Ngày càng gia tăng các Trojan phần cứng nhúng trong chip bán dẫn
Ba chuyên gia của Keysight Technologies gồm các ông Kiyoshi Chikamatsu – Giám đốc dự án R&D, Masaharu Goto – Kỹ sư nghiên cứu chính và Alan Wadsworth - Giám đốc Phát triển kinh doanh sản phẩm nguồn và chính xác cho khu vực Châu Mỹ của Keysight vừa có bài phân tích về những khó khăn, thách thức trong việc phát hiện cũng như cách hữu hiệu để nhận biết loại chương trình máy tính độc hại này.
Theo phân tích của các chuyên gia, hàng tỷ thiết bị điện tử được sử dụng mỗi ngày và con số này sẽ tăng lên đáng kể khi Internet vạn vật (IoT) được mở rộng. Đi cùng với sự phát triển này là mối đe dọa an ninh mạng ngày càng tăng của các Trojan phần cứng được nhúng trong chip bán dẫn nhằm mục đích xấu.
Khi việc thuê ngoài thiết kế, sản xuất mạch và sử dụng IP (sở hữu trí tuệ) từ các nhà cung cấp bên ngoài ngày càng phổ biến, rủi ro từ Trojan phần cứng cũng gia tăng. Triển khai các thiết bị có các lỗ hổng bảo mật này có thể đặt xã hội trước rủi ro rất lớn, đặc biệt nếu các thiết bị đó ảnh hưởng đến các hệ thống thiết yếu như mã hóa thương mại điện tử, xe tự lái hoặc các hệ thống điều khiển điều khiển hàng không. Do cần đảm bảo rằng các hệ thống này không chứa bất kỳ mạch điện độc hại nào, nên khả năng phát hiện Trojan phần cứng trong các hệ thống điện tử có vai trò vô cùng quan trọng.
Một nhóm nghiên cứu do ông Nozomi Togawa, đứng đầu là giáo sư tại Khoa Khoa học và Kỹ thuật của Đại học Waseda - người có bề dày kinh nghiệm nghiên cứu phát hiện Trojan phần cứng, đã sử dụng bộ phân tích dạng sóng dòng điện của thiết bị CX3300A của Keysight để cải thiện đáng kể khả năng phát hiện Trojan của họ. CX3300 có công nghệ đo dòng điện động hiện đại có khả năng nhận dạng các dấu hiệu khó đo ở băng thông cao. Bộ phân tích này cũng hỗ trợ một thuật toán học máy tiên tiến có khả năng xác định các điểm bất thường nhỏ trong cơ sở dữ liệu rất lớn (> 1 Terabyte).
Nhiều thách thức trong phát hiện Trojan
Trojan phần cứng có thể gây ra thiệt hại nghiêm trọng bằng nhiều cách như gây ngừng trệ và phá hủy tín hiệu. Trojan có thể thực hiện những hoạt động này chỉ bằng cách chèn một số cổng vào bảng mạch trong giai đoạn thiết kế IC, do đó các cổng này rất khó bị phát hiện.
Cách tốt nhất để phát hiện Trojan là từ sơ đồ mạch hoặc các tín hiệu giao tiếp kênh chính. Thật không may, việc gia tăng thuê ngoài thiết kế và sản xuất mạch, cũng như việc sử dụng IP của các công ty khác đã gây khó khăn cho việc hiểu rõ và xác minh từng chi tiết của thiết kế chip và các mẫu I/O.
Điều này khiến việc phát hiện Trojan sau khi sản xuất mạch bằng cách kiểm tra tín hiệu kênh chính trở nên khó khăn hơn và không đáng tin cậy. Mặt khác, tín hiệu kênh biên từ dòng điện chứa đựng nhiều thông tin phong phú về các hoạt động bên trong của chip bán dẫn. Nếu có bất kỳ hoạt động độc hại nào thì sẽ xuất hiện dưới dạng biến thiên dòng điện nguồn.
Tuy nhiên, các chuyên gia cũng chỉ ra rằng, việc phát hiện Trojan bằng cách theo dõi dòng điện nguồn có một số thách thức.
Cụ thể như, về đo dòng điện băng thông cao, độ phân giải cao, các chip bán dẫn hoạt động theo đồng hồ tần số cao với nhiều tác vụ chạy đồng thời, do đó biến thiên dòng cung cấp của chúng khá thất thường và có giá trị rất nhỏ. Điều này có nghĩa là cần có công nghệ đo dòng điện có băng thông và độ phân giải cao để xác định hoạt động của Trojan.
