信息安全弄虛作假必以鮮血為代價(jià)

不久前，安全部門披露一些境外生產(chǎn)的芯片、智能設(shè)備或者軟件可能在設(shè)計(jì)制造階段就被故意預(yù)埋了“后門”，廠商可以通過特定信號對設(shè)備進(jìn)行遠(yuǎn)程操控，如自動開啟攝像頭、麥克風(fēng)，或命令后臺自動收集指定數(shù)據(jù)并回傳。 此外，文章還提到，個(gè)別廠家為方便后期維修維護(hù)，出廠時(shí)設(shè)置了允許遠(yuǎn)程訪問的“后門”。這本是售后服務(wù)功能，但如果管理不善或被第三方惡意破解，這個(gè)“后門”就會在黑暗角落窺視竊取敏感信息數(shù)據(jù)。從近年俄烏、中東的沖突來看，運(yùn)用軟件和硬件后門攻擊對手已經(jīng)是常態(tài)。

軟件后門易解決和硬件后門難消除

對于存在的軟件后門，只要發(fā)現(xiàn)后就可以通過軟件升級來解決。相比之下，要硬件后門的代價(jià)就會大很多。美國NIST SP 800-193標(biāo)準(zhǔn)明確指出，硬件后門無法通過軟件修補(bǔ)消除，唯一解決方案是“從設(shè)計(jì)到制造的全程可信可控”。

由于硬件后門大多數(shù)是設(shè)計(jì)階段留下的，直接嵌入芯片的物理結(jié)構(gòu)中，也就是物理電路已固化在硅片中，很難通過軟件層面的調(diào)試是無法修改的。軟件上的調(diào)試往往是迫不得已的應(yīng)急之舉，而且代價(jià)巨大，英特爾給幽靈和熔斷打補(bǔ)丁后，CPU性能下降了25%左右。

這還算好的，有些硬件后門只能更換，無法打補(bǔ)丁。以ARM設(shè)備為例，ARMv8處理器存在名為PACMAN的漏洞，這個(gè)漏洞本質(zhì)是一種硬件級側(cè)信道攻擊，利用ARM指針認(rèn)證機(jī)制的微架構(gòu)缺陷繞過內(nèi)存保護(hù)，且無法通過軟件更新徹底修復(fù)。ARMv9引入FEAT_FPAC補(bǔ)全了漏洞，但基于ARM v8.2指令集設(shè)計(jì)的CPU均存在PACMAN的漏洞，解決方案只有替換硬件。令人無語的是，時(shí)至今日，依然有很多搭載ARMv8處理器的設(shè)備在信創(chuàng)行業(yè)大肆兜售。

手機(jī)已經(jīng)成為泄密黑洞

2023年，卡巴斯基和俄羅斯聯(lián)邦安全局情報(bào)和安全機(jī)構(gòu)FSB先后發(fā)布報(bào)告，聲稱蘋果公司故意向美國國家安全局提供了一個(gè)后門，可以用零點(diǎn)擊漏洞投放間諜軟件感染俄羅斯的iPhone手機(jī)。FSB發(fā)布的公告則聲稱已在數(shù)千部蘋果iPhone上發(fā)現(xiàn)了惡意軟件感染，這些iPhone屬于俄羅斯政府官員以及以色列、中國和幾個(gè)北約成員國駐俄羅斯大使館的工作人員。

2023年，德國安全公司NitroKey發(fā)布了一份報(bào)告，顯示在無須安卓系統(tǒng)參與的情況下，搭載高通芯片的智能手機(jī)會秘密的向高通發(fā)送個(gè)人數(shù)據(jù)，并且這些數(shù)據(jù)會被上傳至高通部署在美國的服務(wù)器中。發(fā)送的數(shù)據(jù)包括設(shè)備唯一ID、芯片序列號、手機(jī)型號、運(yùn)營商、系統(tǒng)版本、安裝的應(yīng)用列表、電池使用情況、芯片性能數(shù)據(jù)甚至是IP地址。并且這些數(shù)據(jù)還是通過不安全 HTTP協(xié)議發(fā)送的，意味著黑客、運(yùn)營商、政府機(jī)構(gòu)等都可能輕松截獲。此舉做法顯然是違反了歐盟的GDPR條例。

