比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

加密貨幣:盤點固件安全賽道 a16z看到了什么?

Author:

Time:1900/1/1 0:00:00

原文來源:阿法兔研究筆記

本文是筆者最近關于基礎安全領域的人、趨勢、現象的觀察,把系列思考總結成為了文章,試圖從幾個角度,探討一個國內相對較少有人探討的賽道——固件安全市場和需求變化的方向,文末也寫了過去幾年我關于風險投資、行業新動向的一些觀察和想法。當然,也歡迎讀者朋友們一同進行探討:)

先明確幾個知識點的具體意思:

固件安全中固件的定義:

我們這里主要指基于通用計算機上的固件,例如服務器、筆記本和臺式機上運行的固件,例如 UEFI/BIOS/Coreboot。

UEFI 是一種詳細描述類型接口的標準。這種接口用于操作系統自動從預啟動的操作環境,加載到一種操作系統上,UEFI 是一種新的主板引導初始化的標注設置。

BIOS 是英文「Basic Input Output System」的縮略詞,直譯過來后中文名稱就是「基本輸入輸出系統」。在 IBM PC 兼容系統上,是一種業界標準的固件接口,BIOS 是個人電腦啟動時加載的第一個軟件。它是一組固化到計算機內主板上一個 ROM 芯片上的程序,它保存著計算機最重要的基本輸入輸出的程序、開機后自檢程序和系統自啟動程序,它可從 CMOS 中讀寫系統設置的具體信息。 其主要功能是為計算機提供最底層的、最直接的硬件設置和控制。此外,BIOS 還向作業系統提供一些系統參數。系統硬件的變化是由 BIOS 隱藏,程序使用 BIOS 功能而不是直接控制硬件。現代作業系統會忽略 BIOS 提供的抽象層并直接控制硬件組件。

Coreboot 是一個開源軟件項目,旨在替換大多數計算機中專有的 BIOS(固件)。coreboot 會執行一些硬件初始化,然后執行其他引導邏輯。通過分離硬件初始化和以后的啟動邏輯,coreboot 可以從直接運行固件,在閃存中運行操作系統,加載自定義引導程序或實現固件標準(例如 PC BIOS 服務或 UEFI)的專用應用程序擴展。這使系統僅包含目標應用程序中必需的功能,從而減少了所需的代碼量和閃存空間。

首先他們都被儲存在硬件的 Flash ROM 里

硬件上電點亮

三者開始初始化硬件

在內存初始化結束后,

BIOS 自己運行(每個主板廠商開發自己的,很累)

UEFI 自己運行(但主板廠商很舒服,標準統一)

COREBOOT 運行一個超小型 Linux,能自己跑自己,也能把自己偽裝成 UEFI 或其他

提供出通用的硬件訪問接口,并把控制權移交給操作系統

也就是說,它們的存在對計算機運行是必不可少的關鍵環節。

有位筆者一直關注的技術背景出身(斯坦福 PHD)的創業者在 A16Z 當合伙人,叫 Martin Casado,以前是 Nicira(在 2012 年被 VMware 以 12.6 億美元收購)的聯合創始人和 CTO。在 VMware 工作期間,Martin 曾擔任網絡和安全業務部的總經理,他在斯坦福期間發了很多知名論文,在 VMware 工作期間也廣為人知,再加上有創業的背景,因此筆者對他關注比較多。除此之外,他是最開始搞 SDN 的那批人,弄了 openflow 協議,nox 和 pox 的作者,早期研究 SDN 的基本上都是用的這兩個東西搭實驗平臺,當年主導了 NSXt 產品。(本段背景感謝即刻網友 DQ 的補充:)

Cobo 鏈上安全團隊盤點分析 1 月區塊鏈安全事件:2月17日消息,Cobo安全研究團隊近日盤點并解析了 1 月發生的典型區塊鏈安全事件,對跨鏈橋、智能合約、錢包等多種類型的真實攻擊案例和漏洞進行了技術解讀,并為普通用戶規避區塊鏈中的安全風險提供了一些建議。建議普通用戶及時撤銷無限授權、留意未審計項目風險等。

