Cybersäkerhetsbrister i chips tar fortfarande för lång tid att åtgärda

ERIK CARTER Erik Carter





När Intel och en grupp säkerhetsforskare avslöjade förekomsten av nya säkerhetsbrister i äldre generationer av företagets mikrochips i maj, kom nyheten med en särskilt oroande detalj: det tog över ett år att få en lösning för ett av bristerna på plats .

Forskare säger att de uppmärksammade Intel på sårbarheten, som de kallade ZombieLoad, i april 2018, men en fix för det rullades inte ut i stor utsträckning förrän förra månaden. Som jämförelse tar programvaruföretag vanligtvis inte mer än 90 dagar på sig att utfärda patchar efter att en sårbarhet har upptäckts i deras kod. Ju längre ett fel förblir oåtgärdat, desto större är chansen att en hackare hittar den.

Daniel Gruss, professor vid Graz tekniska universitet i Österrike och en av forskarna som hjälpte till att få fram ZombieLoad , tror att saker och ting kan gå snabbare. I ett e-postmeddelande till MIT Technology Review säger Gruss att när han och andra forskare meddelade Intel om sårbarheten i april förra året, tillhandahöll de ett oberoende verifierat proof of concept för att visa att det var ett genuint problem. I maj 2018 försåg de Intel med ytterligare detaljer om felet, vilket kan göra det möjligt för hackare att få tag på känslig data från applikationer som körs på maskiner.



Intel säger att de initialt inte kunde återskapa säkerhetshålet som forskare hade flaggat och därför behövde mer bevis innan de vidtog några åtgärder. Tidigare i år fastställde den äntligen att det verkligen fanns en sårbarhet och rullade ut korrigeringen.

Spänningen understryker utmaningarna med att hantera hårdvarubrister. Dessa är ofta mycket dyrare och svårare att åtgärda än programvaruproblem, vilket öppnar ett sårbarhetsfönster som kan påverka miljarder chips. Det gör att allt från servrar i datacenter till surfplattor och mobiltelefoner riskerar att bli hackade.

Spectre och Meltdown

Pressen för en snabbare respons har ökat sedan början av 2018, när detaljer om en annan uppsättning chipfel, kallade Spectre och Meltdown, läckte ut i förtid. Kaos uppstod när företag skyndade sig för att ta reda på hur sårbara de var för attacker, och chipföretag kämpade för att utfärda programvarufixar. Episoden gav mer framträdande plats åt chipsårbarheter, vilket troligen uppmuntrade hackare att söka hårdare efter dem.



Vanligtvis när forskare hittar ett säkerhetsbrist i mjukvara eller hårdvara, rapporterar de det i förtroende till det berörda företaget. Felet hålls hemligt medan företaget arbetar på en lösning så att skurkarna inte uppmärksammas på dess existens. Sedan, när en fix är klar, lanserar företaget en reklamblitz för att få folk att tillämpa den så snabbt som möjligt.

Denna process, känd som coordinated vulnerability disclosure (CVD), fungerar ganska bra för att patcha programvara, som vanligtvis inte tar mer än 90-dagars branschperiod. Men det tar fortfarande oroväckande lång tid för vissa chiprelaterade risker.

De är visserligen mer komplexa att hantera. En familj av chip kan innehålla dussintals versioner, var och en använder operativ programvara känd som mikrokod som har skräddarsytts för den. Att åtgärda brister kräver uppdatering av mikrokod för alla dessa versioner.



Lösningar på hårdvarusäkerhetshål kan också innebära uppdateringar av saker som operativsystem, vilket innebär att chiptillverkare måste arbeta nära andra företag i hemlighet för att säkerställa att deras reviderade mikrokod fortfarande fungerar i harmoni med annan mjukvara innan en fix rullas ut.

Tecken på framsteg

Sedan Spectre och Meltdown har chipindustrin gjort några välkomna förbättringar av CVD-processen. Bryan Jorgensen, Intels senior director of product assurance and security, säger att kommunikationen mellan företag som är inblandade i att hjälpa till att åtgärda säkerhetshålen i dess chips brukade gå via Intel. Nu kan de ofta samarbeta direkt med varandra för att verifiera att en patch fungerar med deras sammankopplade system.

Patchar för hårdvarufel kräver ofta att företag uppdaterar både mikrokod och operativsystemsmjukvara. Det har varit separata operationer, vilket ökar tiden det tar att få en fix på plats. Jorgensen säger att Intel nu har gjort det möjligt att paketera uppdateringarna så att båda kan göras samtidigt.



Sådana förändringar är välkomna, men det finns fortfarande många andra områden där mer kan göras. De inkluderar:

  • Förbättra relationerna med säkerhetsforskare

Akademiker och industriforskare som hittar och rapporterar chipbrister säger att chiptillverkare fortfarande kan vara för hemliga med vad de gör för att åtgärda dem. Det kan skapa misstro. Gruss säger att hårdvaruföretag helst bör tillhandahålla dagliga uppdateringar till forskare. Han föreslår också att kanske låta en neutral tredje part övervaka hanteringen av cybersäkerhetsincidenter.

  • Går överens om att fastställa en deadline för hårdvaru-CVD

En färsk rapport från det ideella Center for Cybersecurity Policy and Law (CCPL) varnar för att när en process för att åtgärda hårdvarufel tar längre tid än normen för att lappa mjukvara, kan företag som är involverade i CVD-processen frestas att vidta ensidiga åtgärder för att skydda sina kunder och sina egna intressen.

Det kan leda till att brister avslöjas innan lapparna testas fullständigt. Att komma överens om en tidsram för att hantera säkerhetshål i hårdvara skulle hjälpa. Halvledarindustrin kan nu åta sig ett schema för att fastställa en sådan CVD-deadline.

  • Utbilda människor om behovet av att hantera hårdvarurelaterade risker

Att utveckla programfixar är ganska meningslöst om de inte vänjer sig. Införandet är inte bra för programvarukorrigeringar, men för hårdvara är det riktigt dåligt, säger Ari Schwartz, verkställande samordnare för CCPL och en tidigare senior chef för cybersäkerhet i personalen på USA:s nationella säkerhetsråd.

Enkla saker, som att få folk att starta om sina hemroutrar regelbundet så att chips i dem får programuppdateringar, är fortfarande en utmaning. Intel och andra chipföretag har lanserat fler program för att utbilda människor om riskerna och hur man hanterar dem, men en ännu större insats kommer att behövas.

  • Arbetar hårdare för att eliminera säkerhetsbrister i chipdesigner

De senaste generationerna av chips som kommer ut på marknaden från Intel och andra är inte längre sårbara för attacker som ZombieLoad och Spectre, tack vare förändringar i hur de fungerar. Men det finns alltid en risk att nya typer av sårbarheter kommer att dyka upp.

För att minimera det kommer chiptillverkare att behöva ägna mer resurser åt att leta efter svagheter i nya generationer av kiselchips och till att utveckla säkrare design för sina halvledare. Att öka utgifterna för dessa områden kommer att vara smärtsamt för företag som verkar i en hårt konkurrensutsatt bransch, men nu när chips är inbäddade i fler och fler enheter, från autonoma fordon till smarta högtalare i hemmen, ökar kostnaderna för säkerhetsfel dramatiskt.

Dölj