中国厂商躺枪“间谍芯片”事件,芯片供应链安全警钟长鸣
2018-10-19
近日,据《彭博商业周刊》最新的封面深度报道:全美国多家顶级科技公司,都被一枚不到铅笔尖大小的“芯片”给黑了!
中美科技股板块齐遭黑天鹅
据彭博社报道,美国芯片巨头超微电脑 (Super Micro) 所生产的服务器主板受攻击,恶意芯片渗入电脑硬件制造商Super Micro Computer的供应链中,并且被波及的美国公司包括苹果、亚马逊等,总数超过30家。
受此报道影响,中美股市场科技板块集体暴跌,Super Micro的股价跌41.12%,苹果、亚马逊、微软等等多家科技巨头均有近2%或以上的跌幅,而中国除去中国移动,其余各大科技企业跌幅接近或超过3%,其中阿里巴巴、百度、京东、网易等互联网科技类跌幅超过3%,联想集团及中兴通讯分别大跌15.1%及10.99%,其海外业务更一度大跌超过21%、14%,损失惨重。
按照彭博社发布的报道,声称大约30家公司和多个美国机构使用的设备中被置入计算机芯片,使隐私受损,对此苹果和亚马逊立刻严词反驳,称有关于自己公司的报道完全错误,并均拿出了详细透彻的反驳资料表示从未发现恶意芯片、“硬件操纵”或在任何服务中故意植入的漏洞,以此证明彭博社所述纯属“子虚乌有”。
遭植入的微型芯片实际就是阻抗匹配巴伦滤波器
彭博社的报道未能提供让人信服的证据,对于芯片攻击也缺乏严谨的细节技术论证,严重低估了苹果、亚马逊乃至美国各机构对软硬件来源的安全把控标准,明显缺乏可靠的公开信源,存在很多的子虚乌有的故事性内容。
小编以为,彭博社报道所提到的米粒大小的芯片伪装成信号调理耦合器,必须满足几个条件:
1、必须存在电力储存和联网的各种载体硬件
2、必须存在足够的空间放置可以执行运算的CPU
3、必须存在在种种限制之下开启后门发起攻击后具有不被发现的能力
但是按照目前的技术尺寸和技术手段来说,这三点还是无法濒临的高度,并且这枚米粒大小的芯片经过Super Micro、苹果、亚马逊和三十家美国顶级科技公司极其复杂严格的审查程序都未被发现的可能性几乎为0。
有行业专业人士表示,这枚米粒大小的芯片实际上,只是一枚功能简单的阻抗匹配巴伦滤波器,并且在各互联网消费平台都有售卖,售价还不到1元人民币。
供应链的安全性是一个共同关注的问题
除去彭博社此次植入芯片的报道,回顾去年的Xmanager和Xshell后门事件、Xcode非官方版本恶意代码污染事件、思科Juniper网络设备存在“心脏出血”漏洞、Juniper VPN后门事件等等事件,可以发现整个科技供应链产业进行软件开发、设备采购、系统运维等阶段都存在着安全风险,而如何有效的针对产品供应链进行防范与控制成为行业内面临的极大挑战。
供应链是包含系统终端用户、政策制定者、采购专家、系统集成商、网络提供商和软硬件提供商在内的统一系统,因此供应链威胁涉及方方面面,而小编以为出现供应链安全问题的主要原因应该从供应链中的对象来看:
1、软件提供商的风险
软件的开发环境很容易受到污染,其源代码易被植入后门,在软件开发、系统编译、下载分发等不同阶段都可能存在恶意程序感染,对此,软件提供商需要建立一套全面的、安全的软件生命周期管理制度及流程,针对不同阶段面临的风险进行排查、分析,结合相应安全手段进行有效管理,从而提供安全、可靠的软件程序。
2、网络安全产品提供商的风险
网络设备里最容易被撰改的就是内存内容了,这不管是对企业网络、家庭网络以及互联网来说,都容易被非法获取其用户、密码以及敏感信息,所以,网络安全产品提供商作为产品提供者,如果在产品交付及运行过程中存在大量漏洞,那么将导致整个设备研发过程中都存在逻辑漏洞,同时在使用了不安全的协议下也会导致产品存在安全漏洞,给最终使用用户造成巨大影响。
3、最终用户的风险
对用户服务的企业来说,如果供应链的设备系统出现异常故障,将直接导致被服务用户资金、信息数据等的丢失,换句话说,就是企业如果在在进行日常运维及安全管理过程中无法保障,存在大量问题的话,其内部安全漏洞无法及时进行修补,并且没有相应的技术手段去针对网络内部未知攻击的问题进行发现及监测,而导致企业网络及系统被攻击,那造成的损失是不可估量的。
因此,供应链安全是一个涉及面广且复杂的一套体系,在任何一个阶段存在问题都势必会影响供应链上下游的安全,因此,供应链安全问题是各个国家企业共同关注的重大问题。而在今年6月1日正式实施的《中华人民共和国网络安全法》中第三十五、三十六条中也针对产品及服务采购进行了相应要求,也表明中国对供应链安全的重视。
区块链技术在提供一些令人兴奋的应用项目的同时,技术本身也存在行业的风险,因此如何使全球供应链更具活力,如何打造更安全的供应链需要大家共同的努力。