當(dāng)然這里并不是單純談?wù)揅PU,而是來關(guān)注一下目前芯片安全問題。早在2018年初,Intel就被曝出其芯片存在技術(shù)缺陷導(dǎo)致重要安全漏洞。
Intel芯片漏洞被曝 震驚業(yè)界
1月2日,Google公司旗下安全小組Google Project Zero的研究員Jann Horn在其組織網(wǎng)站上公布了兩組芯片漏洞Meltdown(熔斷)和Spectre(幽靈),分別對(duì)應(yīng)全球統(tǒng)一漏洞庫的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。發(fā)現(xiàn)Meltdown漏洞的三個(gè)獨(dú)立小組,Cyberus Technology小組、奧地利格拉茨技術(shù)大學(xué)研究小組均得出了相似結(jié)論。
一石激起千層浪,這兩個(gè)漏洞被曝光之后,立刻在全球信息行業(yè)引發(fā)廣泛關(guān)注,這樣的災(zāi)難也會(huì)波及到全球幾乎所有電腦與移動(dòng)終端甚至云服務(wù)提供商。Meltdown和Spectre同時(shí)影響1995年之后除2013年之前安騰、凌動(dòng)之外的全系英特爾處理器,Spectre還影響AMD、ARM、英偉達(dá)的芯片產(chǎn)品,幾乎波及整個(gè)計(jì)算機(jī)處理器世界。
盡管在公布這兩個(gè)漏洞之前,尚未發(fā)現(xiàn)有與之相關(guān)的直接攻擊行為,但是各家芯片廠商、操作系統(tǒng)廠商、瀏覽器廠商以及云服務(wù)廠商都在第一時(shí)間對(duì)外發(fā)布了安全公告,并采取了相應(yīng)措施進(jìn)行漏洞的修補(bǔ)。
事實(shí)上,Intel早在去年6月份就已經(jīng)從Google處獲知了該漏洞的存在,據(jù)消息稱,Jann Horn于2017年6月分別向三大芯片制造商報(bào)告了這一問題,但并沒有受到重視與及時(shí)處理。一般情況下,信息行業(yè)企業(yè)滯后公布安全漏洞符合慣例,目的是為了在漏洞信息披露前找到修復(fù)手段,以防止黑客快速利用漏洞信息發(fā)動(dòng)攻擊。但此次英特爾在掌握漏洞后的近半年時(shí)間里都沒有公布,個(gè)中原因也引人猜測(cè)。
有趣的是,在Intel獲知這兩個(gè)漏洞之后,不僅沒有重視,并且還沒有將此漏洞提交給美國政府,也就是說,在公眾獲悉這些漏洞信息之前,美國政府也不知道這些漏洞的存在,在面對(duì)質(zhì)詢的時(shí)候,Intel表示,他們認(rèn)為沒有必要與美國政府分享這些漏洞信息,因?yàn)楹诳筒]有利用這些漏洞。
AMD芯片漏洞相繼曝光
無獨(dú)有偶,除了Intel被曝重大漏洞外,近日一家以色列安全公司CTS Labs也發(fā)布了一份安全白皮書,其中指出,計(jì)算機(jī)芯片制造上AMD在售的芯片存在13個(gè)安全漏洞。
此次CTS指出的漏洞都需要獲得管理員權(quán)限才能被發(fā)現(xiàn),其中披露漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業(yè)處理器、Ryzen移動(dòng)處理器、和EPYC數(shù)據(jù)中心處理器。
據(jù)CTS聲稱,這些漏洞沒有任何緩解措施,并且不同的漏洞對(duì)應(yīng)的平臺(tái)不同,其中21種環(huán)境下已經(jīng)被成功利用,還有11個(gè)存在被利用的可能。
有意思的是,一般按照行業(yè)慣例而言,這些漏洞發(fā)現(xiàn)之后都會(huì)事先交給相關(guān)企業(yè),讓其有一定時(shí)間進(jìn)行補(bǔ)救措施,避免被其他黑客利用。但是這次CTS沒有與AMD公司進(jìn)行溝通,便發(fā)布了相關(guān)漏洞,這有可能造成極大的安全隱患。
不過慶幸的是,不同于Intel可以通過遠(yuǎn)程破解的致命漏洞,被CTS公布出來的這些安全漏洞,基本上都是需要在主辦刷入特制BIOS、獲取管理員權(quán)限、安裝特定未簽名驅(qū)動(dòng)的特殊條件才能觸發(fā),這樣苛刻的條件幾乎無異于闖入別人家中搶走電腦主機(jī)。
并且在Intel漏洞事件才剛過不久,就發(fā)生了AMD芯片漏洞也遭到曝光的信息,且是沒有提前溝通的直接發(fā)布,其中緣由,耐人尋味。
網(wǎng)絡(luò)安全問題不容小視
當(dāng)然,不論怎么說,芯片漏洞不斷被曝光,也表明目前網(wǎng)絡(luò)安全狀況非常糟糕。從技術(shù)層面來說,網(wǎng)絡(luò)安全是一個(gè)永恒的話題,畢竟如今沒有任何從事網(wǎng)絡(luò)安全的公司可以保證自己無懈可擊。而且,在黑客查找漏洞時(shí),網(wǎng)絡(luò)安全維護(hù)人員只能夠進(jìn)行被動(dòng)的防御,這樣被動(dòng)的防守總會(huì)被人找到破綻的。
既然無法從技術(shù)層面完全禁止,那么智能轉(zhuǎn)換思路,從法律層面來限制了。在今年的兩會(huì)上,關(guān)于網(wǎng)絡(luò)安全問題,也引起非常多人的關(guān)注,并且目前已經(jīng)有相關(guān)的政策法規(guī)來為網(wǎng)絡(luò)安全進(jìn)行護(hù)航。
在2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,這部《網(wǎng)絡(luò)安全法》有三個(gè)基本原則,那便是網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)安全與信息化發(fā)展并重原則、共同治理原則。這三項(xiàng)原則也明確了網(wǎng)絡(luò)的邊界,劃定了政府職責(zé),把網(wǎng)絡(luò)安全上升到國家層面。
建立健全網(wǎng)絡(luò)與信息安全法律法規(guī)制度,構(gòu)建新型網(wǎng)絡(luò)與信息安全治理體系也是國家網(wǎng)絡(luò)安全一直努力的方向,雖然不能說有了這些法規(guī)之后,網(wǎng)絡(luò)安全問題便會(huì)徹底解決,但是大幅減少還是可以預(yù)見的。
小結(jié)
從互聯(lián)網(wǎng)發(fā)明至今,網(wǎng)絡(luò)安全的攻與防也一直持續(xù)至今,雖然隨著時(shí)代的發(fā)展,針對(duì)普通人的黑客行為已經(jīng)大幅減少,但是這并不意味著他們的危害變?nèi)趿?,恰恰相反,這些攻擊基本上集中在了各大企業(yè)與國家重要機(jī)構(gòu)上,網(wǎng)絡(luò)安全危如累卵。
相關(guān)的政策出臺(tái)可以有效的減少黑客無故的攻擊,但是對(duì)于那些直奔利益而去的行為卻如同虛設(shè),網(wǎng)絡(luò)安全也不僅僅單靠律法能夠禁止,還需要網(wǎng)絡(luò)安全人員與政府的共同努力才行,這場(chǎng)戰(zhàn)役也注定是持久的,也必然是艱辛的。