劃重點(diǎn)
01中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)建議對(duì)英特爾在華銷(xiāo)售產(chǎn)品啟動(dòng)網(wǎng)絡(luò)安全審查,以應(yīng)對(duì)其產(chǎn)品漏洞頻發(fā)和故障率高的問(wèn)題。
02英特爾產(chǎn)品被曝存在Downfall、Reptar、GhostRace等漏洞,影響廣泛,且修復(fù)難度較大。
03除此之外,半導(dǎo)體行業(yè)領(lǐng)域多家企業(yè)近年來(lái)持續(xù)曝出漏洞問(wèn)題,如高通、AMD、NVIDIA等。
04專(zhuān)家表示,CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他行業(yè)相比,具有隱蔽性和長(zhǎng)期風(fēng)險(xiǎn)的特點(diǎn)。
05為此,行業(yè)需要加強(qiáng)網(wǎng)絡(luò)安全評(píng)估,推動(dòng)國(guó)內(nèi)半導(dǎo)體行業(yè)的自主創(chuàng)新,減少對(duì)外部供應(yīng)商的依賴(lài)。
以上內(nèi)容由騰訊混元大模型生成,僅供參考
自中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)布建議啟動(dòng)針對(duì)英特爾網(wǎng)絡(luò)安全審查文章后,網(wǎng)絡(luò)安全的討論仍在持續(xù)。
10月17日,英特爾對(duì)于中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)文進(jìn)行回應(yīng),稱(chēng)將“將與相關(guān)部門(mén)保持溝通,澄清相關(guān)疑問(wèn),并表明對(duì)產(chǎn)品安全和質(zhì)量的堅(jiān)定承諾。”
網(wǎng)絡(luò)安全行業(yè)人士對(duì)記者表示,此次英特爾網(wǎng)絡(luò)安全事件更適合作為一則消息去觀察后續(xù)行業(yè)變化,文章披露的安全漏洞不是近期發(fā)生的,但暴露出更大的安全風(fēng)險(xiǎn)半導(dǎo)體行業(yè),尤其是CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他行業(yè)相比,影響廣泛、難以修補(bǔ),具有隱蔽性和長(zhǎng)期風(fēng)險(xiǎn),需要信創(chuàng)行業(yè)進(jìn)一步修補(bǔ)核心技術(shù)缺位,也給網(wǎng)絡(luò)安全行業(yè)帶來(lái)更大的挑戰(zhàn)。
及時(shí)應(yīng)對(duì)CPU漏洞風(fēng)險(xiǎn)
中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)文內(nèi)容顯示,英特爾產(chǎn)品漏洞頻發(fā)、故障率高。
安全漏洞問(wèn)題方面,據(jù)文章披露,2023年8月,英特爾CPU被曝存在Downfall漏洞,該漏洞影響英特爾第6代至第11代酷睿、賽揚(yáng)、奔騰系列CPU,以及第1代至第4代至強(qiáng)處理器。
另在2023年11月,谷歌研究人員披露英特爾CPU存在高危漏洞Reptar。利用該漏洞,攻擊者不僅可以在多租戶虛擬化環(huán)境中獲取系統(tǒng)中的個(gè)人賬戶、卡號(hào)和密碼等敏感數(shù)據(jù),還可以引發(fā)物理系統(tǒng)掛起或崩潰,導(dǎo)致其承載的其他系統(tǒng)和租戶出現(xiàn)拒絕服務(wù)現(xiàn)象。2024年以來(lái),英特爾CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞。
可靠性問(wèn)題方面,據(jù)文章披露,從2023年底開(kāi)始,大量用戶反映,使用英特爾第13、14代酷睿i9系列CPU玩特定游戲時(shí),會(huì)出現(xiàn)崩潰問(wèn)題。
