近日，據(jù)《彭博商業(yè)周刊》最新的封面深度報道：全美國多家頂級科技公司，都被一枚不到鉛筆尖大小的“芯片”給黑了！

中美科技股板塊齊遭黑天鵝

據(jù)彭博社報道，美國芯片巨頭超微電腦 （Super Micro） 所生產(chǎn)的服務(wù)器主板受攻擊，惡意芯片滲入電腦硬件制造商Super Micro Computer的供應(yīng)鏈中，并且被波及的美國公司包括蘋果、亞馬遜等，總數(shù)超過30家。

受此報道影響，中美股市場科技板塊集體暴跌，Super Micro的股價跌41．12％，蘋果、亞馬遜、微軟等等多家科技巨頭均有近2％或以上的跌幅，而中國除去中國移動，其余各大科技企業(yè)跌幅接近或超過3％，其中阿里巴巴、百度、京東、網(wǎng)易等互聯(lián)網(wǎng)科技類跌幅超過3％，聯(lián)想集團及中興通訊分別大跌15．1％及10．99％，其海外業(yè)務(wù)更一度大跌超過21％、14％，損失慘重。

按照彭博社發(fā)布的報道，聲稱大約30家公司和多個美國機構(gòu)使用的設(shè)備中被置入計算機芯片，使隱私受損，對此蘋果和亞馬遜立刻嚴(yán)詞反駁，稱有關(guān)于自己公司的報道完全錯誤，并均拿出了詳細透徹的反駁資料表示從未發(fā)現(xiàn)惡意芯片、“硬件操縱”或在任何服務(wù)中故意植入的漏洞，以此證明彭博社所述純屬“子虛烏有”。

遭植入的微型芯片實際就是阻抗匹配巴倫濾波器

彭博社的報道未能提供讓人信服的證據(jù)，對于芯片攻擊也缺乏嚴(yán)謹?shù)募毠?jié)技術(shù)論證，嚴(yán)重低估了蘋果、亞馬遜乃至美國各機構(gòu)對軟硬件來源的安全把控標(biāo)準(zhǔn)，明顯缺乏可靠的公開信源，存在很多的子虛烏有的故事性內(nèi)容。

小編以為，彭博社報道所提到的米粒大小的芯片偽裝成信號調(diào)理耦合器，必須滿足幾個條件：

1、必須存在電力儲存和聯(lián)網(wǎng)的各種載體硬件

2、必須存在足夠的空間放置可以執(zhí)行運算的CPU

3、必須存在在種種限制之下開啟后門發(fā)起攻擊后具有不被發(fā)現(xiàn)的能力

但是按照目前的技術(shù)尺寸和技術(shù)手段來說，這三點還是無法瀕臨的高度，并且這枚米粒大小的芯片經(jīng)過Super Micro、蘋果、亞馬遜和三十家美國頂級科技公司極其復(fù)雜嚴(yán)格的審查程序都未被發(fā)現(xiàn)的可能性幾乎為0。

有行業(yè)專業(yè)人士表示，這枚米粒大小的芯片實際上，只是一枚功能簡單的阻抗匹配巴倫濾波器，并且在各互聯(lián)網(wǎng)消費平臺都有售賣，售價還不到1元人民幣。

供應(yīng)鏈的安全性是一個共同關(guān)注的問題

除去彭博社此次植入芯片的報道，回顧去年的Xmanager和Xshell后門事件、Xcode非官方版本惡意代碼污染事件、思科Juniper網(wǎng)絡(luò)設(shè)備存在“心臟出血”漏洞、Juniper VPN后門事件等等事件，可以發(fā)現(xiàn)整個科技供應(yīng)鏈產(chǎn)業(yè)進行軟件開發(fā)、設(shè)備采購、系統(tǒng)運維等階段都存在著安全風(fēng)險，而如何有效的針對產(chǎn)品供應(yīng)鏈進行防范與控制成為行業(yè)內(nèi)面臨的極大挑戰(zhàn)。

供應(yīng)鏈?zhǔn)前到y(tǒng)終端用戶、政策制定者、采購專家、系統(tǒng)集成商、網(wǎng)絡(luò)提供商和軟硬件提供商在內(nèi)的統(tǒng)一系統(tǒng)，因此供應(yīng)鏈威脅涉及方方面面，而小編以為出現(xiàn)供應(yīng)鏈安全問題的主要原因應(yīng)該從供應(yīng)鏈中的對象來看：

1、軟件提供商的風(fēng)險

軟件的開發(fā)環(huán)境很容易受到污染，其源代碼易被植入后門，在軟件開發(fā)、系統(tǒng)編譯、下載分發(fā)等不同階段都可能存在惡意程序感染，對此，軟件提供商需要建立一套全面的、安全的軟件生命周期管理制度及流程，針對不同階段面臨的風(fēng)險進行排查、分析，結(jié)合相應(yīng)安全手段進行有效管理，從而提供安全、可靠的軟件程序。

2、網(wǎng)絡(luò)安全產(chǎn)品提供商的風(fēng)險

網(wǎng)絡(luò)設(shè)備里最容易被撰改的就是內(nèi)存內(nèi)容了，這不管是對企業(yè)網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)以及互聯(lián)網(wǎng)來說，都容易被非法獲取其用戶、密碼以及敏感信息，所以，網(wǎng)絡(luò)安全產(chǎn)品提供商作為產(chǎn)品提供者，如果在產(chǎn)品交付及運行過程中存在大量漏洞，那么將導(dǎo)致整個設(shè)備研發(fā)過程中都存在邏輯漏洞，同時在使用了不安全的協(xié)議下也會導(dǎo)致產(chǎn)品存在安全漏洞，給最終使用用戶造成巨大影響。

3、最終用戶的風(fēng)險

對用戶服務(wù)的企業(yè)來說，如果供應(yīng)鏈的設(shè)備系統(tǒng)出現(xiàn)異常故障，將直接導(dǎo)致被服務(wù)用戶資金、信息數(shù)據(jù)等的丟失，換句話說，就是企業(yè)如果在在進行日常運維及安全管理過程中無法保障，存在大量問題的話，其內(nèi)部安全漏洞無法及時進行修補，并且沒有相應(yīng)的技術(shù)手段去針對網(wǎng)絡(luò)內(nèi)部未知攻擊的問題進行發(fā)現(xiàn)及監(jiān)測，而導(dǎo)致企業(yè)網(wǎng)絡(luò)及系統(tǒng)被攻擊，那造成的損失是不可估量的。

因此，供應(yīng)鏈安全是一個涉及面廣且復(fù)雜的一套體系，在任何一個階段存在問題都勢必會影響供應(yīng)鏈上下游的安全，因此，供應(yīng)鏈安全問題是各個國家企業(yè)共同關(guān)注的重大問題。而在今年6月1日正式實施的《中華人民共和國網(wǎng)絡(luò)安全法》中第三十五、三十六條中也針對產(chǎn)品及服務(wù)采購進行了相應(yīng)要求，也表明中國對供應(yīng)鏈安全的重視。

區(qū)塊鏈技術(shù)在提供一些令人興奮的應(yīng)用項目的同時，技術(shù)本身也存在行業(yè)的風(fēng)險，因此如何使全球供應(yīng)鏈更具活力，如何打造更安全的供應(yīng)鏈需要大家共同的努力。