解決IT供應鏈攻擊


我先前的文章曾表示過，對彭博社「中國置入硬體間諜晶片到美國企業使用的伺服器主機版上」這份報導高度懷疑。中國一直主動積極打探美國企業的消息，這我相信，而且早已竊取大部份有興趣的智慧財產機密。中國用自已的方式，成為全世界領導經濟的霸權，而製造電腦晶片是這個力量方程式的重點。我不認為他們會明目張膽讓這份事業置於險境。
若要說彭博社這篇文章帶來什麼好處，那就是將供應鏈問題帶到第一線。若近乎所有電腦裝置與晶片皆由潛在敵人所製造，要怎麼確保你買的東西裡沒有蓄意的臭蟲，甚至間諜晶片？
“若近乎所有電腦裝置與晶片皆由潛在敵人所製造，要怎麼確保你買的東西裡沒有蓄意的臭蟲，甚至間諜晶片？”

供應鏈集結所有實體，這些實體提供產品與服務給其他需要的實體，為顧客提供產品與服務。理論上，任何實體無論知情與否都能導入影響最終產品的不安全因子。這正是彭博社作者與他們的匿名消息來源暗指的：間諜晶片可以置入最後會安裝在伺服器裡的主機板上，供國外公司行號使用。

IT供應鏈風險一直都在

這不是新的議題。全世界最優秀的安全性分析師、情報機構與資安團隊，十年來都在處理這個問題。它已成為極大隱憂，可能是所有國家都要面對的最大問題之一。在這個彼此相連的世界，要如何信任供應鏈裡涉及的這麼多不同元件與公司企業？
好吧，我們一開始就已經信任它，而且已經這麼作超過半個世紀。從個人電腦發明至今，我們就生活在電腦裝置供應鏈的風險中。電腦從開始到以後都會有國外供應的晶片。到目前為止，除了偶有的媒體爆料，遭國外敵人入侵的狀況消息少之又少-視試圖保護的國家而定。不僅美國有供應鏈信任問題。如我上周所指，NSA與FBI將間諜軟硬體置入對手供應鏈裡也是眾所周知。
我們對成本與風險的取捨處理的很好。沒錯，透過供應鏈的入侵是有幾次，但它不會廣泛散播。還是它其實會？可惜的是，全世界沒有檢查或偵察惡意置入間諜軟硬體的協同合作模式，我們其實不知道問題究竟有多糟。當你無法為事物標上價格時，就很難分析成本與利益。

供應鏈維持現狀不是好主意

那麼，有個解決方案就是不要解決方案：維持原樣。目前就我們所知，國家利用供應鏈惡意誘發的入侵事件極少。一個國家太過頻繁破壞供應鏈，就沒有其他國家買他的晶片。這是自救解決方案。我們利用這樣的「策略」至今一直非常好。

何時使用偵察與監管的供應鏈策略？

如何評估敵人惡意入侵國家供應鏈的風險，尤其是軍事武器相關，像美國多年來一直對北韓所作的？若你對這件事感到陌生，這裡簡單介紹一下北韓先前測試彈道發射火箭的一連串「壞運氣」，那時火箭不是在起飛時爆炸，就是起飛後不久就漸漸偏離航線，供應鏈出了問題，美國可能涉入其中。當俄羅斯介入協助北韓擺脫這個供應鏈問題後，這些彈道式火箭不再爆炸且維持在航道裡。誰說這種事不會發生在美國或其他國家身上？
首先，軍隊對最重要的基礎架構，已有預防供應鏈問題的專案。美國政府諸多層級也都有查看惡意供應鏈問題的專案。這正是我不相信中國間諜晶片已廣泛漫延整個美國的原因。
問題在於，什麼層級的供應鏈需要開始嚴格監控？例如我們都知道有成千上萬的弱點wifi路由器與網路攝影機，它們大部份只是「以消費者為主」。我們怎麼知道國外敵人，不會利用重要基礎架構公司的工程師或管理高層家裡的路由器或網路攝影機弱點(或嬰兒監控設備)？我們不知道。
持對立看法的學院派論點「保持現狀」，是指必須檢查所有電腦裝置是否有間諜硬體、軟體與韌體。這件事可以交由政府或業界組織(像是安全檢測實驗室(Underwriter's Laboratories；UL)或消費者報告(Consumer Reports))來做。問題在於，所有政府都想監視自已與其他國家的人民。要求政府確保一切安全沒有探察行為，無疑是要狐狸保護雞舍。但同時，我也不確定沒有政府的參與，能否完成必須做到的任務。


供應鏈解決方案要全球性

要在IT供應鏈裡逐漸建立信任，必須從全球全面性聲明開始，所有簽署國都要同意：「我們不會蓄意、惡意引發供應鏈議題進行破壞。」這類聲明。我覺得這個不錯，因為這為政府預留空間利用已發現的「零日攻擊」（0day攻擊，zero day exploits），但又不涉及引發。單有這樣的承諾，對全世界而言就是極大的勝利。
再者，我們需要政府建立國家資助的監管組織，有點類似安全檢測實驗室(UL)，只是重點放在測試與查明電腦裝置的供應鏈問題。任何民眾都能購買沒有供應鏈「認可標章」的裝置，但他們知道這麼作會讓自已處於供應鏈相關問題的極高風險。這可以讓想要免於供應鏈攻擊的人與實體更有保障，同時也讓需要超越正規框架更快革新的公司企業放手去作。
任何國家，都需要由國家建立與資助的監管組織，尋找供應鏈問題但又不直接由政府管理。這是不完美。就像要求狐狸付錢給保護雞舍的牧羊人，但我沒看到任何實際的方式，在供應鏈安全性解決方案上真的有用。或者，我們就維持現狀，抱持最好的希望。