另外,中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)文表示英特爾產(chǎn)品存在監(jiān)控與后門(mén)問(wèn)題。英特爾聯(lián)合惠普等廠商,共同設(shè)計(jì)了IPMI(智能平臺(tái)管理接口)技術(shù)規(guī)范,聲稱(chēng)是為了監(jiān)控服務(wù)器的物理健康特征,但模塊也曾被曝存在高危漏洞(如CVE-2019-11181),導(dǎo)致全球大量服務(wù)器面臨被攻擊控制的極大安全風(fēng)險(xiǎn)。同時(shí),英特爾還在產(chǎn)品中集成存在嚴(yán)重漏洞的第三方開(kāi)源組件。
據(jù)此,中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)建議對(duì)英特爾在華銷(xiāo)售產(chǎn)品啟動(dòng)網(wǎng)絡(luò)安全審查,切實(shí)維護(hù)中國(guó)國(guó)家安全和中國(guó)消費(fèi)者的合法權(quán)益。公開(kāi)資料顯示,中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)于2016年3月25日在北京成立的全國(guó)性、行業(yè)性、非營(yíng)利性社會(huì)組織,接受業(yè)務(wù)主管單位中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室和社團(tuán)登記管理機(jī)關(guān)中華人民共和國(guó)民政部的業(yè)務(wù)指導(dǎo)和監(jiān)督管理。
英特爾方面回應(yīng)稱(chēng):始終將產(chǎn)品安全和質(zhì)量放在首位,一直積極與客戶和業(yè)界密切合作,確保產(chǎn)品的安全和質(zhì)量。將與相關(guān)部門(mén)保持溝通,澄清相關(guān)疑問(wèn),并表明英特爾對(duì)產(chǎn)品安全和質(zhì)量的堅(jiān)定承諾。
“(自主運(yùn)行的子系統(tǒng))可能是英特爾用來(lái)管理的小系統(tǒng)。設(shè)置小系統(tǒng)本身是正常的操作,其他芯片也有。但這個(gè)小系統(tǒng)用戶感知不到,芯片研發(fā)方可能做一些后門(mén)操作。”一名芯片設(shè)計(jì)人員告訴記者。
應(yīng)對(duì)此次英特爾被曝出的安全漏洞,亞信安全副總裁徐業(yè)禮對(duì)記者表示,從行業(yè)層面來(lái)講,當(dāng)行業(yè)企業(yè)使用的半導(dǎo)體芯片被檢測(cè)出風(fēng)險(xiǎn)漏洞時(shí),采取及時(shí)有效的應(yīng)對(duì)措施至關(guān)重要。關(guān)注芯片制造商和操作系統(tǒng)提供商發(fā)布的安全補(bǔ)丁,確保系統(tǒng)和應(yīng)用程序得到及時(shí)更新,以修復(fù)已知漏洞。
另外,進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估也是必要的,以確定漏洞可能帶來(lái)的影響,并根據(jù)風(fēng)險(xiǎn)等級(jí)制定相應(yīng)的應(yīng)對(duì)策略。在確認(rèn)漏洞被修復(fù)之前,企業(yè)應(yīng)將受影響的系統(tǒng)從網(wǎng)絡(luò)中隔離,以防止?jié)撛诘墓魯U(kuò)散。同時(shí),增強(qiáng)網(wǎng)絡(luò)安全監(jiān)控和日志記錄,可以幫助企業(yè)快速響應(yīng)異常行為,及時(shí)處理安全事件。定期備份關(guān)鍵數(shù)據(jù)也是一種有效的防護(hù)措施,以確保在發(fā)生安全事件時(shí)能夠迅速恢復(fù)業(yè)務(wù)。
對(duì)于普通個(gè)體用戶而言,徐業(yè)禮稱(chēng),保持系統(tǒng)更新是自我保護(hù)的基礎(chǔ),定期更新操作系統(tǒng)、應(yīng)用程序和防病毒軟件,以確保擁有最新的安全修復(fù)。此外,使用強(qiáng)密碼、開(kāi)啟防火墻、謹(jǐn)慎點(diǎn)擊鏈接、安裝可靠的安全軟件等措施,都能有效降低惡意軟件感染的風(fēng)險(xiǎn)。定期備份個(gè)人數(shù)據(jù)、避免在公共設(shè)備上進(jìn)行敏感操作、了解最新的網(wǎng)絡(luò)釣魚(yú)手段,以及啟用多因素認(rèn)證,都是增強(qiáng)個(gè)人網(wǎng)絡(luò)安全防護(hù)能力的重要手段。通過(guò)這些綜合措施,個(gè)體用戶和企業(yè)都能有效減少由于CPU漏洞帶來(lái)的風(fēng)險(xiǎn),保護(hù)自身的網(wǎng)絡(luò)安全。
