Scientific Americanissa oli taannoin pitkähkö artikkeli “The Hacker in Your Hardware”, jonka sisältöä voi hyvin käyttää pohjustuksena kysymykselle: “Mihin perustat uskomuksesi tai varmuuden tunteesi siitä, että elektroniset laitteesi eivät sisällä mitään sellaista, jota tuotteen valmistaja ei siihen tarkoittanut sisällyttää?” Ajatuksesi voivat tällaisen kysymyksen kohdalla suuntautua ensin kohti jotain valtiota, kuten vaikkapa Kiinaa, mutta parempilaatuinen mietintä lähtee muodostumaan pikemminkin valmistusprosessin ja kuljetuslogistiikan kautta asiaa ajatellen. Ennen kuin mikropiiri on pakattu suojaavaan koteloonsa ja siitä ulkonee joukko liitäntänastoja, sitä on ollut suunnittelemassa usea eri taho, jotka eivät välttämättä ole toisistaan edes tietoisia, vaan he ovat suunnitelleet ehkä vain jonkin tietyn osuuden yksittäisen mikropiirin tai laitteistosarkkitehtuurin toimintaan liittyen. Heidän toimiaan on mahdollisesti koordinoinut tuotantoa out sourcing -mallisesti ulkoistanut taho, joka on lopulta koostanut saaduista erillisistä suunnitelmista lopullisen version ja käyttänyt sen jälkeen vielä yhtä tai useampaa alihankkijaa valmistamaan varsinaiset fyysiset tuotteet. Töiden eri vaiheissa ja niiden välillä suunnitelmiin ja toteutuksiin voi päästä mukaan jotain ylimääräistä tai muokattua, jotka läpäisevät kaikki tuotetarkastuksen vaiheet, päätyen täten esim. loppukäyttäjän tietokoneeseen.

Vaihtoehtoisesti voidaan käyttää, ja paljon käytetäänkin, valmiskomponentteja, mutta voiko lopputuotteen valmistaja olla varma siitä, että komponentit, joiden päällä lukee jokin koodi, ovat varmasti sellaisia kuin mitä luki B2B-verkkomarkkinapaikan (Business To Business) tuotetiedoissa, tuotteita tuhatmäärin ostoskoriin laitettaessa? Entä voiko olla varma siitä, että ostavan tahon käyttöön päätyy juuri ne komponentit, joita tilattiin? Nykyisin voidaan rahtien kulkua seurata varsin tarkkaan ja kollien ollessa merkittyjä RFID-tageilla eivät ne ainakaan muihin normaaleihin lähetyksiin sekaannu, mutta riippumatta siitä onko lastien käsittelijöinä ihmisiä vai johonkin tehtävään ohjelmoituja tietokoneita, ei ehkä silti voida saavuttaa aivan täyttä varmuutta siitä, että kuljetusreitti on suojattu alusta loppuun.

“In today"s world, however, the design process for a single, large integrated circuit can involve contributions from hundreds or even thousands of people at locations on multiple continents. As this design goes through various stages of development, portions of the design are stored on many different physical platforms and repeatedly exchanged among many parties. For example, an American manufacturer might combine designs from separate branches of the company with designs from third party vendors in the U.S., Europe and India, then fabricate the chip in a Chinese factory.” (Villasenor 2010)

Laitteiden virtapiirit ovat siitä hankalia, että ihmismielen on hankala ymmärtää niiden käyttötarkoituksia ja käytöstä ilman erilaisia instrumentteja ja apuvälineitä toisin kuin lähempänä ihmisajattelua olevaa englanninkielisiä termejä sisältävää ohjelmointikoodia. Tämä tekee virtapiirien testaamisen eksponentiaalisesti hankalammaksi, minkä vuoksi pelkästään kaikkien mahdollisten testitapausten ja varmistusten määrittely olisi erittäin paljon aikaa vievää työtä, eikä välttämättä edes mahdollista. Valistunut ja pitkälle kouluttautunut asiantuntija kykenee kyllä lukemaan sujuvasti virtapiirien toimintalogiikkaa vastaavaa dokumentaatiota, kaavioita ja kuvailuja, mutta kokonaisuus voi olla niin laaja, ettei yksittäinen ihminen pysty tajuamaan sitä.

Haittakomponentit (eng. malicous hardware) tietokoneissa tekevät erilaiset verkon kautta tapahtuvat hyökkäykset normaalia helpommaksi, niiden usein kohdistuessa suuryrityksien sijaan pienyrityksiin, koska niillä ei ole vastaavia resursseja “suojavarusteluun”. Olennaista on se, mihin tarkoituksiin haittakomponentteja käytetään. Yksittäisten ihmisten kohdalla voi olla niin, että samaa tietokonelaitteistoa käytetään esim. viisi vuotta, minä aikana hänen elämässään ehtii tapahtumaan kaikenlaista - viisi vuotta sitten hän oli ehkä vielä tavallinen opiskelija, mutta viiden vuoden jälkeen oman pienyrityksen toimitusjohtaja tai kansalaisaktiivi.

