Menjaga dari kemungkinan Spectre di setiap mesin

Kerentanan keamanan dalam teknologi melampaui masalah dengan perangkat lunak. Awal bulan ini, peneliti mengungkapkan bahwa perangkat keras di jantung hampir setiap komputer, telepon pintar, tablet dan perangkat elektronik lainnya cacat setidaknya dalam dua cara signifikan yang diberi nama kode Spectre dan Meltdown.

Terlepas dari penyebab mereka, keberadaan kerentanan yang signifikan ini hanyalah gejala dari masalah yang jauh lebih luas. Terlalu sedikit perusahaan teknologi yang mengambil tindakan pencegahan yang tepat untuk melindungi setiap langkah dalam rantai pasokan mereka, dari bahan baku melalui manufaktur dan distribusi ke tangan pelanggan. Produk dapat diubah baik di pabrik atau dalam perjalanan ke pengguna, berputar, Misalnya, smartphone eksekutif menjadi perangkat pengawasan yang praktis.

Saya adalah bagian dari tim peneliti multidisiplin yang berbasis di Universitas Indiana yang mempelajari masalah pelik ini. Pekerjaan kami telah membantu menyoroti fakta sederhana bahwa keamanan rantai pasokan yang lebih baik dapat mencegah dan mempermudah pemulihan dari kecelakaan – seperti yang terlihat pada kelemahan chip – dan campur tangan yang disengaja.

Pintu belakang dan jalan rahasia

Sudah menjadi rahasia umum bahwa peretas dapat menyerang perangkat lunak dengan mengirimkan email yang terinfeksi virus kepada pengguna atau tautan yang disusupi. Tapi mereka juga bisa mencampuri komputer dengan mengubah sirkuit kecil di microchip yang kebanyakan pengguna tidak akan pernah lihat. Kelemahan tersebut bersifat fisik, dan mereka sama sulitnya untuk diidentifikasi seperti kesalahan dalam kode perangkat lunak.

Rantai pasokan kompleks yang terlibat dalam sebagian besar manufaktur teknologi sangat sulit untuk diamankan. iPhone Apple, Misalnya, melibatkan ratusan pemasok dari seluruh dunia membuat chip dan hard drive, yang semuanya harus dikirim, dirakit dan disimpan sebelum dikirim ke toko Apple atau pintu Anda. Semua langkah ini membuka banyak peluang munculnya masalah keamanan; penelitian terbaru bahkan menyarankan peretas dapat menggunakan aplikasi ponsel cerdas untuk menghancurkan peralatan manufaktur atau bahkan meledakkan seluruh pabrik.

Meskipun belum ada bencana skala besar yang teridentifikasi, bahkan pengecer canggih seperti Amazon telah tertipu oleh faksimili palsu atau produk asli yang diproduksi dengan buruk. Beberapa ancaman rantai pasokan bisa lebih berbahaya:Pada 2012, Microsoft memperingatkan pelanggan bahwa pabrik komputer China memasang malware di PC.

Masukkan 'internet segalanya'

Karena semakin banyak perangkat – bukan hanya komputer dan ponsel cerdas tetapi termostat dan monitor bayi serta jam tangan dan bola lampu dan bahkan bel pintu – terhubung ke internet, meningkatnya skala ancaman dari peretas dapat dengan mudah hilang dalam kegembiraan.

Di 2009, Departemen Pertahanan A.S. menganggapnya sebagai cara yang bagus untuk membeli banyak daya komputasi tanpa menghabiskan terlalu banyak uang pembayar pajak:Ini membeli 2, 200 konsol game Sony PlayStation 3 untuk digunakan sebagai komponen dalam superkomputer militer. Tapi seperti yang saya dan orang lain tulis sebagai tanggapan, sistem tersebut sering diproduksi di luar negeri, membuatnya jauh lebih sulit untuk memverifikasi bahwa mereka tidak dirusak.

Angkatan Laut, paling sedikit, telah belajar dari kesalahan ini:Divisi Derek Pusat Perang Permukaan Angkatan Laut telah memelopori inspeksi otomatis, menggunakan kecerdasan buatan untuk memeriksa gambar digital dari papan sirkuit baru untuk mendeteksi perubahan yang tidak sah.

Orang Amerika benar-benar khawatir tentang perubahan yang mengganggu selama proses pembuatan dan pengiriman – sebagian karena lembaga pemerintah AS yang melakukannya. Dokumen yang bocor menunjukkan bagaimana tim Operasi Akses Khusus Badan Keamanan Nasional secara rutin mencegat komputer baru dan peralatan jaringan yang dikirim ke orang atau organisasi tertentu. Kemudian pekerja NSA memodifikasi perangkat keras untuk menambahkan kerentanan dan akses rahasia untuk digunakan oleh peretas NSA nanti, dan kemudian memasukkan kembali peralatan ke dalam kotak untuk dikirim seolah-olah tidak ada yang terjadi.

