更多资讯可登录运营商财经网(telworld.com.cn),也可关注微信公众号tel_world
运营商财经网 吴言/文
梳理近几年的315晚会曝光案例就能发现,互联网信息安全的重要性与日俱增,仅2018年第四季度用户个人信息保护检查发现问题的互联网企业名单中,就有14家公司因为相关问题并督促整改。
能看得到的是运营商、银行和部分APP榜上有名,但真正“核弹级”的硬件漏洞则是“不炸则已,一炸惊人”。在前不久召开的运营商财经网315质量报告发布会上,分析师曝光了去年震惊业界的英特尔“漏洞门”,全场哗然。
熔毁安全边界,幽灵无处不在
时间拉回到去年年初,科技行业都在热烈讨论2018年的首个大新闻:由英特尔处理器设计缺陷引发的一系列漏洞。这次被爆的漏洞影响范围之广、程度之深是大家始料未及的。甚至有人称这将“使芯片文明倒退十年”。
“灾难”的起点就是英特尔处理器被爆因设计缺陷,会造成普通程序拥有较高的权限,甚至可以直接访问核心内存中的数据,很快漏洞开始升级和演变,形成了“Meltdown”和“Spectre。Meltdown(熔毁)因“融化”了硬件的安全边界而得名,漏洞Spectre(幽灵)因其手段的隐蔽性而得名。
专家指出,“该漏洞是一个足以动摇全球云计算基础设施根基的漏洞,其意味着任何虚拟机的租户或者成功入侵一个虚拟机的攻击者,都可以通过相关攻击机制去获取完整的物理机CPU缓存数据,而这种攻击对现有虚拟化节点的防御机制是无法感知的。”
降低性能毫无预兆,敏感信息守护不了
祸不单行。
短短八个月之后,英特尔再陷芯片级漏洞门。在这八个月期间,还有大大小小8各漏洞被曝光,但这些漏洞的风险程度都不及“Foreshadow”(预兆)——7.9分高危漏洞,任何敏感信息都可以被黑客获取。
英特尔处理器上有一项名叫“安全警卫扩展”(Secure Guard Extensions)的功能,简称SGX ,它的存在旨在帮助保护处理器中的用户数据,SGX在芯片上创建了一个用于保存敏感数据的安全内存区域,这部分内容无法被恶意代码直接读取。但“Foreshadow”的存在让证明密钥被泄露,用户上网无异于“裸泳”。
尽管英特尔当时声明,“基于我们在测试系统上运行的基准测试,我们没有看到上述缓解措施带来的任何有意义的性能影响。”但还是有云提供商有不同的说法:“这可能意味着云提供商需要关闭支持虚拟机的虚拟机管理程序线程,这可能会降低服务器性能。”
对英特尔来说,新年并没有带来新气象。
“牙膏厂”不仅要用14nm处理器继续存活,而且还曝光了新的漏洞,Spoiler漏洞被曝光,这个漏洞来自intel处理器的一项允许处理器猜测未来的操作以提高性能的功能。如果想要封堵此漏洞恐怕又要牺牲一部分性能了。
在尴尬边界不断试探的英特尔,如何才能自救?
(责任编辑:张静)
运营商财经网(官方微信公众号tel_world)—— 主流财经媒体,一家全面覆盖科技、金融、证券、汽车、房产、食品、医药及其他各种消费品报道的原创资讯网站。