Cobo 區塊鏈安全研究團隊成員來自知名安全實驗室,有多年網絡安全與漏洞挖掘經驗,曾協助谷歌 、微軟處理高危漏洞。團隊目前重點關注智能合約安全、DeFi 安全等方面 ,研究并分享前沿區塊鏈安全技術。[2022/2/17 9:57:31]

來源:Crunchbase

以下是 Martin Casado 的大致經歷,在 Nicira 創業之前,他是斯坦福的 PHD,筆者會經常 Track 一些學術 + 創業背景都有的投資人的動向(比如說他們投了什么新鮮玩意?為什么?他們社交網絡會發什么研究文章?),因此偶爾會發現一些值得觀察的方向。

2022 年 10 月 4 日,也就是前幾天,一家名為 Eclypsium 的公司宣布,B 輪融資融了 2500 萬美元,領投方是 Ten Eleven Ventures,Ten Eleven Ventures 主要專注網絡安全領域投資。而有意思的是,而 Eclypsium 的本輪和上一輪融資剛好也有 A16Z 這位合伙人 Martin Casado 的身影,除此之外,A 輪、B 輪的融資也包括 Intel Capital(英特爾的投資部)。

不過,Eclypsium 這家公司,在國內并不是特別為人熟知,簡單說一下就是他們主要是做基礎安全 / 固件安全類別的,主要是為企業供應鏈中關鍵硬件、固件等等提供安全服務的供應商,主要專注于服務器、筆記本電腦和網絡設備(交換機、路由器等)的固件層的檢測和防護。公司成員中,Yuriy Bulygin 曾在英特爾工作 11 年(高級工程師),在 McAfee 工作了兩個月(CTO)。Alex Bazhaniuk 和 John Loucaides 也來自英特爾,在此之前,這三位均負責英特爾的硬件、固件安全。Ron Talwalkar 在 McAfee 工作了 11 年,作為終端安全業務部產品管理高級總監,負責英特爾安全相關的業務。

那么,他們到底發現了什么呢?特別是從領域專家和創業出身的投資人的角度來看,到底有什么新趨勢、或者比較新的趨勢出來?這也是筆者寫這篇文章的主要原因。

為了以終為始地觀察,我先把前些年 RSA 大會(一個世界級別的頂級安全大會)的一些創新項目和演講拿出來看看,發現 2017 年 BlackHat Asia(世界頂級安全大會)上也有研究員介紹了針對 UEFI(Unified Extensible Firmware Interface)固件的滲透測試工具集,2018 年,RSA 創新沙盒的入圍公司中有一家叫做 Refirm Labs,專注于物聯網設備的固件安全分析,這家公司的業務重點是:網絡基礎設施中除了包含物聯網設備,還有服務器和路由器、交換機等網絡設備,用戶側還有個人電腦,那么這些設備的底層和硬件的安全問題也是值得關注的。2018 同年美國的 BlackHat 上,也有安全研究員介紹了近三年 UEFI 固件的大量安全漏洞,包括一些 UEFI、bootloader 等底層啟動代碼的檢測工具和攻擊工具層出不窮。

美股持續走高,道指較3月23日收盤點位上漲20.48%:美股盤中持續走高,道指漲逾1200點,較3月23日收盤點位上漲20.48%;納指、標普500指數分別較3月23日收盤點位上漲約12%、16%。[2020/3/27]

那么,到底固件安全能解決啥問題?

隨著行業的成熟度不斷提升,軟件安全性在逐步提升。但是與此同時,固件和硬件安全近年來已經成為攻擊者的熱門目標。基于固件的惡意軟件很大程度上被安全團隊忽略,這使服務器、存儲和網絡設備的固件成為企業安全的「軟肋」。固件存儲有證書、密鑰等敏感信息,成為攻擊者的重要目標。83% 的被調查企業在過去 2 年曾經遭遇過固件攻擊。