網(wǎng)絡(luò)安全視角轉(zhuǎn)變
實(shí)際上,除了英特爾,半導(dǎo)體行業(yè)領(lǐng)域多家企業(yè)近年來(lái)持續(xù)曝出漏洞問(wèn)題。
就在今年10月,高通公司(Qualcomm)發(fā)布安全警告稱(chēng),其多達(dá)64款芯片組中的數(shù)字信號(hào)處理器(DSP)服務(wù)中存在一項(xiàng)潛在的嚴(yán)重的“零日漏洞”CVE-2024-43047,且該漏洞已出現(xiàn)有限且有針對(duì)性的利用跡象。根據(jù)高通公告,CVE-2024-43047源于使用后釋放(use-after-free)錯(cuò)誤,可能導(dǎo)致內(nèi)存損壞。
該漏洞影響范圍廣泛,涉及高通FastConnect、Snapdragon(驍龍)等多個(gè)系列共計(jì)64款芯片組,涵蓋了智能手機(jī)、汽車(chē)、物聯(lián)網(wǎng)設(shè)備等多個(gè)領(lǐng)域,將影響非常多的品牌廠商,如小米、vivo、OPPO、榮耀等手機(jī)品牌廠商都有采用高通驍龍4G/5G移動(dòng)平臺(tái)及相關(guān)5G調(diào)制解調(diào)器-射頻系統(tǒng),蘋(píng)果iPhone 12系列也有采用驍龍 X55 5G 調(diào)制解調(diào)器-射頻系統(tǒng)。
AMD在2023年被曝出Inception(CVE-2023-20569)漏洞,該漏洞是一種新的瞬態(tài)執(zhí)行攻擊,影響所有AMD Zen架構(gòu)的處理器。結(jié)合了“Phantom speculation”和“Training in Transient Execution”(TTE)技術(shù),允許攻擊者從非特權(quán)進(jìn)程中泄露任意數(shù)據(jù),影響包括從Zen 1到Zen 4的所有Ryzen和EPYC處理器。
AMD Sinkclose(CVE-2023-31315)漏洞允許攻擊者在系統(tǒng)管理模式(SMM)中運(yùn)行惡意代碼,可能導(dǎo)致系統(tǒng)管理中斷(SMI)處理程序被利用,影響包括Ryzen 3000及第一代EPYC及更新的CPU。AMD Zen 2處理器寄存器漏洞(CVE-2023-20593)影響所有Zen 2處理器,攻擊者可以在虛擬機(jī)內(nèi)監(jiān)聽(tīng)宿主機(jī)數(shù)據(jù)。
2022年,NVIDIAGPU被曝出CVE-2022-28181漏洞,NVIDIA GPU Display Driver內(nèi)核模式層中的越界寫(xiě)入漏洞,允許非特權(quán)普通用戶通過(guò)crafted shader導(dǎo)致越界寫(xiě)入。2021年,NVIDIA被曝出CVE-2021-1056漏洞,系NVIDIA GPU驅(qū)動(dòng)程序中的設(shè)備隔離漏洞,允許攻擊者在容器中創(chuàng)建特殊的字符設(shè)備文件,從而獲取宿主機(jī)上所有GPU設(shè)備的訪問(wèn)權(quán)限。
2019年,清華大學(xué)計(jì)算機(jī)系研究團(tuán)隊(duì)發(fā)現(xiàn)電壓管理機(jī)制漏洞騎士漏洞(VolJokey),影響ARM TrustZone和Intel SGX等可信執(zhí)行環(huán)境。攻擊者可以通過(guò)該漏洞突破安全區(qū)限制,獲取核心密鑰并運(yùn)行非法程序,廣泛存在于彼時(shí)主流處理器芯片中。
對(duì)于半導(dǎo)體領(lǐng)域安全漏洞的密集發(fā)生,知道創(chuàng)宇404實(shí)驗(yàn)室總監(jiān)隋剛對(duì)記者表示,說(shuō)明當(dāng)下行業(yè)包括制造工藝在內(nèi)的技術(shù)進(jìn)入一個(gè)瓶頸期,安全行業(yè)的視角也發(fā)生了變化。過(guò)去網(wǎng)絡(luò)安全的聚焦主要在應(yīng)用系統(tǒng)層面,如今已經(jīng)開(kāi)始涉及車(chē)聯(lián)網(wǎng)、5G、衛(wèi)星、星鏈等領(lǐng)域。
