爆炸寻呼机与间谍芯片：硬件篡改风险日益增加

dootbear

金融时报：爆炸寻呼机与间谍芯片：硬件篡改风险日益增加

上个月，摩萨德在黎巴嫩向真主党成千上万块寻呼机电池内植入爆炸物并引爆，这一事件为全球供应链管理领域敲响了警钟。

毫无疑问，西方的对手们也会采取自己的战术来破坏我们的电子硬件。大多数公司只关注网络和软件漏洞，而现在是时候认真对待硬件安全了。

俄罗斯对此已经高度紧张，担心复杂的电子设备可能被对手操控，因此他们专门成立了一个研究所，用来测试走私进来的西方芯片，是否用于导弹和无人机制造。

历史证明，他们的担忧并非毫无依据。

尽管许多冷战时期的间谍游戏仍被保密，但《政治报》（Politico）最近揭露了联邦调查局（FBI）在1980年代设计的一项计划，旨在篡改苏联非法进口的芯片制造工具。

然而，西方安全机构可能再也没有机会重演这样的操作，即使他们今天仍具备冷战时期的那种技能。电子制造的中心已经从美国转移到了亚洲，尤其是中国，至于芯片制造，则是台湾。一个国家组装的产品越多，作案的机会就越多。

大多数人不必担心电子设备爆炸，但那些被改装用于间谍活动的设备呢？2018年，彭博社报道说，中国间谍涉嫌在亚马逊，苹果和五角大楼（Pentagon）使用的服务器电路板上增加了一颗米粒大小的芯片。报道称，额外的芯片允许外部人员改变服务器的工作方式并窃取数据。

所有涉及的公司都否认了这一报道，并强烈拒绝承认其数据安全受到了威胁，美国情报高层也否认有任何产品被篡改的证据。但我们不能总是轻信间谍的公开声明。

相比在寻呼机电池中植入并引爆炸药，往电路板上安装窃听芯片要简单得多。

此外，硬件攻击的形式不仅限于间谍活动。假冒芯片，尤其是那些简单，廉价，大规模生产的半导体，例如用于调节电流的芯片，已经成为一个挑战。芯片公司不喜欢他们的产品被复制，导致销售损失，但更大的安全问题也值得关注。

假设一块假冒芯片是以故意降低的质量标准生产的，目的是缩短其使用寿命。结果可能从令人恼火到破坏性不等。如果世界各地的电动牙刷突然坏掉，我们还可以用手刷牙。但如果美国的潜艇由于电子设备故障而不得不花更多时间在港口进行维修，美国军队在印太地区可能会处于捉襟见肘的状态。

正是因为这种情况，美国国防公司被禁止从对手国家采购组件。然而，华盛顿的公开秘密是，一些大国防承包商声称难以遵守这项规定，因为某些类型的组件如今只有亚洲生产。

一项最新研究发现，新型美国航母上有6500个中国制造的半导体。

如果军方使用不可靠的供应商，电信公司和其他重要基础设施提供商也可能会这么做。

过去二十年里，西方公司一直在构建针对网络攻击的防御体系，投入了数十亿美元。

然而，即使是最先进的公司，也很少投入资源去验证芯片或检查其系统中的电路板。尽管已经开发出强大的软件来简化这一过程，但一些制造商仍未能监控其供应链深处的组件来源。

检查硬件既昂贵又技术复杂。

美国军方正在为机密芯片制造建立一个“安全飞地”，但即便是最大的电子公司也无法将所有制造业务搬回本土。

然而，他们可以利用越来越强大的软件工具，更好地了解供应链中的风险。

这是真主党没有做到的工作，尽管在寻呼机爆炸后，记者们很快确认，销售这些设备的匈牙利公司实际上是以色列的一个幌子。

真主党并不是唯一一个依赖复杂电子产品网络却缺乏足够可见性的组织，我们所有人都在这样做。

毫无疑问，它希望自己在供应链安全和硬件验证上投入更多资源。

西方公司和政府必须确保他们不重蹈覆辙。




来源：

https://www.ft.com/content/5c8f5c51-e205-4213-a85a-e6c52963c72c

Chris Miller October 8 2024

dootbear

本文要点：

1. 摩萨德在黎巴嫩向真主党寻呼机电池植入爆炸物事件，暴露了全球供应链中硬件安全的严重漏洞。

2. 俄罗斯为防止电子设备被篡改，专门设立了机构，验证非法进口的西方芯片。

3. 2018年有报道称，中国间谍在美国大公司使用的服务器中植入了微型芯片，尽管相关公司否认此事。

4. 假冒芯片的泛滥，特别是低质量芯片，可能对美国军事设备和关键基础设施带来严重威胁。

5. 尽管美国军方在强化硬件安全，但一些关键组件仍依赖亚洲生产。

6. 西方公司需要利用先进软件，来监控供应链中的潜在硬件风险。

letsgo

现在美国是怕草绳阶段

幻想什么也被操控，甚至农场的植物也会发信息给中国。

Y叔

真的是世界变化快