2018年1月2日,由最初發(fā)現(xiàn)英特爾芯片存在漏洞���,進而發(fā)現(xiàn)處理器架構(gòu)存在嚴重技術(shù)缺陷����,引發(fā)全球用戶對信息安全的擔憂����。處理器“漏洞門”事件成為2018年開年全球科技產(chǎn)業(yè)的第一大新聞。
處理器“漏洞門”事件始末
這一問題最初是谷歌的Project Zero團隊在2017年6月向英特爾�����、AMD����、ARM公司通報的。Project Zero團隊發(fā)現(xiàn)了一些由CPU
Speculative
Execution引發(fā)的芯片級漏洞���,“Spectre(幽靈)”(變體1和變體2:CVE-2017-5753和CVE-2017-5715)和“Meltdown(熔斷)”(變體3:CVE-2017-5754)����。其中����,Meltdown影響了從2010年開始生產(chǎn)的英特爾芯片,漏洞的根本原因是“預測執(zhí)行”技術(shù)的設計缺陷���,而Spectre則影響英特爾��、AMD和ARM處理器����,還可以通過隱藏在網(wǎng)頁上的Java代碼進行遠程利用��。這三個漏洞都是先天性質(zhì)的架構(gòu)設計缺陷導致的����,可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存從而讀取敏感信息。
“漏洞門”爆出后����,一時間��,世界嘩然�����。由于該安全風險涉及各種不同架構(gòu)(x86����、
ARM��,及其它架構(gòu))�����、不同廠商的處理器���,是一個產(chǎn)業(yè)界跨眾多廠商的問題�,所以在獲得Project Zero團隊通報并對問題予以驗證后���,
英特爾�����、蘋果�、AMD��、ARM 等硬件廠商以及微軟等操作系統(tǒng)廠商���、 固件廠商�����,迅速走到一起�,在保密協(xié)議約束下展開合作�����,以保證在與Project
Zero團隊協(xié)議達成的問題披露期限到達之前開發(fā)出解決方案����。
Meltdown和Spectre的發(fā)現(xiàn)者之一,奧地利格拉茨技術(shù)大學研究員Michael Schwarz(最左)和Daniel
Gruss(最右)
一開始�����,業(yè)界認為這次“漏洞門”是英特爾的鍋�����,英特爾也不得不出面公布最新安全研究結(jié)果及英特爾產(chǎn)品說明,公布受影響的處理器產(chǎn)品清單����。事實上,隨著事件的披露�����,ARM公開證實�����,許多Cortex系列處理器也存在漏洞����。ARM的Cortex技術(shù)被用于各種各樣的Android和iOS設備,部分Nvidia
Tegra產(chǎn)品�����、高通驍龍芯片以及索尼的PlayStation
Vita上����。此期間�,其他相關(guān)廠商����,如高通、IBM���、NVidia等先后發(fā)布公開聲明,承認自己的產(chǎn)品也涉及此安全問題��,并承諾盡力消除隱患��。蘋果也承認受到漏洞影響�,稱所有iPhone、iPad和Mac電腦均受波及����,并表示已發(fā)布更新來修補漏洞。
種種跡象表明這應該是整個處理器芯片底層設計的行業(yè)性問題�����,并不是某一家存在的問題��。因為這樣的攻擊機制���,使得所有擁有分支預測�、亂序執(zhí)行、投機執(zhí)行�����、緩存特性的現(xiàn)代處理器平臺���,都會遭到這樣的攻擊�����。
隨后�����,英特爾率先針對過去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新����,最新的更新預計將覆蓋過去5年內(nèi)推出的90%以上的處理器產(chǎn)品�。此外,許多操作系統(tǒng)供應商�、公共云服務提供商、設備制造商和其他廠商也表示,他們正在或已對其產(chǎn)品和服務提供更新���。
“漏洞門”是現(xiàn)代處理器架構(gòu)的根本性缺陷?