Còn đối với học máy dành cho phân tích dữ liệu lớn dạng sóng, vì hoạt động của Trojan phần cứng hiếm khi xảy ra, nên cần có khả năng đo liên tục với tốc độ và độ phân giải cao và không bị gián đoạn trong thời gian dài. Song việc thu thập dữ liệu độ phân giải cao trong một thời gian dài có thể tạo ra cơ sở dữ liệu cực lớn. Ví dụ như ghi một luồng dữ liệu 10MSa/s trong 24 giờ sẽ tạo ra một cơ sở dữ liệu về dạng sóng có kích thước lớn hơn 1 Terabyte. Vì thế, cần có một số loại thuật toán học máy có thể nhanh chóng xử lý các cơ sở dữ liệu khổng lồ. Dù vậy, các công nghệ hiện có cho tới nay chưa đáp ứng được những yêu cầu này.
Mặt khác, nghiên cứu của các chuyên gia Keysight còn cho thấy, chỉ công nghệ cảm biến dòng điện có độ phân giải cao và băng thông lớn, chẳng hạn như công nghệ được sử dụng trong bộ cảm biến dòng CX1101A của Keysight mới có thể đo chính xác dòng điện động của các tín hiệu kênh biên, mới có thể phát hiện biến thiên dòng.
Học máy dành cho phân tích dữ liệu lớn về đo lường
Các thuật toán học máy không giám sát thường được sử dụng để phát hiện các điểm bất thường, chẳng hạn như những dấu hiệu do Trojan tạo ra. Trong số các thuật toán học không giám sát, thuật toán phân cụm (clustering) đã trở thành một công cụ thiết yếu để phân tích dữ liệu lớn trong nhiều ứng dụng. Mặc dù thuật toán này đã được triển khai dưới nhiều hình thức khác nhau, nhưng hầu hết không thể xử lý lượng lớn dữ liệu dạng sóng, vì những dữ liệu này là các mảng chỉ số chứa hàng nghìn điểm dữ liệu
Một cơ sở dữ liệu chứa hàng triệu phân đoạn dạng sóng, mỗi phân đoạn bao gồm hàng nghìn điểm dữ liệu sẽ đặt ra một thách thức khó khăn về phân tích và phân loại dữ liệu. Cần rất nhiều tài nguyên máy tính và thời gian xử lý để có thể sắp xếp và phân loại một cơ sở dữ liệu khổng lồ như vậy bằng các thuật toán thông thường.
Tuy nhiên, Keysight đã phát triển một thuật toán mới có thể xử lý lượng lớn dữ liệu dạng sóng bằng cách sử dụng nền tảng PC chi phí thấp với thời gian xử lý tương đương như khi sử dụng các giải pháp máy chủ tính toán lớn. Thời gian tính toán của thuật toán Keysight tỷ lệ tuyến tính với khối lượng và kích thước dữ liệu, ngay cả trong trường hợp kích thước của cơ sở dữ liệu đo lường lớn hơn nhiều bộ nhớ chính của CPU.
Với nhiều cải tiến, hiệu năng của thuật toán Keysight chạy trên một máy PC cũ tương đương với hiệu năng của các thuật toán khác chạy trên các máy chủ lớn chứa 300-400 CPU. Tốc độ xử lý của thuật toán này cao hơn 100 - 1000 lần so với các thuật toán thông thường.
Nhờ có các tính năng này, phân tích có thể bắt đầu ngay sau khi hoàn tất quá trình thu thập dữ liệu, và các hoạt động phân tích dữ liệu chính có thể được hoàn thành trong 10 giây hoặc ít hơn. Hiển thị cận thời gian thực các dạng sóng đo được và khả năng phát hiện tức thời những dạng sóng cụ thể cho phép xác định nhanh chóng và dễ dàng một dạng sóng trong hàng triệu dạng sóng.
Phát hiện thành công Trojan
Máy hiện sóng và đầu dò tiêu chuẩn không có đủ độ phân giải và băng thông cần thiết để phân tích các dạng sóng dòng điện cấp nguồn của kênh biên. Ngoài ra, các thuật toán học máy thông thường không thể xử lý được số lượng và sự phức tạp của các dạng sóng này. Cho đến nay, tổ hợp giữa khả năng đo dòng điện động độ phân giải cao băng thông rộng của CX3300 và thuật toán phân cụm cực nhanh của Keysight là phương tiện hiệu quả duy nhất để xác định Trojan.
Ngoài phát hiện Trojan phần cứng, công nghệ này có nhiều công dụng khác, vì nó là một công cụ đa năng để phát hiện bất thường trong bất kỳ môi trường dữ liệu đo lường lớn nào. Trong tương lai, Keysight dự kiến tiếp tục phát triển các thuật toán học máy tiên tiến và công nghệ đo lường hiện đại nhất.