Apa itu Trojan Hardware? Mengapa Smartphone Anda Mungkin Beresiko

Beberapa minggu yang lalu, Bloomberg melaporkan bahwa China memata-matai perusahaan teknologi Amerika, termasuk Apple dan Amazon, dengan memasang microchip rahasia pada papan server selama proses produksi. Perangkat keras ini trojan adalah, seperti kuda Yunani yang digunakan untuk menyelinap dalam tentara, dirancang untuk tampak tidak berbahaya sementara pada kenyataannya mereka melakukan operasi jahat rahasia.

Perusahaan teknologi yang disebutkan telah menolak laporan ini; Saat ini, kami tidak memiliki cara untuk mengetahui siapa yang benar. Jika benar, ini berpotensi merupakan pelanggaran keamanan perangkat keras berbahaya terbesar yang pernah kami lihat. Jika tidak benar, well … masih ada cukup kerentanan keamanan perangkat keras untuk digunakan.

Awal tahun ini, bug Spectre / Meltdown diungkapkan. Kerentanan keamanan ini memengaruhi hampir setiap prosesor, mulai dari yang menyalakan komputer konsumen hingga server perusahaan, dan memungkinkan kode jahat mengakses informasi yang berpotensi rahasia. Ini adalah kesalahan dalam desain perangkat keras: perangkat lunak tambalan (pembaruan yang dimaksudkan untuk memperbaiki kesalahan) tersedia segera setelah dan, secara resmi, dengan dampak kinerja yang dapat diabaikan (tidak benar-benar dapat diabaikan).

Tetapi ini tidak mempengaruhi kamu secara langsung, terlepas dari komputer yang sedikit lebih lambat … atau bukan?

Mikroprosesor Ada Di Mana Saja

Rata-rata orang berinteraksi dengan sejumlah mikroprosesor setiap hari. Ini tidak termasuk server dan router internet yang memproses email dan media sosial Anda: pikirkan lebih dekat dengan rumah. Anda mungkin memiliki ponsel cerdas dan komputer pribadi atau tablet.

Video terkait:

Mungkin Amazon Echo atau pembicara pintar lain? Bel atau interkom elektronik? Mobil Anda sendiri, jika kurang dari 10 tahun, memiliki lusinan prosesor yang bertanggung jawab untuk semuanya, mulai dari mengendalikan radio hingga bekerja di rem. Bug yang mirip Spectre / Meltdown pada istirahat mobil Anda adalah pemikiran yang menakutkan.

Bug ini terjadi karena desain perangkat keras keras. Sebagai bagian dari penelitian saya, saya harus merancang dan mengimplementasikan prosesor. Membuat mereka berfungsi cukup menantang, tetapi memastikan mereka aman? Secara eksponensial lebih sulit.

Beberapa orang mungkin ingat bahwa pada tahun 1994, Intel harus menarik kembali sejumlah prosesor kereta, menghabiskan biaya jutaan dolar. Ini adalah kasus di mana desainer chip terbaik di dunia menghasilkan chip yang cacat. Bukan kerentanan keamanan, hanya hasil yang salah pada beberapa operasi.

Ini jauh lebih mudah untuk dideteksi dan dikoreksi daripada kerentanan keamanan, yang seringkali sangat bernuansa - mereka yang tertarik untuk membaca lebih lanjut tentang eksploitasi Spectre / Meltdown akan melihat itu adalah serangan yang sangat, sangat canggih. Tahun lalu, seorang peneliti keamanan dunia maya menemukan beberapa instruksi tanpa dokumen pada prosesor Intel i7. Instruksi adalah operasi atom yang dapat dilakukan prosesor: misalnya, menambahkan dua angka, atau memindahkan data dari satu tempat ke tempat lain. Setiap program yang Anda jalankan kemungkinan menjalankan ribuan atau jutaan instruksi. Yang ditemukan tidak diungkapkan pada manual resmi, dan bagi sebagian orang, perilaku mereka yang sebenarnya masih belum jelas.

Prosesor yang Anda miliki dan gunakan dapat melakukan hal-hal yang tidak diceritakan vendor. Tetapi apakah ini masalah dokumentasi? Atau cacat desain asli? Rahasia kekayaan intelektual? Kami tidak tahu, tetapi kemungkinan kerentanan keamanan lain menunggu untuk dieksploitasi.

