资料图
法治周末见习记者 吴昊
英特尔较近被“熔断”(Meltdown)和“幽灵”(Spectre)这两个安全漏洞缠住了身。
前者允许低权限、用户级别的应用程序“越界”访问系统级的内存;后者则可骗过安全检查程序,使应用程序访问内存的任意位置。
1月3日,英特尔发布《较新安全研究结果及英特尔产品说明》,承认“熔断”和“幽灵”的存在,正与AMD、ARM控股以及其他操作系统供应商合作解决问题。
英特尔方面在接受法治周末记者采访时表示,在极端测试的环境下才有可能出现上述情况,截至目前,业界尚未一起与之相关的入侵事件。
但实际上,早在半年前,英特尔就被告知芯片有缺陷。
英特尔称漏洞非“一家之过”
2017年6月,谷歌Project Zero安全团队的一名成员向英特尔、AMD和ARM以及其他芯片生产商告知了“熔断”和“幽灵”漏洞的情况。
“为了防止这些漏洞被黑客发现,产生安全隐患,发现此次漏洞的谷歌团队要求英特尔、AMD、ARM等被通知的芯片企业以及各个操作系统供应商携手秘密开发并着手修补漏洞。”英特尔方面告诉法治周末记者。
1月4日,英特尔发布公告称,英特尔已经为基于英特尔芯片的各种计算机系统(包括个人电脑和服务器)开发了更新,并且正在快速发布这些更新,以保护这些系统免受谷歌Project Zero所报告的两种潜在攻击隐患。英特尔与其产业伙伴在部署软件补丁和固件更新方面已取得了一些进展。
亚太网络法律研究中心主任、北京师范大学法学院教授刘德良表示,我国的网络安全法有规定,各种系统或网络被发现存在漏洞时,发现者不能随意公开,防止被黑客利用,有时候可能黑客并不知道漏洞存在,发现者公布后有可能在补丁更新前被黑客利用,造成损失。
根据《英特尔公司CEO科再奇致科技行业领袖的公开信》,英特尔将在近日发布更新,以覆盖过去5年内推出的90%以上的英特尔CPU,其他CPU的更新将在1月底前发布。
“漏洞门”事件给英特尔股价造成了影响。
法治周末记者发现,英特尔股票自2018年1月2日46.85美元收盘、涨跌幅1.49%后,1月3日的收盘价为45.26美元,涨跌幅-3.39%;1月9日的收盘价为43.62美元,涨跌幅-2.50%;1月10日的收盘价为42.49美元,涨跌幅-2.59%。自“漏洞门”曝光后,其股价均出现下滑。
英特尔方面告诉法治周末记者,“熔断”和“幽灵”两个漏洞并非只有英特尔芯片受影响,这种影响力是跨架构、跨国界的,且PC、服务器、平板、手机等都被波及。AMD、ARM、英伟达、苹果、高通甚至IBM,近期都忙于修复上述漏洞。
法治周末记者注意到,苹果也于1月9日发布《关于基于ARM 的CPU和Intel CPU中的预测执行漏洞》,称“熔断”和“幽灵”涉及所有现代处理器,且会影响几乎所有计算设备和操作系统,Mac系统和 iOS设备都会受到影响。苹果方面称,已发布相应更新来应对“熔断”和“幽灵”。
漏洞补丁导致性能下降
1月4日,在英特尔补丁发布当日,多家国内外媒体指出,漏洞补丁会造成芯片性能下降。
同日,英特尔更新公告称,根据苹果、亚马逊、谷歌和微软的评估,上述漏洞的更新对性能的影响很小,甚至没有影响。
但一周后,英特尔又发布公告,承认漏洞补丁对于个人电脑性能的影响在2%至14%左右;搭载固态存储设备的第八代酷睿平台的性能影响为6%或更低;第七代Kaby Lake-H高性能移动平台受到的影响与第八代类似,在7%左右;第六代Skylake-S平台的影响约为6%至8%。
英特尔方面告诉法治周末记者,由于此次漏洞涉及的芯片很广泛,一些老版本的芯片性能远不及近几年的芯片,所以对芯片性能的影响与该芯片性能和具体的工作负载有直接关系,新出的芯片在更新后,对普通用户的日常使用影响很小甚至感受不到,但一些老旧芯片受到的影响相对明显。
除此之外,1月12日,英特尔公告表示,一些客户在采用固件更新应对上述漏洞之后,系统重启次数增多。不过,英特尔称正在着手解决这一问题。
“在互联网大环境中,任何要素都没有信息安全重要,如果为了保护用户信息安全而牺牲一部分性能也无可厚非。”刘德良表示,如何权衡性能和信息安全可谓仁者见仁,不过,做到既保证信息安全又不影响性能,是各个厂家需要切实考虑的问题。
规范速度赶不上研发速度
业内专家介绍,“熔断”和“幽灵”来源于上世纪60年代IBM发明的乱序执行(Out of Order)技术,后被其他公司包括英特尔、AMD、ARM等处理器厂商和产业广泛采纳。当时,受限于科技水平,各厂商没有认识到可能会存在这种漏洞,如今,这两个漏洞被发现,并涉及整个科技行业。
不过,这倒促成英特尔与AMD、ARM等芯片厂商及操作系统供应商上演一场“安全预演”。
“熔断’和‘幽灵’漏洞之所以出现,是因为芯片在设计时的逻辑、构思存在缺陷造成。”刘德良表示,比如现在的互联网或操作系统都会存在各种漏洞,但是百密一疏,产品在设计时的缺陷和漏洞不可避免。从宏观上讲,所有的系统架构再完美都会存在逻辑漏洞和缺陷,只不过是被什么人在什么特定的技术条件下利用什么发现了而已。
不过,在中国电子商务研究中心特约研究员、投资金融律师董毅智看来,上述漏洞出现的原因还是IT领域发展速度过快,而该行业一直没有形成相应的组织架构标准和监管。
“一直以来,行业相关标准和法规的制定具有滞后性,而科技的发展是日新月异的,制度的制定速度无法赶超。”董毅智认为,国内外对于IT行业都是有相应标准的,但是由于科技发展过快,很多领域的标准和免责条款还处于空白。
他对法治周末记者称,从IT行业发展规律可以看出,该行业必然会形成寡头垄断,而这些巨头出于保护自身利益,所以在行业标准制定中也会有倾向,在与用户签署用户协议时会为自身预留免责条款。
“这种开放性的标准和监管口径会造成的后果是,各类技术问题出现后,厂商可以以科技和技术为由,为自己免责。但从另一个角度来看,侵犯了客户的权益,比如在漏洞补丁降速问题上,用户就缺少话语权。不过为了科技创新,大家都愿意放弃这些权益来保证创新和发展。”董毅智说道。