在現(xiàn)代微芯片中，一些晶體管的尺寸已經(jīng)縮小到比新冠病毒還要小十分之一的程度，這些微小的電荷作為計(jì)算基礎(chǔ)的0和1，很容易受到干擾。一束散射的光子就足以讓電子錯(cuò)位，干擾計(jì)算機(jī)程序?；蛘?，通過更有針對性的激光精確照射，也可以達(dá)到同樣的效果?，F(xiàn)在，這種物理學(xué)上的電腦漏洞利用技術(shù)即將向更多的硬件黑客開放。

首個(gè)開源激光芯片黑客工具誕生

在即將于拉斯維加斯舉行的Black Hat網(wǎng)絡(luò)安全會議上，安全公司NetSPI的黑客Sam Beaumont和Larry “Patch” Trowell計(jì)劃展示他們研發(fā)的新型激光黑客設(shè)備——RayV Lite。

安裝在3D打印框架上的RayV Lite組件

兩位黑客打算將這款工具的設(shè)計(jì)和組件列表開源發(fā)布，目的是讓任何人都能通過激光手段來逆向工程芯片，觸發(fā)它們的漏洞，并揭露它們的秘密——這些方法過去只有財(cái)大氣粗的企業(yè)巨頭、學(xué)術(shù)實(shí)驗(yàn)室和政府機(jī)構(gòu)的研究人員才能使用。

目前最先進(jìn)的商業(yè)光基黑客工具，如Riscure Laser Station，通常價(jià)格高達(dá)15萬美元，超過了一輛法拉利跑車的價(jià)格，即使是低預(yù)算版本的價(jià)格也接近1萬美元。然而，通過3D打印、商品組件選擇和巧妙的物理技巧，Beaumont和Trowell以一輛自行車的成本（不到500美元）發(fā)出了類似工具。

兩位黑客表示，創(chuàng)造并發(fā)布這款超廉價(jià)芯片黑客工具的設(shè)計(jì)，旨在證明激光故障注入或激光邏輯狀態(tài)成像等激光利用技術(shù)比許多硬件設(shè)計(jì)師（包括NetSPI的一些客戶）想象的更為可行。通過展示這些方法可以極低成本實(shí)現(xiàn)，他們希望能敦促硬件制造商加強(qiáng)對這種小眾但奏效的黑客技術(shù)的防范，同時(shí)為全球DIY黑客和研究人員提供一種新研究工具。

Beaumont認(rèn)為RayV Lite代表著一種潮流，那就是“高端黑客工具的家庭化”：像ChipWhisperer和HackRF這樣的設(shè)備已經(jīng)使電磁或基于無線電的黑客技術(shù)變得更加便宜和易于獲取。

長期從事硬件黑客工作、現(xiàn)為電動汽車充電公司Alpitronic產(chǎn)品安全負(fù)責(zé)人的Adam Laurie在仔細(xì)評估了Beaumont和Trowell的激光黑客工作后表示：“它將此類工具從超昂貴的學(xué)術(shù)或國家黑客平臺轉(zhuǎn)移到了車庫，那里才是創(chuàng)造性工作真正發(fā)生的地方?！?/p>

RayV Lite的工作原理

在開發(fā)RayV Lite時(shí)，Beaumont和Trowell專注于兩種不同的激光黑客方法。一種是激光故障注入（LFI），它使用短暫的光束來干擾處理器晶體管的電荷，“翻轉(zhuǎn)”位元從1到0或反之亦然。

在某些情況下，小心地觸發(fā)這些位元翻轉(zhuǎn)可能會產(chǎn)生更大的效果。例如，在他們測試的一款汽車芯片中，在某個(gè)特定時(shí)刻用激光干擾該芯片可以繞過一個(gè)安全檢查，將芯片的固件置于未受保護(hù)狀態(tài)，進(jìn)而可以掃描其原本混淆的代碼以找到漏洞。

Beaumont和Trowell表示，許多加密貨幣硬件錢包也容易受到LFI的攻擊，比如在芯片請求PIN碼以解鎖加密密鑰的那一刻進(jìn)行干擾。“你取下加密錢包的芯片，在正確的時(shí)間用激光照射它，它就會假定你擁有PIN碼，”Trowell說，“它會跳過指令，直接給你密鑰。”

