/ 中存储网

浅谈硬盘的安全性及防护 专访华澜微周斌

2015-07-08 13:02:22 来源:中存储网

----人物专访:华澜微电子股份有限公司副总经理周斌

[ 背景 ]

5月,一篇名为《美国国家安全局硬盘固件入侵技术揭秘》的报道,引起了全世界对于电脑硬盘安全性的关注和担忧。文摘如下:

近期发现的间谍网络“方程小组(Equation Group)”最令人震惊的部分就是其能用恶意代码对硬盘固件进行重编程的神秘模块。曝光此事的卡巴斯基研究人员称,这一颠覆计算机胃肠道一样的存在——硬盘固件的能力,他们“闻所未闻”。

这种黑客工具被认为是美国国家安全局(NSA)的杰作,它通过重写硬盘固件获得对计算机系统神一般的控制权,即使软件更新都不能阻止它长期潜伏。模块被命名 为“nls_933w.dll”,在卡巴斯基发现的间谍平台“方程毒药(EquationDrug)”和“角鲨(GrayFish)”中都有用到,是此类 模块中第一个被发现的。

它还具备另一个能力:在硬盘上开辟隐藏存储空间以备攻击者在一段时间后取回盗取的数据。这一能力使得像方程小组一类的间谍,通过将想要获取的文档藏入不会被加密的存储空间来规避硬盘加密。

卡巴斯基目前为止已发现了500个方程小组的受害者,但只有5个在其系统上留存有固件重写模块。重写模块似乎仅在有特殊监视价值的重要系统上留存。卡巴斯基全球研究与分析团队主管科斯廷·拉尤认为,这些是未接入互联网且用硬盘加密进行了保护的高价值计算机。

华澜微电子股份有限公司副总经理周斌先生

为此,我们采访了华澜微电子股份有限公司副总经理同时也是创始人之一的周斌先生。华澜微电子股份有限公司(Sage Microelectronics Corp)是我国第一颗固态硬盘控制器芯片的缔造者,中央电视台《中国新闻》报道该成果“是我国固态硬盘领域的重大突破”。而且,华澜微凭借其独特的创新架构,打造了目前业界密度最高(单盘达5TB)的固态硬盘并且进入了国际市场,国际媒体EE-Times和DigiTimes纷纷报道该成果。作为国际硬盘技术方面有影响力的公司代表,我们希望周斌先生能够从专业领域的角度,提供硬盘产品信息安全问题的意见和评价。

问:从报道的内容来看,黑客是通过固件来窃取用户嘻嘻的。那么请您介绍一下正常固件在硬盘中能够起到哪些作用?

周斌:首先 ,从新闻报道的内容,也大致了解了引起硬盘安全性问题的原因,新闻报道甚至点明了黑客是通过对硬盘固件的篡改而达成最终目的的。传统的硬盘,其存储媒介是磁带,实际上和我们过去听音乐的磁带是一样的,只是硬盘内的磁带精细很多。磁带上的信息能够被电脑读写,需要磁头(感应磁信号)、控制磁头的电路、误码纠错以及转换成为电脑接口进行数据传输,这个接口就是通常说的IDE接口(80线的宽电缆),或者目前流行的SATA接口,未来正在向PCIE演变。电脑接口、磁头控制、纠错编码等是需要一个集成电路芯片来实现的,这就是所谓的硬盘控制器芯片。这个控制器芯片内一般包含了微处理器(MPU),其实就是平常说的微电脑芯片,智能处理各种协议、数据读写命令等。既然有CPU就有程序。控制器的程序存放在硬盘中,它决定了这个硬盘的大多数特性。被嵌入到芯片内的程序,是一种直接控制硬件的软件,称为firmware,即“固件”(也就有称为“韧体”的)。

最近几年传统的磁带媒介的机械硬盘(HDD)正在逐步被以半导体闪存(Flash)芯片为媒介的固态硬盘(SSD)所取代。固态硬盘的结构也差不多,只是它控制的不是磁头(带)而是闪存芯片。内部微处理器和固件为主的架构并未改变。

这次被暴露出安全问题,就是硬盘控制器的固件被篡改了,引起了在硬盘用户不知情的情况下,存储在硬盘内的数据被窃取、修改、恶意删除等的隐患。

新闻报道说:“这种攻击之所以会奏效,是因为固件在设计的时候就根本没考虑过安全性。我们看到的传统硬盘生产商不会像软件厂商给软件加签名一样在安装在硬盘中的固件上也来个加密签名。自然,也没有内建的对签名固件进行的核查的验证机制。这也就给他人留下了修改固件的可能。而且固件也是隐藏恶意软件的最佳地点,因为反病毒扫描根本不检查这块地方。用户也没有什么好方法可以读取固件手工检查它是否被篡改了。从一定意义上来说,国内外大多数固态硬盘厂商也跟传统厂商在类似问题的处理方式一致,即使是加密固件,也是很低级的加密方式。”

把问题归结到个别硬盘厂家因为没有防范意识,或者“偷工减料”,没有把所有关卡都设置好,是一个简单的、容易被认可的答案。但是,实际上事情并没有这么简单。

问:既然固件在硬盘中的作用非常重要,那么黑客是怎样成功入侵硬盘固件的呢?

