Võitlus kiipides varitsevate troojalastega tõstab Eesti teadlased kilbile
Kui tarkvaras ja veebis varitsevate ohtude osas on inimeste teadlikkus viimasel kümnendil oluliselt kasvanud, siis riistvarast lähtuvatele riskidele mõeldakse vähem. Tallinna Tehnikaülikooli teadlased uurivad, kuidas muuta arvutikiibid jäljendamiskindlamaks ja maandada sellega ka riske tarbijatele.
Enamik meist mõistab hästi, et mitte kogu tarkvara ei ole oma olemuselt turvaline. Veebis võivad varitseda pahatahtlikud inimesed, kes üritavad petta pahaaimamatut kasutajat, kes klõpsab pahatahtlikul lingil, avab pahavaraga manuse või laadib isegi oma telefoni viirusega rakenduse.
Ka riistvara poolel on pahatahtlikke inimesi, keda võib leida erinevatel tasanditel olenevalt sellest, kus nad riistvara tootmise tarneahelas asuvad. Üldiselt avalduvad mured arvutikiipide tasemel. Näiteks esineb palju juhtumeid, kus ettevõte ostab kiibid avatud turult kleebisega, mis ütleb, et selle tootja on usaldusväärne ettevõte, kuid tegelikult on kiip pärit tundmatust allikast.
Mõneti on see samaväärne võltsitud rahakoti või kingapaari ostmisega. Lisaks võltstoodangu kui sellise ostmisele tekib sellega ka mure, et kiipe on veidi muudetud. Nii võib see teha midagi sellist, mida see ei peaks tegema, näiteks lekitada tundlikke kasutajaandmeid.
Kõiki neid riistvaraprobleeme uuritakse Tallinna Tehnikaülikooli riistvara turvalisuse uurimisrühmas. Professor Samuel Pagliarini juhitud rühm uuris näiteks oma hiljutises teadustöös, kuidas saavad kurjategijad kiibi valmistamise ajal sisestada nutikaid trooja hobuseid. Töörühmal kulus troojalase sisestamiseks veidi üle tunni.
Valdkonna põhiprobleemid
Samuel Pagliarini väidab, et tema enda lihtne riistvara turvalisuse määratlus on uurida kõiki võimalusi, mida pahatahtlik inimene saab arvutikiibile või kiipidest koosnevale süsteemile lisada. Haavatavuste leidmiseks tuleb aga esmalt mõista, kuidas kiipe luuakse. Seda toetav ökosüsteem on tema sõnul uskumatult hajutatud.
"Kui minu uurimisrühm teeb isegi suhteliselt väikese kiibi, mis on mõeldud ainult akadeemilisteks eesmärkideks, pean suhtlema käputäie ettevõtetega USA-s, Ühendkuningriigis, Taiwanis ja Singapuris. Tootmisesse minevate kiipide puhul läheb see nimekiri veelgi pikemaks," märkis professor.
Siin peitub teinegi probleem. "Mul ei ole nende ettevõtete üle mingit kontrolli. Seega ei saa ma välistada pahatahtlikke osalejaid minu tarneahelas. Võin palgata ettevõtte, kes valmistaks minu kiipi miljon ühikut, aga kui nad otsustavad toota 1,1 miljon tükki ja müüvad ülejäänu mustal turul, pole mul selle takistamiseks vahendeid," sõnastas ta põhiküsimuse.
Kiipide tootmiseks vajaliku ökosüsteemi üleilmse ulatuse tõttu on arvutiriistvara turvalisus on üha suurem väljakutse. Nende tootmise erinevaid etappe viivad läbi erinevad organisatsioonid, mis asuvad eri riikides. Nõnda on raske kindlustada, et kiipide tootmise ajal neid ei muudeta ja neis sisalduvaid teadmisi ei kopeerita. Probleem on piisavalt pakiline, et riistvaraturbe kogukond korraldab mitmeid võistlusi, mille eesmärk on parandada kaitset taolise pöördprojekteerimise vastu.
Võistluste võlu
Samuel Pagliarini meeskond on olnud paaril korral edukas rahvusvahelistel võistlustel. Neist viimane oli HeLLo:CTF, Inteli toetusel Florida USA, Texase A&M Ülikooli ja Marylandi Ülikooli korraldatav konkurss. Tallinna Tehnikaülikooli esindas võistlusel võistkond UKU eesotsas Zain Ul Abieeniga, Meeskonda kuulusid ka Levent Aksoy, Felipe Almeida ja Mohammad Eslami ning ka Pagliarini.
Konkursi eemärk oli luua kaasaegseid kiibi hägustamise vorme, mis muudaks arvutikiibi raskemini mõistetavaks ja muuta sellega raskemaks ka selle kopeerimist. "Intellektuaalomandi kaitsmine ei tähenda ainult looja finantshuvide kaitsmist, vaid ka nende töö terviklikkuse säilitamist ja stiimulite säilitamist tulevaseks innovatsiooniks," ütleb Levent Aksoy.
HeLLo:CTF võistlusel olid vastamisi punane meeskond sinise meeskonnaga. Korraldajad, keda peetakse siniseks meeskonnaks, pakkusid kiipe, mis on kaitstud nüüdisaegse tehnikaga, samas kui punasteks meeskondadeks peetavad osalejad üritasid neid kaitsemehhanisme murda. Väljakutsevoor algas 18 meeskonnaga ning finaali pääses koos Tehnikaülikooli meeskonnaga seitse.
"Meie meeskond paistis silma ainsa meeskonnana, kes suutis tegeleda erinevate riistvara turvalisuse probleemidega ja pakkus uuenduslikke lahendusi," sõnas Zain. Viimane tagas Tehnikaülikooli meeskonnale esimese koha ja 15 000 dollari suuruse peaauhinna.
Teised auhinnatud võistkonnad olid turvalisuse valdkonnas tuntud meeskonnad IIT Guwahatist, New Yorgi Ülikoolist, Auburni Ülikoolist, Kansase Ülikoolist, Lõuna-Florida Ülikoolist Tampas ja Texase Ülikoolist Dallases.
Toimetaja: Jaan-Juhan Oidermaa