固件通常是常規漏洞管理工具和流程的盲區。大多數漏洞掃描器關注的是軟件,回避了固件漏洞和硬件配置錯誤掃描。企業對固件安全重視程度必須等同于操作系統和應用安全。

繼續看一個數據:Gartner 預測:到 2022 年,缺乏固件更新方案的機構,70% 將會因固件漏洞遭遇數據泄露。而近年來,固件漏洞的數量激增。固件漏洞可以在設備內部任何組件中存在,包括 UEFI 或者 BIOS 系統、驅動器、網絡適配器、內存、處理器、顯卡以及很多其它的集成或外圍組件。2016 年之后,美國國家漏洞數據庫中漏洞數量每年都創出新高。2019 年,暴露出的固件漏洞數量比 2018 年增加了 43%,比 2016 年增長了 7.5 倍。

根據微軟 2021 年委托進行的一項調查:83% 的被調查企業在過去兩年曾經遭遇過固件攻擊。美國國家標準技術研究院(NIST)國家漏洞數據庫的數字則顯示,過去 4 年中,針對固件的攻擊增加了五倍以上。在硬件生命周期報告中,將安全作為優先事項的研究參與者,約有一半(52%)宣稱,至少遭遇過一起惡意軟件感染固件引入了公司系統的事件,而 17%的參與者表示,該事件帶來了實質影響。

圖片來源:虎符智庫 - 固件安全:被忽視的企業安全「軟肋」2021-04-16 09:18

目前安全問題的嚴峻性。

2021 年,報告顯示,有 3000 萬戴爾設備面臨著遠程 BIOS 攻擊、RCE 攻擊風險。也就是這類別的漏洞可以讓遠程攻擊者在戴爾設備的預啟動環境中獲得任意代碼執行的權限,預估這些漏洞會影響到了全球 3000 萬個戴爾終端設備。這些漏洞允許有特權的網絡黑客繞過安全啟動保護,控制設備的啟動過程,突破操作系統和更高層的安全控制。它們的累計 CVSS 評分為 8.3 分。具體來說,這些漏洞影響了 Dell SupportAssist(一種技術支持解決方案,預裝在大多數基于 Windows 的戴爾機器上)中的 BIOSConnect 功能。BIOSConnect 用于執行遠程操作系統中的恢復或更新固件的功能。

研究人員在一份分析報告中指出:「各種類型的技術供應商正越來越多地實施云端更新程序,這樣可以確保他們的客戶盡可能使他們的固件處于最新版本。雖然這是一個非常優秀的功能,但如果這些程序中出現任何漏洞,如我們在戴爾的 BIOSConnect 中看到的那些漏洞,都會產生嚴重的后果。」這些特定的漏洞允許攻擊者遠程利用主機的 UEFI 固件,并獲得該設備上的最高控制權。這種遠程攻擊和高權限相結合進行利用,很可能使遠程更新功能在未來成為攻擊者的最青睞的目標。

動態 | 中國日報網盤點2019年10月新聞熱詞匯總,區塊鏈包含在內:11月1日,中國日報網盤點2019年10月新聞熱詞匯總,其中包括區塊鏈技術應用。據悉,中共中央局10月24日下午就區塊鏈技術發展現狀和趨勢進行第十八次集體學習。中共中央總書記習近平在主持學習時強調,區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用,要加快推動區塊鏈技術和產業創新發展。[2019/11/1]

從智能手機到服務器,幾乎所有設備都包含固件。計算機包含許多固件,從 USB 鍵盤到圖形和聲卡,應有盡有;即使是計算機電池也包含固件。考慮到固件的廣泛普遍性,人們會自然地期望固件安全問題會被置于首位考慮——但遺憾的是,這距離事實很遙遠。

固件通常是常規漏洞管理工具和流程的盲區。大多數漏洞掃描器關注的是軟件,回避了固件漏洞和硬件配置錯誤掃描。另外,對于指定的設備,人們并不總是清楚其內部是否安裝了最新固件,有漏洞的固件是否已經被正確地更新。這就給 CISO 們和安全團隊提出了挑戰,他們需要具備確認產品固件狀態的能力,而不是完全靠他們提供商的漏洞更新流程。

基于固件的惡意軟件很大程度上被安全團隊所忽略,這使得服務器,存儲和網絡設備中的固件成為企業安全的「軟肋」。根據微軟的調查,企業對固件保護沒有給予足夠的投入,只有 29%的安全預算被用于固件保護;21%的被調查的決策者承認,公司的固件數據未受到任何監測。

為什么要關注這個領域?固件安全賽道重要在哪?天花板多高?能用于哪些場景?解決什么問題?

