《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 芯片漏洞頻頻曝光 網(wǎng)絡(luò)安全危如累卵

芯片漏洞頻頻曝光 網(wǎng)絡(luò)安全危如累卵

2018-03-22

互聯(lián)網(wǎng)發(fā)展至今,,除了越來越豐富的網(wǎng)絡(luò)資源以外,,我們的上網(wǎng)設(shè)備也在不斷更新。現(xiàn)如今我們不論是用電腦還是手機(jī),,其中都有一個(gè)核心部件,,那便是CPU,有了它才能保證我們的設(shè)備能夠正常運(yùn)作,。

當(dāng)然這里并不是單純談?wù)揅PU,,而是來關(guān)注一下目前芯片安全問題。早在2018年初,,Intel就被曝出其芯片存在技術(shù)缺陷導(dǎo)致重要安全漏洞,。

Intel芯片漏洞被曝 震驚業(yè)界

1521530916832083664.png

1月2日,Google公司旗下安全小組Google Project Zero的研究員Jann Horn在其組織網(wǎng)站上公布了兩組芯片漏洞Meltdown(熔斷)和Spectre(幽靈),,分別對應(yīng)全球統(tǒng)一漏洞庫的CVE-2017-5754,、CVE-2017-5753/CVE-2017-5715。發(fā)現(xiàn)Meltdown漏洞的三個(gè)獨(dú)立小組,,Cyberus Technology小組,、奧地利格拉茨技術(shù)大學(xué)研究小組均得出了相似結(jié)論。

1521530973106053785.png

一石激起千層浪,,這兩個(gè)漏洞被曝光之后,,立刻在全球信息行業(yè)引發(fā)廣泛關(guān)注,這樣的災(zāi)難也會(huì)波及到全球幾乎所有電腦與移動(dòng)終端甚至云服務(wù)提供商,。Meltdown和Spectre同時(shí)影響1995年之后除2013年之前安騰,、凌動(dòng)之外的全系英特爾處理器,Spectre還影響AMD,、ARM,、英偉達(dá)的芯片產(chǎn)品,幾乎波及整個(gè)計(jì)算機(jī)處理器世界,。

盡管在公布這兩個(gè)漏洞之前,,尚未發(fā)現(xiàn)有與之相關(guān)的直接攻擊行為,但是各家芯片廠商,、操作系統(tǒng)廠商,、瀏覽器廠商以及云服務(wù)廠商都在第一時(shí)間對外發(fā)布了安全公告,,并采取了相應(yīng)措施進(jìn)行漏洞的修補(bǔ)。

事實(shí)上,,Intel早在去年6月份就已經(jīng)從Google處獲知了該漏洞的存在,,據(jù)消息稱,Jann Horn于2017年6月分別向三大芯片制造商報(bào)告了這一問題,,但并沒有受到重視與及時(shí)處理,。一般情況下,信息行業(yè)企業(yè)滯后公布安全漏洞符合慣例,,目的是為了在漏洞信息披露前找到修復(fù)手段,,以防止黑客快速利用漏洞信息發(fā)動(dòng)攻擊。但此次英特爾在掌握漏洞后的近半年時(shí)間里都沒有公布,,個(gè)中原因也引人猜測,。

有趣的是,在Intel獲知這兩個(gè)漏洞之后,,不僅沒有重視,,并且還沒有將此漏洞提交給美國政府,也就是說,,在公眾獲悉這些漏洞信息之前,,美國政府也不知道這些漏洞的存在,在面對質(zhì)詢的時(shí)候,,Intel表示,,他們認(rèn)為沒有必要與美國政府分享這些漏洞信息,因?yàn)楹诳筒]有利用這些漏洞,。

AMD芯片漏洞相繼曝光

1521531004804001490.png

無獨(dú)有偶,,除了Intel被曝重大漏洞外,近日一家以色列安全公司CTS Labs也發(fā)布了一份安全白皮書,,其中指出,計(jì)算機(jī)芯片制造上AMD在售的芯片存在13個(gè)安全漏洞,。

此次CTS指出的漏洞都需要獲得管理員權(quán)限才能被發(fā)現(xiàn),,其中披露漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業(yè)處理器,、Ryzen移動(dòng)處理器,、和EPYC數(shù)據(jù)中心處理器。

