独角兽企业重金招聘Python工程师标准>>>
谈到IT系统的安全性弱点,大多数人会马上联想到的,是软件层面出了问题,但是,到了,这样的观点已经被彻底打破,因为,在设备的硬件和韧体的层面,也遭人发现有重大的安全漏洞,而在,可能还会有其他弱点继续被发现。
CPU接连出现安全漏洞,修补成效与系统性能难兼顾
之所以有这样巨大的转变,最主要的关键事件,发生在1月初,由Google的Project Zero资安团队揭露了三个CPU推测执行漏洞,分别是CVE--5753、CVE--5715、CVE--5754,有心人士可运用这些弱点,透过旁路攻击(side-channel attacks)的手法,接触到计算机系统内存执行的应用程序,而能存取当中的数据,而且,研究人员也把相关的概念性验证攻击手法Meltdown和Spectre,公诸于世,引起全球各界关注。而这类型漏洞涉及的运算平台相当广泛,涵盖Intel、AMD、Arm等三大厂商的CPU,因此,举凡现今普遍使用的个人计算机、行动装置,企业的服务器、储存设备、网络设备,以及云端服务厂商的使用环境,全都在影响范围之内。
虽然相关厂商当时紧急发布了修补程序,但后续到了5月、8月,又被发现到还有其他CPU漏洞。此外,相关的漏洞修补程序安装到系统之后,也会影响执行效能,而使得开发人员和厂商相当头痛,因为,在修补安全性弱点之余,也必须设法维持应用系统运作效率。既然CPU都会出事,那么,因数字货币挖矿与人工智能应用而走红的GPU,是否也有类似问题,后续也成为众所瞩目的焦点。以Nvidia为例,他们在被揭露为高严重性的漏洞(CVSS通用漏洞评鉴系统评为7分),多数与GPU显示驱动程序有关。而在11月中,加州大学河滨分校的研究团队发表论文,指出当前的GPU架构存在着弱点,无法因应旁路攻击手法的侵袭,而这项弱点也成为编号CVE--6260的漏洞,在弱点严重等级认定上,虽然不是很高(2.1分),但后续是否会被发现有类似的弱点,值得注意。
服务器主板传出间谍芯片疑云,设备供应链安全备受关注
除了CPU与GPU的漏洞,就连搭载这些处理器的主板,在上下游厂商生产制造的过程当中,也可能被有心人士趁虚而入,而产生安全疑虑。例如,彭博社(Bloomberg)在10月的新闻报导,揭露Supermicro公司的服务器主板遭中国植入间谍芯片的状况,有将近30家美国公司受到影响,引发全球各大企业的恐慌。然而,到了12月10日,Supermicro高层发布公告,表示他们找了第三方调查公司来协助,而在执行全面检查及多种功能测试之后,并未发现主板内藏有任何恶意硬件的证据。整体而言,在这次事件发生的过程之中,虽然媒体和厂商各执一词,外界至今仍是摸不着头绪,究竟是真有其事或虚惊一场,谁也不敢断言这种可能性不存在,也许在会有进一步的消息与证据出现。