根據近期的報告,有 80% 的組織因供應鏈中的漏洞而遭遇網絡攻擊,2021 年,供應鏈攻擊同比增長超過 100%。全球政府機構越來越多地發出警告和授權,如白宮 OMB 關于加強供應鏈安全的備忘錄指出,設備軟件和固件已成為主要來源,占網絡安全和基礎設施安全局(CISA)公布的已知已利用漏洞的近四分之一。

圖片來源:https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity

美國國家標準與技術研究院(NIST)于 2021 年 5 月 12 日發布了 EO 14028 行政命令)(如上圖,其中最重要的概 念之一就是 SBOM(Software Bill of Materials),怎么理解這個 SBOM?也就是說,未來企業在交付客戶軟件使用時,需要根據情況應該向公眾或者向客戶公開其方案的組成部分的清單,長期目標是為了降低軟件供應鏈的風險。

2021 年 5 月 26 日,CISA( 美國網絡安全和基礎設施安全局) 在 RSA 2021 大會上公開了 VBOS 計劃,目的是表明連同操作系統在內以及更底層的安全都需要防護,因為固件是擁有比操作系統更高的權限的軟件,它會負責芯片 internal ROM 后硬件初始化的工作,這一特點也讓它成為了一種特殊的軟件,過去的 15 年中固件層面的安全對抗從未停止, 只是這個層面的威脅對于普通企業難以理解所以并未受到行業的重視,但近年 來固件安全問題越發嚴重,Google/AWS 等國際大廠為了對抗高級攻擊為自己 量身定制了固件安全方案,VBOS 計劃是把固件安全推上的桌面,這也變相的把 SBOM 擴展到了固件層面。

動態 | 澳媒盤點12國加密貨幣稅制 日本稅率最高:7月23日,澳大利亞加密貨幣媒體Mickey發文盤點各國加密貨幣稅制,并指出日本加密貨幣稅率非常高。根據2017年4月實行的資金結算法修訂版,加密貨幣交易所產生的利益所得劃分為雜項收入,所得稅最高可達45%,作為伴隨著損失的交易市場稅率來說非常高。此外,該媒體列舉了以下幾個國家的加密貨幣稅制:1、德國:加密貨幣交易免除附加稅,持續保有加密貨幣一年以上可免除轉讓所得稅。全部歐洲市民向德國轉移資產時可免除轉移稅。2、新加坡:長期投資加密貨幣的企業和個人免除轉讓所得稅。3、葡萄牙:不像加密貨幣征收附加稅和所得稅,但企業通過加密貨幣交易所得的收益需要課稅。4、馬耳他:加密貨幣的日交易作為法人稅征收稅金,但個人投資者購買和擁有加密貨幣不用繳納稅金。5、馬來西亞:不需要繳納轉讓所得稅。6、白俄羅斯:對加密貨幣挖礦和對加密貨幣的投資不征收稅金。7、瑞士:對專業投資者的加密貨幣交易征收法人稅,挖礦被視為個人營業收入,但個人投資者的投資及交易不需繳納轉讓所得稅。8、加密貨幣被認為是資產,納稅方式和股票一樣;如果購買加密貨幣并保留一年以上,根據收入水平征收0%至20%的稅金。9、澳大利亞:當所有交易均被視為轉讓收入,并且兌換為澳元時要求保留所有準確的交易記錄;如果進行加密貨幣投資獲得的利潤,就要交納與個人所得稅相同速率的稅金。但如果持有1年以上的加密貨幣,將減免50%的稅金。10、以色列和瑞典:如果納稅人不能證明他們購買的加密貨幣的購買額,將會征收百分之百的稅金。[2019/7/23]

基于 EO 14028 的計劃和框架,6 月 26 日美國國家標準與技術研究院(發布了了關鍵性軟件的定義, 其中操作系統,虛擬化,容器,中心化認證及權限管理系統,瀏覽器,終端安全(包含全盤加密,安全漏洞風險評估系統以及會搜集硬件,固件和操作系統 基礎信息的軟件產品),網絡協議(DNS,VPN,SDN,路由協議等),網絡防護(傳統防火墻,IDS/IPS 等產品)等軟件包含其中。

