本文由半导体产业纵横(ID:ICVIEWS)编译自techspot
即使温度对芯片安全的威胁目前还主要停留在实验室阶段,但它仍然可能成为那些有恶意意图的人手中等待被利用的漏洞。
尽管半导体行业的每个人都想拥有最热门的新产品,但这种字面意义上的高温不仅对产品稳定性和性能构成威胁,而且对芯片本身的安全性也构成威胁。
由于热量的物理属性对性能的影响具有不确定性,温度已成为安全研究人员关注的对象。设备内部的芯片只有在严格范围内才能正常工作,就像人类一样。它们需要一定的温度、电压、辐射和环境条件范围,这些都会影响芯片的工作方式。
这些情况大多数时候都存在,但并非总是如此。Riscure(最近被Keysight收购)的CEO Marc Witteman说:“就像人类喜欢室温一样,芯片也喜欢。” “它们在室温下可以很好地工作,但如果温度变得非常极端,那么情况可能会有所不同。传统上,我们认为在这些参数中的任何一个范围内,芯片都能很好地工作,而在这个范围之外,它就不能工作。但在现实中,还有一个灰色地带,芯片大部分时间都能工作,但可能并不总是像你希望的那样好。这个领域对安全研究人员来说非常有趣,因为如果你从工作得很好变为完全不工作,那么安全影响就不大,因为设备已经不可用了。想想你的电动汽车。如果它结冰了,那么它就不会再行驶了,这是一个问题。但至少它不会崩溃。然而,如果温度达到某个范围,你的汽车可能会开始崩溃或做其他你不想要的事情。那就真的很棘手了。”
热量不仅可以用来使系统或设备完全崩溃,而且还构成了第二类威胁,即通过基于温度的侧信道攻击,这种可能性直到最近才被认识到。
“这是一个相当新的研究领域,”Ansys 的首席产品经理 Lang Lin 表示。“过去,人们认为温度只是系统的一个缓慢响应。这不像我们谈论电力或电磁学那样,它们是系统的即时信号,但温度通常是缓慢的”,这意味着很难立即从系统中获取任何敏感信息。
直接攻击热攻击并不是什么新鲜事物。在 2005 年的一篇论文中,弗吉尼亚大学的研究人员警告说,可以开发恶意软件来改变芯片散发热量的方式,从而提高温度。该论文使用了搭载在 Windows XP 系统机器中 ASUS 主板上的 Pentium 4 芯片,列出了实现这一目标的几种方法,包括使用热节流来发起拒绝服务攻击,既可以通过阻塞通风口,也可以通过软件关闭系统的风扇来实现。另一种拒绝服务的方法是找到方法来提高温度,迫使计算机重置。热量还被用来逐渐损坏组件,使它们比正常更快地老化。研究人员认为,通过禁用计算机的故障安全系统,甚至可能造成更严重的危害。
这篇论文几乎有二十年的历史了,自发表以来,芯片已经发生了相当大的变化,但热量仍然是一个威胁。事实上,Rambus 的高级首席工程师 Scott Best 指出,硅对红外能量的透明性使得攻击者可以通过加热芯片内部来进行半侵入式攻击。
Best 说:“你的对手实际上已经拥有了硅芯片,他们拆开了硅芯片,正在查看活动芯片的背面,并向其发射激光。”“这些激光被调整到近红外光谱。通常是在近红外区域,因为硅在红外区域是透明的,所以他们实际上在芯片内部创建了大约 100 纳米大小的热点。他们正在创建局部热点,这些热点正在将电荷推入芯片的某些部分。这种攻击被称为故障注入,你的对手试图破坏安全的计算。”
在这种攻击中,恶意行为者使用这种技术在系统启动时从非易失性存储器中提取固件。然后攻击者运行一个加密过程来验证固件。如果理论上的对手在芯片的正确部分恰当时机发射激光,“那么它就不会报告零来表示不真实,而是报告一,表示一切正常。现在,这个恶意的固件映像已经加载到芯片中并正在运行。”
这种类型的攻击可能不会引起媒体的关注,但 Best 表示,它已经在实验室条件下创建,并在最近的一篇论文中进行了描述。研究人员能够让恶意固件映像以高权限运行和执行,从而允许它删除系统中的其他保护。
“它进入了熔断存储器,并调整了熔断存储器以表示‘确保你总是允许对手的代码正确运行’。然后,你可以将它从故障注入系统中取出,重新放回系统,现在它会非常乐意接受恶意软件,因为权限现在已经被授予或删除。他们第一次运行的那段恶意软件现在已经删除了并禁用了所有的保护措施,所以现在的系统已经被永久损坏。”
