華文網

CPU漏洞事件持續發酵,除了亡羊補牢,還能怎樣?

文|李佳師

1月4日,國家資訊安全性漏洞共用平臺(CNVD)發佈安全公告,公告稱CPU存在Meltdown”(熔斷)漏洞以及Spectre (幽靈)漏洞,該漏洞存在於英特爾(Intel)x86-64的硬體中,在1995年以後生產的Intel處理器晶片都可能受到影響。

同時AMD、Qualcomm、ARM處理器也受到影響。同時使用上述處理器晶片的作業系統(Windows、Linux、Mac OS、Android)和雲計算平臺也受此漏洞影響。這幾乎影響到了包括筆記型電腦、桌上型電腦、智慧手機、平板電腦和互聯網伺服器在內的所有硬體設備。

有業界專家稱,此CPU漏洞事件堪稱電腦史上最大安全事件,波及面之廣、中槍廠商之多、影響之大,史無前例。

現代計算晶片體系之過?

從CNVD公佈的資訊來看,現代的電腦處理器晶片通常使用“推測執行”(speculative execution)和“分支預測”(Indirect Branch Prediction)技術實現對處理器計算資源的最大化利用。但由於這兩種技術在實現上存在安全缺陷,無法通過正確判斷將低許可權的應用程式訪存與內核高許可權的訪問分開,使得攻擊者可以繞過記憶體訪問的安全隔離邊界,

在內核中讀取作業系統和其他程式的記憶體資料,造成敏感資訊洩露。

有評論稱,這應該是電腦體系結構發展史上的最大硬體漏洞,沒有之一。“熔斷”能夠直接洞穿了Intel和微軟Windows、linux、蘋果Mac OS共同設下的重重安全防護,“幽靈”能悄無聲息地穿透作業系統內核的自我保護,從用戶運行的空間裡讀取到作業系統內核空間的資料,在Intel/AMD/ARM這三大主流公司的CPU上都能起作用。因為漏洞難以通過軟體補丁修復也無法通過反病毒軟體對抗,

加上這十幾年CPU出貨量之大,涉及設備之多,所以憂患陰霾幾乎籠罩在所有的IT設備和整個IT業界上。

業界發生什麼事?

有人說此次事件影響之大、波及面之廣堪比幾年前的IT業界遭遇的“千年蟲”,但是當年的“前年蟲”是業界一起“捉蟲”。而這次的事件有明確的廠商指向,英特爾成為率先中槍者。

這幾天,英特爾公司在事件的風口浪尖上,

原因是2017年6月,谷歌Project Zero安全團隊發現了這一漏洞告知了英特爾以及其他幾家晶片生產商,但他們都沒有向業界公佈,直到2018年1月2日,科技媒體The Register發表文章Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign,提前報導了這個問題。1月3日,英特爾公佈最新安全研究結果及英特爾產品說明,公佈受影響的處理器產品清單。於是所有矛頭指向英特爾,因為知情不報,直到被踢爆。

英特爾喊冤,因為其稱在接到穀歌的報告後就已經開始聯合上下游來解決此問題,

因為問題難度之大,超乎想像。而且媒體在2017年下半年已經有報導“幾個月來英特爾以及其他科技公司和專家一直在努力解決這個問題”。“這些晶片生產商及其客戶、合作夥伴,包括蘋果、Alphabet Inc.旗下谷歌、亞馬遜公司和微軟等,都已在加緊解決這一問題,一個由大型科技公司組成的聯盟正展開合作,保護其伺服器,並向客戶的電腦和智慧手機發送補丁。”而消息人士透露,因聯盟成員之間達成了保密協議,延遲公開,贏得時間研發解決方案,確保公佈漏洞後能夠萬無一失。原計劃為1月9日公佈,The Register的踢爆,讓英特爾只好提前進行了系列公告。

2018年1月4日,英特爾公告稱:“英特爾已經針對過去 5 年中推出的大多數處理器產品發佈了更新。到下週末,英特爾發佈的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。”

其後,各路晶片廠商紛紛發聲。1月4日,IBM公佈這一漏洞對POWER系列處理器的潛在影響。1月5日ARM承認晶片存安全性漏洞,安卓iOS設備都有影響。1月5日,AMD發佈官方聲明,承認部分處理器存在安全性漏洞。1月5日,高通就晶片漏洞發聲,正在修復但未指明受影響晶片。

與此同時蘋果、微軟、阿裡雲、騰訊雲、百度雲、華為雲等廠商都發佈了修補漏洞的辦法。

這幾天業界出了各種段子:第一天是晶片“老大中槍”,排名第二的晶片廠商說,”這是老大的事,沒我什麼事”。一天后,“晶片老二”也發申明提供補丁。老三說是老二的事,沒我什麼事,第三天,晶片老三也發了補丁下載連結。

有評論認為,對於CPU漏洞,業界各廠商沒有事先公佈,這也說明了技術創新與反覆運算的規則正在被某種力量打破,這也暴露出一個更大的行業問題,是不是矽谷的創新精神正在走向沒落?

