時間:2018-01-04 來源:互聯網 瀏覽量:
每天,在世界各地,有無數人的一天在電腦屏幕前開啟。不過,無論你用的是聯想,戴爾,惠普還是蘋果,是 Windows 還是 macOS 係統,你都要和同一家公司打交道:英特爾。
英特爾的大名無需多說了,即便是對 IT 不甚了解的小夥伴也肯定對電視廣告上那個著名的“等燈等燈”音樂耳熟能詳。
全世界絕大部分電腦的中央處理器(CPU)都是英特爾製造。2010年,英特爾在個人電腦上的占有率達到80.7%,遠遠超過第二名 AMD 的19%。在服務器市場,英特爾更是有著高達93.5%的占有率。
可以說,全球互聯網及其相連接的各種電子設備,就是在英特爾之上建立的。
然而這樣一個 IT 巨輪,最近居然觸礁了。
1月2日,國外科技媒體 The Register 爆出重磅新聞:英特爾的部分處理器存在“根本性設計缺陷”,會導致存儲密碼等敏感重要信息的存儲區被軟件獲取,換言之,用戶的隱私信息極有可能因為這個漏洞泄露。
隨後的消息則更加驚悚:此漏洞為 CPU 設計方麵的缺陷,涵蓋目前市麵上全部英特爾處理器產品,也就是說,隻要你現在用的是標有 intel 標誌的筆記本或台式機,不管是哪個牌子也無論哪個操作係統,這個漏洞你都遇上了……
設計失誤,全球電腦中招
英特爾產品有漏洞並不鮮見,在過去幾年,也陸續有各種安全方麵的缺陷被媒體報道,英特爾事後也做了一一修補和更正。
然而,此次漏洞與以往都有所不同,無論是波及範圍,嚴重程度和可能後果方麵,都堪稱是英特爾,甚至可能是計算機史上最大的安全漏洞事件之一。
根據 Google Zero 團隊發布的報告,此次被曝光的漏洞共有兩種,分別叫做“熔毀(Meltdown)”和“幽靈(Spectre)”
其中,“熔毀”漏洞在所有1995年之後生產的英特爾芯片上都存在,換言之,這一問題可能已經存在長達20餘年而沒有被發現。
“熔毀”漏洞允許軟件無視權限許可,直接訪問內核內存(kernel memory)中存儲的用戶數據——其中大部分為本不該被訪問的用戶隱私信息,例如密碼,安全密鑰,被加密的圖片,文件等等。
英特爾內核頁麵表漏洞
打個不太準確但便於理解的比喻就是,好比電腦就是你的豪宅,各種程序就是你請來的各種鍾點工,維修工,廚師和快遞小哥,你會讓他們進入你的院子,廚房,臥室工作,但隻有有足夠權限的人才能接觸到你家的保險櫃——例如管家在需要的時候打開保險櫃,幫你拿個房產證什麼的。
而這個漏洞相當於,你家的保險櫃上有個窟窿,任何人隻要能進你家門,就能拿到保險櫃裏的所有東西。
更麻煩的是,此漏洞發生在底層係統層麵,普通安全防護軟件很難在應用程序中檢測到攻擊。小偷(病毒)完全可以偽裝成家政人員(普通程序)進去偷走你的東西,神不知鬼不覺。
此漏洞目前隻在英特爾產品上發現,如果你的筆記本上貼著 AMD 的紅色 logo,那恭喜你,你暫時沒有問題——暫時。因為還有這個叫做“幽靈”的漏洞。
“幽靈”漏洞在“熔毀”之後被發現,這一漏洞幹脆涵蓋了市麵上目前幾乎全部的 CPU 產品——英特爾,AMD 和 ARM 全部中槍,無一幸免。這一漏洞可以讓黑客偽裝惡意程序,欺騙係統檢測,最終擊破各個程序之間的間隔發動攻擊。
不過,此漏洞的利用成本過於高昂,開發和運營相關病毒的難度都很大,一般不會拿來攻擊個人電腦用戶。所以媒體現在普遍更關注“熔毀”漏洞的情況。
目前好消息是,“熔毀”漏洞可以被修複,很多廠商已經或正在開發修複補丁。壞消息則是,修補這一漏洞很可能將以犧牲電腦性能為代價。
由於“熔毀”漏洞屬於硬件級別的設計失誤,簡單的修補根本填不上窟窿。根本性的解決方案,要麼全部電腦返廠維修,要麼全部更換新的 CPU——哪一個都是英特爾不能接受的。
於是技術人員采用了一種被稱作“凱撒(Kaiser)”的修補機製:更新補丁之後,應用程序將無法直接訪問內核,隻有在必要的時候才能調取。這就像是保險櫃上的洞填不上的話,索性禁止所有人進那個放保險櫃的房間,需要拿什麼東西再進去。
這種“壯士斷腕”一樣的做法的直接後果就是 CPU 的運算速度有明顯的下降:多個數碼媒體和測評機構都記錄到了從5%到35%不等的性能下降。最嚴重的情況下等於電腦直接倒退一代(類似你買了個 iPhone7 卻隻有 iPhone6s 的速度一樣)。
但比起數據隨時可能外泄的風險,這也算是沒有辦法的辦法了……
消息傳出後,英特爾一度股價下跌6%,創造了自2016年10月以來盤中股價的最大跌幅。
曆史上的類似案例
麵對媒體和 IT 工作者的疑問,英特爾發表了一份公開聲明。
