芯片漏洞頻頻曝光 網(wǎng)絡(luò )安全危如累卵

　　從互聯(lián)網(wǎng)發(fā)展至今，除了越來(lái)越豐富的網(wǎng)絡(luò )資源以外，我們的上網(wǎng)設備也在不斷更新?，F如今我們不論是用電腦還是手機，其中都有一個(gè)核心部件，那便是CPU，有了它才能保證我們的設備能夠正常運作。

　　當然這里并不是單純談?wù)揅PU，而是來(lái)關(guān)注一下目前芯片安全問(wèn)題。早在2018年初，Intel就被曝出其芯片存在技術(shù)缺陷導致重要安全漏洞。

　　Intel芯片漏洞被曝 震驚業(yè)界

　　1月2日，Google公司旗下安全小組Google Project Zero的研究員Jann Horn在其組織網(wǎng)站上公布了兩組芯片漏洞Meltdown(熔斷)和Spectre(幽靈)，分別對應全球統一漏洞庫的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。發(fā)現Meltdown漏洞的三個(gè)獨立小組，Cyberus Technology小組、奧地利格拉茨技術(shù)大學(xué)研究小組均得出了相似結論。

　　一石激起千層浪，這兩個(gè)漏洞被曝光之后，立刻在全球信息行業(yè)引發(fā)廣泛關(guān)注，這樣的災難也會(huì )波及到全球幾乎所有電腦與移動(dòng)終端甚至云服務(wù)提供商。Meltdown和Spectre同時(shí)影響1995年之后除2013年之前安騰、凌動(dòng)之外的全系英特爾處理器，Spectre還影響AMD、ARM、英偉達的芯片產(chǎn)品，幾乎波及整個(gè)計算機處理器世界。

　　盡管在公布這兩個(gè)漏洞之前，尚未發(fā)現有與之相關(guān)的直接攻擊行為，但是各家芯片廠(chǎng)商、操作系統廠(chǎng)商、瀏覽器廠(chǎng)商以及云服務(wù)廠(chǎng)商都在第一時(shí)間對外發(fā)布了安全公告，并采取了相應措施進(jìn)行漏洞的修補。

　　事實(shí)上，Intel早在去年6月份就已經(jīng)從Google處獲知了該漏洞的存在，據消息稱(chēng)，Jann Horn于2017年6月分別向三大芯片制造商報告了這一問(wèn)題，但并沒(méi)有受到重視與及時(shí)處理。一般情況下，信息行業(yè)企業(yè)滯后公布安全漏洞符合慣例，目的是為了在漏洞信息披露前找到修復手段，以防止黑客快速利用漏洞信息發(fā)動(dòng)攻擊。但此次英特爾在掌握漏洞后的近半年時(shí)間里都沒(méi)有公布，個(gè)中原因也引人猜測。

　　有趣的是，在Intel獲知這兩個(gè)漏洞之后，不僅沒(méi)有重視，并且還沒(méi)有將此漏洞提交給美國政府，也就是說(shuō)，在公眾獲悉這些漏洞信息之前，美國政府也不知道這些漏洞的存在，在面對質(zhì)詢(xún)的時(shí)候，Intel表示，他們認為沒(méi)有必要與美國政府分享這些漏洞信息，因為黑客并沒(méi)有利用這些漏洞。

　　AMD芯片漏洞相繼曝光

　　無(wú)獨有偶，除了Intel被曝重大漏洞外，近日一家以色列安全公司CTS Labs也發(fā)布了一份安全白皮書(shū)，其中指出，計算機芯片制造上AMD在售的芯片存在13個(gè)安全漏洞。

　　此次CTS指出的漏洞都需要獲得管理員權限才能被發(fā)現，其中披露漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業(yè)處理器、Ryzen移動(dòng)處理器、和EPYC數據中心處理器。

　　據CTS聲稱(chēng)，這些漏洞沒(méi)有任何緩解措施，并且不同的漏洞對應的平臺不同，其中21種環(huán)境下已經(jīng)被成功利用，還有11個(gè)存在被利用的可能。

