信息來源:cismag
1 月8日消息��,全球最大芯片廠商英特爾公司深陷“芯片門”丑聞���,芯片漏洞問題持續(xù)發(fā)酵�。美國媒體日前披露��,英特爾芯片存在嚴(yán)重技術(shù)缺陷��,導(dǎo)致的漏洞可能影響幾乎所有電腦和移動(dòng)設(shè)備用戶的個(gè)人信息安全����。目前���,英特爾在美國面臨至少3起來自消費(fèi)者的集體訴訟,訴訟者均指控英特爾數(shù)月前就了解芯片存在漏洞�����,卻未及時(shí)對(duì)外公布消息���。分析人士指出���,此次“芯片門”事件再次給整個(gè)信息行業(yè)敲響安全警鐘�����,在新一代信息革命對(duì)芯片運(yùn)算速度提出更高要求的背景下�����,如何同時(shí)確保效率與安全成為一個(gè)關(guān)鍵挑戰(zhàn)��。
存在技術(shù)缺陷����,造成嚴(yán)重中央處理器漏洞
根據(jù)石英財(cái)經(jīng)網(wǎng)(博客,微博)站等美國媒體日前報(bào)道,谷歌公司以及美歐多所高校的研究人員發(fā)現(xiàn)��,英特爾芯片存在技術(shù)缺陷導(dǎo)致重大安全漏洞��,黑客可利用該漏洞讀取設(shè)備內(nèi)存���,獲得密碼��、密鑰等敏感信息�。利用此次被發(fā)現(xiàn)的安全漏洞��,谷歌研究團(tuán)隊(duì)介紹了3種不同攻擊方式�����,前兩種方式被稱為“崩潰”���,后一種被稱作“幽靈”。其中“崩潰”被認(rèn)為只影響英特爾芯片���,而“幽靈”則幾乎會(huì)影響市場(chǎng)上所有芯片�。
該安全漏洞發(fā)現(xiàn)人之一����、奧地利格拉茨技術(shù)大學(xué)研究員丹尼爾·格魯斯認(rèn)為�����,該漏洞可能是迄今最嚴(yán)重的中央處理器漏洞���。相關(guān)信息一經(jīng)曝光,在全球信息行業(yè)引發(fā)廣泛關(guān)注�,因?yàn)槟壳叭驇缀跛须娔X與移動(dòng)終端以及云服務(wù)提供商都將受到影響。盡管尚未發(fā)現(xiàn)相關(guān)攻擊行為����,但包括蘋果、谷歌���、亞馬遜�����、微軟等在內(nèi)的全球信息行業(yè)巨頭都已第一時(shí)間采取措施修補(bǔ)漏洞�。
事實(shí)上�����,英特爾早在去年6月就已從谷歌獲知該漏洞的存在�。一般來說,信息行業(yè)企業(yè)滯后公布安全漏洞符合慣例���,目的是為了在漏洞信息披露前找到修復(fù)手段��,以防止黑客快速利用漏洞信息發(fā)動(dòng)攻擊����。但此次英特爾在掌握漏洞后較長時(shí)間未發(fā)布信息���,并最終導(dǎo)致相關(guān)信息被媒體曝光���,屬于較為罕見的情況。
目前��,英特爾已面臨3起集體訴訟��,訴訟理由均為英特爾公司未及時(shí)對(duì)外公布安全漏洞相關(guān)消息��。另據(jù)媒體報(bào)道��,英特爾首席執(zhí)行官克爾扎尼奇去年11月底出售了手中一半公司股票,套現(xiàn)超過3900萬美元��。對(duì)此��,英特爾公司回應(yīng)稱��,克爾扎尼奇出售股票的舉動(dòng)是按照事先制訂的股票出售計(jì)劃行事��,與芯片安全漏洞問題沒有關(guān)系���。
修復(fù)難度較大�,需要以全行業(yè)方式解決
此次芯片安全漏洞廣受關(guān)注��,還與其修復(fù)難度較大有關(guān)���。
專業(yè)人士指出����,一旦“崩潰”與“幽靈”攻擊真的發(fā)生���,現(xiàn)有的安全軟件很難對(duì)其進(jìn)行抵御�,因?yàn)榕c通常的惡意軟件不同����,發(fā)動(dòng)這兩種攻擊的惡意軟件很難與常規(guī)良性應(yīng)用程序區(qū)分開來���。與此同時(shí),盡管各科技公司目前都在陸續(xù)推出補(bǔ)丁�����,但這些補(bǔ)丁主要針對(duì)“崩潰”,而針對(duì)“幽靈”這種攻擊方法的實(shí)施難度更大��,要對(duì)其加以防御的難度也更大�����。與傳統(tǒng)病毒不同���,攻擊不會(huì)留下痕跡,計(jì)算機(jī)無法在被攻擊時(shí)發(fā)現(xiàn)��。
