彭博社“間諜芯片”報(bào)道居心叵測(cè)， 中國(guó)如何應(yīng)對(duì)硬件供應(yīng)鏈安全挑戰(zhàn)？

　　繼彭博新聞社10月9日更新了其所謂的“中國(guó)黑客利用間諜芯片攻擊美科技公司”的報(bào)道之后，業(yè)內(nèi)專家分析認(rèn)為該事件的真實(shí)性越來越離譜。

　　然而，詭譎的是，該事件給各方帶來的負(fù)面影響卻越來越大。

　　“10月4日彭博新聞社報(bào)道剛出來的時(shí)候，指責(zé)所謂‘中國(guó)黑客’利用偽裝芯片發(fā)動(dòng)攻擊的方式，經(jīng)濟(jì)上不合理、技術(shù)上又太復(fù)雜，我是不怎么相信的;10月9日彭博社進(jìn)一步指摘‘黑客’在網(wǎng)卡接口處隱藏‘間諜芯片’，卻又沒有證據(jù)來證實(shí)這一點(diǎn)?！?60集團(tuán)技術(shù)總裁兼首席安全官譚曉生在接受《中國(guó)科學(xué)報(bào)》專訪時(shí)說，彭博社前后兩次報(bào)道提及的“黑客攻擊”非常難以證偽——不可能把彭博社所指摘的所有主板都拆來檢視，但也無法證實(shí)——彭博社并沒有拿出實(shí)證，且其所取信的信源也沒有可信度。

　　“總體感覺是被潑了臟水，但又很難自證清白，這就很痛苦了?！弊T曉生認(rèn)為，這種模棱兩可的態(tài)度反而造成了壞的影響。

　　就在全球的技術(shù)專家都在忙著搞清這篇報(bào)道真相的同時(shí)，美國(guó)新聞界和民眾卻開始宣揚(yáng)保護(hù)本國(guó)的“供應(yīng)鏈安全”。如美國(guó)《大西洋月刊》和《國(guó)會(huì)山報(bào)》的文章都認(rèn)為，“即便中國(guó)沒有通過硬件入侵美國(guó)企業(yè)的服務(wù)器主板，彭博社的報(bào)道也暴露出了過于依賴中國(guó)的電子產(chǎn)品供應(yīng)鏈條給美國(guó)帶來巨大的安全危機(jī)”。

　　然而事實(shí)是，沒有哪個(gè)產(chǎn)業(yè)比集成電路有著更鮮明的全球化烙印。如果說僅僅依賴中國(guó)的供應(yīng)鏈就要承受“巨大安全危機(jī)”，那么無法想象每年進(jìn)口全球芯片50%以上的中國(guó)要承受什么。

　　硬件安全，被忽視的問題

　　“(硬件安全)暴露出來的案例還不多，尚未引起足夠的重視。彭博的這個(gè)報(bào)道實(shí)際上也給我們提了個(gè)醒?！敝锌圃河?jì)算所研究員、計(jì)算機(jī)體系結(jié)構(gòu)和芯片研究方向博士生導(dǎo)師韓銀和在接受《中國(guó)科學(xué)報(bào)》記者采訪時(shí)說，其實(shí)相比于軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等，硬件安全特別是從關(guān)鍵元器件發(fā)動(dòng)的攻擊，相當(dāng)于一種新的“降維攻擊”，要高度重視硬件安全的重要性。

　　譚曉生也告訴記者，芯片的確是攻破安全屏障的一個(gè)進(jìn)攻點(diǎn)，而且因?yàn)樗谧畹讓?，如果有預(yù)置后門或埋了木馬，幕后操縱者可以“一層層地向上打”。如果對(duì)這種攻擊方式不甚了解的話，被攻擊方很難察覺。

　　而從硬件出發(fā)，黑客可能從芯片層、電路板層、固件層發(fā)動(dòng)攻擊。

　　譚曉生介紹說，芯片級(jí)的主動(dòng)攻擊，可以做到與正常芯片外觀、管腳、封裝等都一樣，但芯片內(nèi)部電路被篡改。這種通過篡改原始集成電路設(shè)計(jì)，植入完成特殊功能的邏輯，業(yè)內(nèi)稱為芯片木馬或者硬件木馬。在滿足一定條件的時(shí)候(如反復(fù)執(zhí)行某個(gè)指令引起狀態(tài)反轉(zhuǎn))，木馬會(huì)被喚醒，進(jìn)而實(shí)施改變功能、竊取信息、物理摧毀、協(xié)助軟件木馬控制系統(tǒng)等攻擊行為。