　　有意思的是，一般按照行業(yè)慣例而言，這些漏洞發(fā)現之后都會(huì )事先交給相關(guān)企業(yè)，讓其有一定時(shí)間進(jìn)行補救措施，避免被其他黑客利用。但是這次CTS沒(méi)有與AMD公司進(jìn)行溝通，便發(fā)布了相關(guān)漏洞，這有可能造成極大的安全隱患。

　　不過(guò)慶幸的是，不同于Intel可以通過(guò)遠程破解的致命漏洞，被CTS公布出來(lái)的這些安全漏洞，基本上都是需要在主辦刷入特制BIOS、獲取管理員權限、安裝特定未簽名驅動(dòng)的特殊條件才能觸發(fā)，這樣苛刻的條件幾乎無(wú)異于闖入別人家中搶走電腦主機。

　　并且在Intel漏洞事件才剛過(guò)不久，就發(fā)生了AMD芯片漏洞也遭到曝光的信息，且是沒(méi)有提前溝通的直接發(fā)布，其中緣由，耐人尋味。

　　網(wǎng)絡(luò )安全問(wèn)題不容小視

　　當然，不論怎么說(shuō)，芯片漏洞不斷被曝光，也表明目前網(wǎng)絡(luò )安全狀況非常糟糕。從技術(shù)層面來(lái)說(shuō)，網(wǎng)絡(luò )安全是一個(gè)永恒的話(huà)題，畢竟如今沒(méi)有任何從事網(wǎng)絡(luò )安全的公司可以保證自己無(wú)懈可擊。而且，在黑客查找漏洞時(shí)，網(wǎng)絡(luò )安全維護人員只能夠進(jìn)行被動(dòng)的防御，這樣被動(dòng)的防守總會(huì )被人找到破綻的。

　　既然無(wú)法從技術(shù)層面完全禁止，那么智能轉換思路，從法律層面來(lái)限制了。在今年的兩會(huì )上，關(guān)于網(wǎng)絡(luò )安全問(wèn)題，也引起非常多人的關(guān)注，并且目前已經(jīng)有相關(guān)的政策法規來(lái)為網(wǎng)絡(luò )安全進(jìn)行護航。

　　在2017年6月1日，《中華人民共和國網(wǎng)絡(luò )安全法》正式實(shí)施，這部《網(wǎng)絡(luò )安全法》有三個(gè)基本原則，那便是網(wǎng)絡(luò )空間主權原則、網(wǎng)絡(luò )安全與信息化發(fā)展并重原則、共同治理原則。這三項原則也明確了網(wǎng)絡(luò )的邊界，劃定了政府職責，把網(wǎng)絡(luò )安全上升到國家層面。

　　建立健全網(wǎng)絡(luò )與信息安全法律法規制度，構建新型網(wǎng)絡(luò )與信息安全治理體系也是國家網(wǎng)絡(luò )安全一直努力的方向，雖然不能說(shuō)有了這些法規之后，網(wǎng)絡(luò )安全問(wèn)題便會(huì )徹底解決，但是大幅減少還是可以預見(jiàn)的。

　　小結

　　從互聯(lián)網(wǎng)發(fā)明至今，網(wǎng)絡(luò )安全的攻與防也一直持續至今，雖然隨著(zhù)時(shí)代的發(fā)展，針對普通人的黑客行為已經(jīng)大幅減少，但是這并不意味著(zhù)他們的危害變弱了，恰恰相反，這些攻擊基本上集中在了各大企業(yè)與國家重要機構上，網(wǎng)絡(luò )安全危如累卵。

　　相關(guān)的政策出臺可以有效的減少黑客無(wú)故的攻擊，但是對于那些直奔利益而去的行為卻如同虛設，網(wǎng)絡(luò )安全也不僅僅單靠律法能夠禁止，還需要網(wǎng)絡(luò )安全人員與政府的共同努力才行，這場(chǎng)戰役也注定是持久的，也必然是艱辛的。