信息安全弄虛作假必以鮮血為代價

不久前，安全部門披露一些境外生產的芯片、智能設備或者軟件可能在設計制造階段就被故意預埋了“后門”，廠商可以通過特定信號對設備進行遠程操控，如自動開啟攝像頭、麥克風，或命令后臺自動收集指定數(shù)據(jù)并回傳。 此外，文章還提到，個別廠家為方便后期維修維護，出廠時設置了允許遠程訪問的“后門”。這本是售后服務功能，但如果管理不善或被第三方惡意破解，這個“后門”就會在黑暗角落窺視竊取敏感信息數(shù)據(jù)。從近年俄烏、中東的沖突來看，運用軟件和硬件后門攻擊對手已經是常態(tài)。

軟件后門易解決和硬件后門難消除

對于存在的軟件后門，只要發(fā)現(xiàn)后就可以通過軟件升級來解決。相比之下，要硬件后門的代價就會大很多。美國NIST SP 800-193標準明確指出，硬件后門無法通過軟件修補消除，唯一解決方案是“從設計到制造的全程可信可控”。

由于硬件后門大多數(shù)是設計階段留下的，直接嵌入芯片的物理結構中，也就是物理電路已固化在硅片中，很難通過軟件層面的調試是無法修改的。軟件上的調試往往是迫不得已的應急之舉，而且代價巨大，英特爾給幽靈和熔斷打補丁后，CPU性能下降了25%左右。

這還算好的，有些硬件后門只能更換，無法打補丁。以ARM設備為例，ARMv8處理器存在名為PACMAN的漏洞，這個漏洞本質是一種硬件級側信道攻擊，利用ARM指針認證機制的微架構缺陷繞過內存保護，且無法通過軟件更新徹底修復。ARMv9引入FEAT_FPAC補全了漏洞，但基于ARM v8.2指令集設計的CPU均存在PACMAN的漏洞，解決方案只有替換硬件。令人無語的是，時至今日，依然有很多搭載ARMv8處理器的設備在信創(chuàng)行業(yè)大肆兜售。

手機已經成為泄密黑洞

2023年，卡巴斯基和俄羅斯聯(lián)邦安全局情報和安全機構FSB先后發(fā)布報告，聲稱蘋果公司故意向美國國家安全局提供了一個后門，可以用零點擊漏洞投放間諜軟件感染俄羅斯的iPhone手機。FSB發(fā)布的公告則聲稱已在數(shù)千部蘋果iPhone上發(fā)現(xiàn)了惡意軟件感染，這些iPhone屬于俄羅斯政府官員以及以色列、中國和幾個北約成員國駐俄羅斯大使館的工作人員。

2023年，德國安全公司NitroKey發(fā)布了一份報告，顯示在無須安卓系統(tǒng)參與的情況下，搭載高通芯片的智能手機會秘密的向高通發(fā)送個人數(shù)據(jù)，并且這些數(shù)據(jù)會被上傳至高通部署在美國的服務器中。發(fā)送的數(shù)據(jù)包括設備唯一ID、芯片序列號、手機型號、運營商、系統(tǒng)版本、安裝的應用列表、電池使用情況、芯片性能數(shù)據(jù)甚至是IP地址。并且這些數(shù)據(jù)還是通過不安全 HTTP協(xié)議發(fā)送的，意味著黑客、運營商、政府機構等都可能輕松截獲。此舉做法顯然是違反了歐盟的GDPR條例。

2025年4月份，國安發(fā)出了警示，表明某國科技公司涉嫌向本國情報機構提供智能手機操作系統(tǒng)后門，導致全球數(shù)千部高端手機被植入間諜軟件。這些被入侵的設備涉及多國政府工作人員及企業(yè)高管，攻擊者無需用戶點擊或授權，即可直接操控手機，竊取通訊內容、定位信息甚至生物識別數(shù)據(jù)。其中還提到，被感染手機中32%為外交人員設備，18%涉及能源、金融領域高管，惡意軟件潛伏期最長可達427天。

后門問題危害巨大

在俄烏沖突中，俄羅斯政府、金融、能源、交通、電信、軍工等行業(yè)就均遭遇國家級黑客攻擊。

自沖突以來，烏克蘭國防情報局入侵了俄羅斯聯(lián)邦稅務局系統(tǒng)，并清除了該機構的數(shù)據(jù)庫和備份副本，被銷毀的資料全部不可恢復。俄羅斯國家原子能公司Rosatom以及俄羅斯國防產品出口公司Rosoboronexport，泄漏了大量的敏感數(shù)據(jù)。

烏克蘭國防部情報總局對俄羅斯金融機構和電信公司進行攻擊，俄羅斯聯(lián)邦儲蓄銀行Sberbank、莫斯科交易所等機構成為黑客的目標，ATM服務、在線銀行系統(tǒng)和移動應用程序的功能，Beeline、MegaFon、Tele2和Rostelecom等互聯(lián)網公司的網絡支付一度癱瘓。

今日俄羅斯電視臺網站、俄多個政府網站、俄羅斯天然氣工業(yè)股份公司Gazprom等都曾遭受攻擊，導致服務中斷或不可用。

白俄羅斯黑客組織“網絡游擊隊”對白俄羅斯鐵路系統(tǒng)進行攻擊，阻止并延緩俄羅斯軍隊從白俄羅斯基地向烏克蘭北部的轉移。之后，烏克蘭黑客成功攻擊俄羅斯遠東鐵路系統(tǒng)，致使 40 列軍火列車脫軌。

烏克蘭情報總局聯(lián)合其黑客組織成功入侵了俄羅斯的“加斯卡爾集成”公司，竊取了該公司研發(fā)無人機技術的完整文檔，并導致該公司失去了對生產系統(tǒng)的控制權。超過350萬俄羅斯互聯(lián)網用戶的賬戶被盜。

如果說，上述俄羅斯的案例屬于飄在云端，那么，中東的傳呼機爆炸則更加接地氣，容易被普通人理解。傳呼機爆炸是因為電池邊上安裝了炸藥，由事先預留的觸發(fā)芯片引爆，當這顆芯片手打預設信號時，就會產生電流，引爆炸藥。

信息安全自欺欺人必然付出血的代價

當下，國產化替代工作如火如荼，但在實踐中，國產化已經成為唐僧肉，妖魔鬼怪都來分一杯羹。不少公司把國外的技術引進后就聲稱自研，或者把開源代碼拿回來略作修改就標榜自主。在實踐中，能否入圍采購不看硬件和軟件的自主性、安全性、性價比，反而是拼關系、拼背景。這些做法其實是往金融、電信、交通、醫(yī)療、黨政等系統(tǒng)植入特洛伊木馬。

由于海量外來技術的軟件和硬件已經進入各行各業(yè)，這幾年的信創(chuàng)對信息安全的提升只能說是聊勝于無，只能感慨世界是一個草臺班子，只能慶幸華夏處于和平狀態(tài)，一旦陷入類似于俄羅斯的局面，在信息戰(zhàn)中的表現(xiàn)未必會比俄羅斯強。