2018年伊始,Google旗下的Project Zero安全團(tuán)隊(duì)曝光的Intel CPU漏洞安全問(wèn)題引發(fā)了公眾對(duì)硬件安全問(wèn)題的擔(dān)憂。漏洞是由Intel CPU 硬件底層設(shè)計(jì)缺陷引起的,所有搭配英特爾處理器的計(jì)算機(jī)、服務(wù)器、云平臺(tái)和智能設(shè)備均受到影響。
硬件級(jí)別內(nèi)存漏洞 泄露敏感信息
據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)分析,當(dāng)前通用的計(jì)算機(jī)處理器芯片運(yùn)算過(guò)程是“推測(cè)執(zhí)行”和“分支預(yù)測(cè)”的計(jì)算模式,在技術(shù)上存在一定的安全缺陷,使得攻擊者可以繞過(guò)內(nèi)存訪問(wèn)隔離的安全邊界,在內(nèi)核中讀取操作系統(tǒng)和其他程序的內(nèi)存數(shù)據(jù),造成敏感信息泄露。
本次漏洞的兩位“元兇”分別是“Meltdown”(熔斷)和“Spectre”(幽靈),屬于硬件級(jí)別的漏洞,可導(dǎo)致內(nèi)存崩潰。黑客可利用漏洞繞過(guò)操作系統(tǒng)及其他安全軟件,使用惡意程序來(lái)獲取操作系統(tǒng)和其他程序的被保護(hù)數(shù)據(jù),造成內(nèi)存敏感信息泄露,竊取電腦、手機(jī)和云服務(wù)器上的用戶密碼或加密密鑰。
1.Meltdown漏洞(CVE-2017-5754)利用破壞了用戶程序和操作系統(tǒng)之間的基本隔離,允許攻擊者未授權(quán)訪問(wèn)其他程序和操作系統(tǒng)的內(nèi)存,獲取其他程序和操作系統(tǒng)的敏感信息。
2.Spectre漏洞(CVE-2017-5715和CVE-2017-5753)利用破壞了不同應(yīng)用程序之間的安全隔離,允許攻擊者借助于無(wú)錯(cuò)程序(error-free)來(lái)獲取敏感信息。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
處理器、OS、云平臺(tái)無(wú)一幸免
此次,由硬件設(shè)計(jì)漏洞造成的安全風(fēng)險(xiǎn)覆蓋范圍廣,搭配Intel、AMD、ARM處理器的電腦、智能手機(jī)及服務(wù)器都可能在風(fēng)險(xiǎn)范圍內(nèi)。盡管各大處理器廠商在第一時(shí)間發(fā)布了安全補(bǔ)丁,但微軟表示,新的補(bǔ)丁將導(dǎo)致部分PC和服務(wù)器的運(yùn)行速度變慢,基于老款英特爾處理器運(yùn)行性能明顯下降。
Meltdown的具體影響型號(hào)和范圍:
Intel :1995年之后的所有的CPU型號(hào),除了安騰和Atom外;
AMD :不受Meltdown漏洞影響;
ARM :包括Cortex-A75在內(nèi)的少數(shù)ARM核心CPU受影響;
操作系統(tǒng):Windows、Linux、Mac OS、Android;
云計(jì)算平臺(tái):AWS、 Google、阿里云、騰訊云等。
Spectre的具體影響型號(hào)和范圍:
Intel:所有型號(hào);
AMD :所有型號(hào);
ARM :包括Cortex-A8, Cortex-A9等在內(nèi)的約十種ARM核心CPU;
硬件設(shè)計(jì)存在缺陷,徹底修復(fù)難度大
根據(jù)專業(yè)的硬件安全風(fēng)險(xiǎn)機(jī)構(gòu)評(píng)估,兩種漏洞徹底被修復(fù)的難度極大,直到現(xiàn)在,微軟提供的系統(tǒng)補(bǔ)丁也僅是針對(duì)Meltdown的,而Spectre暫時(shí)還沒(méi)有修復(fù)方法。
究其原因,一是它們屬于硬件底層級(jí)別的設(shè)計(jì)漏洞。硬件芯片固件升級(jí)迭代慢,覆蓋全系列產(chǎn)品,一旦出現(xiàn)問(wèn)題,將涉及整個(gè)產(chǎn)品線,再加上固件升級(jí)存在一定操作難度,所以造成的危害持續(xù)的影響遠(yuǎn)遠(yuǎn)大于系統(tǒng)和軟件。二是修復(fù)這些漏洞需要操作系統(tǒng)廠商、虛擬化廠商、軟硬件分銷商、瀏覽器廠商、CPU廠商一起協(xié)作并進(jìn)行復(fù)雜且極其深入的修改,才能徹底解決問(wèn)題,對(duì)于這些影響如此廣泛的漏洞來(lái)說(shuō)要完美做到修復(fù)更是困難。