業(yè)界也有分析認(rèn)為�,相關(guān)修復(fù)補(bǔ)丁將影響處理器的運(yùn)算速度。美國國土安全部在一份聲明中說��,安全補(bǔ)丁是解決芯片漏洞最好的保護(hù)辦法���,但打補(bǔ)丁后電腦性能可能下降多達(dá)30%���,并且芯片漏洞是由中央處理器架構(gòu)而非軟件引起,所以打補(bǔ)丁并不能徹底解決芯片漏洞���。Linux系統(tǒng)開發(fā)人員表示���,對(duì)芯片安全漏洞的修復(fù)將影響操作系統(tǒng)運(yùn)行速度���,典型的性能下降幅度為5%�����。
英特爾則否認(rèn)類似說法���,認(rèn)為補(bǔ)丁對(duì)芯片影響會(huì)隨時(shí)間減弱。英特爾公司在一份聲明中稱�����,這次被發(fā)現(xiàn)的缺陷并非僅存于英特爾的產(chǎn)品,采用許多不同供應(yīng)商提供的處理器和操作系統(tǒng)的設(shè)備都很容易遭受類似攻擊��,希望與包括美國超威半導(dǎo)體公司���、英國阿姆控股公司和多家操作系統(tǒng)供應(yīng)商在內(nèi)的許多其他科技公司密切合作,以開發(fā)一種全行業(yè)的方法��,迅速而有建設(shè)性地解決這個(gè)漏洞����。
廣泛波及IT業(yè)�,效率與安全矛盾待化解
此次英特爾“芯片門”事件再次給信息產(chǎn)業(yè)敲響安全警鐘����,尤其是如何平衡效率與安全,引發(fā)了諸多反思���。
在發(fā)現(xiàn)此次芯片漏洞的研究人員看來�����,問題出在芯片制造商對(duì)效率的過度追求����。目前包括英特爾在內(nèi)的各主流芯片生產(chǎn)商都普遍采用了一種名為“推測(cè)性執(zhí)行”的技術(shù)�����,以提高處理器的整體性能和效率��。依靠該技術(shù)�,處理器會(huì)預(yù)測(cè)它們可能需要為給定的進(jìn)程運(yùn)行哪些代碼,并提前運(yùn)行��,以便結(jié)果在真正需要之前就準(zhǔn)備就緒���。有時(shí),處理器可能會(huì)將數(shù)據(jù)從一個(gè)內(nèi)存位置移動(dòng)到另一個(gè)位置以供這些進(jìn)程使用�。執(zhí)行期間,處理器會(huì)驗(yàn)證假設(shè)�����,如假設(shè)無效�����,將解除執(zhí)行,但執(zhí)行解除后可能會(huì)產(chǎn)生無法消除的副作用��。這樣的設(shè)計(jì)為黑客發(fā)動(dòng)旁路攻擊提供了可能����。所謂旁路攻擊,是指黑客利用計(jì)算機(jī)系統(tǒng)物理運(yùn)行中一些可觀察的方面���,例如定時(shí)�����、功耗甚至聲音等竊取信息����。
“幽靈”的發(fā)現(xiàn)者之一保羅·科克接受《紐約時(shí)報(bào)》采訪時(shí)指出,“幽靈”影響的是幾乎所有高速微處理器����,設(shè)計(jì)新芯片時(shí)對(duì)速度的高要求導(dǎo)致它們?nèi)菀壮霈F(xiàn)安全問題?����!罢麄€(gè)行業(yè)一直希望越快越好,同時(shí)做到安全�?��!撵`’表明�,魚和熊掌不可兼得……這是一個(gè)會(huì)隨著硬件的生命周期不斷惡化的問題����。”
在新信息革命呼之欲出的當(dāng)下����,整個(gè)IT業(yè)對(duì)芯片運(yùn)算能力的需求是巨大的�����。物聯(lián)網(wǎng)���、無人駕駛�����、5G�、人工智能、深度學(xué)習(xí)�����、云計(jì)算等新興領(lǐng)域都對(duì)芯片的計(jì)算能力提出了更高要求���。修補(bǔ)漏洞對(duì)芯片計(jì)算效率造成的影響也可能拖慢整個(gè)行業(yè)的發(fā)展。芯片制造商如何在效率與安全兩個(gè)方面求得平衡���,這個(gè)問題的緊迫性日益凸顯��。