在聲明中,英特爾宣稱“這些漏洞不會破壞、修改或刪除數據”,媒體的報道“不夠準確”,而且暗示“其他供應商”也會受到影響。此外,他們也駁斥了部分媒體關於“漏洞修補後係統運行速度變慢”的說法。稱在不同任務下會有不同表現,不可一概而論。
這樣的表態顯然不能服眾。用戶更想知道的是關於漏洞的具體細節和可能的威脅,以及善後工作究竟該怎麼處理。這些信息英特爾都沒有提到。
此外,也有網友半開玩笑地暗諷英特爾“在試圖轉移視線。”
英特爾應該比誰都清楚,就算此次漏洞真的如他所言“危害不大”,處理不好依然有可能釀成一起公關災難——早在1994年,他們就經曆過類似的危機了。
1994年6月,英特爾發布了備受關注的第一代奔騰處理器,很多電腦紛紛配置。當年10月,美國弗吉尼亞州林奇堡學院(Lynchburg College)數學係教授 Thomas Nicely 用電腦計算一些長除法時,發現得到的答案一直不對。
Nicely 教授用了3個月時間,在不同的電腦上進行同樣的計算,最終發現隻有搭載奔騰處理器的電腦才會有類似問題,Nicely 據此懷疑奔騰 CPU 有係統級缺陷。
麵對 Nicely 的質疑,英特爾工作人員各種推脫否認。生氣的教授把自己的遭遇發郵件給自己的朋友,收到的親友又轉發給其他人。在社交網絡出現之前,這封郵件如同病毒一般在用戶之間廣泛轉發。由於 Nicely 教授遇到的錯誤隻要打開計算器程序就能複現,導致這一 bug 越來越廣為人知。
到11月1日,包括微軟在內的很多科技公司都已經知曉此事,電視也開始報道,很多本來想買電腦的人開始持幣觀望,大量用戶給英特爾客服部打電話想知道究竟有多嚴重。
英特爾一直到11月15日才發表了一份書麵聲明,表示問題“可以忽略不計”,普通用戶無需擔憂。這直接激怒了消費者——你家 CPU 連算個數都算不對,你還告訴我不用擔心?!
11月14日,感恩節,奔騰處理器的漏洞問題登上各大媒體頭條;12月12日,IBM發布聲明,全麵停止使用奔騰 CPU,英特爾收到大量奔騰用戶的退貨單,《財富》雜誌報道稱英特爾“被普遍仇恨與畏懼”。
迫於壓力,英特爾最終於12月20日發表道歉聲明,並召回所有問題處理器。事後統計,此次危機英特爾共付出超過5億美元成本,公司形象和聲譽方麵的損失則無法估量。
此即為曆史上著名的“Pentium FDIV bug(奔騰浮點計算錯誤)”。
事實上,奔騰處理器的問題從技術層麵上來看確實稱不上多嚴重:它的發生原因是英特爾為了加速運算,將乘法表直接燒錄進 CPU,但2048個乘法數字中有5個輸入錯誤,才導致在進行大計算時會有偏差。
在奔騰上市前,英特爾技術人員就發現了問題,但由於這一問題在90億次計算中才會出現一次錯誤,技術主管認為“問題不大”,沒放在心上,卻沒成想,在一個數學教授手裏栽了。
對普通人的影響
說了這麼多,小夥伴可能更關心的是,這次漏洞對我們普通用戶到底有多大的影響,我們又該怎麼應對呢?
影響方麵,目前還不好回答——畢竟目前還沒有黑客利用上述漏洞的消息。但顯然,安全肯定是不怕一萬就怕萬一,因此主頁君強烈建議各位小夥伴,無論用什麼操作係統,馬上更新一下自己的操作係統的最新補丁。英特爾官方也在通告中建議用戶及時更新。
事實上,這個漏洞在去年就已經有發現,一些廠商也提前進行了準備。蘋果已經在17年12月6日的 macOS 更新中打上了相關補丁,用 MacBook 的小夥伴,隻要升級到最新係統,基本就算安全了。
至於 Windows,微軟在美國時間周四前後(今明兩天)應該就會推送最新的 Windows 10 補丁,用普通筆記本和台式機的同學也要打開自己電腦的 Windows update。
關於更新後係統變慢的說法,盡管 CPU 確實會有一定程度的性能降低,但對絕大部分用戶來說還是影響不大的。性能下降隻有在用 matlab 等數學軟件進行高性能計算,或壓製4K 等高清視頻時才可能有一點感覺。
如果你的電腦隻是用來寫論文,看視頻,上網,做課件,玩吃雞 lol,或者剪輯視頻修照片,那麼大可以放心更新。已經有網友第一時間更新了微軟補丁後跑了一遍測試軟件,並沒有發現明顯的分數下降。
不過對於企業級英特爾用戶,尤其是雲服務商來說,這5%的下降就很要命了。此外,更新補丁還會造成 I/O (內外存數據交換速度,相當於你拷貝文件的速度)性能的下降。對於一些提供文件存儲服務的雲盤運營商來說也會有影響。從這個意義上講,他們的運營成本在未來幾個月可能會上漲,不知道這部分損失,他們是打算向英特爾索賠,還是打算轉嫁給消費者……
總之,此事目前還在發展中,後續處理可能需要幾個月時間,漏洞的具體細節也沒有公布。希望英特爾和其他互聯網廠商可以妥善處理此事吧。