Kerentanan Perangkat Keras

Mengapa perangkat keras pada dasarnya tidak aman? Untuk satu, keamanan adalah aspek yang sering diabaikan dalam pendidikan teknik di seluruh spektrum dari perangkat keras ke perangkat lunak. Ada begitu banyak alat, konsep, paradigma yang harus dipelajari siswa, sehingga ada sedikit waktu untuk memasukkan pertimbangan keamanan dalam kurikulum; lulusan diharapkan untuk belajar di tempat kerja.

Efek sampingnya adalah bahwa di banyak industri, keamanan dianggap sebagai ceri pada kue daripada bahan dasar. Untungnya, ini mulai berubah: program keamanan dunia maya bermunculan di seluruh universitas, dan kami menjadi lebih baik dalam melatih para insinyur yang sadar akan keamanan.

Alasan kedua adalah kompleksitas. Perusahaan yang benar-benar membuat chip tidak perlu mendesainnya dari awal, karena blok bangunan dibeli dari pihak ketiga. Misalnya, hingga saat ini, Apple membeli desain untuk prosesor grafis pada iPhone dari Imagination Technologies. (Mereka sudah pindah ke desain in-house). Idealnya, spesifikasi sangat cocok dengan desain. Pada kenyataannya, fitur yang tidak terdokumentasi atau salah didokumentasikan di seluruh blok bangunan yang berbeda dapat berinteraksi secara halus untuk menghasilkan celah keamanan yang mungkin dimanfaatkan penyerang.

Tidak seperti dalam perangkat lunak, titik lemah ini memiliki efek yang tahan lama dan tidak mudah diperbaiki. Banyak peneliti berkontribusi untuk memecahkan masalah ini: dari teknik untuk memverifikasi bahwa desain cocok dengan spesifikasi untuk alat otomatis yang menganalisis interaksi lintas komponen dan memvalidasi perilaku.

Alasan ketiga adalah skala ekonomi. Dari perspektif bisnis, hanya ada dua permainan di kota: kinerja dan konsumsi daya. Prosesor tercepat dan usia baterai terpanjang memenangkan pasar. Dari perspektif teknik, sebagian besar optimisasi berbahaya bagi keamanan.

Dalam sistem waktu nyata yang kritis-keselamatan (pikirkan mobil otonom, pesawat terbang, dll.), Di mana berapa lama sesuatu yang diperlukan untuk mengeksekusi sangat penting. Ini telah menjadi masalah untuk sementara waktu. Prosesor saat ini dirancang untuk mengeksekusi secepat mungkin sebagian besar waktu, dan kadang-kadang akan memakan waktu lama; meramalkan berapa lama sesuatu akan berlangsung sangat menantang. Kami tahu bagaimana merancang prosesor yang dapat diprediksi, tetapi sebenarnya tidak ada yang tersedia secara komersial. Hanya ada sedikit uang yang bisa dihasilkan.

Mengubah Fokus pada Keamanan Siber

Dalam jangka panjang, hal yang sama tidak berlaku untuk keamanan. Ketika zaman Internet of Things sadar kita, dan jumlah prosesor per rumah tangga, kendaraan, dan di antara infrastruktur terus meningkat, perusahaan pasti akan bergerak ke arah perangkat keras yang sadar akan keamanan.

Insinyur yang lebih terlatih, alat yang lebih baik, dan lebih banyak motivasi untuk keamanan - ketika cap kualitas keamanan berarti Anda menjual lebih banyak dari pesaing Anda - akan mendorong keamanan dunia maya yang baik di semua tingkatan.

Sampai saat itu? Mungkin negara-negara asing telah mengganggu itu, mungkin tidak; bagaimanapun juga, jangan percayai perangkat keras Anda. Itu pemberitahuan pembaruan sial yang terus bermunculan? Memperbarui. Membeli perangkat baru? Periksa catatan keamanan pabrik. Nasihat kompleks untuk memilih kata sandi yang baik? Mendengarkan. Kami berusaha melindungi Anda.

Artikel ini awalnya diterbitkan diThe Conversation oleh Paulo Garcia. Baca artikel asli di sini.