中國資訊硬體輸美的資安威脅
2018.10.12
瀏覽數
117
壹、新聞重點
2018年10月4日《彭博商業週刊》(Bloomberg Businessweek,簡稱彭博)報導:中國在出口至美國的主機板上植入微型晶片以方便駭客侵入,受害者多達30家企業,包括蘋果公司(Apple Inc.)及亞馬遜(Amazon)等知名廠商。更嚴重的是,美國政府部門及軍方單位亦有使用被植入惡意晶片的主機板,造成極大的資訊安全威脅。
此報導引發軒然大波,導致科技類股震盪,蘋果公司與亞馬遜極力否認;美國聯邦調查局(Federal Bureau of Investigation, FBI)以及國家情報總監辦公室(Office of the Director of National Intelligence)則是拒絕評論(declined to comment)。《彭博》堅稱,根據對於17位前任、現任政府官員以及企業內部人士的訪談,證實有此一硬體攻擊情況發生。10月10日《彭博》又有後續報導,指出美國一家主要的電信公司也受害,證據由一名替該公司進行檢查的安全專家所提供。
貳、安全意涵
基本科技(Elemental Technologies)公司製造用來壓縮影片的伺服器,其產品為美國國防部資料中心、中央情報局(Central Intelligence Agency, CIA)、海軍艦艇、國家航空暨太空總署(National Aeronautics and Space Administration, NASA)、國土安全部(Department of Homeland Security, DHS)及其他政府機關採用,這些伺服器的主機板是由超微電腦公司(Super Micro Computer Inc.,簡稱超微)在台灣以及大陸的工廠生產。[1] 《彭博》指出,2015年亞馬遜在第三方安全公司的檢查下,發現超微的主機板有一個不在原始設計圖中,約鉛筆筆尖大小的微型晶片,在亞馬遜向情治單位舉報後,美國政府開始調查此事,發現此惡意晶片是由中國人民解放軍旗下單位,在主機板於中國工廠生產時植入。
一、硬體攻擊危險性更甚軟體攻擊
此微型晶片焊接在主機板上連接基板管理控制器的匯流排,基板管理控制器是系統刻意留下的後門,讓管理員即便在伺服器當機或關閉的情況下,仍然可以從遠端登入。透過植入的晶片,駭客可以進入伺服器存取數據,還能下達指令並欺騙作業系統,而讓晶片連接到基板管理控制器,不但可讓駭客修改作業系統的內核程式,還可和網路上的不明電腦進行連線通訊。 [2]
簡言之,硬體攻擊是直接在電腦設備中創造出一條路徑,讓駭客得以進入竊取資料。由於是硬體的一部份,這條路徑會長期存在;而且它不是電腦病毒,而是利用機器語言操作,無法藉由防毒軟體的更新來察覺並移除;更糟糕的是,由於是在設備製造過程中就被植入,終端客戶會在毫無戒心的情況下就開始使用。因此,硬體攻擊會比軟體攻擊來得更嚴重,也更難擺脫,造成危險性更高的安全威脅。
二、供應鏈攻擊成為資訊安全新挑戰
植入硬體有兩種方式:一種是在設備運送的過程中植入,另一種是在設備製造的過程中植入。《彭博》指出,中國在後者具有一項最大的優勢,就是全世界75%的手機以及90%的個人電腦都是由中國製造。即便如此,要進行硬體攻擊的難度仍然極高,一具電腦設備包含許多零組件,分別由全球科技供應鏈的多家廠商提供,攻擊者必須熟知產品設計、生產流程、以及供應鏈上的廠商分工,才有辦法製造出適合的惡意晶片並植入;另外,攻擊者還要能掌握客戶訂單以及產品的物流運輸過程,才能確保植入惡意晶片的電腦設備能送達其所要攻擊的目標。由於這種透過全球科技供應鏈進行攻擊的方式難度極高,過去少有人注意,但這個任務一旦完成,將會導致嚴重後果且非常難以防範,這是當前資訊安全的新挑戰。
參、趨勢研判
一、美國將持續擴大對中國資訊硬體輸美的限制
《彭博》指出,人民解放軍硬體攻擊的目標是具有商業價值的先進科技以及美國軍方的機密,報導中並未證實有個人資料外洩,也未提及有多少機密資料遭到竊取。儘管蘋果公司、亞馬遜、以及製造主機板的超微極力否認有被植入惡意晶片的情事,此報導無疑會讓美國對於中國所製造的資訊硬體產生更大的疑慮。10月5日美國國防部公布《美國國防產業與製造業之基礎及供應鏈彈性評估及強化》報告(Assessing and Strengthening the Manufacturing and Defense Industrial Base and Supply Chain Resiliency of the United States),指出對美軍重要原物料與零組件的供給而言,中國已是顯著且持續升高的風險,[3] 可以預期,美國將會擴大對於中國資訊硬體輸入的限制。先前的中美貿易戰已經將中國資訊硬體的關稅提高,未來除了再度提高關稅外,還可能祭出更嚴厲的措施,例如以配額限制進口數量,甚或是全數禁止進口,也就是說,中美貿易戰還有繼續升高的可能性。
二、全球科技供應鏈的重組將會加快
由於透過供應鏈進行的硬體攻擊所可能造成的後果太嚴重,美國勢必會開始加強全球科技供應鏈的安全防護,釜底抽薪之計就是讓資訊硬體的製造廠商撤出中國,以徹底根除被植入惡意零組件的機會。在中美貿易戰開打之後,為避免關稅壓力,已經有廠商將生產線搬離中國,也就是全球科技供應鏈已經開始重組。在此硬體攻擊手法被揭露以後,美國可能會採取措施,讓本國甚至他國的資訊硬體廠商將其在中國的工廠移至他處,如此將會加速此一重組過程。這對台灣的資訊產業不啻為一個契機,應該密切注意以尋求能更深度整合進入全球科技供應鏈的機會。
[1]超微電腦公司由台灣人梁見後創辦,是伺服器主機板的大廠之一,在《彭博》的報導中,被形容為「硬體界的微軟(Microsoft)」。
[2]羅綺,〈美政府、30家企業被中國植惡意晶片〉,《自由時報》,2018年10月6日,http://ec.ltn.com.tw/article/paper/1237394。
[3]林奕榮,〈五角大廈最新報告供應鏈紅色警戒升高〉,《經濟日報》,2018年10月6日,https://udn.com/news/story/6813/3406529。