現(xiàn)代計算機處理器通常使用“推測執(zhí)行”(speculative execution)和“分支預測”(Indirect Branch
Prediction)技術(shù)實現(xiàn)對處理器計算資源的最大化利用�。事實上���,這兩組漏洞來源于芯片廠商為了提高CPU性能而引入的新特性?,F(xiàn)代CPU為了提高處理性能�,會采用亂序執(zhí)行(Out-of-Order
Execution)和預測執(zhí)行(Speculative
Prediction)。亂序執(zhí)行是指CPU并不是嚴格按照指令的順序串行執(zhí)行�����,而是根據(jù)相關(guān)性對指令進行分組并行執(zhí)行��,最后匯總處理各組指令執(zhí)行的結(jié)果�����。預測執(zhí)行是CPU根據(jù)當前掌握的信息預測某個條件判斷的結(jié)果�����,然后選擇對應的分支提前執(zhí)行�。
亂序執(zhí)行和預測執(zhí)行在遇到異常或發(fā)現(xiàn)分支預測錯誤時���,CPU會丟棄之前執(zhí)行的結(jié)果�,將CPU的狀態(tài)恢復到亂序執(zhí)行或預測執(zhí)行前的正確狀態(tài)��,然后選擇對應正確的指令繼續(xù)執(zhí)行���。這種異常處理機制保證了程序能夠正確的執(zhí)行�,但是問題在于����,CPU恢復狀態(tài)時并不會恢復CPU緩存的內(nèi)容,而這兩組漏洞正是利用了這一設計上的缺陷進行測信道攻擊����。
國家信息安全漏洞共享平臺(CNVD)對該漏洞的綜合評級為“高危”�。
CPU硬件的漏洞修復高難度,
僅通過CPU廠商進行安全更新(例如升級CPU微碼)是無法解決這一問題���,修復這些漏洞需要操作系統(tǒng)廠商�����、虛擬化廠商����、軟硬件分銷商、瀏覽器廠商����、CPU廠商一起協(xié)作并進行復雜且極其深入的修改,才能徹底解決問題����。目前各大處理器廠商及系統(tǒng)廠商先后都已先后作出回應,積極采取措施�,發(fā)布安全公告,并及時推出緩解措施和修復補丁��。
針對該漏洞����,上海市網(wǎng)信辦采取了應急處置措施�����。一是密切跟蹤該漏洞的最新情況���,及時評估漏洞對本單位系統(tǒng)的影響���。二是對芯片廠商�、操作系統(tǒng)廠商和安全廠商等發(fā)布的補丁及時跟蹤測試��,在做好全面審慎的評估工作基礎(chǔ)上����,制定修復工作計劃,及時安裝�。三是進一步加強關(guān)鍵信息基礎(chǔ)設施網(wǎng)絡安全防護工作,加強網(wǎng)絡安全防護和威脅情報收集工作���,發(fā)生網(wǎng)絡安全事件及時向市網(wǎng)信辦報告����。
打補丁將導致CPU性能損耗30%?
由于是現(xiàn)代處理器架構(gòu)的設計缺陷�����,因此面對“崩潰”以及“幽靈”的攻擊時業(yè)界也束手無策�����,只能靠軟件來防護,但是這樣做會消耗部分計算資源����,以至于降低處理器功效。
根據(jù)英特爾10號公布的有關(guān)第六�����、七和八代英特爾?酷睿?處理器平臺(使用Windows*
10)的性能數(shù)據(jù)結(jié)果顯示�����,對于大部分普通電腦用戶來說����,性能的影響并不顯著。
對于配備固態(tài)存儲設備的第八代酷睿平臺(Kaby Lake���、Coffee
Lake)����,防御措施對性能的影響很小�。在各種工作負載上���,包括SYSMark2014SE基準測試中所代表的辦公軟件和媒體制作在內(nèi)��,預計影響不到6%���。在特定情況下�,用戶可能受到更大影響�����。例如�����,使用涉及復雜的JavaScript操作的Web應用的用戶可能受到更大影響(我們的初步測試表明����,最高可達10%)。游戲等圖形密集型工作負載或財務分析等計算密集型工作負載受到的影響最低�����。
第七代Kaby Lake-H高性能移動平臺受到的影響�,與第八代平臺相似(在SYSMark2014SE基準測試中大約為7%)。
對于第六代Skylake-S平臺��,性能所受影響稍高,但與第八代����、第七代平臺所受影響仍然大體上一致(在SYSMark2014SE基準測試中大約為8%)。在常見操作系統(tǒng)Windows
