永远在，永远在危险中

永远在线的设备到处都是，每一种设备都是黑客的潜在目标。

虽然许多人将永远在线的设备与智能扬声器(如亚马逊Alexa或谷歌Home)或连接的安全摄像头联系在一起，但这只是系统中的一个组件。这些设备背后有更广泛的基础设施。因此，即使你关闭了数字助手/智能音箱的电源，它所连接的所有设备(无线或有线)通常都能正常工作。这些其他部分直接或间接地连接到互联网，并在没有人参与的情况下主动移动和存储数据。

在终端设备层面，关键字或声音、图像或气味自动唤醒的能力源于不同接口的不断进步，以及功率分区的改进。例如，森林中的烟雾传感器或工厂中的化学传感器，由于一些复杂的低功耗设计，单块电池可以使用10年或更长时间。

如今，有数十亿台这样的设备在使用，而且这个数字还在迅速增长。2018年12月，谷歌表示已售出5200万台谷歌家用设备。几周后，亚马逊透露，配备alexa的设备已售出超过1亿台。在中国，这些设备的销量也在飙升，百度、小米和阿里巴巴都报告了在这个市场的显著增长。

其中一些设备比其他设备更安全，尽管定义可能有很大差异。政府法规和标准远远落后于技术，而且并不总是清楚什么构成黑客攻击，什么是侵犯隐私，甚至什么是合法的。一位安全专家回忆起他和朋友们关于度假计划的谈话，结果发现他的收件箱里塞满了度假套餐的广告，以及到同一个目的地的广告。

而物联网设备获得了最多的关注，因为人们直接与它们交互的频率很高，永远在线技术也深深植根于商业技术。“关闭”的计算机可以被编程为在装载码头唤醒，也可以被编程为在公司局域网中唤醒以进行定期更新。使用类似的方法，整个车队可以在一夜之间更新，通常很少或根本不需要人为干预。

但要让“永远在线”技术工作，它必须连接到其他永远在线的设备，如路由器和调制解调器，这些设备反过来又连接到互联网。所有这些设备几乎无处不在，它们不断更新以提高吞吐量，并利用新的无线协议和改进的带宽选项。这使得需求保持在高位，而市场饱和度保持在低位。根据ResearchandMarkets的数据，无线路由器的销售额在2020年达到104.3亿美元，预计到2021年将增长到180.2亿美元。

技术的快速更新也使得解决所有漏洞变得困难。“谁真的知道你路由器的尖端——面向互联网的那部分是什么?”公司反篡改安全技术主管斯科特·贝斯特(Scott Best)问道Rambus．“我曾经在我的路由器和调制解调器之间的一个Linux盒子上运行过一些入侵检测软件，令人惊讶的是，什么东西甚至不费那么大力气就能进入你的系统。有些软件机器人会敲门，看看你是否打开了SNMP(简单网络管理协议)接口。在某些情况下，有人为此设置了一个脚本——甚至可能早在2001年——而且它仍然在运行。”

2016年Mirai僵尸网络攻击是一个非常明显的例子，说明了这类问题是如何被利用的。尽管Mirai摧毁了一些非常复杂的服务器，但它只是一个表面攻击。在任何网络中，通常至少有两到三台设备，而不是一台始终在线的设备。即使是电池很小的可穿戴设备，也经常会有另一个带有更大电池或插头的配套设备共享一些短距离连接协议，如蓝牙。

更多的处理器，更多的复杂性
自从个人电脑和分布式计算问世以来，计算机系统一直受到攻击，但这些攻击主要集中在软件上。芯片安全是一个相对较新的领域，直到最近，通过安全边界来保护芯片免受远程攻击还是相当简单的。这是可能的，因为你必须拥有一个芯片，才能弄清楚如何破解它，使用研磨机、探针和扫描电子显微镜来了解安全方案。

