新闻中心

EEPW首页 > 嵌入式系统 > 业界动态 > 芯片漏洞频频曝光 网络安全危如累卵

芯片漏洞频频曝光 网络安全危如累卵

作者:时间:2018-03-22来源:OFweek电子工程网收藏

  从互联网发展至今,除了越来越丰富的网络资源以外,我们的上网设备也在不断更新。现如今我们不论是用电脑还是手机,其中都有一个核心部件,那便是CPU,有了它才能保证我们的设备能够正常运作。

本文引用地址:http://www.eepw.com.cn/article/201803/377214.htm
blob.png

  当然这里并不是单纯谈论CPU,而是来关注一下目前安全问题。早在2018年初,Intel就被曝出其存在技术缺陷导致重要安全漏洞。

  Intel漏洞被曝 震惊业界

  1月2日,Google公司旗下安全小组Google Project Zero的研究员Jann Horn在其组织网站上公布了两组芯片漏洞Meltdown(熔断)和Spectre(幽灵),分别对应全球统一漏洞库的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。发现Meltdown漏洞的三个独立小组,Cyberus Technology小组、奥地利格拉茨技术大学研究小组均得出了相似结论。

blob.png

  一石激起千层浪,这两个漏洞被曝光之后,立刻在全球信息行业引发广泛关注,这样的灾难也会波及到全球几乎所有电脑与移动终端甚至云服务提供商。Meltdown和Spectre同时影响1995年之后除2013年之前安腾、凌动之外的全系英特尔处理器,Spectre还影响AMD、ARM、英伟达的芯片产品,几乎波及整个计算机处理器世界。

  尽管在公布这两个漏洞之前,尚未发现有与之相关的直接攻击行为,但是各家芯片厂商、操作系统厂商、浏览器厂商以及云服务厂商都在第一时间对外发布了安全公告,并采取了相应措施进行漏洞的修补。

  事实上,Intel早在去年6月份就已经从Google处获知了该漏洞的存在,据消息称,Jann Horn于2017年6月分别向三大芯片制造商报告了这一问题,但并没有受到重视与及时处理。一般情况下,信息行业企业滞后公布安全漏洞符合惯例,目的是为了在漏洞信息披露前找到修复手段,以防止黑客快速利用漏洞信息发动攻击。但此次英特尔在掌握漏洞后的近半年时间里都没有公布,个中原因也引人猜测。

  有趣的是,在Intel获知这两个漏洞之后,不仅没有重视,并且还没有将此漏洞提交给美国政府,也就是说,在公众获悉这些漏洞信息之前,美国政府也不知道这些漏洞的存在,在面对质询的时候,Intel表示,他们认为没有必要与美国政府分享这些漏洞信息,因为黑客并没有利用这些漏洞。

  AMD芯片漏洞相继曝光

  无独有偶,除了Intel被曝重大漏洞外,近日一家以色列安全公司CTS Labs也发布了一份安全白皮书,其中指出,计算机芯片制造上AMD在售的芯片存在13个安全漏洞。

  

blob.png

 

  此次CTS指出的漏洞都需要获得管理员权限才能被发现,其中披露漏洞波及到AMD Ryzen桌面处理器、Ryzen Pro企业处理器、Ryzen移动处理器、和EPYC数据中心处理器。

  据CTS声称,这些漏洞没有任何缓解措施,并且不同的漏洞对应的平台不同,其中21种环境下已经被成功利用,还有11个存在被利用的可能。

  有意思的是,一般按照行业惯例而言,这些漏洞发现之后都会事先交给相关企业,让其有一定时间进行补救措施,避免被其他黑客利用。但是这次CTS没有与AMD公司进行沟通,便发布了相关漏洞,这有可能造成极大的安全隐患。

  不过庆幸的是,不同于Intel可以通过远程破解的致命漏洞,被CTS公布出来的这些安全漏洞,基本上都是需要在主办刷入特制BIOS、获取管理员权限、安装特定未签名驱动的特殊条件才能触发,这样苛刻的条件几乎无异于闯入别人家中抢走电脑主机。

  并且在Intel漏洞事件才刚过不久,就发生了AMD芯片漏洞也遭到曝光的信息,且是没有提前沟通的直接发布,其中缘由,耐人寻味。

  网络安全问题不容小视

  当然,不论怎么说,芯片漏洞不断被曝光,也表明目前网络安全状况非常糟糕。从技术层面来说,网络安全是一个永恒的话题,毕竟如今没有任何从事网络安全的公司可以保证自己无懈可击。而且,在黑客查找漏洞时,网络安全维护人员只能够进行被动的防御,这样被动的防守总会被人找到破绽的。

  

blob.png

 

  既然无法从技术层面完全禁止,那么智能转换思路,从法律层面来限制了。在今年的两会上,关于网络安全问题,也引起非常多人的关注,并且目前已经有相关的政策法规来为网络安全进行护航。

  在2017年6月1日,《中华人民共和国网络安全法》正式实施,这部《网络安全法》有三个基本原则,那便是网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则。这三项原则也明确了网络的边界,划定了政府职责,把网络安全上升到国家层面。

  建立健全网络与信息安全法律法规制度,构建新型网络与信息安全治理体系也是国家网络安全一直努力的方向,虽然不能说有了这些法规之后,网络安全问题便会彻底解决,但是大幅减少还是可以预见的。

  小结

  从互联网发明至今,网络安全的攻与防也一直持续至今,虽然随着时代的发展,针对普通人的黑客行为已经大幅减少,但是这并不意味着他们的危害变弱了,恰恰相反,这些攻击基本上集中在了各大企业与国家重要机构上,网络安全危如累卵。

  相关的政策出台可以有效的减少黑客无故的攻击,但是对于那些直奔利益而去的行为却如同虚设,网络安全也不仅仅单靠律法能够禁止,还需要网络安全人员与政府的共同努力才行,这场战役也注定是持久的,也必然是艰辛的。



关键词: 芯片

评论

技术专区

关闭