|
1)、CPU漏洞
如果把时间向前拨快一年,在我们回顾整个2018年的时候,那么一月份一定会包含两个让整个IT行业都焦头烂额的关键词——熔断(Meltdown)和幽灵(Spectre)。它们代表两个安全漏洞,不得不说,这两个名字起的要比我们给台风起的名字贴切的多。在所有的安全问题中,芯片上的漏洞算是最为少见的一个,但也是最为严重的。这一次,从个人电脑、服务器、云计算机服务器到移动端的智能手机,都受到这两组硬件漏洞的影响。
- Meltdown影响几乎所有的Intel CPU和部分ARM CPU;
- Spectre影响所有的Intel CPU和AMD CPU,以及主流的ARM CPU。
北京时间1月3日,科技媒体The Register爆出这两个芯片漏洞,并表示即使修复漏洞,也会造成设备性能下降。随后,漏洞发现者、谷歌Project Zero在北京时间1月4日早晨6点27分在官网发布博客,公布了漏洞细节。
有必要介绍一下Project Zero :2014年7月,Google 宣布了 Project Zero 计划,它由一组安全研究人员负责,唯一的目标就是追踪和修复漏洞,维护所有互联网用户的安全。在成立之初,竞争对手曾经挖苦这一计划称,Google 除了给项目起了一个好听的名字外,其他没有什么变化。
但这一次Project Zero可谓不辱使命。2017年6月1日,谷歌旗下由顶尖白帽黑客组成的Project Zero 团队就曾向英特尔、AMD、ARM公司通报了这两个安全漏洞——熔断(Meltdown)和幽灵(Spectre)。
2)、默契协议
是的,你没有看错,半年前很多厂商就已经知晓这两个漏洞了,不过按照众厂商与谷歌Project Zero团队达成的协议,这些厂商得到了半年多的静默期。双方协定,如果到了1月9日,问题仍未解决,Project Zero将会把漏洞昭告天下。换句话说,如果1月9日这两个安全漏洞被修复,那么这事儿就神不知鬼不觉的翻篇了。
但Project Zero与多家厂商的纸还是没有包住Meltdown和Spectre这两股火。随后,英特尔、AMD、高通、ARM等公司纷纷发布官方声明,承认部分产品存在安全漏洞,正在修复,但均未指明受影响芯片。紧接着各大云企业厂商相继发布公告,表示会在后续的升级维护中完成漏洞的修复。
3)、云端安全
云计算业务的本质是购买构建大型数据中心,采用虚拟化的方式集中管理,通过API调用的方式为用户提供计算和存储能力的租赁服务。因此,云服务厂商也是这次漏洞事件的重灾区。毕竟云主机同样是主机,云服务器同样是服务器,云硬盘同样是云硬盘。目前,一些云厂商的漏洞修补工作仍在进行。
万幸的是,暂时并没有发现这两个漏洞有被利用的事件。主要原因是黑客必须能够将一些代码植入用户的计算机中,才能利用“熔断”或“幽灵”发动攻击,同时由于 CPU 本身的复杂性,暂未发现有能够造成严重危害的通用稳定的 Poc 流出。同时此次漏洞并不能被单独进行远程利用。
4)、痛定思痛
我们无意讨论始作俑者为谁,毕竟这不是某一个人或组织的有意为之。也无意深究这样一个可以波及了地球上绝大多数现代电子设备的芯片漏洞竟然可以潜伏几十年。
令我们倍感无力的是,这种黑天鹅事件其实是这个世界发展的一种内在驱动力。就像在一个系统中,为了使其他单元或者整体的利益,往往有必要牺牲某些单元一样。即所谓的适者生存,如同进化,基因库正是利用压力、随机性、不确定性和混乱来确保优胜劣汰。以一个行业为例,餐馆往往是脆弱的,它们会相互竞争,但正因为如此,当地的餐馆集群才具备了反脆弱性——正是局部的脆弱性和必要的高失败率,成就了整体生生不息的迭代进化 如果泰坦尼克号没有沉没,那么人们将会不断建造越来越大的远洋客轮,而下一次的灾难将是更大的悲剧。我们甚至可以说,船上乘客实际上是为更大的利益作出了牺牲,他们使得更多的生命幸免于难。每一次飞机失事都让我们离安全更进一步,因为我们会改进系统,使下一次的飞行更安全。
5)、早有准备
在时间的维度上,IT的安全将是一场持久战。而战争的导火索将操纵在那些黑客手中。很高兴,依然有Project Zero 这样的白帽子存在,但黑客所崇尚的“自由精神”并不能让我们每次都这么幸运,他们在神不知鬼不觉潜入别人的系统时,是极有可能给这个世界带来巨大的损失。
墨菲定律并不可怕,因为那些可预测的坏事具有必然性;黑天鹅的可怕性在于它的不可预料性,因为它的影响巨大且无法避免,所以组织安全灾备体系的建设至关重要。
变数太多,在提升韧性的同时,我们更需要提升我们的反脆弱性。毕竟谁都无法保证数据不丢、业务不停——除非你早有准备。
| 
发表于 2018-2-1 10:54:32
