派智库

美国媒体日前披露，英特尔芯片存在严重技术缺陷，导致的漏洞可能影响几乎所有电脑和移动设备用户的个人信息安全。目前，英特尔在美国面临至少3起来自消费者的集体诉讼，诉讼者均指控英特尔数月前就了解芯片存在漏洞，却未及时对外公布消息。分析人士指出，此次“芯片门”事件再次给整个信息行业敲响安全警钟，在新一代信息革命对芯片运算速度提出更高要求的背景下，如何同时确保效率与安全成为一个关键挑战。（图片来源：互联网）　　存在技术缺陷造成处理器漏洞　　据了解，谷歌公司以及美欧多所高校的研究人员发现，英特尔芯片存在技术缺陷导致重大安全漏洞，黑客可利用该漏洞读取设备内存，获得密码、密钥等敏感信息。利用此次被发现的安全漏洞，谷歌研究团队介绍了3种不同攻击方式，前两种方式被称为“崩溃”，后一种被称作“幽灵”。其中“崩溃”被认为只影响英特尔芯片，而“幽灵”则几乎会影响市场上所有芯片。　　该安全漏洞发现人之一、奥地利格拉茨技术大学研究员丹尼尔·格鲁斯认为，该漏洞可能是迄今最严重的中央处理器漏洞。相关信息一经曝光，在全球信息行业引发广泛关注，因为目前全球几乎所有电脑与移动终端以及云服务提供商都将受到影响。尽管尚未发现相关攻击行为，但包括苹果、谷歌、亚马逊、微软等在内的全球信息行业巨头都已在第一时间采取措施修补漏洞。　　事实上，早在去年6月，英特尔就已从谷歌获知该漏洞的存在。一般来说，信息行业企业滞后公布安全漏洞符合惯例，目的是为了在漏洞信息披露前找到修复手段，以防止黑客快速利用漏洞信息发动攻击。但此次英特尔在掌握漏洞后较长时间未发布信息，并最终导致相关信息被媒体曝光，属于较为罕见的情况。　　修复难度较大需要群策群力　　此次芯片安全漏洞广受关注，还与其修复难度较大有关。　　专业人士指出，一旦“崩溃”与“幽灵”攻击真的发生，现有的安全软件很难对其进行抵御，因为与通常的恶意软件不同，发动这两种攻击的恶意软件很难与常规良性应用程序区分开来。与此同时，尽管各科技公司目前都在陆续推出补丁，但这些补丁主要针对“崩溃”，而针对“幽灵”这种攻击方法的实施难度更大，要对其加以防御的难度也更大。与传统病毒不同，攻击不会留下痕迹，计算机无法在被攻击时发现。　　波及IT业效率与安全矛盾待化解　　此次英特尔“芯片门”事件再次给信息产业敲响安全警钟，尤其是如何平衡效率与安全问题，引发了诸多反思。　　在发现此次芯片漏洞的研究人员看来，问题出在芯片制造商对效率的过度追求。目前包括英特尔在内的各主流芯片生产商都普遍采用一种名为“推测性执行”的技术，以提高处理器的整体性能和效率。依靠该技术，处理器会预测它们可能需要为给定的进程运行哪些代码，并提前运行，以便结果在真正需要之前就准备就绪。有时，处理器可能会将数据从一个内存位置移动到另一个位置以供这些进程使用。执行期间，处理器会验证假设，如假设无效，将解除执行，但执行解除后可能会产生无法消除的副作用。这样的设计为黑客发动旁路攻击提供了可能。　　在新信息革命呼之欲出的当下，整个IT业对芯片运算能力的需求非常巨大。物联网、无人驾驶、5G、人工智能、深度学习、云计算等新兴领域都对芯片的计算能力提出了更高要求。修补漏洞对芯片计算效率造成的影响也可能拖慢整个行业的发展。芯片制造商如何在效率与安全两个方面求得平衡，这个问题的紧迫性日益凸显。（郑琪）　　转自：中国高新技术产业导报