半導(dǎo)體業(yè)內(nèi)資深人士李國(guó)強(qiáng)告訴記者,除去是否故意設(shè)置漏洞的因素,一些芯片上市時(shí)未被發(fā)現(xiàn)存在漏洞,后期才發(fā)現(xiàn)存在漏洞,有以往技術(shù)認(rèn)知不足的因素。這些漏洞存在一定歷史淵源,英特爾早期設(shè)計(jì)了80系列芯片,而產(chǎn)品向前兼容,即新一代產(chǎn)品兼容前一代或前幾代產(chǎn)品。英特爾的問(wèn)題可能是其設(shè)計(jì)基于幾十年前的一個(gè)經(jīng)典架構(gòu),這個(gè)架構(gòu)存在一些當(dāng)時(shí)無(wú)法預(yù)見(jiàn)、后續(xù)才能被發(fā)現(xiàn)的漏洞和隱患。
徐業(yè)禮對(duì)記者表示,在AI時(shí)代,類(lèi)似英特爾安全漏洞的問(wèn)題,可能基于AI系統(tǒng)的高價(jià)值目標(biāo)屬性被以更快和更具破壞性的方式利用。如AI系統(tǒng)因其處理和存儲(chǔ)大量敏感數(shù)據(jù)而成為攻擊者的理想目標(biāo)。AI算法,特別是機(jī)器學(xué)習(xí)模型,對(duì)處理器的特定功能(如SIMD指令集)有很高的依賴(lài)性,這可能被漏洞利用。云服務(wù)提供商廣泛使用,使得攻擊者可以通過(guò)遠(yuǎn)程漏洞利用影響大量用戶和數(shù)據(jù)。另外,攻擊者可以利用AI技術(shù)自動(dòng)化漏洞掃描和利用過(guò)程,提高攻擊的速度和規(guī)模。
推動(dòng)產(chǎn)業(yè)鏈發(fā)展完善
網(wǎng)絡(luò)安全漏洞包括多種類(lèi)型,如攻擊者注入惡意腳本代碼的跨站腳本攻擊(XSS),通過(guò)在應(yīng)用程序的用戶輸入中插入惡意SQL語(yǔ)句欺騙數(shù)據(jù)庫(kù)執(zhí)行非法操作的SQL注入攻擊,攻擊者通過(guò)偽裝成合法用戶向應(yīng)用程序發(fā)送惡意請(qǐng)求,利用用戶在應(yīng)用程序中的身份執(zhí)行未經(jīng)授權(quán)操作的跨站請(qǐng)求偽造(CSRF),應(yīng)用程序意外或故意將敏感數(shù)據(jù)(如密碼、信用卡信息等)泄露給未經(jīng)授權(quán)的用戶,導(dǎo)致用戶隱私受到侵犯或經(jīng)濟(jì)損失的敏感數(shù)據(jù)泄露等形式。
CPU安全漏洞類(lèi)型的安全風(fēng)險(xiǎn)并不會(huì)非常頻繁地發(fā)生,但一旦發(fā)生,將影響范圍非常廣泛,且修復(fù)難度較大。例如,2018年曝光的“熔斷”(Meltdown)和“幽靈”(Spectre)漏洞影響了全球大多數(shù)處理器芯片,幾乎涵蓋了所有主流的智能終端設(shè)備。這些漏洞允許攻擊者繞過(guò)內(nèi)存訪問(wèn)的安全隔離機(jī)制,通過(guò)惡意程序獲取操作系統(tǒng)和其他程序的被保護(hù)數(shù)據(jù),造成內(nèi)存敏感信息泄露。
徐業(yè)禮對(duì)記者表示,CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他行業(yè)相比,具有隱蔽性和長(zhǎng)期風(fēng)險(xiǎn)的特點(diǎn),硬件漏洞隱蔽性強(qiáng),可能長(zhǎng)期存在,難以檢測(cè)和防御。同時(shí)硬件漏洞難以通過(guò)軟件補(bǔ)丁修復(fù),可能需要硬件更換或復(fù)雜的固件更新。同時(shí)在軟件層面,由于軟件和應(yīng)用程序依賴(lài)CPU特性,硬件漏洞可能波及整個(gè)技術(shù)生態(tài)系統(tǒng)的穩(wěn)定性和安全性。
隋剛對(duì)記者表示,安全行業(yè)依附于技術(shù)發(fā)展。類(lèi)似于“知識(shí)無(wú)邊界”,技術(shù)作為知識(shí)的另一種層次體現(xiàn)也是同理。但當(dāng)下的國(guó)際環(huán)境中,知識(shí)與技術(shù)呈現(xiàn)有邊界的特點(diǎn),也會(huì)出現(xiàn)分流的趨勢(shì)。目前國(guó)內(nèi)市場(chǎng)中,伴隨信創(chuàng)趨勢(shì)的確定,較為核心的技術(shù)包括軟件層面的操作系統(tǒng),硬件層面的CPU等芯片制造等,都需要時(shí)間去沉淀,需要技術(shù)去打磨,同時(shí)需要時(shí)間去等待軟硬件互相適配,這些都將影響信息產(chǎn)業(yè)的建設(shè)與推進(jìn)進(jìn)展。
