想到標(biāo)準(zhǔn)黑客工具包，軟件漏洞和惡意軟件就會進(jìn)入你的腦海。但兩名研究員正在測試一類完全不同的工具：揮一揮手就能侵入設(shè)備的物理工具。

最近的REcon計算機(jī)安全大會上，紅氣球安全公司創(chuàng)始人崔昂，研究科學(xué)家里克·豪斯利，展示了黑進(jìn)處理器芯片的一種新方法——用電磁脈沖在硬件中產(chǎn)生特定短時脈沖波形干擾。通過在精確的時間間隔干擾正?；顒樱摷夹g(shù)可令防止處理器運行不可信代碼的安全啟動( Secure Boot )保護(hù)失效。

研究人員幾十年來多次實驗過“缺陷注入攻擊”——引發(fā)關(guān)鍵故障，觸發(fā)可利用異常計算機(jī)行為的攻擊方式。但這些攻擊，通常都需要物理接觸到目標(biāo)的計算機(jī)部件。

崔昂稱：“該技術(shù)的優(yōu)勢在于，它在物理上不是侵入式的。你不用接觸到設(shè)備，也不會留下任何物理痕跡。在電磁脈沖階段沒有數(shù)據(jù)交換，所以永遠(yuǎn)不會被防火墻攔到。”

不安全啟動

紅氣球?qū)＞谖锫?lián)網(wǎng)入侵防御，可將之看做IoT殺毒軟件。但該公司在將自身安全工具植入受安全啟動保護(hù)的IoT設(shè)備上時，遇到了麻煩。紅氣球的產(chǎn)品不破壞該保護(hù)措施;該公司與供應(yīng)商合作，讓自身軟件兼容。但此兩難困境讓崔昂和豪斯利，對缺陷注入攻擊是否能規(guī)避IoT設(shè)備安全啟動的理論性問題，產(chǎn)生了巨大興趣。

他們開始在思科8861網(wǎng)絡(luò)電話這個之前沒能成功安裝他們安全產(chǎn)品的設(shè)備上進(jìn)行實驗。(崔昂有黑進(jìn)思科電話的經(jīng)驗。)兩位研究員發(fā)現(xiàn)，如果他們在設(shè)備啟動時，在正確的時機(jī)，以帶電導(dǎo)線觸碰電話的閃存，他們就能造成小故障停止啟動過程。然后，電話彈出思科常用來調(diào)試的命令行界面。正常情況下，消費者是不應(yīng)該看到這個調(diào)試命令行窗口的。

崔昂和豪斯利還在該電話處理器的信任域安全方案中發(fā)現(xiàn)了漏洞，讓他們可以在本應(yīng)受保護(hù)的處理器內(nèi)存中寫入代碼。(他們在2016年4月將這些漏洞報告給了思科。)一旦在啟動階段獲取到這個故障排除門戶，研究人員就能在處理器受保護(hù)區(qū)域，加載并執(zhí)行他們自己的代碼，重寫安全啟動。

不可見觸碰

手邊有根帶電導(dǎo)線就能進(jìn)行復(fù)雜的黑客活動，破解網(wǎng)絡(luò)電話設(shè)備。但崔昂和豪斯利想將該攻擊再推進(jìn)一步，并意識到，時機(jī)掐準(zhǔn)的電磁脈沖(EMP)沖擊波，也能制造同樣的故障。他們可以完全不碰到電話，就實現(xiàn)上述整個黑客行動。

實驗室級電磁(EM)脈沖設(shè)備需要數(shù)十萬美元，所以，研究員們用一臺3D打印機(jī)和現(xiàn)成組件，打造了一套自己的電磁脈沖系統(tǒng)，僅花了約350美元。他們計劃發(fā)布該自制系統(tǒng)設(shè)置的開源原理圖，以便其他研究人員也能使用。

最終，崔昂和豪斯利找到了觸發(fā)所需故障的精確時間點和脈沖電壓——在啟動4.62秒時對電話RAM施以300伏脈沖。激發(fā)出調(diào)試門戶后，他們就能用電話的控制臺端口——電話背面的輔助端口，在5秒鐘內(nèi)載入并運行他們的安全啟動復(fù)寫協(xié)議。

圣埃蒂安國立高等礦業(yè)學(xué)校硬件安全研究員讓-馬克思·迪泰特里說：“該攻擊的原理很精妙。找種辦法繞過時空解析問題總是那么高效。”

目前，該系統(tǒng)可距離電話機(jī)3毫米左右發(fā)送脈沖，所以，盡管不需要物理接觸，卻仍需要相當(dāng)接近。但是，攻擊者可拿著微型電磁脈沖產(chǎn)生器在設(shè)備旁輕輕一揮，就引發(fā)該關(guān)鍵故障。這可比打開電話戳跟導(dǎo)線進(jìn)去要隱蔽多了。

硬軟件安全測試公司 Riscure North America 首席技術(shù)官賈斯帕·范·伍登伯格說：“任一硬件攻擊，但凡需要攻擊者親自出現(xiàn)，就已經(jīng)是個巨大的障礙了。不過，這不失為一個不錯的概念驗證，表明只要你不注意此類攻擊，真實發(fā)生并非不可能。”

EMP掀翻的是什么

該攻擊難以實現(xiàn)，有部分原因要歸功于它針對的博通多核 1Ghz ARM 處理器?，F(xiàn)代處理器晶體管封裝密集，時鐘速度高，難以快速釋放電磁脈沖，也很難在不產(chǎn)生連帶傷害的情況下精確影響芯片上特定過程。

但是，若將設(shè)備內(nèi)部互聯(lián)組件(比如處理器、閃存和RAM)視作計算機(jī)網(wǎng)絡(luò)，研究人員便能創(chuàng)建更像是網(wǎng)絡(luò)黑客活動一樣的缺陷注入策略——攻擊系統(tǒng)最弱環(huán)節(jié)以侵入真實目標(biāo)，本案例中就是那強(qiáng)大的處理器了。

我們想看看電磁脈沖的二階效應(yīng)，因為它不僅影響單個機(jī)器，而是能影響到相互倚賴組件組成的整個復(fù)雜網(wǎng)絡(luò)，讓我們可以繞過傳統(tǒng)電磁缺陷注入的限制，用電磁脈沖可預(yù)見地改變計算機(jī)運算的方式。

隨著“電磁缺陷注入”攻擊方法變得更加健壯，保護(hù)組件不受非侵入式物理攻擊也就顯得更加重要了。一些超安全設(shè)備已經(jīng)包含了此類防御，因為進(jìn)一步精煉改良將不止應(yīng)用到風(fēng)險IoT設(shè)備上，全服務(wù)計算機(jī)上也將鋪開。“由于其實施的相對簡單性，此類攻擊可能會是災(zāi)難性的。”

雖然崔昂和豪斯利的研究嚴(yán)格按照概念驗證的形式呈現(xiàn)，但他們警告道：其他組織可能擁有遠(yuǎn)比學(xué)術(shù)界更強(qiáng)力的方法。

“我不認(rèn)為我們的研究是最深入的那個。我們只是在業(yè)余時間作為副項目來做。如果有人投入大量資源，他們肯定比我們做得深遠(yuǎn)。”