7���,尤其是在辦公環(huán)境中影響很小(在SYSMark2014SE基準測試中大約為6%)�����,甚至低于配備硬盤的系統(tǒng)����。
此外�����,有一些用戶出現(xiàn)在采用固件更新之后���,系統(tǒng)重啟次數(shù)增多的問題����。對此英特爾回應說���,這些系統(tǒng)運行英特爾Broadwell和Haswell處理器�����,涵蓋客戶端和數(shù)據(jù)中心設備��。英特爾正與這些客戶迅速合作�,以了解���、診斷并解決這一重啟問題����。如果需要英特爾將發(fā)布修改固件更新�。
針對“打補丁將導致CPU性能損耗30%”的說法,360核心安全事業(yè)部總經(jīng)理�、Vulcan團隊負責人鄭文彬的觀點是這是比較極端的情況,不能一概而論��。30%的性能損失是在比較極端的專門測試情況下出現(xiàn)的��。通常的用戶使用情況下��,尤其在用戶的電腦硬件較新的情況下(例如絕大部分在售的Mac電腦和筆記本��、32位X86操作系統(tǒng)),這些補丁的性能損失對用戶來說是幾乎可以忽略不計����。接下來包括微軟、Intel在內(nèi)的廠商還會進一步推出針對性的補丁�����,進一步降低補丁對性能的損耗�。
未爆發(fā)安全問題的國產(chǎn)處理器,切不可高枕無憂
由于國外的x86��,ARM����,Power等主流處理器架構(gòu)均已證明存在漏洞,國內(nèi)自主架構(gòu)處理器又如何?目前�����,中國CPU發(fā)展可以分為兩條路線�。一條是自主路線,以龍芯與申威為代表�,申威自定義了SW64指令集,龍芯基于MIPS擴展出來的LoonISA,自主設計CPU的內(nèi)核����,以及內(nèi)存控制器等IP,并且一直在堅持創(chuàng)建自己的生態(tài)系統(tǒng)�����。
另一條是技術(shù)引進路線��,購買國外CPU的IP授權(quán)���,并借助現(xiàn)有的生態(tài)系統(tǒng)開拓市場。比如華為和展訊從ARM公司購買IP做集成���,依附于AA體系的生態(tài)系統(tǒng);華芯通購買高通的授權(quán)開發(fā)芯片���,依附于AA體系的生態(tài)系統(tǒng);瀾起購買Intel的內(nèi)核外加一個安全模塊做安全芯片,依附于Wintel體系;宏芯購買了IBM
Power8的授權(quán)開發(fā)CPU��,寄希望于IBM主導的Open Power�。
對此集微網(wǎng)曾嘗試與君正、龍芯等幾家國內(nèi)主要的處理器廠商聯(lián)系��,然而國內(nèi)廠商不約而同的沉默了。
不過集微網(wǎng)還是發(fā)現(xiàn)了一些信息�。
9號投資者在互動平臺上向北京君正提問:君正芯的每一行代碼都是自己寫的,是中國真正的自主芯片�,無安全之憂,該說法是否屬實?君正回應�����,公司芯片是架構(gòu)授權(quán)����,自主研發(fā)的CPU核,確實屬于自主可控�����。
同一天投資者也問了中科曙光��,后者表示�����,曙光云目前尚未收到任何關(guān)于利用該漏洞攻擊用戶的信息�����,曙光云本著對客戶高度負責的態(tài)度,第一時間成立應急小組����,持續(xù)監(jiān)控平臺性能并積極響應客戶反饋。
龍芯��、中天微則以不方便回答拒絕了采訪�����。
比起其他廠商的緘默��,兆芯顯得格外高調(diào)��。該公司曾聲稱��,在兆芯處理器中�,對任何推測執(zhí)行都進行嚴格的權(quán)限檢查�����,從根本上避免了這類的攻擊利用的漏洞�����。頗有意味的是,很快兆芯撤回了該聲明��。
在處理器市場�����,國外品牌和架構(gòu)占據(jù)了絕大多數(shù)市場�。在PC和筆記本電腦市場,根據(jù)
PassMark的報告��,在2017年第二季度�����,英特爾的市場份額為69%���,AMD為31%���。在服務器市場,根據(jù)市場研究機構(gòu)IDC的數(shù)據(jù)�,英特爾在數(shù)據(jù)中心領(lǐng)域的市場份額高達98%。亞馬遜
AWS�、微軟
Azure、阿里云等領(lǐng)先的公有云服務都大量使用了英特爾的處理器���。AMD和ARMv8各1%左右���。國產(chǎn)處理器市場份額仍然很低��,目前應用市場主要是超級計算機與安全保密計算機��、政企等專用市場���,十分“小眾”。在手機處理器市場也同樣如此����。