第二種激光黑客技術(shù)被稱為激光邏輯狀態(tài)成像，它專注于實(shí)時(shí)監(jiān)視芯片的架構(gòu)和活動，通過激光光束反射并捕捉結(jié)果（類似于相機(jī)或顯微鏡），然后進(jìn)行分析——在Beaumont和Trowell的工作中，這通常通過機(jī)器學(xué)習(xí)工具完成。由于激光光線根據(jù)其電荷反射硅的方式不同，這種技巧使黑客不僅能夠繪制出處理器的物理布局，還能夠提取其晶體管存儲的數(shù)據(jù)，從而揭示其處理的數(shù)據(jù)和代碼的線索，其中可能包含敏感信息。

RayV Lite如何做到超低成本

在RayV Lite的首個(gè)版本中，Beaumont和Trowell為該工具設(shè)計(jì)了兩個(gè)不同的版本，每個(gè)版本適用于這兩種激光黑客技術(shù)之一。目前，他們只發(fā)布了激光故障注入模型，并希望在幾個(gè)月內(nèi)推出激光邏輯狀態(tài)成像版本。

這兩種版本將使用相同的基本組件和相同的DIY成本削減技巧。例如，該工具的機(jī)身基于一個(gè)名為OpenFlexure的開源3D打印顯微鏡模型，該模型利用3D打印的PLA塑料的靈活性來實(shí)現(xiàn)激光的精確瞄準(zhǔn)。目標(biāo)芯片被安裝在固定于打印塑料杠桿上的底盤上，由步進(jìn)電機(jī)推動微小的三維移動。通過這種塑料彎曲技巧和透鏡聚焦的激光，Beaumont和Trowell表示，RayV可以精確到納米級別的晶體管組。（PLA塑料確實(shí)會磨損，但Beaumont指出，整個(gè)RayV Lite的機(jī)身可以只需幾美元重新打印。）

另一個(gè)使Beaumont和Trowell能夠大幅降低RayV Lite成本的創(chuàng)新，是由倫敦皇家霍洛威大學(xué)的一組學(xué)術(shù)研究人員首次實(shí)現(xiàn)的，他們構(gòu)建了自己的低成本激光故障注入工具。該創(chuàng)新發(fā)現(xiàn)，激光芯片黑客攻擊可以使用遠(yuǎn)比之前認(rèn)為的更便宜的激光器組件，這是因?yàn)榧词故禽^低功率的激光器在較長時(shí)間間隔（盡管仍在毫秒內(nèi)）內(nèi)發(fā)射，也能達(dá)到較高功率激光器在較短時(shí)間內(nèi)發(fā)射的同等效果。

這一發(fā)現(xiàn)使得Beaumont和Trowell能夠使用價(jià)格不到20美元的激光器，并且大大節(jié)省了激光器的電力和設(shè)備成本?！叭藗儾粫S身攜帶大功率激光器，”Beaumont說，“但你可以用激光指示器來做這件事，這實(shí)際上是我們現(xiàn)在正在做的?！保ūM管如此，Beaumont和Trowell警告說，任何使用即使是低功率激光器的人都應(yīng)佩戴護(hù)目鏡。）

實(shí)際上，RayV Lite最昂貴的組件是用于聚焦的鏡頭和用作計(jì)時(shí)機(jī)制的FPGA芯片，每個(gè)約100美元，以及用于控制和編程的68美元的Raspberry Pi微型計(jì)算機(jī)。

汽車、醫(yī)療行業(yè)的“混淆”安全策略面臨空前危機(jī)

高端黑客工具的貧民化意味著過去專業(yè)技術(shù)領(lǐng)域流行的“混淆”安全策略正在面臨空前的威脅和危機(jī)。

除了“激光酷”的普遍印象外，Trowell表示，是越來越多的易于獲取的激光黑客技術(shù)研究促使她和Trowell構(gòu)思了RayV Lite，同時(shí)他們還觀察到客戶對激光黑客技術(shù)的難度存在誤解。

一些用于工業(yè)控制系統(tǒng)、汽車和醫(yī)療設(shè)備的高度敏感設(shè)備將容易受到激光故障注入或激光邏輯狀態(tài)成像的攻擊。Trowell指出，制造業(yè)需要認(rèn)識到，利用激光破解這些關(guān)鍵設(shè)備內(nèi)部芯片的想法并不像他們可能認(rèn)為的那樣深奧或遙不可及。

“靠混淆來實(shí)現(xiàn)的安全性并不能長期依賴，特別是在我們處理關(guān)鍵基礎(chǔ)設(shè)施或我們家中和心臟中的設(shè)備時(shí)。”Beaumont說。