10月9日,英特爾召開新品發佈會,推出第9代酷睿桌面級處理器,涵蓋i5-9600K、i7-9700K 和 i9-9900K。據悉,英特爾本次再次增加2個核心,最高規格達到8核16線程,5.0GHz單核睿頻以及16MB的英特爾智能高速緩存,成地表最強遊戲處理器。
不過,作為一名安全圈的記者,這些都不是我關注的重點。在英特爾秋季桌面發佈會上,英特爾方面稱,第9代CPU增加了針對Spectre(幽靈)和Meltdown(熔燬)漏洞變種的硬件保護。
回顧英特爾"芯片門"
想當初,英特爾"芯片門"一事鬧得沸沸揚揚。作為全球最大的個人計算機零件和CPU製造商,英特爾芯片被廣泛用於各種計算設備,比如筆記本、臺式機和服務器等。2018年1月初,英特爾芯片被媒體曝光存在嚴重技術缺陷,由此引發全球用戶對信息安全的擔憂。
當時,一安全團隊曝光了CPU中的Meltdown(熔燬)和Spectre(幽靈)兩大漏洞。
據國內威脅檢測防禦技術的知名廠商安天發佈的《處理器A級漏洞Meltdown(熔燬)和Spectre(幽靈)分析報告》表明,這被定為"A級漏洞",並可能演化為針對雲和信息基礎設施的A級網絡安全災難。
具體說來,相關漏洞利用了芯片硬件層面執行加速機制的實現缺陷實現側信道攻擊,可以間接通過CPU緩存讀取系統內存數據。
"幽靈"和"熔燬"兩大漏洞
漏洞Meltdown(熔燬)因"融化"了硬件的安全邊界而得名,漏洞Spectre(幽靈)因其手段的隱蔽性而得名。
該報告指出,"該漏洞是一個足以動搖全球雲計算基礎設施根基的漏洞,其意味著任何虛擬機的租戶或者成功入侵一個虛擬機的攻擊者,都可以通過相關攻擊機制去獲取完整的物理機CPU緩存數據,而這種攻擊對現有虛擬化節點的防禦機制是無法感知的。"
並且,該漏洞的機理,導致其存在各種操作系統平臺的攻擊方式,儘管漏洞只能讀取數據,不能修改數據,但由於其獲取的數據有可能包括口令、證書和其他關鍵數據,因此漏洞比一般性的虛擬機逃逸對雲的危害更大。
同時,該報告進一步陳述,"該漏洞對於攻擊桌面節點同樣有巨大的攻擊力,其大大提升了以瀏覽器等為攻擊入口的攻擊成功率。包括使傳統的使用非超級用戶來降低網絡風險的安全策略失效。"
英特爾在9代CPU中加入硬件保護 築上"安全之牆"
現在,針對之前的漏洞問題,英特爾終於加入硬件保護。在發佈會的PPT演示中,具體這樣解說:
最新的桌面級處理器增加了對安全漏洞的保護,包括"幽靈"、"熔燬"和"L1TF"知名漏洞。這些保護措施,包括了我們早些時候宣佈的硬件設計變更以及軟件和微代碼更新。
對此,天極網記者諮詢了安天,安天微嵌高級工程師趙世平表示,""幽靈"、"熔燬"和"L1TF"漏洞,本質都是發生在CPU微結構內部的漏洞,因此用純軟件(Software)方法通常只能緩解攻擊,無法完全修補這些漏洞,必須修改CPU微結構。"
一般而言,人們只知道CPU,而CPU微結構則更細。我們知道,CPU是一塊超大規模的集成電路,但對程序員來說,CPU是一個"黑盒子",程序員只要按照CPU指令集,用相應的指令編寫程序,並將指令程序和相應數據加載到內存即可執行程序。
CPU內部是由運算器、控制器、寄存器等部件組成的硬件電路,內存指令被讀取後,還需要經過複雜的指令譯碼等過程。這種CPU內部硬件電路的結構,被稱為CPU的微體系結構,簡稱微結構。
可以說,硬件層面的保護為英特爾9代CPU築起一道"堅實的牆"。
修改硬件+升級微碼+軟件 三重防護
在2018年3月,英特爾宣佈它們將會在新一代CPU中增加硬件保護,從而避免用戶受到漏洞及其變種的"侵害"。
"雖然將繼續通過軟件來解決變種1,但我們正在對硬件設計進行更改,以進一步解決其他問題," 前英特爾首席執行官Brian Krzanich在新聞稿中表示,"我們重新設計了部分處理器,通過分區引入新級別保護,可以防止變種2和變種3。可以把這種分區視為應用程序和用戶權限級別之間的額外'保護牆',為網絡不法分子製造障礙。"
趙世平稱,"可見一部分漏洞可用升級微碼,或者升級微碼加上軟件配合的方式加以修補,但仍有部分漏洞必須通過修改CPU硬件電路設計進行修補,Intel綜合採用修改CPU硬件(Hardware)電路設計,升級微碼(Microcode),以及加上軟件(Software)配合三種方式修補這一系列CPU微結構內部的漏洞,可以以儘量短的時間和儘量低的成本在新一代CPU上完成漏洞修補工作。"
新發布的9代酷睿處理器,增加了針對L1TF和"熔燬"V3漏洞的硬件保護,但其他漏洞仍需要軟件和微代碼保護。
但是,不要以為這樣就可以高枕無憂了。"英特爾增加的硬件保護可以避免'幽靈'、'熔燬'和'L1TF'漏洞的影響,但不排除變種或新版本採用其他攻擊路徑或者新發現的CPU微結構造成影響。"他說。
他舉了一個例子,可升級微碼本身就不排除成為一個可能造成嚴重攻擊後果的重要目標。
無論是對CPU廠商,還是相關廠商以及行業人員,他稱,"安全威脅從無死角,這是早已被無數慘痛事實證明的冰冷結論,從軟件、主板固件(BIOS和UEFI)、總線協議直到CPU微結構都可能存在漏洞,成為攻擊目標。任何硬件設計都不應該缺少安全性考量,特別是在硬件設計和硬件功能越來越軟件化的今天。"
閱讀更多 科技天天侃 的文章