周斌:事实上,无论传统的机械硬盘(HDD)还是固态硬盘(SSD),发生硬盘固件问题,黑客需要突破如下五道关卡,任何一道关卡通不过,都无法达成目的。

五道关卡为:

1. 掌握入侵通道

硬盘控制器厂家内部使用的固件下载通道,包括命令和流程被破解。这是黑客入侵的路径,也是第一步。这一步,黑客费一些心力,比如通过专业的仪器去记录整个硬盘和电脑的交互过程,有可能分析出来。最简单的做法,就是买通控制器厂家内部的工程人员或者文档资料,就可以突破了。

2. 熟悉固件代码

黑客入侵触摸到了硬盘固件,这时,固件是二进制代码方式存储的,而不是源代码。而且,这个固件对应的中央处理器(CPU)是控制器芯片内的嵌入式CPU,很多寄存器和设置都是控制器厂家内定的,而不是通用。要修改固件,黑客必须非常清晰地知道这个处理器的型号,比如是ARM还是MIPS,甚至非常熟悉内部的硬件设置,才能够写作固件,并准确地植入到原先的固件中。如果控制器厂家采用了不大通用的CPU,甚至控制器厂家自己定义指令系统的CPU,黑客往往就无从入手了。所以,要达到能够篡改固态硬盘控制器内固件的能力,往往是控制器厂家的内贼。一般的发烧友黑客是不可能篡改固件的。当然, 这对于美国NSA以国家机器的力量,搞定本国的公司,成为“内贼”,显然是不费力气的。

3. 掀开固件的防护罩

固件存放在硬盘内,并不是“赤裸裸”的原始二进制码让你去反汇编和研究的,而是应该把它加密以后存起来,相当于装在防护罩内,你迷迷糊糊看得见但是看不清,因为是经过加密的。

有些厂家设置了这一步,大多数厂家没有设置这一步。不设置这一步的厂家,也许是因为没有防范意识,也许是没有掌握硬件加密技术。因为这个加密是要技术水平的,要硬件来加密和解密,不能够软件加密和解密。软件操纵的话又回归到“黑客”手里了。硬件实现实际上就是控制器芯片内,要有高速且高等级的加密和解密算法模块,这就需要专业的信息安全领域的高手融合到芯片设计过程中来了。

如果是具有固件加密保护的防护罩的固态硬盘,理论上一般黑客是无能为力的,差不多只有政府、国家的力量才可以让本国的控制器厂家提供算法和密码,掀开这个防护罩。

4. 揭开固件修改的“封条”

被植入的“病毒”固件段准备好了,要植入固件,就需要把从物理上把存在硬盘内的固件,替换为新的固件。然而,一般厂家出厂时候都设置了“封条”,即没有特殊的口令不让修改(可以读取)。也有些厂家嫌麻烦,仗着一般消费者也不可能通过前面第1、2步骤,没有设置“封条”。当然,在政府和国家机器面前,这个封条实际上比纸张还薄。

5. 掀开数据的防护罩

同样,即使固件被读破了,如果存在固态硬盘内的数据本身是被加密的,是有防护罩的,黑客即使偷了数据出去,也是偷到了经过加密的数据,还需要最后一道的破解过程。这个和前面固件的防护罩是差不多原理的,只是可能算法不一样,或者算法一样密钥不一样,总之,黑客破了前面固件的防护罩,遇到数据的防护罩,还得重新劳苦一番。

问:从您刚才的回答来看,黑客想要成功入侵一块硬盘的固件需要费不少的周折。但从过去的经验来看,很少有黑客会从固件层面下手。那么以您的观点来看,是什么样的黑客才会使用这样的手段?

周斌:根据前面的黑客入侵固件必须通过的五个步骤,明显看到,实际上只有硬盘控制器厂家才有可能掌握这个固件修改的技术。由于硬盘控制器的复杂性,硬件芯片设计和固件一般是分开不同队伍设计的,个别工程师一般也只能够知道其中一道关卡;即使有个别高级的工程师,知道所有关卡的入侵硬件和固件细节,也会因为不知道密钥(按正宗严密的生产步骤,密钥是下载固件时候随机产生的),而被挡住。