7 月 11 日 NIST 發布了 EO- 關鍵性軟件的安全度量,這份文檔從高級防御的角度,闡述了關鍵性軟件應該使用哪些現存的合規指南進行,7 月 11 日 NIST 同時發布了針對廠商出廠前安全測試的最低要求,其中對于模糊測試 (Fuzzing) 以及回歸測試 (Regression test) 都提出了要求。

2021 年 10 月 28 日,CISA 和 NSA 發布了 5G、云基礎設施安全指南、和 5G 基礎設施潛在威脅,其明確提出單個節點必須具備防御已知和未知漏洞的能力以及重要 MEC 邊緣節點高級防護能力必須覆蓋到固件層。

2021 年 11 月 16 日,CISA 發布了聯邦政府網絡安全應急和漏洞響應手冊, 目的是持續標準化安全事件應急的的流程。

無論是 EO14028 與 VBOS,未來都會影響全球信息安全產業的走向,會有更多的國家跟進,各國都會逐步對 EO 14028 進行回應,并制定符合國家和行業實際情況的合規指南只是時間問題,對于企業而言,出海則可能會面臨更復雜的合規要求以及審計,在亞太地區,日本和新加坡可能成為第一批參考 EO14028 的國家。并且隨著勒索軟件(RaaS) 的出現頻率越來越高,企業將不得不將固件安全放在很重要的戰略地位。

我們國家對于保護關鍵性基礎設施條例:2021 年 4 月 27 日通過了《關鍵信息基礎設施安全保護條例》,并于 2021 年 9 月 1 日實施,條例中明確定義了關鍵信息基礎設施的范疇包括:公共通信和信息服務、能源、交通、水利、金融、 公共服務、電子政務、國防科技工業等重要行業和領域。

動態 | 匯通網盤點2018年全球金融業十大熱詞 加密貨幣上榜:今日匯通網盤點了2018年十大金融業熱詞,分別為:1)美國政府關門;2)英國脫歐;3)全球貿易摩擦;4)意大利預算危機;5)德國經濟失速;6)加密貨幣泡沫;7)伊朗制裁;8)美聯儲加息;9)新興市場貨幣危機;10)美債收益率。[2019/1/7]

我們無法指望固件漏洞的增長速度會減弱:一方面,筆記本電腦,服務器和網絡設備中組件的數量和復雜性不斷增加。在英特爾披露的 2020 年的安全漏洞中,93 個屬于驅動和其他軟件漏洞,66 個為固件漏洞,58 個為固件和軟件組合漏洞。此外,從攻擊者的角度來看,固件是具有異常高價值的戰略目標。固件使攻擊者可以輕易訪問可被竊取或用于勒索的數據。此外,通過固件攻擊,可以對組件或整個設備進行完全禁用。固件還為攻擊者的長期攻擊提供了途徑。

根據 grandviewresearch 的研究,2020 年全球服務器市場規模為 836.6 億美元,預計從 2021 年到 2028 年將以 7.8% 的年復合增長率(CAGR)增長。增長的原因主要來自于全球新數據中心數量的增加,包括一些云服務提供商和行業,如 IT 和電信,醫療保健,BFSI 以及政府和國防,正在升級其服務器以管理不斷增長的數據量,因為 IT 基礎架構的升級為管理更高的數據量提供了增強的安全性、存儲和處理速度。

資料來源:Grandviewresearch

為什么服務器市場會持續增長?首先從圖上來看,亞太地區機架式服務器的銷售激增,主要是受超大規模企業的持續需求推動對高容量服務器的需求增加,其次,支持大數據分析、軟件定義解決方案和超融合基礎設施的應用對高性能計算服務器的需求也在增加。還有就算,5G 網絡技術的持續推出和公共云供應商對超大規模數據中心建設的積極投資也有利于服務器市場的增長。

不斷增長的市場,也為服務器等固件的安全提了更高的要求。

Eclypsium:2018 年 A 輪融資 880 美金;2022 年 10 月 4 日宣布,B 輪融資 2500 萬美元;