现在情况已经不同了，当涉及到异构芯片和封装设计时，这一点尤其令人担忧，其中可能有多个定制的处理元素和内存。每个处理元素都能够执行代码，而且几乎所有的处理元素都相互连接，并最终连接到其他设备和互联网。

“从理论上讲，任何处理器都可能代表某种安全漏洞，”Tensilica Xtensa处理器IP的产品营销总监George Wall说节奏．“它执行代码，访问资源，所以它可能成为目标。即使在处理器被用作大型应用程序处理器背后的深度嵌入式卸载引擎的情况下，黑客仍然可以进入那里，可能下载未经授权的代码，并导致卸载引擎行为不当。我们非常清楚这一点。”

无论攻击者如何获得入口，如果他们能够控制一个处理元素，他们就可以执行代码来接管整个系统。有了永远在线的设备，这可以在任何时候完成。各国政府尤其担心对公共设施的破坏、机密数据的传输，以及如何限制系统被劫持所造成的损害。

沃尔说:“由于它正在积极地‘监听’，它很容易受到未经授权的代码执行的攻击。”“你想要确保当它启动时，它在一个已知的状态下进行身份验证，它引导的代码是已知的，并且它的分区方式不会导致任何系统中断。实现这一目标总是一个挑战。”

新问题
当包含人工智能时，确保一个永远在线的系统变得更加困难，这对于越来越多的芯片设计来说是真的。在电子产品中使用人工智能的两个关键原因是优化系统的电源或性能，以及控制和不同功能的自动化，这也是为什么很难保护这些设备的原因。如果有些东西看起来不一样，那么几乎无法看到导致这种变化的原因。

真正的挑战在于训练数据，这可能会影响数百万台设备。很难发现可能导致终端设备行为发生重大变化的微小代码。即使是不总是开机的设备也可能被一个受损的系统打开或关闭。

“训练代码和训练数据是皇冠上的宝石，因为只有它们才能使系统正常运行，或根据它们应该执行的预期操作行事，”华为的安全IP架构师Mike Borza说Synopsys对此．“获得这些东西中的任何一个都可以让你影响系统的行为。它为植入特洛伊木马提供了非常有趣的机会，通过在人工智能系统中嵌入人们意想不到的行为，但可以由发明它的人随意触发。”

即使是经验丰富的程序员，这些潜伏代码通常也无法识别。博尔扎说:“你正在调整神经元之间的连通性、权重，以及这些神经元如何对环境中的事物做出反应。”“你需要能够看到并理解它将会做什么，这是一个挑战。我们现在正在寻找增强可观察性和可控性的方法，并让这些设备提供关于它是什么以及它们如何做出决定的反馈，这样当它们开始表现不佳时，你就可以诊断它们。在这种情况下，很容易嵌入一些行为，这些行为可以由正确的输入集、正确的输入序列或正确的图像集合触发，并产生对手想要的行为。”

开发解决方案
在安全性方面，没有唯一的答案来说明什么是最好的，即使是最好的解决方案在未来也可能不会那么好。在这种情况下，需要对始终在线的电路进行适当的分区，这样设备就不会被劫持并保持在线状态。

微软互联安全系统杰出工程师史蒂夫·汉纳说:“永远在线没有什么神奇的。英飞凌科技．“然而，很少有设备需要99.999%的正常运行时间。你的车没有。你把它关掉。灯泡、电脑和手机也是如此。他们需要停机时间，因为如果你没有机会更新固件，那么随着时间的推移，这些设备会变得越来越不安全。有些系统需要99.999%的正常运行时间——比如蜂窝接入点、云服务器或工业控制系统——而且它们往往有双处理器，这样它们就可以在一个处理器继续工作时重新启动。这就是保持高可靠性的技术。大多数物联网设备都不具备这一点，即使具备了这一点，也会包含双处理器和冗余电源等功能。”