　　韓銀和對(duì)記者說，2016年美國(guó)密歇根大學(xué)研究人員在IEEE安全領(lǐng)域頂級(jí)會(huì)議之一IEEE隱私與安全大會(huì)上已經(jīng)證實(shí)，在芯片制造過程中可以植入硬件木馬。在這次大會(huì)上，研究人員公開了一種只需要幾十個(gè)門電路(整個(gè)芯片大概為幾十億個(gè)門級(jí))的超小型硬件木馬，這種木馬可通過運(yùn)行一系列“看上去完全無害的命令”觸發(fā)處理器某項(xiàng)功能進(jìn)而獲得操作系統(tǒng)完整權(quán)限，危害極大。

　　更值得擔(dān)憂的是，韓銀和指出，該芯片木馬只要芯片制造工廠中的一位員工就能進(jìn)完成植入，而且基本無法通過任何現(xiàn)代硬件安全分析手段檢測(cè)出來。

　　類似的，與芯片共同構(gòu)成電路邏輯的電路板乃至執(zhí)行某個(gè)特定功能的固件(介于軟硬件之間)，都有可能被植入惡意邏輯，這些同樣非常難以發(fā)現(xiàn)。

　　“限于工藝能力，中國(guó)許多芯片在境內(nèi)設(shè)計(jì)、在海外流片，在流片的過程中，如果有別有用心者對(duì)芯片做了手腳，檢測(cè)起來也是非常難的?！弊T曉生告訴記者，從這個(gè)角度來講，對(duì)于供應(yīng)鏈安全，中國(guó)才是最該擔(dān)心的。

　　韓銀和更是直言，硬件木馬對(duì)于我國(guó)威脅更大：一方面該木馬可以在制造階段插入，由于半導(dǎo)體高端制造環(huán)節(jié)都在國(guó)外，這一隱患更大;另一方面，現(xiàn)有高性能芯片是非常好的硬件木馬宿主，而我國(guó)無論是高端信息服務(wù)業(yè)和重要行業(yè)，每年都從美國(guó)進(jìn)口大量的高端處理器。

　中國(guó)如何應(yīng)對(duì)硬件安全?

　　中國(guó)是全球最大的芯片進(jìn)口國(guó)，全世界50%以上的芯片進(jìn)口到中國(guó)。

　　海關(guān)總署公開信息顯示，2017年中國(guó)集成電路進(jìn)口量高達(dá)3770億片，同比增長(zhǎng)10.1%;進(jìn)口額為2601億美元(約合17561億元)，同比增長(zhǎng)14.6%。集成電路進(jìn)口額占中國(guó)總進(jìn)口額的14.1%。

　　隨著智能物聯(lián)網(wǎng)設(shè)備的爆發(fā)式增長(zhǎng)，中國(guó)未來只會(huì)進(jìn)口更多的芯片。而隨著更多的設(shè)計(jì)者、生產(chǎn)者進(jìn)入芯片產(chǎn)業(yè)鏈條，幾家大公司壟斷的格局也將被打破。當(dāng)“企業(yè)信譽(yù)”變得更為復(fù)雜，則意味著供應(yīng)鏈全流程中安全漏洞更多，甚至可能產(chǎn)生與軟件領(lǐng)域那龐大的黑灰產(chǎn)業(yè)。在此背景下，中國(guó)如何對(duì)硬件安全挑戰(zhàn)?

　　“安全問題不可能完全杜絕，至少現(xiàn)在從理論上沒有絕對(duì)安全的計(jì)算機(jī)系統(tǒng)，只是攻防難度不同?！敝锌圃河?jì)算所研究員、先進(jìn)計(jì)算機(jī)系統(tǒng)研究中心主任包云崗在接受《中國(guó)科學(xué)報(bào)》記者采訪時(shí)提出，就像我們追求健康一樣，要有適當(dāng)?shù)氖侄蝸矸乐埂安∪敫嚯痢保翰皇墙^對(duì)不生病，而是病痛來臨之時(shí)能防能治。

　　投射到硬件安全方面，就是要找到性價(jià)比最高的安全保障方案——花合理的錢保障足夠的安全。怎么做到這一點(diǎn)?“個(gè)人觀點(diǎn)，更重要的是構(gòu)建免疫系統(tǒng)，就是有未知入侵，也能很快識(shí)別，并快速響應(yīng)減少危害，形成免疫?！?/p>

　　問題是，怎么構(gòu)建這個(gè)免疫系統(tǒng)。

　　“這就需要核心技術(shù)了?！卑茘徴f，可以參考人體的免疫系統(tǒng)來研究相應(yīng)的一整套技術(shù)系統(tǒng)，比如類似B細(xì)胞的識(shí)別入侵機(jī)制、T細(xì)胞的有效殺死病毒;當(dāng)B細(xì)胞和T細(xì)胞被激活后，會(huì)形成免疫記憶等。

