近日，據(jù)《彭博商業(yè)周刊》最新的封面深度報(bào)道：全美國(guó)多家頂級(jí)科技公司，都被一枚不到鉛筆尖大小的“芯片”給黑了！

中美科技股板塊齊遭黑天鵝

據(jù)彭博社報(bào)道，美國(guó)芯片巨頭超微電腦 （Super Micro） 所生產(chǎn)的服務(wù)器主板受攻擊，惡意芯片滲入電腦硬件制造商Super Micro Computer的供應(yīng)鏈中，并且被波及的美國(guó)公司包括蘋(píng)果、亞馬遜等，總數(shù)超過(guò)30家。

受此報(bào)道影響，中美股市場(chǎng)科技板塊集體暴跌，Super Micro的股價(jià)跌41．12％，蘋(píng)果、亞馬遜、微軟等等多家科技巨頭均有近2％或以上的跌幅，而中國(guó)除去中國(guó)移動(dòng)，其余各大科技企業(yè)跌幅接近或超過(guò)3％，其中阿里巴巴、百度、京東、網(wǎng)易等互聯(lián)網(wǎng)科技類跌幅超過(guò)3％，聯(lián)想集團(tuán)及中興通訊分別大跌15．1％及10．99％，其海外業(yè)務(wù)更一度大跌超過(guò)21％、14％，損失慘重。

按照彭博社發(fā)布的報(bào)道，聲稱大約30家公司和多個(gè)美國(guó)機(jī)構(gòu)使用的設(shè)備中被置入計(jì)算機(jī)芯片，使隱私受損，對(duì)此蘋(píng)果和亞馬遜立刻嚴(yán)詞反駁，稱有關(guān)于自己公司的報(bào)道完全錯(cuò)誤，并均拿出了詳細(xì)透徹的反駁資料表示從未發(fā)現(xiàn)惡意芯片、“硬件操縱”或在任何服務(wù)中故意植入的漏洞，以此證明彭博社所述純屬“子虛烏有”。

遭植入的微型芯片實(shí)際就是阻抗匹配巴倫濾波器

彭博社的報(bào)道未能提供讓人信服的證據(jù)，對(duì)于芯片攻擊也缺乏嚴(yán)謹(jǐn)?shù)募?xì)節(jié)技術(shù)論證，嚴(yán)重低估了蘋(píng)果、亞馬遜乃至美國(guó)各機(jī)構(gòu)對(duì)軟硬件來(lái)源的安全把控標(biāo)準(zhǔn)，明顯缺乏可靠的公開(kāi)信源，存在很多的子虛烏有的故事性內(nèi)容。

小編以為，彭博社報(bào)道所提到的米粒大小的芯片偽裝成信號(hào)調(diào)理耦合器，必須滿足幾個(gè)條件：

1、必須存在電力儲(chǔ)存和聯(lián)網(wǎng)的各種載體硬件

2、必須存在足夠的空間放置可以執(zhí)行運(yùn)算的CPU

3、必須存在在種種限制之下開(kāi)啟后門發(fā)起攻擊后具有不被發(fā)現(xiàn)的能力

但是按照目前的技術(shù)尺寸和技術(shù)手段來(lái)說(shuō)，這三點(diǎn)還是無(wú)法瀕臨的高度，并且這枚米粒大小的芯片經(jīng)過(guò)Super Micro、蘋(píng)果、亞馬遜和三十家美國(guó)頂級(jí)科技公司極其復(fù)雜嚴(yán)格的審查程序都未被發(fā)現(xiàn)的可能性幾乎為0。

有行業(yè)專業(yè)人士表示，這枚米粒大小的芯片實(shí)際上，只是一枚功能簡(jiǎn)單的阻抗匹配巴倫濾波器，并且在各互聯(lián)網(wǎng)消費(fèi)平臺(tái)都有售賣，售價(jià)還不到1元人民幣。

供應(yīng)鏈的安全性是一個(gè)共同關(guān)注的問(wèn)題

除去彭博社此次植入芯片的報(bào)道，回顧去年的Xmanager和Xshell后門事件、Xcode非官方版本惡意代碼污染事件、思科Juniper網(wǎng)絡(luò)設(shè)備存在“心臟出血”漏洞、Juniper VPN后門事件等等事件，可以發(fā)現(xiàn)整個(gè)科技供應(yīng)鏈產(chǎn)業(yè)進(jìn)行軟件開(kāi)發(fā)、設(shè)備采購(gòu)、系統(tǒng)運(yùn)維等階段都存在著安全風(fēng)險(xiǎn)，而如何有效的針對(duì)產(chǎn)品供應(yīng)鏈進(jìn)行防范與控制成為行業(yè)內(nèi)面臨的極大挑戰(zhàn)。