与所有安全措施一样，关闭安全漏洞不会永远持续下去，由于不同的原因，这是一个日益严重的问题。随着芯片越来越多地应用于汽车和工业应用，以及数据中心，原始设备制造商正在寻求延长其使用寿命。从安全的角度来看，问题是，今天被认为是最先进的安全技术，在5年或10年后可能相对容易被破解。安全性需要随着时间的推移而发展，有时与运行在其上的系统或软件的速度不同。对于永远在线的电路来说，这变得更加必要。

“一旦你修好了什么东西，其他人就会拿出一些巧妙的东西，这就是零日方法的原因，”该研究所研究员加津德•帕内萨(Gajinder Panesar)表示西门子EDA．解决这个问题的一种方法是提供足够的数据，然后分析这些数据以确保事情没有改变。所以这归结为模式——有一种东西可以在不影响行为的情况下观察芯片内的活动，也不会向潜在的黑客泄露信息。你需要某种内省基础设施，这种基础设施应该能够提供诸如“这是从这个CPU到那个外围设备的事务序列”之类的信息。“应该总是一样的。“当这种活动发生时，这是应该发生的。“系统应该被告知这是正确的行为，更重要的是，它应该知道这是正确的行为，特别是在空中更新的情况下。为此，我们可以将事务视为模式，但也可以在飞行中创建签名，并将这些签名用于正确的行为。”

因此，虽然不可能预测所有未来的威胁，但创建一个可以进化的架构是可能的。Cadence 's Wall表示:“这可以追溯到预先定义安全架构。“产品的安全目标是什么?系统中的每一个元素都有什么限制呢?您还需要定义将采用何种监控或干预措施来检测或纠正任何类型的安全违规。这类似于这个行业在内存方面所做的ECC。当比特被翻转时，这些系统可以检测并纠正。在功能安全领域，你要为子系统中的每个处理元素建立非常明确的目标。”

但系统也只能保护自己到此为止。终端用户以及提供更新和安全补丁的公司也需要做一些努力。

“在过去，这些新产品的推出是非常散漫的，”该公司信任与安全产品经理约翰•霍尔曼(John Hallman)表示OneSpin解决方案．“我们的文化已经采用了旧的方法，快速推出更新，盲目地接受它们和更新附带的条款。没有人想要阅读所有的小字和免责声明或软件或固件更新附带的发布说明。我们已经失去了捕捉这么多此类更新的纪律意识，对手或攻击者只是利用这种缺乏纪律的情况，能够将东西塞进这些更新中。”

结论
在过去，大多数人晚上都会关掉电子设备，不管他们是在家里还是在办公室。但随着越来越多的功能和接口的开发，越来越多的这些设备只是关闭了电源，至少有一些电路还在运行，以处理特定的操作。

Rambus的Best说:“有些传感器系统无法合理地关闭电源。”“他们可以进入低电量状态，但绝对不会进入深度睡眠状态。例如，当你启动你的汽车时，你的倒车摄像头仍然是开着的，因为人们在一切都设置好之前就把汽车倒车了。这个系统，所有的碰撞传感器和平视显示器立即启动。你不希望司机倒车撞到墙上，但你也不在乎连接到Sirius收音机需要10秒钟。”

从安全的角度来看，这是一种风险。随着芯片和系统变得越来越复杂，随着它们的适应和定制，安全漏洞的风险也越来越大。永远在线的芯片或设备只会加剧风险，随着这些设备的激增，风险会继续扩大。

相关的
半导体安全知识中心
关于半导体安全的顶级故事，特别报告，视频，博客
安全研究位
在8月21日USENIX安全研讨会上发表了新的安全技术论文。
新的安全方法，新的威胁
防止入侵的技术和技术正变得越来越复杂，但攻击也越来越复杂。
物联网安全:混乱和碎片化
法规和合规性不一致，而且往往不充分，但增加更好的安全性会提高成本，并影响性能和功率。
延长芯片寿命的设计问题
专家:让系统运行几十年可能会导致一系列问题，从兼容性和更新的完整性到意外的安全漏洞。