曼哈頓街頭大批車輛被遠端遙控,上百台車從城市的各角落傾巢而出並匯流成「殭屍車大軍」,在駭客指令下停在高樓內的數十輛車一齊衝出窗戶,形成龐大「車雨」從天砸下。這是《玩命關頭8》中最經典的畫面。看似離奇驚悚的電影情節,實則已發生於現今社會。
除了四年前米勒(Charlie Miller)和克里斯(Chris Valasek)入侵克萊斯勒吉普車系統,控制車速、方向盤及煞車,2016年網路攝影機(IPCam)遭Mirai惡意程式侵入,成為殭屍網路大舉入侵DNS服務供應商Dyn,影響Amazon和Twitter服務。2017年英國國家醫療服務(National Health Service, NHS)遭惡意軟體攻擊,波及內部數萬文件存取。2018年新加坡醫療保健集團(SingHealth)內部系統遭到駭客入侵,估計150萬人個資外洩。綜觀上述事件,無一不精心策劃。正所謂「駭客不打沒有利益的仗」,如何權衡駭客心理、充分備戰,是每個廠商不得忽略的課題。
駭客經濟學及關鍵手法
駭客攻擊手法多元,動機不同,依照所需設備及工具,成本也不盡相同。根據Arm TrustZone文件,一般的手法分為傳統軟體攻擊(Hack attack)、店舖硬體攻擊(Shack attack)、實驗室硬體攻擊(Laboratory attack)。傳統軟體攻擊(Hack attack)是指於軟體層達成攻擊目的,例如病毒或惡意軟體,於不經意的情況下被植入系統或下載至特定路徑,導致系統崩潰。2017年的勒索蠕蟲(WannaCry)便是此類。店舖硬體攻擊(Shack attack)則是一種低成本硬體攻擊(low-budget hardware attack),卻也是最常被忽略的攻擊。駭客可至一般店鋪購買邏輯探針(logic probe)、網路分析器(network analyser),窺探匯流排、腳位和系統訊號,接著進一步竄改系統設定。最後一種實驗室硬體攻擊(Laboratory attack),為最全面也最侵入式的攻擊。駭客可利用顯微探針及雷射攻擊晶片,亦可透過量測功耗及電磁輻射推算密鑰。基本上該等級的攻擊無堅不摧,因此產品的安全設計不應僅僅著重於抵抗攻擊,而是思考如何讓被攻擊後的損失降到最低。如此一來,駭客便會因著高成本的攻擊無法得到相對應的報酬而作罷。此外,廠商大量生產時,亦須注意每台設備是否儲存相同的金鑰資訊(Secret),避免駭客攻破一台設備後,號召其他設備發動大規模攻擊(雄邁網路攝影機及監控攝影機事件)。
新經濟 心思維
除了掌握駭客動機及手法,快速變動的世界正在重新雕塑資安實現的樣貌。從過去網址開頭Http到現在加入新成員s,填寫報稅單到自然人憑證隨插即報,各自為政到雲端集中認證及管理,傳統網路交易到區塊鏈應用,數百組帳密到FIDO協議,印證了密碼應用已在短時間內發展到極高水平。傳統資安架構已成為過往,密碼應用成為產品應用的一環,亦即現今的資安實現不再是用「密碼應用」來保護「產品應用」,而是在精通密碼學的前提下利用「安全設計」來保護「產品應用」及其中的「密碼應用」,在安全設計的宏觀視野,有效整合密碼應用至系統,藉系統層級(System-level)的安全設計將被攻破的的損失及風險降至最低。
匯智安全科技 - 明日方舟應運而生
駭客破解手法與時俱進,資安實現也隨著物聯網及雲服務的興起而日趨複雜。在不久的將來,越來越多系統將以密碼應用為核心建構安全基礎建設(Security Infrastructure),這也意味著安全基礎建設的核心--金鑰--將成為駭客首要攻擊目標。以虛擬貨幣為例,過去軟體基礎的熱錢包(Hot wallet),爆發多次交易所貨幣及個人錢包遭駭的事件,喚醒大眾對冷錢包(Cold wallet)的重視。以硬體為基礎的冷錢包,內嵌安全元件(Secure element)保護用戶私鑰,讓私鑰在進行簽章交易時有效被保護。然而,知名廠牌冷錢包隨後卻被報導,駭客能利用店鋪設備破解金鑰,原因是金鑰的使用過程存在漏洞。因為在冷錢包的交易架構下,公私鑰的生成、使用、保存、銷毀等,從軟體層到硬體層,從金鑰生命週期的起初到末了,包括金鑰建立(Key establishment)、金鑰推導(Key derivation)、金鑰管理(Key management)、金鑰更新(Key update)等等,都須設計到每一環節皆無致命漏洞可乘。由此可證,當「密碼應用」成為「產品應用」的一環時,以安全設計的宏觀角度出發才能實現資安價值。
日趨複雜的資安實現,日新月異的攻擊手法,在新型態安全基礎建設的時代中,勢必需要精通密碼學、具備宏觀視野及大格局來實現資安的角色。匯智安全科技立足硬體資安領域,在快速變動又充滿不確定性的新數位經濟浪潮下,為客戶提供高安全強度的標準化密碼模組,並引導客戶正確使用,打造通往明日數位經濟(AIoT, Blockchain, FinTech)的挪亞方舟。
匯智安全科技成立於2019年,研發團隊累積多年硬體安全設計經驗,成功守護客戶百億資產,以宏觀的安全設計眼界開發硬體密碼模組,讓客戶隨心所欲使用密碼服務。此外,立基於台灣頂尖的學術能量,掌握國際密碼研發脈動,讓客戶無縫接軌到量子電腦時代。