供應(yīng)鏈?zhǔn)前到y(tǒng)終端用戶、政策制定者、采購(gòu)專家、系統(tǒng)集成商、網(wǎng)絡(luò)提供商和軟硬件提供商在內(nèi)的統(tǒng)一系統(tǒng)，因此供應(yīng)鏈威脅涉及方方面面，而小編以為出現(xiàn)供應(yīng)鏈安全問(wèn)題的主要原因應(yīng)該從供應(yīng)鏈中的對(duì)象來(lái)看：

1、軟件提供商的風(fēng)險(xiǎn)

軟件的開(kāi)發(fā)環(huán)境很容易受到污染，其源代碼易被植入后門，在軟件開(kāi)發(fā)、系統(tǒng)編譯、下載分發(fā)等不同階段都可能存在惡意程序感染，對(duì)此，軟件提供商需要建立一套全面的、安全的軟件生命周期管理制度及流程，針對(duì)不同階段面臨的風(fēng)險(xiǎn)進(jìn)行排查、分析，結(jié)合相應(yīng)安全手段進(jìn)行有效管理，從而提供安全、可靠的軟件程序。

2、網(wǎng)絡(luò)安全產(chǎn)品提供商的風(fēng)險(xiǎn)

網(wǎng)絡(luò)設(shè)備里最容易被撰改的就是內(nèi)存內(nèi)容了，這不管是對(duì)企業(yè)網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)以及互聯(lián)網(wǎng)來(lái)說(shuō)，都容易被非法獲取其用戶、密碼以及敏感信息，所以，網(wǎng)絡(luò)安全產(chǎn)品提供商作為產(chǎn)品提供者，如果在產(chǎn)品交付及運(yùn)行過(guò)程中存在大量漏洞，那么將導(dǎo)致整個(gè)設(shè)備研發(fā)過(guò)程中都存在邏輯漏洞，同時(shí)在使用了不安全的協(xié)議下也會(huì)導(dǎo)致產(chǎn)品存在安全漏洞，給最終使用用戶造成巨大影響。

3、最終用戶的風(fēng)險(xiǎn)

對(duì)用戶服務(wù)的企業(yè)來(lái)說(shuō)，如果供應(yīng)鏈的設(shè)備系統(tǒng)出現(xiàn)異常故障，將直接導(dǎo)致被服務(wù)用戶資金、信息數(shù)據(jù)等的丟失，換句話說(shuō)，就是企業(yè)如果在在進(jìn)行日常運(yùn)維及安全管理過(guò)程中無(wú)法保障，存在大量問(wèn)題的話，其內(nèi)部安全漏洞無(wú)法及時(shí)進(jìn)行修補(bǔ)，并且沒(méi)有相應(yīng)的技術(shù)手段去針對(duì)網(wǎng)絡(luò)內(nèi)部未知攻擊的問(wèn)題進(jìn)行發(fā)現(xiàn)及監(jiān)測(cè)，而導(dǎo)致企業(yè)網(wǎng)絡(luò)及系統(tǒng)被攻擊，那造成的損失是不可估量的。

因此，供應(yīng)鏈安全是一個(gè)涉及面廣且復(fù)雜的一套體系，在任何一個(gè)階段存在問(wèn)題都勢(shì)必會(huì)影響供應(yīng)鏈上下游的安全，因此，供應(yīng)鏈安全問(wèn)題是各個(gè)國(guó)家企業(yè)共同關(guān)注的重大問(wèn)題。而在今年6月1日正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中第三十五、三十六條中也針對(duì)產(chǎn)品及服務(wù)采購(gòu)進(jìn)行了相應(yīng)要求，也表明中國(guó)對(duì)供應(yīng)鏈安全的重視。

區(qū)塊鏈技術(shù)在提供一些令人興奮的應(yīng)用項(xiàng)目的同時(shí)，技術(shù)本身也存在行業(yè)的風(fēng)險(xiǎn)，因此如何使全球供應(yīng)鏈更具活力，如何打造更安全的供應(yīng)鏈需要大家共同的努力。