 專家表示,他們在 2018 年 4 月就向英特爾示警這個名為 ZombieLoad 的安全漏洞;然而直到上個月,針對這個漏洞的修補程式才被大量推出。相比之下,軟體公司從一發現漏洞到推出修補程式,時間上不會超過九十天。只要沒解決這個漏洞,時...

Read More

無止境的軍備競賽:晶片新防護方案帶來了新隱憂

2021-12-10

當先進晶片的使用年限因技術精進而延長,而像量子計算等新興科技虎視眈眈的要破解最複雜的加密機制,各種新的且不同的資安策略顯得更為重要。 這些方案包羅萬象,從無需解碼即可處理數據的同態加密,到在量子世界裡安全傳輸與接收數據的各種方式都有。除此之外,如今的資安變得更模組化,更靈活,分佈更廣,讓系統得以在更加漫長的生命週期中能進行更新,還能運用氣隙技術的基礎,透過信任和身分認證的雙重機制進行更安全的無線更新;這也是因應市場上希望供應鏈資訊可視化日漸高漲的聲浪。 為了達到最佳效力,安全設置必須安裝在軟硬體的各個層面,而且相關設計必須以能提供給更廣泛的系統使用為前提。但即使做到如此,隱憂仍然存在 ─ 因為...

Read More
This site is registered on wpml.org as a development site.