在现代微芯片中,一些晶体管的尺寸已经缩小到比新冠病毒还要小十分之一的程度,这些微小的电荷作为计算基础的0和1,很容易受到干扰。一束散射的光子就足以让电子错位,干扰计算机程序。或者,通过更有针对性的激光精确照射,也可以达到同样的效果。现在,这种物理学上的电脑漏洞利用技术即将向更多的硬件黑客开放。
首个开源激光芯片黑客工具诞生
在即将于拉斯维加斯举行的Black Hat网络安全会议上,安全公司NetSPI的黑客Sam Beaumont和Larry “Patch” Trowell计划展示他们研发的新型激光黑客设备——RayV Lite。
安装在3D打印框架上的RayV Lite组件
两位黑客打算将这款工具的设计和组件列表开源发布,目的是让任何人都能通过激光手段来逆向工程芯片,触发它们的漏洞,并揭露它们的秘密——这些方法过去只有财大气粗的企业巨头、学术实验室和政府机构的研究人员才能使用。
目前最先进的商业光基黑客工具,如Riscure Laser Station,通常价格高达15万美元,超过了一辆法拉利跑车的价格,即使是低预算版本的价格也接近1万美元。然而,通过3D打印、商品组件选择和巧妙的物理技巧,Beaumont和Trowell以一辆自行车的成本(不到500美元)发出了类似工具。
两位黑客表示,创造并发布这款超廉价芯片黑客工具的设计,旨在证明激光故障注入或激光逻辑状态成像等激光利用技术比许多硬件设计师(包括NetSPI的一些客户)想象的更为可行。通过展示这些方法可以极低成本实现,他们希望能敦促硬件制造商加强对这种小众但奏效的黑客技术的防范,同时为全球DIY黑客和研究人员提供一种新研究工具。
Beaumont认为RayV Lite代表着一种潮流,那就是“高端黑客工具的家庭化”:像ChipWhisperer和HackRF这样的设备已经使电磁或基于无线电的黑客技术变得更加便宜和易于获取。
长期从事硬件黑客工作、现为电动汽车充电公司Alpitronic产品安全负责人的Adam Laurie在仔细评估了Beaumont和Trowell的激光黑客工作后表示:“它将此类工具从超昂贵的学术或国家黑客平台转移到了车库,那里才是创造性工作真正发生的地方。”
RayV Lite的工作原理
在开发RayV Lite时,Beaumont和Trowell专注于两种不同的激光黑客方法。一种是激光故障注入(LFI),它使用短暂的光束来干扰处理器晶体管的电荷,“翻转”位元从1到0或反之亦然。
在某些情况下,小心地触发这些位元翻转可能会产生更大的效果。例如,在他们测试的一款汽车芯片中,在某个特定时刻用激光干扰该芯片可以绕过一个安全检查,将芯片的固件置于未受保护状态,进而可以扫描其原本混淆的代码以找到漏洞。
Beaumont和Trowell表示,许多加密货币硬件钱包也容易受到LFI的攻击,比如在芯片请求PIN码以解锁加密密钥的那一刻进行干扰。“你取下加密钱包的芯片,在正确的时间用激光照射它,它就会假定你拥有PIN码,”Trowell说,“它会跳过指令,直接给你密钥。”
第二种激光黑客技术被称为激光逻辑状态成像,它专注于实时监视芯片的架构和活动,通过激光光束反射并捕捉结果(类似于相机或显微镜),然后进行分析——在Beaumont和Trowell的工作中,这通常通过机器学习工具完成。由于激光光线根据其电荷反射硅的方式不同,这种技巧使黑客不仅能够绘制出处理器的物理布局,还能够提取其晶体管存储的数据,从而揭示其处理的数据和代码的线索,其中可能包含敏感信息。
RayV Lite如何做到超低成本
在RayV Lite的首个版本中,Beaumont和Trowell为该工具设计了两个不同的版本,每个版本适用于这两种激光黑客技术之一。目前,他们只发布了激光故障注入模型,并希望在几个月内推出激光逻辑状态成像版本。
这两种版本将使用相同的基本组件和相同的DIY成本削减技巧。例如,该工具的机身基于一个名为OpenFlexure的开源3D打印显微镜模型,该模型利用3D打印的PLA塑料的灵活性来实现激光的精确瞄准。目标芯片被安装在固定于打印塑料杠杆上的底盘上,由步进电机推动微小的三维移动。通过这种塑料弯曲技巧和透镜聚焦的激光,Beaumont和Trowell表示,RayV可以精确到纳米级别的晶体管组。(PLA塑料确实会磨损,但Beaumont指出,整个RayV Lite的机身可以只需几美元重新打印。)
另一个使Beaumont和Trowell能够大幅降低RayV Lite成本的创新,是由伦敦皇家霍洛威大学的一组学术研究人员首次实现的,他们构建了自己的低成本激光故障注入工具。该创新发现,激光芯片黑客攻击可以使用远比之前认为的更便宜的激光器组件,这是因为即使是较低功率的激光器在较长时间间隔(尽管仍在毫秒内)内发射,也能达到较高功率激光器在较短时间内发射的同等效果。
这一发现使得Beaumont和Trowell能够使用价格不到20美元的激光器,并且大大节省了激光器的电力和设备成本。“人们不会随身携带大功率激光器,”Beaumont说,“但你可以用激光指示器来做这件事,这实际上是我们现在正在做的。”(尽管如此,Beaumont和Trowell警告说,任何使用即使是低功率激光器的人都应佩戴护目镜。)
实际上,RayV Lite最昂贵的组件是用于聚焦的镜头和用作计时机制的FPGA芯片,每个约100美元,以及用于控制和编程的68美元的Raspberry Pi微型计算机。
汽车、医疗行业的“混淆”安全策略面临空前危机
高端黑客工具的贫民化意味着过去专业技术领域流行的“混淆”安全策略正在面临空前的威胁和危机。
除了“激光酷”的普遍印象外,Trowell表示,是越来越多的易于获取的激光黑客技术研究促使她和Trowell构思了RayV Lite,同时他们还观察到客户对激光黑客技术的难度存在误解。
一些用于工业控制系统、汽车和医疗设备的高度敏感设备将容易受到激光故障注入或激光逻辑状态成像的攻击。Trowell指出,制造业需要认识到,利用激光破解这些关键设备内部芯片的想法并不像他们可能认为的那样深奥或遥不可及。
“靠混淆来实现的安全性并不能长期依赖,特别是在我们处理关键基础设施或我们家中和心脏中的设备时。”Beaumont说。