C114讯 1月10日消息(林想)在2018年国际消费电子展(CES)中,英特尔公司CEO科再奇(Brian Krzanich)在主题演讲中谈到目前产业界比较关注的安全话题。“我想借此机会感谢整个行业,为了另外一个目标走到一起,共同应对近期被报道称为‘熔断’(Meltdown)和‘幽灵’(Spectre)的安全研究发现。”
“如此多的公司携起手来共同应对这个涉及整个行业、跨越多个不同处理器架构的安全问题,这确实很了不起。安全是英特尔和整个行业的第一要务。因此,我们的决策和讨论的主要焦点,一直是如何保护我们的用户的数据安全。”
“到目前为止,我们还没有发现任何利用这些潜在隐患问题来获取用户数据的情况。我们正夜以继日地努力解决这些问题,以确保用户数据的安全。为了确保您的数据始终安全,最佳做法就是当操作系统提供商和系统制造商发布任何更新,您就立即采纳这些更新。”
“关于我们的处理器,在一周内,英特尔发布的更新预计将覆盖过去5年内推出的90%以上的产品,而针对其它产品的更新将在今年一月底前发布。我们相信,这些安全更新对性能的影响在很大程度上取决于具体的工作负载。我们预计某些工作负载相对其它来说受到的影响会更大一些,我们将继续与整个产业界一起协作,逐渐把对这些工作负载所带来的影响减少到最低。”
事实上,“熔断” 和“幽灵”的两大漏洞危机暴露出的安全问题并非英特尔自己的事情,而是整个计算行业面临的共同挑战,作为计算行业的领导者,英特尔站了出来就值得我们尊敬;而且,要实现真正的安全,仅仅靠最底层的芯片是不够的,还需要整个计算行业生态系统的携手努力。
正如科再奇在演讲结尾中提到,“当我们如此团结在一起,就会创造无限的可能。”
“熔断”和“幽灵”:一次成功的“安全预演”
1月2日,英特尔公司被曝出其生产的芯片存在安全隐患,名为“熔断” 和“幽灵”的两大漏洞危机,均会导致用户隐私信息的泄露,给信息安全带来极大隐患。除了早已深入人们日常生活的英特尔以外,ARM处理器也遭遇了同样漏洞危机,AMD处理器也在随后发现了相同隐患。
“熔断”和“幽灵”引发了全世界的安全恐慌,这两大漏洞危机会对苹果、谷歌、微软等科技巨头研发的操作系统产生严重的威胁,同时,一些云计算平台,例如阿里云、腾讯云和亚马逊的云计算平台都会受到影响。
漏洞危机引发了全世界的恐慌,发现漏洞的研究者之一,来自奥地利格拉茨科技大学的Daniel Gruss就表示,“熔断”是也许是有史以来最糟糕的处理器漏洞。危机曝光之后,已经有国外网友亲自测试,并发布了“熔断”如何盗取计算机用户隐私信息的视频。曝光此次危机的媒体The Register则在一篇文章中提到,由于现代生活需要大量借助计算机技术和网络,人们往往记不住为数众多的密码等隐私信息,而一旦遭遇熔断或幽灵,那可能意味着,被盗取的不仅仅是一系列隐私信息,还有人们的记忆。
一面是恐慌,一面是合作。
“熔断”和“幽灵”的带来的安全危机就像一场“安全预演”,把整个产业界的凝聚力汇集在一起。面对“熔断”和“幽灵”,英特尔首先站了出来,作为计算行业的领导者这是一份“责任”,也是不得不直面的危机。
正如华尔街所报道的,“电脑芯片安全漏洞曝光似乎让英特尔公司陷入一场突如其来的危机,但实际上几个月来这家芯片巨头以及其他科技公司和专家一直在努力解决这个问题。
苹果公司晚些时间也承认受到漏洞影响,称所有iPhone、iPad和Mac电脑均受波及,并表示已发布更新来修补漏洞。
英特尔及其主要竞争对手AMD以及芯片设计商ARM表示,部分处理器存在可能被黑客利用的安全漏洞,这一问题影响到一系列的电脑、智能手机及其他设备芯片,但到目前为止尚无与之相关的入侵事件。
实际上,在漏洞曝光前,这些芯片生产商及其客户、合作伙伴,包括苹果、Alphabet Inc.旗下谷歌、亚马逊公司和微软等,都已在加紧解决这一问题,一个由大型科技公司组成的联盟正展开合作,保护其服务器,并向客户的电脑和智能手机发送补丁。”
英特尔称,预计在本周末之前,将针对过去五年推出的90%以上处理器发布软件更新。苹果表示,除了苹果移动设备和电脑外,其Apple TV也受到影响,但Apple Watch未涉及。该公司还称,将在未来几天修复其Safari浏览器,以防范料将针对Spectre漏洞发起的攻击。