圖源: Counterpoint
處理器的發(fā)展本身就是發(fā)現(xiàn)漏洞與打補丁修正漏洞的過程���,問題只在于漏洞是由黑客發(fā)現(xiàn)還是廠商自己發(fā)現(xiàn)����,黑客或安全廠商的存在從側(cè)面也加速了處理器產(chǎn)業(yè)的升級換代��,處理器產(chǎn)業(yè)與安全產(chǎn)業(yè)本身就是競爭和合作的關(guān)系���,這是產(chǎn)業(yè)發(fā)展的兩極��。雖然目前國產(chǎn)處理器從未爆發(fā)安全漏洞問題�,未必說明不存在。手機中國聯(lián)盟秘書長王艷輝指出����,這只能說沒有得到黑客或安全廠商的關(guān)注,還沒有形成第三條講到的良性競合關(guān)系�,這一點只能說明中國處理器產(chǎn)業(yè)的弱小,沒有引起注意或不值得關(guān)注�����。
清華大學微電子研究所所長魏少軍教授在接受中國電子報采訪時表示�����,到目前為止��,還沒有國內(nèi)企業(yè)承認自己的產(chǎn)品存在類似的漏洞����。這有可能是根本就不清楚自己是否被波及到了,也有可能是知道了不說�,但更可能是在產(chǎn)品設計中還沒有采用亂序執(zhí)行和分支預測等技術(shù)。這可以讓我們從側(cè)面探窺國產(chǎn)CPU產(chǎn)品性能之所以遠遠落后國際同行的原因�����。
他指出,我國在保障計算機信息安全方面還停留在查毒殺毒等被動防御層面�,在主動防御上建樹不多。這次“CPU漏洞門”事件提醒我們:現(xiàn)在是時候扭轉(zhuǎn)一下發(fā)展思路了��,要變“被動防御”為“主動防御”���。同時也應該重新審視自己�����,中國的CPU發(fā)展由于發(fā)展水平不高���,有可能僥幸繞過了“熔斷”和“幽靈”的影響,但不等于今后就可以高枕無憂��。
魏少軍強調(diào)�,我們的CPU企業(yè)應該在基礎(chǔ)技術(shù)上繼續(xù)追趕的同時���,在架構(gòu)創(chuàng)新上有所作為�����,思考新的CPU產(chǎn)品如何徹底避免此類架構(gòu)和運行機制上的漏洞��。在這個問題上����,我國企業(yè)與國外企業(yè)處在同一起跑線上,如果抓住機遇�����,有可能實現(xiàn)國產(chǎn)CPU的一次大幅度進步���。
清華大學微電子研究所所長魏少軍教授在接受中國電子報采訪時表示�,到目前為止�����,還沒有國內(nèi)企業(yè)承認自己的產(chǎn)品存在類似的漏洞��。這有可能是根本就不清楚自己是否被波及到了���,也有可能是知道了不說��,但更可能是在產(chǎn)品設計中還沒有采用亂序執(zhí)行和分支預測等技術(shù)���。這可以讓我們從側(cè)面探窺國產(chǎn)CPU產(chǎn)品性能之所以遠遠落后國際同行的原因���。
他指出,我國在保障計算機信息安全方面還停留在查毒殺毒等被動防御層面���,在主動防御上建樹不多����。這次“CPU漏洞門”事件提醒我們:現(xiàn)在是時候扭轉(zhuǎn)一下發(fā)展思路了����,要變“被動防御”為“主動防御”。同時也應該重新審視自己�����,中國的CPU發(fā)展由于發(fā)展水平不高�,有可能僥幸繞過了“熔斷”和“幽靈”的影響,但不等于今后就可以高枕無憂���。
魏少軍強調(diào),我們的CPU企業(yè)應該在基礎(chǔ)技術(shù)上繼續(xù)追趕的同時��,在架構(gòu)創(chuàng)新上有所作為,思考新的CPU產(chǎn)品如何徹底避免此類架構(gòu)和運行機制上的漏洞���。在這個問題上�,我國企業(yè)與國外企業(yè)處在同一起跑線上�,如果抓住機遇,有可能實現(xiàn)國產(chǎn)CPU的一次大幅度進步���。
不論如何����,對處理器設計者而言��,在下一代的處理器設計上��,是否要從最基本的架構(gòu)開始進行重新設計?這將是必須思考的問題����。這一次的“漏洞門”,讓整個科技圈進入一個前所未有的合作氛圍中����,正如英特爾CEO科再奇在公開信中強調(diào):“每個人扮演的角色都非常重要,只有堅持合作,才能創(chuàng)造最快���、最高效的途徑���,來恢復客戶對其數(shù)據(jù)安全的信心?��!?/p>