Cylus:鐵路安全初創公司 Cylus2021 年底 B 輪融資 3000 萬美元;

Oxide Computer:2019 年底,Oxide Computer 種子輪融資 2000 萬美金。

Binarly:2022 年 6 月,固件安全初創公司 Binarly 種子輪融資 360 萬美元。

這部分講幾個筆者覺得值得關注的案例和它們的商業模式:

主要業務:一方面主要是給 IBM 等大廠的固件做審計,幫助其企業和公共部門客戶保護和確保硬件、固件和軟件供應鏈的完整性。另一方面還是夯實行業安全研究的功底,及時向公眾及企業披露安全風險。

Eclypsium 的投資人的評價:Eclypsium 解決了網絡安全難題中關鍵而又經常被忽視的方面,確保每臺設備都能持續地受到保護,免受供應鏈安全風險的影響。雖然設備安全在歷史上更多地由原始設備制造商控制,但今天復雜的供應鏈和對第三方軟件和組件的依賴已經成倍地擴大了攻擊面,Eclypsium 進入市場的時機比較好,以其綜合解決方案解決這些復雜問題。

Oxide 是做什么的?商業模式又是什么?

簡單地說給 Oxide 錢,Oxide 就會賣給你一臺電腦。問題來了,它們究竟是什么樣的電腦?以及為什么大家會想買?

在 90 年代末和 21 世紀初,網絡服務的運行對應會有服務器放在數據中心的機架上,如果需要更多流量,數據中心就會升級,大家會買更大、更強的服務器,服務器又大又貴,而且難以管理,

針對這樣的情況,在 2006 年,像谷歌這樣的公司會選擇建立自己的服務器,這樣一是可以節約成本,還有就是因為市場的標準產品無法完全滿足業務的需求。谷歌這樣的公司開始拒絕「服務器級」硬件的概念,而純粹依靠更便宜的消費級硬件。但是,純粹依靠消費級硬件就需要建立一堆軟件,使服務器集群更加可靠。

不過這種方法也有弊端:隨著這些公司的發展,和數據中心逐步上云,一旦開始管理這么多的計算機,就發現,互聯網和軟件巨頭開始設計甚至制造自己的硬件,以提高效率和建立競爭優勢。比如說,谷歌定制了自己的服務器,用了英特爾的數百萬個芯片,并在 5 月宣布,它已經設計了自己的特定應用集成電路(ASIC),用于神經網絡。

Facebook 在其數據中心使用自己的交換機。公有云公司亞馬遜網絡服務公司不僅設計了自己的路由器、芯片、存儲服務器和計算服務器,還設計了自己的高速網絡。

但是,企業們也會遇到擴展問題:解決辦法很簡單:雇用一些人建立基礎設施。有人好奇,為什么不買現成的呢?因為目前的計算機公司真的是在垂直擴展的時代成長起來的,并沒有可以買的現成產品,那么標準化的產品又存在問題,由于每個企業的計算需求不一定一樣,就出現了這樣的情況:在現成的服務器系統中,很多硬件,還有軟件,在系統的各個部分都有大量浪費的部分。

由于計算領域發展的專用性很強,這也意味著,如果不愿意建立自己的硬件,你能獲得這種新技術的唯一途徑就是租用。公共云的按使用量計費的模式是相當標準的,也是相當有利可圖的。定制硬件有助于在幫助自己的業務挖出一條更深的護城河。

Oxide 正在做的是建造適合超大規模使用者的計算機,并將其出售,不過和公共云。這些計算機將由硬件和軟件一起設計,創建優秀的、專用定制的安全的底層系統。

Oxide 的創業思考:

Oxide 的 CEO Steve Tuck 寫過一篇博客,盡管創辦一家賣電腦公司,在這個階段聽起來可能很瘋狂,但是他認為,硬件和軟件在建造時都應互相考慮。這個信念可以追溯到它在 90 年代中期第一次來到 Sun Microsystems(很早的科技公司鼻祖)時的經驗。

