英特爾絕密數據被竊 多個平臺出現新漏洞

　　日前，媒體報道一名黑客公布了從英特爾竊取的20GB絕密芯片工程數據，這些數據可能會給多個平臺的用戶帶來新的“零日漏洞”，攻擊威脅黑客鏈接到加密信息平臺Telegram上的一篇帖子詳細說明了竊取的內容，并在底部附上了Mega文件。雖然這些內容本身是無害的，但它們包含可用于構建惡意軟件的BIOS信息和英特爾專有技術的源代碼。

　　這名黑客自稱為“英特爾機密湖”，聲稱這些數據還沒有在任何地方發布，而且大部分信息都受到嚴格的保密協議(NDA)保護。這些數據來自匿名消息來源，他在2020年早些時候入侵了英特爾。如果黑客找到操縱代碼并將其安裝到目標計算機上的方法，Kabylake和其他處理器的BIOS代碼可能會給這些用戶帶來麻煩。也許最具破壞性的是TigerLake平臺的工具和固件，這可能會導致該產品上市前惡意軟件泛濫。

　　近年來，英特爾漏洞頻發。此前，媒體報道Intel官方正式確認并發布了清華大學計算機系汪東升、呂勇強、邱朋飛和馬里蘭大學Gang Qu等發現的“騎士”漏洞。“騎士”漏洞將影響Intel公司第6, 7, 8, 9 和第10 代 Core™ 核心處理器，以及Intel至強處理器E3 v5 & v6 和 Intel至強E-2100 & 和-2200等系列處理器。

　　“騎士”漏洞是中國研究團隊發現的首個處理器硬件漏洞，該漏洞是因為動態電源管理模塊DVFS存在安全隱患造成的。DVFS模塊的設計初衷是降低處理器的功耗，允許多核處理器根據負載信息采用相應的頻率和電壓運行。一般說來，高運行頻率配備高電壓，反之采用低電壓。但是，當某一個核出現電壓和頻率不太匹配的情形，如電壓偏低無法滿足較高頻率運行需求時，系統就會出現短暫“故障”，就像是電壓不穩燈泡閃爍一樣，有時雖然不會影響系統整體運行，但如果該故障發生在安全等級較高的操作過程中，如加解密程序，會因為故障對系統行為結果的干擾會泄露出重要的系統行為信息，影響系統安全。“騎士”攻擊正是利用這一漏洞，采用電壓故障精準注入的方式，迫使處理器可信執行區(TEE，如ARM TrustZone、Intel SGX等)內的高安全等級程序運行出現故障，從而逐漸暴露其隱含的秘鑰信息或者繞過正常的簽名驗證功能。

　　針對“騎士”漏洞的攻擊完全是在DVFS允許的電壓范圍內進行，且攻擊過程可以完全使用軟件在線、遠程實現，不需要額外的硬件單元或者線下輔助。“騎士”漏洞廣泛存在于目前主流處理器芯片中，可能嚴重波及當前大量使用的手機支付、人臉/指紋識別、安全云計算等高價值密度應用的安全，影響面廣。

　　目前，英特爾的處理器已經被發現存在熔斷、幽靈、PortSmash、Spoiler等一系列漏洞，這一系列的事情證明，自主研發的CPU未必安全，但買來的CPU一定不安全。誠然，鐵流相信，其他國外廠商的CPU漏洞不一定比Intel少，只不過Intel處于風口浪尖，大家用的多，研究它的安全人員多，所以問題暴露的也就多。

　　當下，信息安全非常重要，其中風險是顯而易見的，如果中國在CPU等關鍵元器件上依賴英特爾、ARM等西方公司，那么，西方公司可以利用這些漏洞輕易癱瘓中國的信息系統，這將對中國的政府管理、經濟和人民生活造成巨大影響。政府管理信息化水平倒退30年，金融系統、軌道交通系統基本癱瘓，數控機床和智能工廠趴窩，電腦和智能手機變成磚塊.....

　　不僅僅是基礎硬件，基礎軟件上的威脅同樣非常巨大。永恒之藍在全球肆虐就是最佳例子。不久前，國外一個黑客小組用勒索病毒敲詐勒索，賺了20億美元后金盆洗手。由于勒索病毒來錢太快，連墨西哥毒梟都轉行勒索病毒，然后被逮住了。網傳國內一公司被勒索病毒鎖定后，拿出197萬元去解密。

　　鐵一般的現實都表明，依賴Wintel這樣的國外基礎軟硬件是存在巨大風險的。風險不僅存在于直接買芯片，也包括買IP做集成，以及買國外源碼做修改。老祖宗有句話，欲速則不達，引進國外技術，從洋人那里買源碼，看似走了捷徑，其實是撿了芝麻，丟了西瓜。洋人的東西再好，也是洋人的東西，外國公司預留的后門，我們很難全面的進行全面排查，很難做到不留任何漏洞。而中國人自己寫的CPU，則能避免后門，或是說實現預留的后門全部掌握在自己手里。這就避免了外國科技公司事先預留后門背后捅刀子的問題。

　　從治標又治本的角度看，最有效的途徑就是構建其自主的基礎軟硬件體系。誠然，這個體系在初期會存在這樣或那樣的不足，但因為銷量少，專門針對自主CPU找漏洞做病毒的黑客估計會餓死，因而被針對的可能性低，漏洞會比較少。當自主CPU成長起來之后，則會在成長中發現問題解決問題，逐漸提升其安全度。當然，這不可能一蹴而就，需要一個過程。

　　必須指出的是，做自主技術體系有一個巨大的好處，那就是可以自己改，可以自己打補丁，而依賴英特爾、ARM的話，只能等洋人給我們打補丁。

× 烏有之鄉 WYZXWK.COM

您的打賞將用于網站日常運行與維護。
幫助我們辦好網站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉網刊微信公眾號