Apakah blockchain sebuah solusi?

Salah satu cara baru untuk mengamankan rantai pasokan melibatkan teknologi blockchain – sistem basis data aman yang disimpan dan dipelihara di banyak komputer di internet – untuk melacak dan memverifikasi semua aspek rantai pasokan, bahkan yang serumit Apple.

IBM dan raksasa pelayaran internasional Maersk sedang bereksperimen dengan menggunakan sistem blockchain untuk lebih mengamankan dan melacak pengiriman secara transparan, seperti dengan memasukkan informasi tentang apa yang dikirim dari siapa dan dari mana ke siapa dan ke mana, dan setiap langkah di sepanjang rute di antaranya, dalam basis data blockchain.

Jenis sistem ini dapat menangani banyak tugas yang ada yang dilakukan oleh database perusahaan – dengan pemindai yang memantau item dan paket pada tahap kunci, dan manusia menambahkan data seperti detail pengiriman. Tetapi blockchain menawarkan setidaknya tiga keuntungan utama:keamanan, transparansi dan otomatisasi.

Keamanan berasal dari dua fitur blockchain:Pertama, data disimpan dalam potongan diskrit, atau "blok". Dan saat setiap blok dibuat, itu harus menautkan dengan aman ke blok sebelumnya dalam database, membuat "rantai" blok dan mencegah siapa pun memodifikasi data yang disimpan sebelumnya. Perubahan hanya dapat disimpan sebagai data tambahan dalam rantai.

Jadi, berlaku, orang yang mengambil paket ke kantor pos tidak bisa masuk ke file database dan menghapus kata “Processing” dan mengetikkan kata “Shipped” sebagai gantinya. Lebih tepatnya, orang tersebut akan menambahkan data yang mengatakan tanggal dan waktu paket itu diturunkan di kantor pos. Itu memungkinkan semua orang melacak paket secara real time, tetapi juga perhatikan berapa lama waktu yang dibutuhkan setiap langkah dan bantu untuk mengidentifikasi di mana masalah terjadi.

Transparansi Blockchain dihasilkan dari fakta bahwa datanya disimpan dalam bentuk terenkripsi, tetapi sebaliknya tersedia untuk peserta. Ditambah dengan fitur keamanannya, database rantai pasokan blockchain akan membiarkan entitas apa pun yang terlibat dalam pengiriman, Misalnya, melacak kemajuan pesanan dengan keyakinan bahwa datanya akurat.

Menambah nilai pada sistem blockchain adalah fakta bahwa mereka adalah catatan digital, sehingga mereka dapat berisi kode perangkat lunak yang diatur untuk melakukan fungsi tertentu ketika data tertentu disimpan dalam sistem. Ini sering disebut "kontrak pintar, ” karena mereka adalah instruksi yang tidak dapat diubah yang dapat mengotomatisasi beberapa proses, seperti mengeluarkan pembayaran pada saat pengiriman. Ini menambahkan lapisan keamanan lain, juga, karena blockchain itu sendiri dapat mengawasi berapa lama setiap langkah yang diperlukan untuk setiap item, dan kemudian memberi tahu supervisor manusia jika terjadi sesuatu yang terlalu lama – tanda gangguan produksi, atau bahkan sinyal seseorang mungkin merusak barang.

Bukan peluru ajaib, atau tujuan yang hilang

Tidak ada blockchain yang kebal terhadap peretasan – dan tidak satu pun dari mereka yang dapat menghindari efek kerentanan perangkat keras seperti Meltdown dan Spectre. Tapi itu bisa memberikan peningkatan besar atas metode dan praktik saat ini.

Perjalanan masih panjang, termasuk melatih orang untuk menggunakan blockchain dan menyetujui standar untuk komunikasi data, enkripsi dan penyimpanan. Dan sistem seperti itu masih akan menghadapi masalah ancaman orang dalam, meskipun teknologi blockchain yang mendasarinya akan membuat upaya seperti itu lebih sulit.

Saat sekarang, perusahaan dan lembaga pemerintah sedang menjajaki cara untuk memastikan bahwa barang-barang diproduksi, berkumpul, dikirim dan disampaikan dengan andal dan tanpa gangguan. Melanjutkan upaya tersebut, dan menemukan cara baru bagi perusahaan swasta dan pemerintah untuk bekerja sama dan berbagi praktik terbaik seperti dengan mengembangkan standar kolaboratif, akan sangat membantu dalam membangun sistem berbasis blockchain yang kuat yang dapat membantu melacak dan mengamankan perangkat keras di Internet of Everything yang sedang berkembang.