未來的影響?

這一事件還在發酵。業界和消費者如何應對?

其一,從目前來看應該說這是一個現代計算晶片體系的問題,需要全產業鏈攜手解決。從目前來看。眼下,還沒有駭客們從這兩個漏洞中“得手”,利用漏洞作案仍有很高的門檻,但是畢竟漏洞已經暴露出來,各廠商應該聯合起來,找到更好的修補方案。目前看有一些修補方案存在影響性能及相容等問題,如何魚和熊掌兼得還需要廠商們努力。英特爾公司CEO在剛剛舉行的CES上表示,這些安全更新,預計針對某些工作負載下的性能會受到一些影響,英特爾會繼續與業界一起協作,逐步把這些工作負載的影響減少到最低。

其二使用者和業界需要知情權,業界需要更開放。英特爾在這個事件上的被動局面,看似偶然,其實也暴露了一個行業問題,在協同上下游及時解決問題的同時,究竟是選擇合適的時間公佈,還是一開始就讓全業界都知道,在問題頻發,道高一尺魔高一丈的今天,我們究竟是核心成員攜手解決問題還是更開放的思路實現資訊共用,更大範圍群策群力,需要業界重新思考。

其三,作為消費者,無論是PC還是手機以及雲的使用者都及時到設備所歸屬的CPU以及作業系統廠商官網及時下載補丁更新,防患於未然。

關注科技和科技公司的方法論,一起交流吧

”而消息人士透露,因聯盟成員之間達成了保密協議,延遲公開,贏得時間研發解決方案,確保公佈漏洞後能夠萬無一失。原計劃為1月9日公佈,The Register的踢爆,讓英特爾只好提前進行了系列公告。

2018年1月4日,英特爾公告稱:“英特爾已經針對過去 5 年中推出的大多數處理器產品發佈了更新。到下週末,英特爾發佈的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。”

其後,各路晶片廠商紛紛發聲。1月4日,IBM公佈這一漏洞對POWER系列處理器的潛在影響。1月5日ARM承認晶片存安全性漏洞,安卓iOS設備都有影響。1月5日,AMD發佈官方聲明,承認部分處理器存在安全性漏洞。1月5日,高通就晶片漏洞發聲,正在修復但未指明受影響晶片。

與此同時蘋果、微軟、阿裡雲、騰訊雲、百度雲、華為雲等廠商都發佈了修補漏洞的辦法。

這幾天業界出了各種段子:第一天是晶片“老大中槍”,排名第二的晶片廠商說,”這是老大的事,沒我什麼事”。一天后,“晶片老二”也發申明提供補丁。老三說是老二的事,沒我什麼事,第三天,晶片老三也發了補丁下載連結。

有評論認為,對於CPU漏洞,業界各廠商沒有事先公佈,這也說明了技術創新與反覆運算的規則正在被某種力量打破,這也暴露出一個更大的行業問題,是不是矽谷的創新精神正在走向沒落?

未來的影響?

這一事件還在發酵。業界和消費者如何應對?

其一,從目前來看應該說這是一個現代計算晶片體系的問題,需要全產業鏈攜手解決。從目前來看。眼下,還沒有駭客們從這兩個漏洞中“得手”,利用漏洞作案仍有很高的門檻,但是畢竟漏洞已經暴露出來,各廠商應該聯合起來,找到更好的修補方案。目前看有一些修補方案存在影響性能及相容等問題,如何魚和熊掌兼得還需要廠商們努力。英特爾公司CEO在剛剛舉行的CES上表示,這些安全更新,預計針對某些工作負載下的性能會受到一些影響,英特爾會繼續與業界一起協作,逐步把這些工作負載的影響減少到最低。

其二使用者和業界需要知情權,業界需要更開放。英特爾在這個事件上的被動局面,看似偶然,其實也暴露了一個行業問題,在協同上下游及時解決問題的同時,究竟是選擇合適的時間公佈,還是一開始就讓全業界都知道,在問題頻發,道高一尺魔高一丈的今天,我們究竟是核心成員攜手解決問題還是更開放的思路實現資訊共用,更大範圍群策群力,需要業界重新思考。

其三,作為消費者,無論是PC還是手機以及雲的使用者都及時到設備所歸屬的CPU以及作業系統廠商官網及時下載補丁更新,防患於未然。

關注科技和科技公司的方法論,一起交流吧