從互聯網發展至今,除了越來越豐富的網絡資源以外,我們的上網設備也在不斷更新。現如今我們不論是用電腦還是手機,其中都有一個核心部件,那便是CPU,有了它才能保證我們的設備能夠正常運作。
當然這里并不是單純談論CPU,而是來關注一下目前芯片安全問題。早在2018年初,Intel就被曝出其芯片存在技術缺陷導致重要安全漏洞。
Intel芯片漏洞被曝 震驚業界
1月2日,Google公司旗下安全小組Google Project Zero的研究員Jann Horn在其組織網站上公布了兩組芯片漏洞Meltdown(熔斷)和Spectre(幽靈),分別對應全球統一漏洞庫的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。發現Meltdown漏洞的三個獨立小組,Cyberus Technology小組、奧地利格拉茨技術大學研究小組均得出了相似結論。
一石激起千層浪,這兩個漏洞被曝光之后,立刻在全球信息行業引發廣泛關注,這樣的災難也會波及到全球幾乎所有電腦與移動終端甚至云服務提供商。Meltdown和Spectre同時影響1995年之后除2013年之前安騰、凌動之外的全系英特爾處理器,Spectre還影響AMD、ARM、英偉達的芯片產品,幾乎波及整個計算機處理器世界。
盡管在公布這兩個漏洞之前,尚未發現有與之相關的直接攻擊行為,但是各家芯片廠商、操作系統廠商、瀏覽器廠商以及云服務廠商都在第一時間對外發布了安全公告,并采取了相應措施進行漏洞的修補。
事實上,Intel早在去年6月份就已經從Google處獲知了該漏洞的存在,據消息稱,Jann Horn于2017年6月分別向三大芯片制造商報告了這一問題,但并沒有受到重視與及時處理。一般情況下,信息行業企業滯后公布安全漏洞符合慣例,目的是為了在漏洞信息披露前找到修復手段,以防止黑客快速利用漏洞信息發動攻擊。但此次英特爾在掌握漏洞后的近半年時間里都沒有公布,個中原因也引人猜測。
有趣的是,在Intel獲知這兩個漏洞之后,不僅沒有重視,并且還沒有將此漏洞提交給美國政府,也就是說,在公眾獲悉這些漏洞信息之前,美國政府也不知道這些漏洞的存在,在面對質詢的時候,Intel表示,他們認為沒有必要與美國政府分享這些漏洞信息,因為黑客并沒有利用這些漏洞。
AMD芯片漏洞相繼曝光
無獨有偶,除了Intel被曝重大漏洞外,近日一家以色列安全公司CTS Labs也發布了一份安全白皮書,其中指出,計算機芯片制造上AMD在售的芯片存在13個安全漏洞。
此次CTS指出的漏洞都需要獲得管理員權限才能被發現,其中披露漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業處理器、Ryzen移動處理器、和EPYC數據中心處理器。
據CTS聲稱,這些漏洞沒有任何緩解措施,并且不同的漏洞對應的平臺不同,其中21種環境下已經被成功利用,還有11個存在被利用的可能。
有意思的是,一般按照行業慣例而言,這些漏洞發現之后都會事先交給相關企業,讓其有一定時間進行補救措施,避免被其他黑客利用。但是這次CTS沒有與AMD公司進行溝通,便發布了相關漏洞,這有可能造成極大的安全隱患。
不過慶幸的是,不同于Intel可以通過遠程破解的致命漏洞,被CTS公布出來的這些安全漏洞,基本上都是需要在主辦刷入特制BIOS、獲取管理員權限、安裝特定未簽名驅動的特殊條件才能觸發,這樣苛刻的條件幾乎無異于闖入別人家中搶走電腦主機。
并且在Intel漏洞事件才剛過不久,就發生了AMD芯片漏洞也遭到曝光的信息,且是沒有提前溝通的直接發布,其中緣由,耐人尋味。
網絡安全問題不容小視
當然,不論怎么說,芯片漏洞不斷被曝光,也表明目前網絡安全狀況非常糟糕。從技術層面來說,網絡安全是一個永恒的話題,畢竟如今沒有任何從事網絡安全的公司可以保證自己無懈可擊。而且,在黑客查找漏洞時,網絡安全維護人員只能夠進行被動的防御,這樣被動的防守總會被人找到破綻的。
既然無法從技術層面完全禁止,那么智能轉換思路,從法律層面來限制了。在今年的兩會上,關于網絡安全問題,也引起非常多人的關注,并且目前已經有相關的政策法規來為網絡安全進行護航。
在2017年6月1日,《中華人民共和國網絡安全法》正式實施,這部《網絡安全法》有三個基本原則,那便是網絡空間主權原則、網絡安全與信息化發展并重原則、共同治理原則。這三項原則也明確了網絡的邊界,劃定了政府職責,把網絡安全上升到國家層面。
建立健全網絡與信息安全法律法規制度,構建新型網絡與信息安全治理體系也是國家網絡安全一直努力的方向,雖然不能說有了這些法規之后,網絡安全問題便會徹底解決,但是大幅減少還是可以預見的。
小結
從互聯網發明至今,網絡安全的攻與防也一直持續至今,雖然隨著時代的發展,針對普通人的黑客行為已經大幅減少,但是這并不意味著他們的危害變弱了,恰恰相反,這些攻擊基本上集中在了各大企業與國家重要機構上,網絡安全危如累卵。
相關的政策出臺可以有效的減少黑客無故的攻擊,但是對于那些直奔利益而去的行為卻如同虛設,網絡安全也不僅僅單靠律法能夠禁止,還需要網絡安全人員與政府的共同努力才行,這場戰役也注定是持久的,也必然是艱辛的。