行业新闻 (News) 芯片封装主页/ 行业新闻 / 半导体芯片的网络安全缺陷仍需解决
< 返回列表

半导体芯片的网络安全缺陷仍需解决

当英特尔和一群安全研究人员在5月发现该公司老一代微芯片存在新的安全漏洞时,这个消息带来了一个特别令人不安的细节:花了一年多的时间才找到解决其中一个漏洞的解决方案。

研究人员表示,他们在2018年4月向英特尔发出了这个漏洞,他们称之为ZombieLoad,但直到上个月才对其进行了广泛的解决。 相比之下,在代码中发现漏洞后,软件公司通常需要花费不超过90天的时间来发布补丁。 缺陷得到解决的时间越长,黑客发现它的可能性就越大。

奥地利格拉茨科技大学教授丹尼尔格鲁斯和帮助ZombieLoad走光的研究人员之一认为事情可能会更快。 Gruss在给麻省理工学院技术评论的电子邮件中说,当他和其他研究人员去年四月通知英特尔这个漏洞时,他们提供了一个独立验证的概念证明,证明这是一个真正的问题。 在2018年5月,他们向英特尔提供了有关该漏洞的更多细节,这可能使黑客能够从机器上运行的应用程序中获取敏感数据。

英特尔表示,它最初无法重现研究人员已经标记的安全漏洞,因此在采取任何行动之前需要更多证据。 今年早些时候,它终于确定了确实存在漏洞并推出了修复程序。

紧张局势突显了处理硬件缺陷的挑战。 这些通常比软件问题昂贵且难以解决,打开了可能影响数十亿芯片的漏洞窗口。 这使得从数据中心的服务器到平板电脑和手机的一切都有被黑客攻击的风险。

幽灵和熔毁

自2018年开始以来,更快速响应的压力有所增加,当时另一组被称为Spectre和Meltdown 的芯片缺陷的细节过早泄漏。 随着企业急于解决他们攻击的脆弱性,随之而来的是混乱,芯片公司争相发布软件修复程序。 这一集更加突出了芯片漏洞,可能会鼓励黑客更加努力地寻找它们。

通常,当研究人员发现软件或硬件存在安全漏洞时,他们会向相关公司保密。当业务处理解决方案时,这个漏洞被保密,所以坏人不会被警告它的存在。然后,一旦修复准备就绪,公司就会启动宣传闪电战,让人们尽快应用它。

此过程称为协调漏洞披露(CVD),适用于修补软件,通常只需要90天的行业时间框架。 但是,对于一些与芯片相关的风险,它仍然令人担忧。

无可否认,他们处理起来比较复杂。 一系列芯片可以包含许多版本,每个版本都使用称为微码的操作软件。 修复缺陷需要更新所有这些版本的微代码。

硬件安全漏洞的解决方案还可能涉及对操作系统等事物的更新,这意味着芯片制造商需要秘密与其他企业密切合作,以确保修订后的微码仍然可以与其他软件协调工作,然后才能推出修复程序。

进步的迹象

自Spectre and Meltdown以来,芯片行业对CVD工艺进行了一些受欢迎的改进。 英特尔产品保障和安全高级主管布莱恩•约根森(Bryan Jorgensen)表示,参与帮助解决其芯片安全漏洞的公司之间的通信必须全部通过英特尔进行。 现在,他们经常可以直接相互协作,以验证补丁是否与其互连系统协同工作。

硬件缺陷的补丁通常要求公司更新微代码和操​​作系统软件。 这些操作是单独的操作,这会增加修复程序所需的时间。 Jorgensen表示,英特尔现在可以将更新捆绑在一起,因此两者都可以同时完成。

这种变化是值得欢迎的,但仍有许多其他领域可以做更多的事情。 他们包括:

  • 与安全研究人员改善关系

发现和报告芯片缺陷的学者和行业研究人员表示,芯片制造商仍然对他们正在采取的措施过于保密。 这可能滋生不信任。 Gruss说,硬件公司应该为研究人员提供理想的日常更新。 他还建议让中立的第三方监督网络安全事件的处理。

  • 同意建立硬件CVD最后期限

非营利性网络安全政策和法律中心(CCPL) 最近的一份报告警告说,当修复硬件缺陷的过程需要比修补软件的标准更长时间时,参与CVD过程的企业可能会采取单方面行动来保护其客户和他们自己的利益。

这可能导致在完全测试补丁之前暴露漏洞。 同意处理硬件安全漏洞的时间框架会有所帮助。 半导体行业现在可以承诺制定这样的CVD期限。

  • 教育人们处理与硬件相关的风险的必要性

如果不习惯开发软件修复程序则毫无意义。 CCPL的执行协调员,美国国家安全委员会工作人员的前网络安全高级主管Ari Schwartz表示,“这种情况对于软件补丁来说并不好,但对于硬件来说却非常糟糕。”

简单的事情,比如让人们定期重新启动家用路由器,以便芯片接收软件更新,仍然是一个挑战。 英特尔和其他芯片公司已经推出了更多计划来向人们宣传风险以及如何解决这些风险,但还需要做出更大的努力。

  • 努力消除芯片设计中的安全漏洞

英特尔和其他公司推向市场的最新一代芯片不再容易遭受像ZombieLoad和Spectre这样的攻击,这要归功于它们的工作方式的变化。 但是总会出现新的漏洞风险。

为了最大限度地减少这种情况,芯片制造商将不得不投入更多资源来探索新一代硅芯片的弱点,并为其半导体开发更安全的设计。 对于在激烈竞争的行业中运营的企业来说,提高这些领域的支出将是痛苦的,但现在芯片已经嵌入越来越多的设备中,从自动驾驶汽车到家庭中的智能扬声器,安全故障的成本急剧上升。 

· 2019-06-05 10:36  本新闻来源自:,版权归原创方所有

阅读:995
  • 联系长芯

    重庆总部:重庆市长寿区新市街道新富大道5号佳禾工业园8栋2层
    电话:023 40819981 (前台)

    深圳办事处:深圳市南山区留仙大道 1213 号众冠红花岭工业南区 2 区 1 栋 1 楼
    电话:0755-26975877 (前台)

    电子邮件:sales@longcore.com

    网址:http://www.longcore.com