日前,美國、英國、日本、澳大利亞、加拿大、新西蘭、印度呼吁科技公司設計產品時確保政府可以訪問經過加密的消息和內容。
其實,西方科技公司配合西方政府在產品中預留后門早已不是新鮮事,斯諾登就曾經爆料多個美國科技巨頭配合美國情報部門收集情報。本次美國等國家的聲明,只是扯掉了最后的遮羞布。
2017年,永恒之藍席卷全球,超過90個國家遭到攻擊,海量電腦因永恒之藍而被鎖死。永恒之藍席卷全球,其實是利用了微軟的MS17-010漏洞。黑客利用漏洞把蠕蟲病毒植入被攻擊電腦,被控制的電腦又會去掃描其他電腦,最終以多米諾骨牌的方式不斷感染其他電腦。
永恒之藍能造成如此大的影響,和美國國家安全局脫不了干系。
受永恒之藍病毒影響的操作系統包括 Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0、Windows 10早期版本。很難想象微軟在這么長的時間里,將存在漏洞的代碼一直保留至今,而沒有修改或重寫。考慮到棱鏡事件的先例,永恒之藍這個漏洞很有可能是微軟給美國情報部門留的御用漏洞。甚至有外媒就稱MS17-010原本是美國國家安全局(NSA)旗下組織“方程式小組”御用的0Day漏洞。“方程式小組”是國家級的攻擊者,使用“震網”病毒破壞伊朗核設施的行動就是出自“方程式小組”的手筆。
無獨有偶,英特爾也存在高危漏洞多年不改的情況。對于ME存在的漏洞,國外科技曝料網站Semiaccurate表示:5年前就開始向英特爾公司提這個漏洞,英特爾公司10年來對該漏洞不屑一顧。而且英特爾一直回避ME技術架構的話題,沒人真正知曉該技術的真正目的,以及是否可以做到完全禁用。直到2017年3月底安全研究者Maksim提交了該漏洞,證實了其存在的安全風險。Intel才表示,十年來的產品都因高危漏洞存在安全隱患。
國內機構通過對某些國外X86 CPU的嚴格測試,可以確認存在功能不明確的“多余”模塊,它不是一般意義的調試接口,而是由特定的CPU芯片引腳控制,可讀寫CPU內部狀態寄存器、讀寫指定存儲區域、激活特定的微代碼段執行某個處理流程、并且可以對CPU進行復位。同時,還發現其存在未公開指令,包括加解密、浮點操作在內共計二十余條,其中,有三條指令在用戶模式就可以使機器死機或重啟,作用機制直接穿透各種軟件保護措施,防護軟件不能感知;普通應用程序中嵌入一條即可使系統宕機。
鐵一般的現實都表明,依賴Wintel這樣的國外基礎軟硬件是存在巨大風險的。風險不僅存在于直接買芯片,也包括買IP做集成,以及買國外源碼做修改。當下,不少公司就選擇與英特爾、IBM、ARM、高通等國外廠商合作,或購買技術授權,然后把洋技術包裝成自主技術,打進機關和國企市場,在美國等國家已經連遮羞布都不要了,公開表示植入后門的情況下,國內企業這種穿馬甲的做法是非常值得商榷的。
老祖宗有句話,欲速則不達,引進國外技術,從洋人那里買源碼,看似走了捷徑,其實是撿了芝麻,丟了西瓜。洋人的東西再好,也是洋人的東西,外國公司預留的后門,我們很難全面的進行全面排查,很難做到不留任何漏洞。而中國人自己寫的CPU,則能避免后門,或是說實現預留的后門全部掌握在自己手里。這就避免了外國科技公司事先預留后門背后捅刀子的問題。
從治標又治本的角度看,最有效的途徑就是構建其自主的基礎軟硬件體系。誠然,這個體系在初期會存在這樣或那樣的不足,但因為銷量少,專門針對自主CPU找漏洞做病毒的黑客估計會餓死,因而被針對的可能性低,漏洞會比較少。當自主CPU成長起來之后,則會在成長中發現問題解決問題,逐漸提升其安全度。當然,這不可能一蹴而就,需要一個過程。
必須指出的是,做自主技術體系有一個巨大的好處,那就是可以自己改,可以自己打補丁,而依賴英特爾、ARM的話,只能等洋人給我們打補丁。
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
