Technology 科技

2020 年 07 月 08 日

彭博商業周刊

找出黑客攻擊的漏洞

2018年05月30日

布利金深入研究「幽靈」安全漏洞的威脅,併發現了黑客可能利用的新漏洞

布利金(Yuriy Bulygin)知道所有關於電腦的弱點。他職業生涯的大部分時間都在英特爾(Intel)研究晶片的安全缺陷,還在該公司擔任了幾年的首席防務研究員,直到去年夏天才卸任。所以,如果他說發現了一些新東西,你可以相信他。他於5月17日發佈的最新研究顯示,黑客可以利用以往披露的微處理器缺陷訪問計算機的固件——永久保存在處理器和其他晶片中的微碼——以獲取最敏感的信息。「固件基本上可以訪問這台物理機器上所有的秘密,」 他說。

布利金發現的黑客技術利用了「幽靈」安全漏洞,這個漏洞最初是Google和其他研究人員發現的,並在今年早些時候披露。這家科技巨頭發現,數以百萬計的電腦和智能手機可能會受到「幽靈」的影響,它利用了處理器如何預測它們認為用戶下一步會需要什麼數據的缺陷,提前取回數據。布利金的技術更進了一步,它使黑客能夠從一種稱為系統管理模式 (SMM) 存儲器的特定類型固件中讀取數據。該代碼與控制機器關鍵功能的訪問權限相連接,這些功能包括在計算機過熱的情況下關閉中央處理單元,或讓管理員對系統進行配置等。有了訪問SMM存儲器的權限,黑客基本上可以獲得他們想要的任何數據。

布利金說,雲端運算服務面臨的風險可能最大,因為這一缺陷可能被用來突破將公司數據保存在不同物理服務器上的保護措施。訪問這些系統固件的黑客不僅可以在數據庫之間移動和竊取信息,還可以查看固件自身的代碼,以揭示一些該服務器中最嚴密保護的秘密,包括加密密鑰和管理密碼。

布利金目前是一家新創企業Eclypsium Inc.的創辦理人兼行政總裁,該公司專注於保護固件不受威脅。今年10月,Eclypsium從英特爾和風險投資公司霍洛維茨(Andreessen Horowitz)獲得了250萬美元的種子資金。 (《彭博商業週刊》的所有人彭博資訊有限公司是霍洛維茨的投資方之一。) 到目前為止,大多數網絡安全公司都專注於保護軟件和網絡,而不是機器的內核。間諜們早就知道固件的風險;仔細研究斯諾登 (Edward Snowden)洩露的美國國家安全局 (National Security Agency)機密文件發現,各國情報機構數十年來一直在使用所謂的「植入物」來攻擊安全局。這些植入物可以是任何東西,包括旨在劫持電路板以修改固件和其他合法代碼的惡意代碼或晶片。

現在,企業和網絡安全公司對硬件威脅的關注大大增加,英特爾前安全研究科學家、Hardware security Resources LLC的創辦人茨帕特里克(Joe FitzPatrick)表示。「總的來說,如果有一個硬件植入,那麼,系統上沒有任何東西還能稱得上安全無虞,」他說。

到目前為止,這一危險並沒有引起足夠的重視,因為公司主要還在專心防範基礎風險,顧問公司Gartner預計,今年網絡安全方面的支出總計將達到近1000億美元,其中大部分將用於諮詢、外包和其他服務。只有一小部分用於防禦硬件級別的威脅。「這一直不是安全行業關注的重點,」在霍洛維茨公司負責Eclypsium投資項目的合夥人卡薩多 (Martin Casado) 說,「這是一個技術性非常強、且專業性很高的領域。」

專注於在數據中心內部尋找遭惡意修改的固件的技術公司屈指可數,Eclypsium是其中一家。位於馬里蘭州富爾頓的ReFirm Labs Inc.——其創辦人曾在美國國家安全局(NSA)工作過——已經與軟件開發人員合作,監控他們正在構建的固件,或正在使用的第三方固件,以確保在開發的早期階段沒有被植入惡意代碼。蘋果公司於2015年11月收購了專注於固件取證的公司LegbaCore,這家新創公司位於華盛頓特區。

一個顯而易見的潛在客戶是:美國政府。美國聯邦調查局(FBI)和國土安全部 (Department of Homeland Security) 4月警告稱,至少從2015年起,為俄羅斯政府工作的黑客利用大量網絡路由器和交換機(包括家庭設備),部分透過修改它們的固件,在受影響的機器上建立永久存在。這兩家機構稱,此舉的目的是改變數據傳輸路徑,引導其經過俄羅斯政府控制的服務器,並複製數據用於間諜活動。

布利金不知道黑客是否已嘗試使用他發現的技術來滲入電腦,因為這種新型的硬件攻擊幾乎是無法探測到的。軟件攻擊通常可以通過安全更新來消除,但是滲入固件的惡意代碼因其在晶片或處理器中樞中發揮的作用,是可能永久存在的。「這是一個有著巨大攻擊面的盲點,」 布利金說,「這兩者結合在一起,顯然不大妙。」——Jordan Robertson;譯 徐安琪