2025年4月份，國安發(fā)出了警示，表明某國科技公司涉嫌向本國情報(bào)機(jī)構(gòu)提供智能手機(jī)操作系統(tǒng)后門，導(dǎo)致全球數(shù)千部高端手機(jī)被植入間諜軟件。這些被入侵的設(shè)備涉及多國政府工作人員及企業(yè)高管，攻擊者無需用戶點(diǎn)擊或授權(quán)，即可直接操控手機(jī)，竊取通訊內(nèi)容、定位信息甚至生物識別數(shù)據(jù)。其中還提到，被感染手機(jī)中32%為外交人員設(shè)備，18%涉及能源、金融領(lǐng)域高管，惡意軟件潛伏期最長可達(dá)427天。

后門問題危害巨大

在俄烏沖突中，俄羅斯政府、金融、能源、交通、電信、軍工等行業(yè)就均遭遇國家級黑客攻擊。

自沖突以來，烏克蘭國防情報(bào)局入侵了俄羅斯聯(lián)邦稅務(wù)局系統(tǒng)，并清除了該機(jī)構(gòu)的數(shù)據(jù)庫和備份副本，被銷毀的資料全部不可恢復(fù)。俄羅斯國家原子能公司Rosatom以及俄羅斯國防產(chǎn)品出口公司Rosoboronexport，泄漏了大量的敏感數(shù)據(jù)。

烏克蘭國防部情報(bào)總局對俄羅斯金融機(jī)構(gòu)和電信公司進(jìn)行攻擊，俄羅斯聯(lián)邦儲蓄銀行Sberbank、莫斯科交易所等機(jī)構(gòu)成為黑客的目標(biāo)，ATM服務(wù)、在線銀行系統(tǒng)和移動應(yīng)用程序的功能，Beeline、MegaFon、Tele2和Rostelecom等互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)支付一度癱瘓。

今日俄羅斯電視臺網(wǎng)站、俄多個(gè)政府網(wǎng)站、俄羅斯天然氣工業(yè)股份公司Gazprom等都曾遭受攻擊，導(dǎo)致服務(wù)中斷或不可用。

白俄羅斯黑客組織“網(wǎng)絡(luò)游擊隊(duì)”對白俄羅斯鐵路系統(tǒng)進(jìn)行攻擊，阻止并延緩俄羅斯軍隊(duì)從白俄羅斯基地向?yàn)蹩颂m北部的轉(zhuǎn)移。之后，烏克蘭黑客成功攻擊俄羅斯遠(yuǎn)東鐵路系統(tǒng)，致使 40 列軍火列車脫軌。

烏克蘭情報(bào)總局聯(lián)合其黑客組織成功入侵了俄羅斯的“加斯卡爾集成”公司，竊取了該公司研發(fā)無人機(jī)技術(shù)的完整文檔，并導(dǎo)致該公司失去了對生產(chǎn)系統(tǒng)的控制權(quán)。超過350萬俄羅斯互聯(lián)網(wǎng)用戶的賬戶被盜。

如果說，上述俄羅斯的案例屬于飄在云端，那么，中東的傳呼機(jī)爆炸則更加接地氣，容易被普通人理解。傳呼機(jī)爆炸是因?yàn)殡姵剡吷习惭b了炸藥，由事先預(yù)留的觸發(fā)芯片引爆，當(dāng)這顆芯片手打預(yù)設(shè)信號時(shí)，就會產(chǎn)生電流，引爆炸藥。

信息安全自欺欺人必然付出血的代價(jià)

當(dāng)下，國產(chǎn)化替代工作如火如荼，但在實(shí)踐中，國產(chǎn)化已經(jīng)成為唐僧肉，妖魔鬼怪都來分一杯羹。不少公司把國外的技術(shù)引進(jìn)后就聲稱自研，或者把開源代碼拿回來略作修改就標(biāo)榜自主。在實(shí)踐中，能否入圍采購不看硬件和軟件的自主性、安全性、性價(jià)比，反而是拼關(guān)系、拼背景。這些做法其實(shí)是往金融、電信、交通、醫(yī)療、黨政等系統(tǒng)植入特洛伊木馬。

由于海量外來技術(shù)的軟件和硬件已經(jīng)進(jìn)入各行各業(yè)，這幾年的信創(chuàng)對信息安全的提升只能說是聊勝于無，只能感慨世界是一個(gè)草臺班子，只能慶幸華夏處于和平狀態(tài)，一旦陷入類似于俄羅斯的局面，在信息戰(zhàn)中的表現(xiàn)未必會比俄羅斯強(qiáng)。