　　在韓銀和看來，上述提到的“免疫系統(tǒng)”應(yīng)該既包括“防”又包括“攻”。

　　“相關(guān)技術(shù)體系的構(gòu)建也不能僅僅關(guān)注防守，也要重視‘攻’的技術(shù)，‘攻’的技術(shù)進(jìn)步可以大大提升防守的能力?！表n銀和對(duì)記者說，美國(guó)在這方面非常重視，而且有可能有成體系發(fā)展“芯片武器”的計(jì)劃。相比而言，我們的研究還不夠系統(tǒng)。

　　同時(shí)，韓銀和還提示，面對(duì)潛在的硬件安全挑戰(zhàn)，我國(guó)還應(yīng)該建立健全供應(yīng)鏈安全管理體系?！捌髽I(yè)作為主體，建立關(guān)鍵元器件和系統(tǒng)可信審計(jì)制度，建立對(duì)芯片制作全過程的跟蹤體系，避免偽制和過程中的惡意電路添加?！?/p>

　　現(xiàn)有技術(shù)能防御幾多

　　硬件安全威脅重大，目前對(duì)其也并非完全束手無策。譚曉生告訴記者，芯片安全保護(hù)除了硬件檢測(cè)外，還可以利用已有的網(wǎng)絡(luò)安全技術(shù)實(shí)施防御。

　　“不論是芯片級(jí)、主板級(jí)還是固件級(jí)的攻擊，它就算隱藏起來，也始終是一個(gè)‘壞人’。壞人總得干‘壞事’，而只要它干‘壞事’，就一定會(huì)留下一些行為上的特征：如功耗變大、網(wǎng)絡(luò)流量異常、行為異常等?！弊T曉生對(duì)記者說，通過一項(xiàng)名為邊信道檢測(cè)的技術(shù)，就可以檢測(cè)到電流、噪聲、電磁等的變化。

　　此外，通過網(wǎng)絡(luò)行為檢測(cè)和應(yīng)用程序檢測(cè)等多維度信息的收集，就會(huì)有更高概率發(fā)現(xiàn)惡意程序造成的機(jī)器異常，進(jìn)而分析機(jī)器運(yùn)行的程序是正常程序還是木馬。

　　“這其實(shí)就是攻防維度之爭(zhēng)。攻擊者能控制多少維度、防御者能控制多少維度，二者對(duì)比可見高下。如果說作為防御者，有一些維度是攻擊者無法控制的，那么就有可能通過這些維度檢測(cè)到攻擊者。”譚曉生說。

　　360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室負(fù)責(zé)人林偉介紹稱，360今年發(fā)布的“安全大腦”就是這樣一種理念：在無法判斷哪些行為是攻擊的情況下，盡量多地對(duì)行為和數(shù)據(jù)進(jìn)行記錄，然后對(duì)這些海量數(shù)據(jù)進(jìn)行存儲(chǔ)、分析、挖掘和關(guān)聯(lián)，并配合人工智能技術(shù)，快速發(fā)現(xiàn)高級(jí)威脅。

　　“網(wǎng)絡(luò)安全領(lǐng)域有個(gè)理念叫做‘零信任’，說白了就是‘啥都不能信’。在整個(gè)安全防御體系里，相信什么，可能就會(huì)‘死’在什么上面?！弊T曉生對(duì)記者說，追求“零信任”，其實(shí)是追求全維度的分析檢測(cè)，這需要大量的存儲(chǔ)、計(jì)算和分析。所幸，隨著近年來計(jì)算和存儲(chǔ)成本的下降，“安全的錢舍得花了”。

　　不過，韓銀和認(rèn)為，要應(yīng)對(duì)硬件安全挑戰(zhàn)，我國(guó)在科研上還應(yīng)圍繞硬件安全組織開展方方面面的研究。

　　“國(guó)內(nèi)已經(jīng)有一些研究團(tuán)隊(duì)開始關(guān)注芯片安全的問題。中科院計(jì)算所在幾年前成立集成電路安全團(tuán)隊(duì)，并已經(jīng)取得了一些突破性的工作。但相對(duì)于國(guó)外研究，我們起步晚了一點(diǎn)?！表n銀和說，由于硬件安全的危害性還沒有完全展現(xiàn)出來，所以目前我國(guó)投入和重視程度都不足。

　　“這體現(xiàn)在研究上系統(tǒng)性不足，成果的核心技術(shù)主要集中在一些點(diǎn)的技術(shù)上，而且偏重于‘檢’和‘防’的技術(shù)，而芯片木馬‘攻’的技術(shù)也很重要，只有建立完整的“攻—檢—防”技術(shù)體系，才能綜合發(fā)揮作用?！表n銀和說。