首頁>要論>銳評 銳評
英特爾“芯片門”再敲信息安全警鐘
核心閱讀
全球最大芯片廠商英特爾公司深陷“芯片門”丑聞,芯片漏洞問題持續發酵。美國媒體日前披露,英特爾芯片存在嚴重技術缺陷,導致的漏洞可能影響幾乎所有電腦和移動設備用戶的個人信息安全。目前,英特爾在美國面臨至少3起來自消費者的集體訴訟,訴訟者均指控英特爾數月前就了解芯片存在漏洞,卻未及時對外公布消息。分析人士指出,此次“芯片門”事件再次給整個信息行業敲響安全警鐘,在新一代信息革命對芯片運算速度提出更高要求的背景下,如何同時確保效率與安全成為一個關鍵挑戰。
存在技術缺陷,造成嚴重中央處理器漏洞
根據石英財經網站等美國媒體日前報道,谷歌公司以及美歐多所高校的研究人員發現,英特爾芯片存在技術缺陷導致重大安全漏洞,黑客可利用該漏洞讀取設備內存,獲得密碼、密鑰等敏感信息。利用此次被發現的安全漏洞,谷歌研究團隊介紹了3種不同攻擊方式,前兩種方式被稱為“崩潰”,后一種被稱作“幽靈”。其中“崩潰”被認為只影響英特爾芯片,而“幽靈”則幾乎會影響市場上所有芯片。
該安全漏洞發現人之一、奧地利格拉茨技術大學研究員丹尼爾·格魯斯認為,該漏洞可能是迄今最嚴重的中央處理器漏洞。相關信息一經曝光,在全球信息行業引發廣泛關注,因為目前全球幾乎所有電腦與移動終端以及云服務提供商都將受到影響。盡管尚未發現相關攻擊行為,但包括蘋果、谷歌、亞馬遜、微軟等在內的全球信息行業巨頭都已第一時間采取措施修補漏洞。
事實上,英特爾早在去年6月就已從谷歌獲知該漏洞的存在。一般來說,信息行業企業滯后公布安全漏洞符合慣例,目的是為了在漏洞信息披露前找到修復手段,以防止黑客快速利用漏洞信息發動攻擊。但此次英特爾在掌握漏洞后較長時間未發布信息,并最終導致相關信息被媒體曝光,屬于較為罕見的情況。
目前,英特爾已面臨3起集體訴訟,訴訟理由均為英特爾公司未及時對外公布安全漏洞相關消息。另據媒體報道,英特爾首席執行官克爾扎尼奇去年11月底出售了手中一半公司股票,套現超過3900萬美元。對此,英特爾公司回應稱,克爾扎尼奇出售股票的舉動是按照事先制訂的股票出售計劃行事,與芯片安全漏洞問題沒有關系。
修復難度較大,需要以全行業方式解決
此次芯片安全漏洞廣受關注,還與其修復難度較大有關。
專業人士指出,一旦“崩潰”與“幽靈”攻擊真的發生,現有的安全軟件很難對其進行抵御,因為與通常的惡意軟件不同,發動這兩種攻擊的惡意軟件很難與常規良性應用程序區分開來。與此同時,盡管各科技公司目前都在陸續推出補丁,但這些補丁主要針對“崩潰”,而針對“幽靈”這種攻擊方法的實施難度更大,要對其加以防御的難度也更大。與傳統病毒不同,攻擊不會留下痕跡,計算機無法在被攻擊時發現。
業界也有分析認為,相關修復補丁將影響處理器的運算速度。美國國土安全部在一份聲明中說,安全補丁是解決芯片漏洞最好的保護辦法,但打補丁后電腦性能可能下降多達30%,并且芯片漏洞是由中央處理器架構而非軟件引起,所以打補丁并不能徹底解決芯片漏洞。Linux系統開發人員表示,對芯片安全漏洞的修復將影響操作系統運行速度,典型的性能下降幅度為5%。
英特爾則否認類似說法,認為補丁對芯片影響會隨時間減弱。英特爾公司在一份聲明中稱,這次被發現的缺陷并非僅存于英特爾的產品,采用許多不同供應商提供的處理器和操作系統的設備都很容易遭受類似攻擊,希望與包括美國超威半導體公司、英國阿姆控股公司和多家操作系統供應商在內的許多其他科技公司密切合作,以開發一種全行業的方法,迅速而有建設性地解決這個漏洞。
廣泛波及IT業,效率與安全矛盾待化解
此次英特爾“芯片門”事件再次給信息產業敲響安全警鐘,尤其是如何平衡效率與安全,引發了諸多反思。
在發現此次芯片漏洞的研究人員看來,問題出在芯片制造商對效率的過度追求。目前包括英特爾在內的各主流芯片生產商都普遍采用了一種名為“推測性執行”的技術,以提高處理器的整體性能和效率。依靠該技術,處理器會預測它們可能需要為給定的進程運行哪些代碼,并提前運行,以便結果在真正需要之前就準備就緒。有時,處理器可能會將數據從一個內存位置移動到另一個位置以供這些進程使用。執行期間,處理器會驗證假設,如假設無效,將解除執行,但執行解除后可能會產生無法消除的副作用。這樣的設計為黑客發動旁路攻擊提供了可能。所謂旁路攻擊,是指黑客利用計算機系統物理運行中一些可觀察的方面,例如定時、功耗甚至聲音等竊取信息。
“幽靈”的發現者之一保羅·科克接受《紐約時報》采訪時指出,“幽靈”影響的是幾乎所有高速微處理器,設計新芯片時對速度的高要求導致它們容易出現安全問題。“整個行業一直希望越快越好,同時做到安全。‘幽靈’表明,魚和熊掌不可兼得……這是一個會隨著硬件的生命周期不斷惡化的問題。”
在新信息革命呼之欲出的當下,整個IT業對芯片運算能力的需求是巨大的。物聯網、無人駕駛、5G、人工智能、深度學習、云計算等新興領域都對芯片的計算能力提出了更高要求。修補漏洞對芯片計算效率造成的影響也可能拖慢整個行業的發展。芯片制造商如何在效率與安全兩個方面求得平衡,這個問題的緊迫性日益凸顯。
編輯:李敏杰
關鍵詞:漏洞 安全 芯片 英特爾