除了不可避免的技術信念外,還有他提出的商業信念:即使世界正在(或已經)轉向彈性的、API 驅動的計算,仍然有很好的理由在自己的設備上運行,此外,隨著以云計算為基礎的 SaaS 公司從嚴格意義上的以增長為中心走向以利潤為中心,似乎更多的人將考慮購買數據中心或者自建數據中心,而不是總是租賃機器(成本太高)。

他的創業想法開始形成:世界需要一家公司來開發并向更廣泛的市場提供集成的、超級別的基礎設施。

Eclypsium 的研究人員從 IBM 的 SoftLayer 云服務中租用了一臺裸機服務器,該服務器使用 Maxmicro 的 BMC,這是一家具有已知固件漏洞的硬件供應商。在確認它具有最新的 BMC 固件可用后,研究人員記錄了機箱和產品序列號,以幫助他們以后識別系統。然后,研究小組以單個位翻轉的形式對 BMC 固件進行了「良性更改」。在將服務器釋放回 IBM 之前,還創建了 BMC 的 IPMI 中的其他用戶的帳戶。研究人員總結道,使用易受攻擊的硬件和不重新刷新固件的組合使得將惡意代碼植入服務器的 BMC 固件成為可能。

黑客想要做的事情包括竊取數據并從其他租戶那里泄露一些秘密信息。另一個有趣的想法是通過有效地關閉這些機器來對基礎設施造成實質性的破壞。如果黑客有權訪問此固件層,則可以永久地「破壞」機器。

針對這一發現,IBM 公司已經通過強制所有 BMC(包括那些已經報告最新固件的 BMC)在重新配置給其他客戶之前使用工廠固件進行重新刷新來應對此漏洞。BMC 固件中的所有日志都被刪除了,BMC 固件的所有密碼都被重新生成。

IBM 發言人認為:「鑒于我們已采取的補救措施以及利用此漏洞所需的難度級別,我們認為對客戶的潛在影響很小。」雖然該報告的重點是 IBM,但這實際上是所有云服務提供商的潛在全行業漏洞,感謝 Eclypsium 將其引起業界的關注。

參考文獻:https://www.techtarget.com/searchsecurity/news/252458402/Eclypsium-Bare-metal-cloud-servers-vulnerable-to-firmware-attacks

隨著數據中心越來越呈現分布式,以及部分大廠為了降本增效,選擇自建數據中心,分布式數據中心也成為了新的潛在趨勢之一。那么,這和 Web3 和區塊鏈又有什么關系呢?

已知常識是,區塊鏈具備不可能三角,這個不可能三角指的是,去中心化、安全、可擴展性這三者是無法同時滿足的,也就是說,任何系統的設計只能滿足其中兩個。比如極端的去中心化方案 BTC(比特幣)和 XMR(門羅)都是以犧牲可擴展性為代價的,這導致 BTC/XMR 技術架構無法提供更復雜的業務,所以對于這類似這兩種方案的業務來說,Layer 2 的存在是必然的,因為需要支持更復雜的業務。

但是,Layer 2 對于安全主要有幾個方面的挑戰:

首先,安全和可擴展性對于去中心化系統也至關重要,超級節點的引入會增加系統安全的風險。舉個例子,PoW 的模式下,以前需要搞定幾萬個節點才能發起攻擊比如 51%。但 PoS 時代,超級節點的誕生讓需要掌控節點數量大大降低,安全存在的隱患也就更大。

其次,跨鏈協議實現中存在缺陷。這個缺陷要怎么理解?其實就是目前例如跨鏈橋的實現中存在 bug,比如 A 到 B 鏈經過跨連橋 C,但 C 在沒有完成 A 和 B 的檢查就把 transaction 放行,那就可能被攻擊者利用去進行無限制轉賬。

第三就是供應鏈安全。主要包括開發人員是否會植入后門以及 build 基礎設施的需要安全加固等考量因素。

不過,如果犧牲一部分去中心化的特性,采用邦聯化的架構,那這個三角就可以成為可能(也就是可以滿足可擴展性和安全的特性)我們認為,Scalability 和 Security 是不能犧牲的,因為一旦這么做了,復雜業務也無法開展。不過,如果用分布式\邦聯化替代 100 % 的完全去中心化,就會導致技術架構轉變。因為完全去中心化指的是每個節點都有驗證的權利,那即使某幾個節點被攻擊,也只是錢包安全的問題。但如果是 PoS 選出超級節點成為 validator 的節點受了攻擊問題那嚴重性就非常高了。