ARM首席執(zhí)行官Simon Segars在近日采訪中表示,ARM尚未決定如何改變其芯片架構(gòu)或軟件來(lái)避免未來(lái)類似的安全風(fēng)險(xiǎn),但公司將花更多時(shí)間研究類似的潛在漏洞。這同時(shí)也印證了徹底解決CPU芯片級(jí)的安全問(wèn)題仍然需要等待很長(zhǎng)時(shí)間。
CPU漏洞敲響硬件安全的警鐘
此次CPU漏洞事件給全球帶來(lái)巨大的安全隱患,同時(shí)從智能硬件設(shè)計(jì)缺陷方面敲響安全風(fēng)險(xiǎn)的警鐘。硬件設(shè)備具有智能功能就意味著配置了處理器、存儲(chǔ)和控制部分,極有可能被黑客入侵。在前年的3.15晚會(huì)上,智能硬件以及智能家居的安全問(wèn)題首次被曝光,據(jù)調(diào)查顯示,部分的智能家庭攝像頭存在繞過(guò)身份驗(yàn)證控制設(shè)備的問(wèn)題,這將直接導(dǎo)致用戶攝像頭的隱私被泄露;還有部分汽車在聯(lián)網(wǎng)的過(guò)程中也會(huì)存在一些漏洞,黑客以在幾公里外實(shí)現(xiàn)對(duì)車輛的開(kāi)鎖、啟動(dòng)、轉(zhuǎn)向、急剎等動(dòng)操作;甚至部分智能門(mén)鎖廠商未做加密認(rèn)證,導(dǎo)致黑客利用軟件都可以調(diào)試功能、打開(kāi)門(mén)鎖。對(duì)工廠車間而言,如果視頻監(jiān)控系統(tǒng)權(quán)限被控制,將會(huì)對(duì)企業(yè)的正常生產(chǎn)活動(dòng)帶來(lái)影響。
結(jié) 語(yǔ)
筆者認(rèn)為,制造企業(yè)在推進(jìn)工業(yè)轉(zhuǎn)型與升級(jí)過(guò)程中應(yīng)該更加重視硬件帶來(lái)的安全風(fēng)險(xiǎn)。傳統(tǒng)制造業(yè)車間里的生產(chǎn)設(shè)備落后,聯(lián)網(wǎng)程度和智能化水平偏低,反而“相對(duì)安全”。但隨著IT與OT不斷深入融合以及工廠設(shè)備智能化普及程度越來(lái)越高,例如生產(chǎn)線上的智能機(jī)器人,高檔數(shù)控機(jī)床上的智能傳感器或現(xiàn)代倉(cāng)庫(kù)里的智能AGV等,未來(lái)將借助工業(yè)云平臺(tái)、大數(shù)據(jù)等在智慧工廠、智能產(chǎn)線上發(fā)揮巨大作用,這些設(shè)備的安全問(wèn)題將成為制造企業(yè)關(guān)注的焦點(diǎn)。
盡管信息安全問(wèn)題一直長(zhǎng)期存在,絕非一朝一夕可以解決的,這需要國(guó)家、安全公司,硬件廠商的多方努力,并建立行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范。目前,企業(yè)應(yīng)盡可能做好安全防御工作,首先,從技術(shù)層面上對(duì)現(xiàn)有的系統(tǒng)設(shè)備進(jìn)行安全檢測(cè)排查,及時(shí)修補(bǔ)漏洞補(bǔ)丁和定期升級(jí)維護(hù),關(guān)注相關(guān)安全信息以及防范措施;在采購(gòu)智能設(shè)備時(shí),將硬件安全風(fēng)險(xiǎn)放在評(píng)估的首位,在交付使用前進(jìn)行專業(yè)的安全檢測(cè)。其次,從管理層面上健全完善信息安全工作組織體系,注重信息安全的風(fēng)險(xiǎn)分析、估體和控制,配備專業(yè)安全維護(hù)人員是有必要的。
事實(shí)上,在互聯(lián)網(wǎng)的時(shí)代里,從來(lái)沒(méi)有絕對(duì)的安全。唯有企業(yè)根據(jù)自身情況整體規(guī)劃,建立科學(xué)、完善的安全防御體系,才能保證利益不受損失。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:“CPU漏洞”引發(fā)硬件安全新思考
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839624480.html