信息安全弄虚作假必以鲜血为代价
应用介绍
不久前,安全部门披露一些境外生产的芯片、智能设备或者软件可能在设计制造阶段就被故意预埋了“后门”,厂商可以通过特定信号对设备进行远程操控,如自动开启摄像头、麦克风,或命令后台自动收集指定数据并回传。 此外,文章还提到,个别厂家为方便后期维修维护,出厂时设置了允许远程访问的“后门”。这本是售后服务功能,但如果管理不善或被第三方恶意破解,这个“后门”就会在黑暗角落窥视窃取敏感信息数据。从近年俄乌、中东的冲突来看,运用软件和硬件后门攻击对手已经是常态。
对于存在的软件后门,只要发现后就可以通过软件升级来解决。相比之下,要硬件后门的代价就会大很多。美国NIST SP 800-193标准明确指出,硬件后门无法通过软件修补消除,唯一解决方案是“从设计到制造的全程可信可控”。
由于硬件后门大多数是设计阶段留下的,直接嵌入芯片的物理结构中,也就是物理电路已固化在硅片中,很难通过软件层面的调试是无法修改的。软件上的调试往往是迫不得已的应急之举,而且代价巨大,英特尔给幽灵和熔断打补丁后,CPU性能下降了25%左右。
这还算好的,有些硬件后门只能更换,无法打补丁。以ARM设备为例,ARMv8处理器存在名为PACMAN的漏洞,这个漏洞本质是一种硬件级侧信道攻击,利用ARM指针认证机制的微架构缺陷绕过内存保护,且无法通过软件更新彻底修复。ARMv9引入FEAT_FPAC补全了漏洞,但基于ARM v8.2指令集设计的CPU均存在PACMAN的漏洞,解决方案只有替换硬件。令人无语的是,时至今日,依然有很多搭载ARMv8处理器的设备在信创行业大肆兜售。
2023年,卡巴斯基和俄罗斯联邦安全局情报和安全机构FSB先后发布报告,声称苹果公司故意向美国国家安全局提供了一个后门,可以用零点击漏洞投放间谍软件感染俄罗斯的iPhone手机。FSB发布的公告则声称已在数千部苹果iPhone上发现了恶意软件感染,这些iPhone属于俄罗斯政府官员以及以色列、中国和几个北约成员国驻俄罗斯大使馆的工作人员。
2023年,德国安全公司NitroKey发布了一份报告,显示在无须安卓系统参与的情况下,搭载高通芯片的智能手机会秘密的向高通发送个人数据,并且这些数据会被上传至高通部署在美国的服务器中。发送的数据包括设备唯一ID、芯片序列号、手机型号、运营商、系统版本、安装的应用列表、电池使用情况、芯片性能数据甚至是IP地址。并且这些数据还是通过不安全 HTTP协议发送的,意味着黑客、运营商、政府机构等都可能轻松截获。此举做法显然是违反了欧盟的GDPR条例。
2025年4月份,国安发出了警示,表明某国科技公司涉嫌向本国情报机构提供智能手机操作系统后门,导致全球数千部高端手机被植入间谍软件。这些被入侵的设备涉及多国政府工作人员及企业高管,攻击者无需用户点击或授权,即可直接操控手机,窃取通讯内容、定位信息甚至生物识别数据。其中还提到,被感染手机中32%为外交人员设备,18%涉及能源、金融领域高管,恶意软件潜伏期最长可达427天。
自冲突以来,乌克兰国防情报局入侵了俄罗斯联邦税务局系统,并清除了该机构的数据库和备份副本,被销毁的资料全部不可恢复。俄罗斯国家原子能公司Rosatom以及俄罗斯国防产品出口公司Rosoboronexport,泄漏了大量的敏感数据。
乌克兰国防部情报总局对俄罗斯金融机构和电信公司进行攻击,俄罗斯联邦储蓄银行Sberbank、莫斯科交易所等机构成为黑客的目标,ATM服务、在线银行系统和移动应用程序的功能,Beeline、MegaFon、Tele2和Rostelecom等互联网公司的网络支付一度瘫痪。
今日俄罗斯电视台网站、俄多个政府网站、俄罗斯天然气工业股份公司Gazprom等都曾遭受攻击,导致服务中断或不可用。
白俄罗斯黑客组织“网络游击队”对白俄罗斯铁路系统进行攻击,阻止并延缓俄罗斯军队从白俄罗斯基地向乌克兰北部的转移。之后,乌克兰黑客成功攻击俄罗斯远东铁路系统,致使 40 列军火列车脱轨。
乌克兰情报总局联合其黑客组织成功入侵了俄罗斯的“加斯卡尔集成”公司,窃取了该公司研发无人机技术的完整文档,并导致该公司失去了对生产系统的控制权。超过350万俄罗斯互联网用户的账户被盗。
如果说,上述俄罗斯的案例属于飘在云端,那么,中东的传呼机爆炸则更加接地气,容易被普通人理解。传呼机爆炸是因为电池边上安装了炸药,由事先预留的触发芯片引爆,当这颗芯片手打预设信号时,就会产生电流,引爆炸药。
当下,国产化替代工作如火如荼,但在实践中,国产化已经成为唐僧肉,妖魔鬼怪都来分一杯羹。不少公司把国外的技术引进后就声称自研,或者把开源代码拿回来略作修改就标榜自主。在实践中,能否入围采购不看硬件和软件的自主性、安全性、性价比,反而是拼关系、拼背景。这些做法其实是往金融、电信、交通、医疗、党政等系统植入特洛伊木马。
由于海量外来技术的软件和硬件已经进入各行各业,这几年的信创对信息安全的提升只能说是聊胜于无,只能感慨世界是一个草台班子,只能庆幸华夏处于和平状态,一旦陷入类似于俄罗斯的局面,在信息战中的表现未必会比俄罗斯强。