那么對于 Web3 領域來說,假設某項業務全球有幾十個超級節點,一個節點放到德國的 Hetzner 數據中心,一個在法國節點放到 OVH 數據中心,然后日本的節點又是一個當地機房進行托管。

如何保證這些服務器本身的運行狀態是可信的,比如沒有遭到機房管理人員或者其他 Evil Maid(邪惡女仆)的篡改,如果能做到這點那 web3 超級節點的物理服務器可以被扔進這個星球上任何一個數據中心并且放心大膽的運行,畢竟驗證服務器是關系到錢的組件。另外一方面,不同超級節點之間可以使用邦聯化協議或者跨鏈橋的方式進行通信,在這樣的情況下,也會對底層的基礎安全提出更高的要求。

筆者一位非常欽佩的 GP 前輩講過一句話:要找到正確的「非共識」。這句話我一直記著,如何在大趨勢開始之前觀察到不一樣的東西,是筆者每天都樂于探索的事情之一。

回首我自己的經歷,也在 2014 年前后看到 USV 合伙人對 Metaverse 的博客描述(他這篇文章是 2012 年寫的,提到了推特和元宇宙)當時也突然覺得眼前一亮:如下圖

圖片來源:Twitter and the Metaverse - AVC

也有 2019 年 USV 合伙人 Fred 博客寫道他對 NFT 和虛擬人的關注之時,引發了我的思考(不過當時周圍可以找到的能交流 NFT 的朋友并不多:)(如下圖)。

這篇文章的寫作,主要也是想給大家一個思考的新領域,新方向。

阿法兔

個人專欄

閱讀更多

金色財經Maxwell

Bankless

金色薦讀

FastDaily

中國金融雜志

巴比特資訊

元宇宙之道

Tags:加密貨幣BIOSBIOEFI加密貨幣行情追蹤工具symbiosisfinance幣價格World of Defish

中幣下載
APP:應用鏈的興起將帶來哪些風險和機遇?

原文標題:《應用鏈的興起將帶來哪些風險和機遇?未來將會如何發展? 》原文作者:Dmitriy Berenzon,1kx 分析師原文編譯:白澤研究院雖然區塊鏈的最初應用圍繞貨幣和金融.

1900/1/1 0:00:00
區塊鏈:金色觀察 | “木頭姐”公開致信美聯儲:FED正犯下政策錯誤

10月10日,華爾街著名人物、ARK投資管理公司Cathie Wood(人稱木頭姐)發表了一封致美聯儲的公開信。在公開信中,Wood表示,美聯儲對通脹的強硬立場可能是錯誤的.

1900/1/1 0:00:00
WEB:Biteye 周年慶嘉賓金句集錦 邀您一起掉進Web3「兔子洞」

自 8 月 9 日來,Web3 學習型社區 Biteye 開啟了為期五周的「周年慶 & 品牌升級」主題活動,圍繞 DeFi、公鏈、Web3、NFT 和 DAO 五個領域.

1900/1/1 0:00:00
GAS:Aptos公布Gas計劃:花費如何計算?

Aptos Labs 于 10 月 14 日公布了 Aptos 的 GAS 計劃,因為 MOVE 語言的上一個版本其實是打算在沒有 GAS 的前提下運行的,所以并沒有為 GAS 計劃做好準備.

1900/1/1 0:00:00
POC:V神:另一個狀態友好的界地址方案

來源 | ethresear.ch作者 | Vitalik Buterin譯者按:本文需要讀者對狀態管理和 state expiry 機制作一定了解.

1900/1/1 0:00:00
FTX:金色觀察 | FTX帝國是怎樣轟然崩塌的

文/Donovan Choy,譯/金色財經xiaozou2022年,我們見證了新的Mt. Gox事件。FTX這個世界上第二大加密貨幣交易所,僅在48小時內,就陡然從頂峰跌落谷底.

1900/1/1 0:00:00
ads