<p style="text-align: justify;">隨著物聯(lián)網(wǎng)的普及，越來越多的日常用品也接入了互聯(lián)網(wǎng)，方便人們進(jìn)行遠(yuǎn)程操控。雖然這為我們的生活帶來了便利，但其潛在的威脅也不容忽視：網(wǎng)絡(luò)犯罪分子可能利用這些設(shè)備獲取敏感數(shù)據(jù)。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">近日，新加坡國(guó)立大學(xué)計(jì)算機(jī)學(xué)院的科學(xué)家開發(fā)出了一種軟件工具，<strong>能夠模擬黑客攻擊，并具有采取自動(dòng)化方式保護(hù)設(shè)備的功能</strong>。這有助于設(shè)計(jì)師開發(fā)更安全的計(jì)算機(jī)芯片。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: center;"><img style="display: block; margin-left: auto; margin-right: auto;" src="https://info.compassedu.hk/sucai/content/20210330/1617086063643.webp" width="728" height="410" /><span class="h6">▲博士生Burin Amornpaisannon(左)和助理教授Trevor E Carlson(右)。屏幕上顯示了工具生成的波形，可以幫助計(jì)算機(jī)芯片設(shè)計(jì)師在制造階段前對(duì)芯片進(jìn)行黑客防御處理。&nbsp;</span></p> <p style="text-align: justify;">&nbsp;</p> <ul> <li style="text-align: justify;"><strong><span class="h1">保護(hù)芯片免受硬件攻擊</span></strong></li> </ul> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">這款軟件的工作原理是模擬一種被稱為&ldquo;激光故障注入&rdquo;的物理硬件攻擊。在實(shí)施這種攻擊時(shí)，網(wǎng)絡(luò)罪犯首先會(huì)拆卸部分硬件，在不中斷正常工作的情況下訪問硅芯片。然后，他們利用激光產(chǎn)生處理器錯(cuò)誤。這就為他們打開了竊取數(shù)據(jù)和安全信息的大門。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">以前，保護(hù)芯片免受此類攻擊需要付出很高的代價(jià)，因?yàn)楸仨毴斯?duì)芯片進(jìn)行測(cè)試。如果芯片測(cè)試失敗，必須重新開始設(shè)計(jì)。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">新國(guó)大開發(fā)的這款&ldquo;激光故障攻擊基準(zhǔn)測(cè)試套件&rdquo;(Laser fault Attack Benchmark Suite或LABS)，可模擬各種情況下的攻擊，并演示芯片的反應(yīng)。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">這些都可以在尚未制造芯片的情況下完成，有助于芯片設(shè)計(jì)人員找出擊退攻擊的方法，甚至誘使攻擊者認(rèn)為自己已經(jīng)成功入侵。有了這款軟件，芯片制造商能模擬任何設(shè)備，并在幾分鐘內(nèi)獲得結(jié)果。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">開發(fā)這款軟件的新國(guó)大科學(xué)家團(tuán)隊(duì)由Trevor E Carlson助理教授和白俐翾(Peh Li Shiuan)教授領(lǐng)導(dǎo)。目前，他們已將軟件開源，便于研究人員和芯片設(shè)計(jì)界使用或改進(jìn)它。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">Carlson助理教授分享道，&ldquo;這種方法可以幫助任何想重現(xiàn)并減少攻擊的人。<strong>世界上檢索私人數(shù)據(jù)的技術(shù)多種多樣，我們想要走在攻擊者的前面</strong>。&rdquo;</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">他還補(bǔ)充道，&ldquo;在這場(chǎng)&lsquo;貓鼠游戲&rsquo;中，軟件開源可以幫助大家抵御已知漏洞，但黑客也可以輕而易舉地想到如何進(jìn)行故障攻擊。這些技術(shù)屬于公共領(lǐng)域，所以我們并沒有發(fā)布任何未知信息。&rdquo;</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;"><strong>物聯(lián)網(wǎng)設(shè)備面臨的安全威脅是真實(shí)存在的</strong>。2017年，網(wǎng)絡(luò)犯罪分子通過北美一家賭場(chǎng)的魚缸入侵了該賭場(chǎng)的服務(wù)器。因?yàn)檫@個(gè)魚缸連接到互聯(lián)網(wǎng)，方便遠(yuǎn)程監(jiān)控溫度和鹽度等。網(wǎng)絡(luò)犯罪分子借此機(jī)會(huì)從賭場(chǎng)竊取了10GB的賭客數(shù)據(jù)。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">開發(fā)過程中最大的困難是理解攻擊背后的數(shù)學(xué)原理，并將其轉(zhuǎn)化為能夠帶來保護(hù)的設(shè)計(jì)。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">Carlson助理教授分享說，&ldquo;我們想模擬真正的黑客行為。舉例來說，為了實(shí)現(xiàn)這些數(shù)學(xué)模型，你必須真正理解在芯片上進(jìn)行這項(xiàng)改動(dòng)是如何修改人工智能算法的，如何恢復(fù)私鑰以獲得對(duì)芯片的訪問權(quán)，如何迷惑神經(jīng)網(wǎng)絡(luò)，讓它將入侵者誤認(rèn)為是無害的動(dòng)物。&rdquo;</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">從算法分析到LABS實(shí)施，許多工作都由博士生Burin Amornpaisannon完成。</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">2020年11月3日，該項(xiàng)目首次在2020年計(jì)算機(jī)輔助設(shè)計(jì)國(guó)際會(huì)議上亮相。它是&ldquo;國(guó)立研究基金會(huì)&rdquo;(National Research Foundation)研究項(xiàng)目的一部分，得到了新加坡教育部和行業(yè)前沿伙伴的支持。</p> <p style="text-align: justify;">&nbsp;</p> <ul> <li style="text-align: justify;"><strong><span class="h1">設(shè)計(jì)安全芯片</span></strong></li> </ul> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">Carlson助理教授解釋道：&ldquo;<strong>安全應(yīng)該作為首要需求，在硬件設(shè)計(jì)階段就必須得到充分重視</strong>。你應(yīng)該在還未制造芯片的階段就確保它的安全，而不是建造好物聯(lián)網(wǎng)設(shè)備，然后才意識(shí)到自己搞砸了。&rdquo;</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">為了改進(jìn)軟件，這支新國(guó)大研究團(tuán)隊(duì)正為其配置對(duì)抗新攻擊的能力和更具體的緩釋技術(shù)。他們還在繼續(xù)探索，嘗試將軟件應(yīng)用范圍擴(kuò)展到激光攻擊之外，例如應(yīng)對(duì)電磁脈沖和電壓尖峰引起的攻擊。</p>