事实上,硬盘安全性问题最具威胁的“黑客”来自“国家机器”。在国家机器面前,实际上任何厂家都得服从于所属国的所谓“国家利益”。也因此,卡巴斯基认为,入侵硬盘的黑客工具是美国国家安全局(NSA)的杰作。全球目前第一、二大硬盘厂家全部落户美国(即西部电子和希捷),在美国国家利益的大前提下,这两家企业提供五道入侵关卡的所有信息以轻松绕过,是很自然的、很轻松做到的;甚至很可能黑客程序本身就是这两家企业提供。

因此,硬盘泄密的事件,根本上说,就是美国通过其高科技垄断技术和产品来收集全球数据信息的事件,被卡巴斯基激发出来。不是一个简单的技术漏洞。

从另外一个角度,美国之外的国家,要实现硬盘的安全性,实际上只能够采用美国技术之外的产品。更进一步说,就是采用非美国公司或者其战略伙伴国家设计、制造的硬盘控制器芯片。当然, 这些芯片要把五个入侵步骤切实执行到位,而不能够轻易疏漏、简化这五个步骤的防护措施。比如,前面提到的第3条和第5条,固件和用户数据都要被硬件加密,任何一个步骤的“疏漏”,都可能引起安全性崩溃。

既然国外的硬盘控制器芯片如此不可靠,要开发研制自主可控的核心芯片需要技术积累和大笔的投入,迫于现实,有人只好采用可编程器件(FPGA)来实现硬盘控制器芯片。FPGA方案除了功耗大、成本高,无法大批量使用外,FPGA技术本身就掌握在海外国家手里,编程在里面的电路是完全可以被FPGA厂家破解“复制”出来的,增加了硬盘泄密的又一个入侵途径。 因此,这也不是一个完善的方法。

真正的硬盘信息防护,必须拥有产业化硬盘控制器芯片的核心技术。

问:既然问题已经上升到国家安全的层面,那么作为国内不多的掌握SSD核心技术的企业,华澜微在硬盘固件的安全方面都做了哪些工作?

周斌:作为国内唯一具有固态硬盘核心芯片并产业化的厂家,华澜微电子股份有限公司以自主知识产权的控制器芯片,杜绝了上述五个步骤的漏洞,真正实现了“中国人的信息存放在中国人自己的硬盘上”的梦想,实现了芯片级别的信息安全防护。

华澜微的固态硬盘芯片针对上述五步,针对性的措施有:

1. 自定义的固件更新通道

华澜微定义了不同于其他硬盘控制器厂家内部使用的固件下载通道,具体实现上,针对现有任何固态硬盘的侵入通道的方法,包括命令和参数,都做了针对性的改变。

2. 固件代码的架构

华澜微的固态硬盘控制器采用独特的多核架构,区别于其他厂家。其他厂家的固件和华澜微的固件并不通用。固件的架构不同,使得源代码差别很大。同时,多核架构使得源代码的修改需要在系统架构师指导下进行,单一核的源代码修改并不会起到预设的作用。

3. 固件防护罩

华澜微的控制器内嵌集成了国际上各种加密算法,包括 RSA,ECC,SHA, AES128/256, RSA, DES/3DES 等,也包括了中国商密算法系列的SM1,SM2,SM3,SM4。这些算法都可以用来加密固件。比如,经过AES256加密运算的固件密文,理论上是当前黑客无法解开的。

4. 设置固件“封条”

华澜微的控制器芯片可以给固件设置“不允许改写”的封条,即使得固件只允许读取,不允许修改。黑客即使窜入固件更新的通道来修改固件,也无法成功。这样子,就彻底杜绝了木马移植的可能性。

5. 数据防护罩

如前所述,华澜微的固件控制器内嵌集成了国际上各种加密算法,包括 RSA,ECC,SHA, AES128/256, RSA, DES/3DES 等,也包括了中国商密算法系列的SM1,SM2,SM3,SM4。这些算法都可以用来加密数据。黑客即使移植木马成功,盗取的数据也是经过加密的数据,是密文,无法如愿获取原始数据。

除以上功能外,华澜微还可以提供各种量身定做的安全功能,包括数据加密、隐藏区、分级密码管理、数据自销毁,甚至硬盘物理自毁,等等。

问:可以说华澜微在硬盘和数据的安全性方面着实下了不少功夫。那么在国家信息安全问题上,华澜微有着怎样的追求?

周斌:信息安全的保障,只能够通过自主可控的技术来实现。以硬盘为例,如果采用包含了国外主控芯片的硬盘,就好比购买了国外生产的锁,来防护自己的家,别人完全可以绕开密码,设置打开锁的后门或者隐藏“万能密码”,随时进入你的家里逛逛。也有人比喻,硬盘是一个仓库,控制器是看门人,如果这个仓库是外国人造的,看门人是外国人,那么,存在仓库里的信息被“看门人”偷看,就不稀奇了。

中国人的信息,用中国人自己的控制器芯片来看管,存放在中国人自己的硬盘中,这就是华澜微的梦想