1521531127147030293.png

據(jù)CTS聲稱,,這些漏洞沒有任何緩解措施,,并且不同的漏洞對應(yīng)的平臺(tái)不同,其中21種環(huán)境下已經(jīng)被成功利用,,還有11個(gè)存在被利用的可能,。

有意思的是,一般按照行業(yè)慣例而言,這些漏洞發(fā)現(xiàn)之后都會(huì)事先交給相關(guān)企業(yè),,讓其有一定時(shí)間進(jìn)行補(bǔ)救措施,,避免被其他黑客利用。但是這次CTS沒有與AMD公司進(jìn)行溝通,,便發(fā)布了相關(guān)漏洞,,這有可能造成極大的安全隱患。

不過慶幸的是,,不同于Intel可以通過遠(yuǎn)程破解的致命漏洞,,被CTS公布出來的這些安全漏洞,基本上都是需要在主辦刷入特制BIOS,、獲取管理員權(quán)限,、安裝特定未簽名驅(qū)動(dòng)的特殊條件才能觸發(fā),這樣苛刻的條件幾乎無異于闖入別人家中搶走電腦主機(jī),。

并且在Intel漏洞事件才剛過不久,,就發(fā)生了AMD芯片漏洞也遭到曝光的信息,且是沒有提前溝通的直接發(fā)布,,其中緣由,,耐人尋味。

網(wǎng)絡(luò)安全問題不容小視

當(dāng)然,,不論怎么說,,芯片漏洞不斷被曝光,也表明目前網(wǎng)絡(luò)安全狀況非常糟糕,。從技術(shù)層面來說,,網(wǎng)絡(luò)安全是一個(gè)永恒的話題,畢竟如今沒有任何從事網(wǎng)絡(luò)安全的公司可以保證自己無懈可擊,。而且,,在黑客查找漏洞時(shí),網(wǎng)絡(luò)安全維護(hù)人員只能夠進(jìn)行被動(dòng)的防御,,這樣被動(dòng)的防守總會(huì)被人找到破綻的,。

既然無法從技術(shù)層面完全禁止,那么智能轉(zhuǎn)換思路,,從法律層面來限制了,。在今年的兩會(huì)上,關(guān)于網(wǎng)絡(luò)安全問題,,也引起非常多人的關(guān)注,,并且目前已經(jīng)有相關(guān)的政策法規(guī)來為網(wǎng)絡(luò)安全進(jìn)行護(hù)航。

在2017年6月1日,,《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,,這部《網(wǎng)絡(luò)安全法》有三個(gè)基本原則,,那便是網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)安全與信息化發(fā)展并重原則,、共同治理原則,。這三項(xiàng)原則也明確了網(wǎng)絡(luò)的邊界,劃定了政府職責(zé),,把網(wǎng)絡(luò)安全上升到國家層面,。

建立健全網(wǎng)絡(luò)與信息安全法律法規(guī)制度,構(gòu)建新型網(wǎng)絡(luò)與信息安全治理體系也是國家網(wǎng)絡(luò)安全一直努力的方向,,雖然不能說有了這些法規(guī)之后,,網(wǎng)絡(luò)安全問題便會(huì)徹底解決,但是大幅減少還是可以預(yù)見的,。

小結(jié)

從互聯(lián)網(wǎng)發(fā)明至今,,網(wǎng)絡(luò)安全的攻與防也一直持續(xù)至今,雖然隨著時(shí)代的發(fā)展,,針對普通人的黑客行為已經(jīng)大幅減少,,但是這并不意味著他們的危害變?nèi)趿耍∏∠喾?,這些攻擊基本上集中在了各大企業(yè)與國家重要機(jī)構(gòu)上,,網(wǎng)絡(luò)安全危如累卵。

相關(guān)的政策出臺(tái)可以有效的減少黑客無故的攻擊,,但是對于那些直奔利益而去的行為卻如同虛設(shè),,網(wǎng)絡(luò)安全也不僅僅單靠律法能夠禁止,還需要網(wǎng)絡(luò)安全人員與政府的共同努力才行,,這場戰(zhàn)役也注定是持久的,,也必然是艱辛的。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。