24
昨天英特尔 CPU 被爆存在重大设计缺陷,一时舆论哗然。实际上,这个问题不单只限英特尔一家,几乎所有现代 CPU 都存在,而且直接影响 Windows、Linux、MacOS 等操作系统,影响每个人的 PC、手机和每家企业的数据中心。即使修复这一漏洞,也将导致计算速度最高降低 30%,相当于让 CPU 发展一下倒退 5 年。在人工智能和深度学习商业化正值起步、需要计算力推动的当下,这无疑一击重锤,狠狠打击了人的信心。
据外媒 The Register 报道,安全研究人员近日发现,英特尔处理器底层设计上存在重大漏洞,能让普通的用户程序识别受保护区域的内核布局及其中的内容。
不仅如此,修复这个问题也要付出惨痛的代价——由于是硬件上的缺陷,相关操作系统需要在内核层面上做出修改,而 Linux 和 Windows 系统修复这个漏洞后,根据处理任务类型和处理器模式的不同,最高将导致系统处理性能降低 30%,还有资料表明会更多。
目前受影响最大的,应该是亚马逊(E2)、微软(Azure)和谷歌(Compute Engine)这三大云计算厂商。这三大厂商都在其数据中心大量使用英特尔 CPU,以及 Linux 系统。通过这个漏洞,攻击者可以通过一个虚拟用户,攻击在同一物理空间的其他虚拟用户,而这几大云服务大厂的服务器排列紧密,只要遭到攻击,理论上所有的数据都将不安全。
有业内人士评论称,用“致命打击”来形容这一漏洞毫不夸张,关键对大家的信心也是一个打击——虚拟化的隔离真的靠谱吗?
惊现致命漏洞:几乎所有现代 CPU,均不能幸免
实际上,这个 CPU 漏洞是在几个月之前,由谷歌的“Project Zero”安全团队发现的,也存在于 AMD 和 ARM 的芯片中。
根据谷歌安全在 2018 年 1 月 3 日发布的官方博文,这些芯片使用了一种叫做推测式执行(speculative execution)的方法,现代绝大多数 CPU 在优化性能时都会用到。正是这个推测式执行导致了这一安全漏洞。
什么是推测式执行呢?为了提高性能,许多 CPU 可能会根据被认为可能是真实的假设,选择推测性地执行指令。在推测式执行期间,处理器会验证这些假设,如果假设有效,那么执行继续,如果无效,则解除执行,并根据实际情况开始正确的执行路径。推测式执行可能具有在 CPU 状态解除时不能恢复的副作用,并且可能导致信息泄露。
谷歌团队一共找到了 3 种方法,让恶意代码去控制系统,让普通的用户程序读取出本应受保护的内容。
谷歌表示,许多供应商都已经开发了修补程序来防止攻击,但不幸的是,没有任何一个能同时解决这 3 个问题。
英特尔股价大跌 5.5%,AMD 和 ARM 的产品也容易受攻击
英特尔在最新发表的声明中,承认了其芯片存在漏洞和安全隐患,但同时也指出,这个问题并不仅限于英特尔一家的产品,AMD 和 ARM 的处理器也容易遭受攻击。
最近有报道称,这些漏洞是由仅存在于英特尔产品中的“错误 bug”或“缺陷 flaw”引起的。这种说法是不正确的。基于迄今为止的分析,许多类型的计算设备(具有许多不同的供应商的处理器和操作系统)都容易受到这些攻击。
英特尔致力于产品和客户安全,并正与包括 AMD、ARM Holdings 和多家操作系统供应商在内的许多其他技术公司紧密合作,制定行业范围的方法,以及时和建设性地解决此问题。
英特尔的这一声明,显然是针对 AMD。此前,AMD 的软件工程师 Tom Lendacky 力挺自家产品,称 AMD 的处理器完全没有受影响。
不过,看 Project Zero 团队的报告[2],显然不是这样。报告中表示,英特尔、AMD、ARM 的产品都存在同样的问题。
ARM 也已经发表声明[4],承认自己的一些处理器产品受影响,并提供了初步解决方案。ARM 公关总监在接受 Wired 采访时表示:“我可以证实,ARM 一直在与英特尔和 AMD 合作,解决利用在某些高端处理器中使用的推测式执行技术的旁路分析方法。他同时指出,这种方法需要恶意软件在本地运行才能生效,但一旦运行,就可能导致恶意软件访问内存保密数据。
无论如何,英特尔这边的损失已经造成——1 月 4 日,英特尔股价狂跌 5.5%,这也是自 2016 年 10 月以来,英特尔遭遇的最大降幅。相比之下,AMD 股价大涨 8.8%,竞争对手英伟达的股票也猛增了 6.3%。
云计算和智能产业致命打击:谷歌、微软、亚马逊首当其冲
如果确实如英特尔声明中所说,普通用户不会受很大影响,那么显然,这个漏洞以及漏洞的修复,对于云计算厂商来说将是致命的。
这对人工智能,还有如火如荼的深度学习,也是重大打击。目前这波人工智能热潮,主要由深度学习带动,而深度学习则使用云计算为引擎。经过多年发展,云计算的商业化积极推进,不再只是存储与计算的工具,正与人工智能紧密结合,实现语音和图像识别、自然语言处理等各种智能应用和服务。
然而,偏偏是商业化正要起步,需要快速推动的眼前,爆出 CPU 底层安全漏洞,而且修复还将造成最高 30%的性能损失。
谷歌团队提供了一个受影响产品及用户 / 客户操作列表,从中可以发现,谷歌云端平台(Google Cloud Platform)受影响的包括,
Google Compute Engine
Google Kubernetes Engine
Google Cloud Dataflow
Google Cloud Dataproc
微软的 Azure 云将在 1 月 10 日进行维护和重启。微软的一位发言人在回复 CNBC 记者的电子邮件中表示,“我们正在对云服务部署缓解措施,并且还发布了安全更新,以保护 Windows 客户免受来自英特尔、ARM 和 AMD 支持的硬件芯片的漏洞影响。”
亚马逊 AWS 已经通过电子邮件通知客户,预计在本周五有重大安全更新,但还没有披露具体细节。
Project Zero 小组最初计划于 1 月 9 日,在各方将补丁等工作都准备好之后发布调查结果。但是昨天消息爆出后,团队不得不立马公布现有的信息,以减轻可能导致的危害。但是,完整的报告仍然会在原计划的日期发布。
目前,数据中心处理器几乎是英特尔一家独霸,而云计算则全部使用 Linux 操作系统。这次爆出的安全漏洞,对所有的云计算厂商都构成了致命的打击,就看各家的 Linux 修复速度。
修复的一种办法,是将内核内存与普通进程完全分开,而这将导致每次有系统调用或硬件中断请求时,都需要在两个内存地址空间之间来回切换,也因此有了前文所说的,即使修复,处理速度也会下降 5%~30%乃至更多。
一个漏洞相当于让计算速度倒退 5 年,这个损失,暂时没有其他方法能够绕过,计算力的倒退,我们只能忍受。在人工智能和深度学习商业化正值起步、需要计算力推动的当下,这无疑一击重锤,狠狠打击了人的信心。
接下来,我们该怎么办?
阅读全文
下载ECAD模型