李國(guó)強(qiáng)表示,一家芯片公司在某個(gè)領(lǐng)域幾近一家獨(dú)大帶來(lái)一定隱患,但對(duì)于半導(dǎo)體行業(yè),這種情況難以避免。當(dāng)規(guī)模越大、成本越低、效益越好的邏輯成立時(shí),行業(yè)天然會(huì)形成接近壟斷的局面。而要找到更安全的路徑,國(guó)內(nèi)還是要發(fā)展自己的PC和服務(wù)器芯片。目前國(guó)產(chǎn)CPU在一些對(duì)信息安全要求高的領(lǐng)域已經(jīng)在應(yīng)用,但基于性能要求,可能仍無(wú)法完全替代最先進(jìn)的英特爾芯片或者要靠數(shù)量來(lái)獲得足夠的性能。
英特爾漏洞一事對(duì)國(guó)內(nèi)服務(wù)器市場(chǎng)影響仍需觀察,國(guó)內(nèi)一家業(yè)務(wù)包含服務(wù)器租售的知名云計(jì)算平臺(tái)相關(guān)商務(wù)人員告訴記者,該事件還未影響客戶使用CPU芯片的意愿,英特爾在x86領(lǐng)域的地位仍難以撼動(dòng),該公司的AI領(lǐng)域客戶用的還是搭載英特爾芯片的服務(wù)器。
作為技術(shù)發(fā)展的重要依附方,安全行業(yè)也會(huì)發(fā)生分流,比如聚焦海外核心技術(shù)產(chǎn)品與國(guó)內(nèi)信創(chuàng)產(chǎn)業(yè)。近年來(lái),國(guó)務(wù)院、網(wǎng)信辦、工信部發(fā)布一系列網(wǎng)絡(luò)安全相關(guān)政策,旨在加強(qiáng)網(wǎng)絡(luò)安全體系保障與能力建設(shè),推進(jìn)傳統(tǒng)安全產(chǎn)品升級(jí),筑牢可信可控的數(shù)字安全屏障。在這一背景下,網(wǎng)絡(luò)安全硬件設(shè)備成為行業(yè)關(guān)注焦點(diǎn),它是定制化集成上游元器件后,針對(duì)客戶特定網(wǎng)安需求場(chǎng)景,提供一系列專(zhuān)業(yè)化解決方案的安全設(shè)備。
艾瑞咨詢?cè)谘袌?bào)中分析稱(chēng),相關(guān)國(guó)產(chǎn)化軟硬件成熟度提升,從“可用”進(jìn)入到“好用”階段,在政策的大力支持下國(guó)產(chǎn)化網(wǎng)絡(luò)安全硬件設(shè)備將會(huì)成為未來(lái)行業(yè)增長(zhǎng)的主要?jiǎng)恿;在?fù)雜多變的網(wǎng)絡(luò)環(huán)境下,需求方對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的要求將繼續(xù)提升,專(zhuān)用網(wǎng)絡(luò)安全硬件平臺(tái)將逐步替代通用網(wǎng)絡(luò)安全硬件設(shè)備。
徐業(yè)禮表示,在國(guó)家安全的層面上,中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)對(duì)英特爾產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提出審查建議,反映了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全的深切關(guān)注。這一舉措可能會(huì)促使國(guó)內(nèi)各行業(yè)加強(qiáng)對(duì)所使用的硬件產(chǎn)品的安全評(píng)估,確保它們不會(huì)成為國(guó)家網(wǎng)絡(luò)安全的潛在威脅。同時(shí),這也可能會(huì)推動(dòng)國(guó)內(nèi)半導(dǎo)體行業(yè)的自主創(chuàng)新,減少對(duì)外部供應(yīng)商的依賴(lài),從而增強(qiáng)國(guó)家供應(yīng)鏈的安全性和自主可控能力。此外,這一事件也可能加強(qiáng)國(guó)際網(wǎng)絡(luò)安全合作,共同應(yīng)對(duì)全球性的網(wǎng)絡(luò)安全挑戰(zhàn),為維護(hù)網(wǎng)絡(luò)空間的和平與穩(wěn)定貢獻(xiàn)力量。
(本文來(lái)自第一財(cái)經(jīng))