Yhdysvaltain asevoimien tutkimusorganisaatiolla (DARPA) on luontainen kiinnostus kaikenlaisiin uhkiin ja se on ilmaissut aidon huolensa siitä, että Yhdysvaltain armeijan käytössä olevan aseistuksen sisältämät mikropiirit voisivat sisältää tuntemattoman osapuolen “pahansuopaiseksi” luokiteltavia virtapiirejä. Tähän liittyen DARPA:n kymmenien eri projektien joukosta löytyykin projekti nimeltä TRUST In Integrated Circuits.

“Given the sheer number of people and complexity involved in a large integrated circuit design, there is always a risk that an unauthorized outsider might gain access and corrupt the design without detection. A very small - but not zero - risk also exists that a design could be corrupted by someone with internal access. While the overwhelming majority of people involved in any aspect of circuit design will endeavor to deliver designs of the highest quality, as with any security issue, malicious actions taken by even a very small minority of those with inside access acting maliciously can create significant problems.” (Villasenor 2010)

Tällaisissa asioissa ei aina ole kyse sellaisista toimijoista, joilla on suuret resurssit (esim. “vieras valtio”), vaan tietämys ja dokumentaatio johonkin tuotteeseen lisätystä esim. kaukoaktivoitavasta toiminnosta voi vuotaa myös “pikkutekijöiden käsiin”. Sanalla pikkutekijä viitataan tässä lähinnä osallisten verkoston pienuuteen, eikä niinkään heidän kyvykkyyteensä. Tällainen verkosto voi koostua esim. rikosten tekemiseen taipuvaisista yliopisto opiskelijoista, joilla on erinomaiset tekniset taidot ja suhteita ihmisiin, jotka hoitavat erilaiset vaadittavat käytännön työt.

Jos tällaisen pienverkoston tietoon pääsee esim. sellaista, että jonkin älypuhelinmallin voi saada täydelliseen etäkontrolliin kunhan ensin lähettää sille tietyn käskysarjan, voi tätä tietoa hyödyntää monella tavalla. Itseasiassa tällaista tietoa hyödyntääkseen ei tarvitsisi olla edes erityisen pitkälle ohjelmistoteknisellä alalla kouluttautunut, vaan pelkkä sopivanlainen itsekouluttautuneisuus riittäisi myös, mikä lisäisi mahdollisten tiedonhyödyntäjien joukkoon monenlaiset seikkailun- ja kokeilunhaluiset aikamiehet ja teinipojat - ja miksei myös naispuoliset henkilöt, vaikka heitä ohjelmistotekniset asiat ainakin toistaiseksi ovat vähemmän kiinnostaneet.

Kokeilunhaluisuus voi tarkoittaa tässä sitäkin, että halutaan kokeilla, kuinka joku kohteeksi valittu henkilö, jolla on tietynlaisen laitteen tietty malli käytössään, reagoi, kun hänen laitteensa käyttäytyy tietyissä olosuhteissa aina jollain tietyllä poikkeavalla tavalla, jonka syytä hän ei osaa purkaa esiin päättelyn kautta.

Tällainen poikkeava toiminta voisi olla esim. tablet-laitteen näytön kirkkaussäätimen siirtyminen toiseen ääriasentoon näennäisen itsestään, vaikka kirkkausasetus ei olisi asetettu säätymään automaattisesti. Tällaisen kokeilun uhriksi joutuminen voi pidemmän päälle olla erittäin stressaavaa. Ns. kertalaakista pysyvää haittaa aiheuttava voisi olla sellainen teko, jossa jotain laitetta ohjataan ylikuormittumaan siten, että jokin sen sisällä oleva komponentti ylikuumenee ja sytyttää esim. tulipalon tai yksinkertaisesti tuhoaa laitteen käyttökelvottomaksi. Oikosulkusuojauksien ja virrankulkurajoituksien osalta voinee olettaa olevan omat suojausstandardinsa ja testauskeinonsa, mutta kuten toisinaan voi sanomalehdistä lukea on yksinkertaisimmissakin laitteissa toisinaan paloturvallisuusriskin vaaroista varoittavia tuotteidentakaisinvetoja.

 


Julkaistu alunperin teoksessa "Valtakunta ajoittaisesta mielenrauhasta".

The Hacker in Your Hardware. By: Villasenor, John, Scientific American, 00368733, Aug2010, Vol. 303, Issue 2