来自罗切斯特理工大学公共政策与计算机安全专业的一位助理教授Josephine Wolff从这次漏洞危机中看到了积极面,她表示,发现此次漏洞危机研究人员包括奥地利格拉茨科技大学研究团队、研究人员Paul Kocher和谷歌的Project Zero团队等,他们的工作得到了来自英特尔等科技公司的称赞,这对于这些科技工作者来说是非常重要的鼓励。
就在上个月,Keeper Security公司还给科技媒体Ars Technica的一位编辑Dan Goodin发去律师函,因为他发布了一篇质疑Keeper公司密码管理系统潜在风险的文章,而类似的情况还有很多。这让Wolff觉得,此次英特尔等科技巨头能够重视研究人员的工作成果并迅速做出应对措施,是一次难得的进步。从这一点上来看,熔断和幽灵尽管带来了恐慌,但也同样为研究人员带来了“暖意”,这也称得上是科技公司和研究界的一次成功合作。
安全的未来:仍需产业链不断“协力”
“熔断”和“幽灵”暴露出的安全问题让我们不得不思考如何安全的未来。安全是整个产业链的生态性问题,任何一个环节出问题都会“功亏一篑”。
首先安全问题一直是个行业问题,不分厂商,不分架构,不分国界。其次,安全是个端到端的系统性、生态性工程,涉及到芯片层,操作系统层,云服务商等各层面的技术研究和协作,只有通力协作才能实现安全。
回顾整个事件我们可以看到,“熔断”和“幽灵”暴露出的安全漏洞这场“安全预演”涉及到芯片层,操作系统层,云服务商各个环节。
“熔断”和“幽灵”漏洞爆出后,芯片厂商中英特尔发布更新,保护系统免受潜在攻击;ARM承认芯片存安全漏洞,安卓iOS设备都有影响;AMD发布官方声明,承认部分处理器存在安全漏洞;高通就芯片漏洞发声表示,正在修复并未指明受影响芯片;IBM公布了对POWER系列处理器的潜在影响。
系统厂商中苹果确认所有的Mac系统和iOS设备都受到该漏洞影响,但已发布防御补丁。Google完成旗下所有软硬件漏洞修补工作 部分需要用户配合;微软发布补丁,修复Meltdown和Spectre两大CPU漏洞。
云服务商中亚马逊表示,AWS的技术部门的服务人员回复称新的服务器默认已经有补丁,不会有影响;阿里云声称将在1月12日凌晨1点采用热升级的方式进行虚拟化底层的更新。腾讯云则指出将在1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,对于极少量不支持热升级方式的服务器,腾讯云安全团队将会另行进行通知。百度云透露将在虚拟机和物理机两个层面进行修复,并将于2018年1月12日零点进行热修复升级。华为云正在对漏洞进行分析,跟进主流操作系统发布补丁的情况,截至目前,尚未监测到有针对此漏洞的攻击程序。
实验验证,英特尔处理器打补丁后,性能并没有下降很多,所以行业恐慌可以进一步消弥了。
英特尔的测试表明,安全更新“对不同工作负载的性能影响会有不同。对于一般的计算机用户来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软件更新对性能的影响可能一开始相对较高,但随着采取进一步后续的优化工作,包括更新部署后的识别、测试和软件更新改进,应该可以减轻这种影响。”
类似的观点得到了一堆大佬的支持,具体测试结果包括:
苹果表示,“我们的 GeekBench 4 基准测试以及 Speedometer、JetStream 和 ARES-6 等常见的 Web 浏览基准测试表明,2017 年 12 月的更新没有显著降低 macOS 和 iOS 设备的性能。”微软声称,“绝大多数 Azure 客户不会感受到此次更新对性能的影响。我们已经优化了 CPU 和磁盘 I/O 路径,在采纳更新后没有看到对性能产生明显的影响。”亚马逊强调,“我们没有观察到这对绝大多数 EC2 工作负载的性能有产生实际的影响。”谷歌则指出,“在包括云基础设施在内的大多数工作负载上,我们看到对性能的影响可以忽略不计。”
“熔断”和“幽灵”这一次成功的“安全预演”,再一次警示,安全的未来,仍需产业链不断“协力”。 
