“智能手机或电脑又发现了某个安全漏洞容易遭受黑客攻击”,这类警告对于信息时代的人们来说已经见怪不怪了。但近日掀起的一场芯片高危漏洞风波,几乎席卷所有电脑、服务器和智能手机,时间跨度甚至超过20年,被业内形容为“史上最严重的安全漏洞”。甚至有网友开始质疑,这个分布如此广泛、延续时间如此之长的“漏洞”居然一直未被发现,它到底只是设计问题,还是某些国家暗藏的“后门”呢?
01席卷全球的芯片风波
美国“连线”杂志网站7日称,最早曝光这两个名为“崩溃”和“幽灵”安全漏洞的是来自谷歌公司的技术团队,主要涉及到芯片巨头英特尔公司的产品。报道称,由于英特尔芯片的底层技术存在缺陷,黑客可以利用这个漏洞让恶意脚本直接读取核心内存,掠走隐秘信息。更可怕的是,利用这个漏洞,黑客在攻击后不会留下痕迹,这与传统病毒完全不同。
谷歌方面3日曝光这个消息后,英特尔股价大跌,竞争对手、另一家芯片巨头AMD公司的股价随即上扬。但很快英特尔和谷歌就相继宣布,AMD、ARM等芯片存在同样的安全漏洞,这意味着全球几乎所有的个人电脑和服务器都“沦陷”了。
但这场风波还远未停息。随着越来越多计算机安全企业投入调查,智能手机芯片也宣告失守,苹果、高通与IBM等公司均发表声明,承认其芯片也存在漏洞。目前的调查显示,1995年以来大部分量产的处理器均有可能受该漏洞的影响,采用这些芯片的Windows、Linux、MacOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都可能是受害者。中国国家信息安全漏洞共享平台对该漏洞的综合评级为“高危”。
02修补漏洞存在技术难度
“连线”杂志网站称,早在2016年,就已有安全研究人员发现英特尔芯片存在的这种漏洞,但英特尔方面一直秘而不宣。报道称,这有可能是英特尔正在试图寻找解决方案,担心还没有防御手段时就过早公布漏洞的存在,会引起黑客的疯狂攻击。
国内安全专家表示,芯片存在安全漏洞公布后,一些别有用心的人可能会趁机作乱,目前尚未发现国内有人利用这个漏洞成功实施恶意攻击,“但利用这个漏洞实现攻击并非那么简单,需要配合其他漏洞才能实现攻击,存在相当大的技术难度。”
美联社称,个人电脑受这次芯片漏洞的影响明显低于云服务器。目前来看,芯片安全漏洞问题的危害确实比较大,“我们一直在跟进,寻找修补方案。”该安全专家表示,目前能看到的应急措施都是对问题的缓解,而不能从根本上解决问题。“缓解措施的意思是指漏洞依然存在,但是能让恶意攻击者的难度加大,但是这类缓解措施的代价就是降低CPU的效率。”据彭博社报道,苹果公司称这次曝光的安全漏洞与芯片设计基本架构有关,要完全屏蔽非常困难和复杂,新版攻击代码可能会绕过现有补丁软件,窃取存储在芯片和内存中的机密信息。
与依靠补丁升级就能解决的普通软件漏洞相比,底层硬件漏洞无法实现远程化一健修复,需要用户本地化操作,解决起来也复杂得多。目前全球各家芯片厂商、操作系统厂商、浏览器厂商以及云服务厂商,都已先后作出回应,发布安全公告,并推出缓解措施和修复补丁。但目前发布的漏洞补丁会在一定程度上影响云计算软件的性能,厂商可能需要增加机器或提升CPU性能,增加成本。
03美国藏的“后门”?
不少网友也在质疑,这些漏洞会不会是美国藏在全球芯片中的“后门”不慎被发现了?毕竟斯诺登已经揭示了美国在这方面的黑历史。国内安全专家对此表示,目前还看不到利用漏洞针对的攻击目标,因此人为设计“后门”的可能性不大,基本上可以判断为“安全漏洞”。在芯片或者操作系统中,某个漏洞存在多年是常见的问题。“例如Windows系统的一个安全漏洞前后共存在了19年之久。这主要是因为第一代产品在设计时就有漏洞,但当时并未被发现,后代产品继续沿用这一技术架构而未加修改,以致多代累加,直到问题发现时,漏洞产品扩散的范围已相当大,这次情况也类似”。
04用户如何防范漏洞?
目前,可以通过以下安全策略进行防护:
① 升级最新的操作系统和虚拟化软件补丁:目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁,升级后可以阻止这些漏洞被利用;
② 升级最新的浏览器补丁:目前微软IE、Edge和Firefox都推出了浏览器补丁,升级后可以阻止这些漏洞被利用;
③ 等待或要求你的云服务商及时更新虚拟化系统补丁;
④ 安装安全软件;
⑤ 重要资料及核心数据提前备份。
容灾备份,有备无患——亿通云
漏洞可造成的主要危害在于用浏览器访问了一个带有漏洞利用代码的网页,导致敏感信息(账号密码等)泄露。只要养成良好的上网习惯,不轻易点击陌生人发来的链接,基本不会受到漏洞影响。同时,浏览器针对漏洞发布的补丁和缓解措施简单有效,而且不会造成性能下降或兼容性问题,用户可以选择将浏览器升级到最新版本,从而避免受到漏洞攻击。
05有人说,“打补丁将导致CPU性能损耗30%”。这种说法是否正确?
修复程序本身的确存在诸多问题。国内某安全团队指出,以Windows 10为例,微软于北京时间1月4日凌晨紧急发布了1月份系统安全更新,但补丁存在明显的性能和兼容性的问题:一方面,更新可能会让受影响的系统性能下滑30%。另一方面,更新可能会导致部分软件(安全软件等)不兼容从而致使系统蓝屏。
性能问题对于普通用户来说,影响并不大:只有在极端的测试下,才会出现明显的性能问题;而正常的使用过程中一般不会出现。
另一位安全专家也表示,这种说法比较片面,30%的性能损失是在比较极端的专门测试情况下出现的。通常的用户使用情况下,尤其在用户的电脑硬件较新的情况下(例如绝大部分在售的Mac电脑和笔记本、32位X86操作系统),这些补丁的性能损失对用户来说是几乎可以忽略不计。接下来包括微软、Intel在内的厂商还会进一步推出针对性的补丁,进一步降低补丁对性能的损耗。
但是安全团队提醒,兼容性问题确实比较严重:在有安全软件,以及一些游戏的电脑上,安装补丁比较容易出现蓝屏现象。这也使得众多安全厂商采取了比较保守的策略,暂时不主动推送微软的补丁,避免造成用户电脑无法正常使用。
“智能手机或电脑又发现了某个安全漏洞容易遭受黑客攻击”,这类警告对于信息时代的人们来说已经见怪不怪了。但近日掀起的一场芯片高危漏洞风波,几乎席卷所有电脑、服务器和智能手机,时间跨度甚至超过20年,被业内形容为“史上最严重的安全漏洞”。甚至有网友开始质疑,这个分布如此广泛、延续时间如此之长的“漏洞”居然一直未被发现,它到底只是设计问题,还是某些国家暗藏的“后门”呢?