虽然这种类型的攻击显然对单个芯片或系统构成危险,但可能会产生更广泛的影响。它可以让攻击者获得芯片上存储的秘密,并获取关于整个芯片系列的宝贵数据。“如果产品线上的其他芯片都是认证 IC,而这个认证 IC 保护的是医疗设备上的售后耗材,这是一个价值 100 亿美元的产业,而阻止对手运送兼容医疗组件的唯一因素就是这颗价值 20 美元的认证芯片,他们就会使用故障注入来破解这个认证芯片。他们会获取你的密钥材料。他们会推出兼容的安全芯片。现在他们正在窃取你每年 100 亿美元中的大部分。”
解决这个问题的方法似乎显而易见——只需在每个设备中使用不同的密钥——但 Witteman 指出这并不总是可能的。“如果你设计了一个新的芯片,并想生产一百万个,那么你通常会生产一百万个完全相同的副本。它们最初都会拥有相同的数据,”他说。“如果涉及设置安全通信的秘密,那么对于所有这些芯片来说都是一样的。因此,在芯片上加载第一个数据时就会遇到这个问题。它们的所有秘密都是相同的。”
林表示,另一个解决方案是适当的监控。“如果你有良好的热传感器设计,系统可以立即做出反应,”他说。“当你检测到高温时,你关闭系统,然后你仍然可以保护它。”
尽管这些基于热量的系统攻击通常只是理论上的,但它们也可能导致数据被盗。林以一台加载了两个不同互联网浏览器的计算机为例来解释这是如何实现的。
“假设你正在打开一个 Chrome 网络服务器,而不是 Safari 或 Firefox,然后你搜索一个网站。从你点击到网站呈现给你,整个操作需要一些时间。这会提高正确执行此操作的芯片的温度。这就像一组操作。这个不同浏览器的稳定温度可能处于不同的温度。假设 Chrome 可能会让你的温度上升两度,而 Safari 可能会让你的温度上升三度。这种细微差别,如果你仔细考虑,你可以通过一些非常精确的温度传感器来感知。”
远程攻击要利用热量来攻击芯片,并不总是需要直接访问。虽然林说他不能马上想到很多历史上的远程热攻击,但它们仍然是一种可能的渗透方法。然而,Best 指出,通常会有非常严格的措施来限制可能造成的物理或经济损失。
“拒绝服务攻击可以这样进行,”Best 说。“你可以通过让一些恶意硬件开始消耗比实际意图多得多的性能来关闭远程服务器。通常,这些远程服务器会仔细分配每个客户端允许的计算周期数量,并且他们很乐意根据你实际使用的 CPU 周期来向你收费。因此,如果你消耗了这么多周期,他们可能会将你移到自己的私有服务器上,并向你收取无限量的费用,但你不会让服务器宕机。他们只会继续向你收取更多费用,并将你的计算负载转移到其他刀片上,以管理整体。因此,如果你能使服务器宕机,这就是潜在的拒绝服务途径,但在正常的数据中心设置中,针对任何用户可以执行的 CPU 数量都设置了大量保护措施。”
虽然分布式拒绝服务(DDoS)攻击不太可能,但 Best 确实指出,温度也可以间接用于黑客目的。许多冷却系统被编程为自动调整以适应系统内部产生的热量水平,这为攻击提供了另一条途径。
“已经有论文发表,指出这创造了一个所谓的音频旁路通道,因为你只需要听风扇的转速就可以了,”他说。“风扇的转速调整得如此之快,以至于现在实际发生的计算与风扇的转速相关。因此,如果你足够仔细地听风扇的转速,你实际上可以收集到一些关于计算中实际发生情况的信息。人们能够通过迫使系统产生计算并随后提高风扇转速,将风扇的转速与密钥材料和系统内密钥材料的处理相关联。风扇的转速会根据计算的级别而略有变化,这可以让你实时了解电源消耗的情况。”
结论基于温度的攻击目前看来很难实施,通常需要类似实验室的条件才能正确执行。但维特曼警告说,这种情况不会一直持续下去,需要不断实验来加强防御。安全专家已经开始认真对待基于热量的漏洞,致力于找出所有可能被利用的方法,以防止坏人得出同样的结论。
“我们认为,随着时间的推移,攻击只会变得更糟。攻击不会变得更难,而会变得更容易,”维特曼说。“当涉及到热量时,这是一种需要精确设备的方法。因此,通常来说,不太可能有人因为你在公共场所携带银行卡就从你的银行账户中提取资金。可能还有其他更适合这种方法的方法。如果你特别关注热量,那么该应用可能需要在实验室中进行。但话又说回来,如果攻击者也是设备的所有者,那也不是不可能的。”
*声明:本文系原作者创作。文章内容系其个人观点,我方转载仅为分享与讨论,不代表我方赞成或认同,如有异议,请联系后台。
