英特尔“芯片门”再敲信息安全警钟

全球最大芯片厂商英特尔公司深陷“芯片门”丑闻，芯片漏洞问题持续发酵。美国媒体日前披露，英特尔芯片存在严重技术缺陷，导致的漏洞可能影响几乎所有电脑和移动设备用户的个人信息安全。目前，英特尔在美国面临至少3起来自消费者的集体诉讼，诉讼者均指控英特尔数月前就了解芯片存在漏洞，却未及时对外公布消息。分析人士指出，此次“芯片门”事件再次给整个信息行业敲响安全警钟，在新一代信息革命对芯片运算速度提出更高要求的背景下，如何同时确保效率与安全成为一个关键挑战。

　　存在技术缺陷，造成严重中央处理器漏洞

　　根据石英财经网站等美国媒体日前报道，谷歌公司以及美欧多所高校的研究人员发现，英特尔芯片存在技术缺陷导致重大安全漏洞，黑客可利用该漏洞读取设备内存，获得密码、密钥等敏感信息。利用此次被发现的安全漏洞，谷歌研究团队介绍了3种不同攻击方式，前两种方式被称为“崩溃”，后一种被称作“幽灵”。其中“崩溃”被认为只影响英特尔芯片，而“幽灵”则几乎会影响市场上所有芯片。

　　该安全漏洞发现人之一、奥地利格拉茨技术大学研究员丹尼尔·格鲁斯认为，该漏洞可能是迄今最严重的中央处理器漏洞。相关信息一经曝光，在全球信息行业引发广泛关注，因为目前全球几乎所有电脑与移动终端以及云服务提供商都将受到影响。尽管尚未发现相关攻击行为，但包括苹果、谷歌、亚马逊、微软等在内的全球信息行业巨头都已第一时间采取措施修补漏洞。

　　事实上，英特尔早在去年6月就已从谷歌获知该漏洞的存在。一般来说，信息行业企业滞后公布安全漏洞符合惯例，目的是为了在漏洞信息披露前找到修复手段，以防止黑客快速利用漏洞信息发动攻击。但此次英特尔在掌握漏洞后较长时间未发布信息，并最终导致相关信息被媒体曝光，属于较为罕见的情况。

　　目前，英特尔已面临3起集体诉讼，诉讼理由均为英特尔公司未及时对外公布安全漏洞相关消息。另据媒体报道，英特尔首席执行官克尔扎尼奇去年11月底出售了手中一半公司股票，套现超过3900万美元。对此，英特尔公司回应称，克尔扎尼奇出售股票的举动是按照事先制订的股票出售计划行事，与芯片安全漏洞问题没有关系。

　　修复难度较大，需要以全行业方式解决

　　此次芯片安全漏洞广受关注，还与其修复难度较大有关。

　　专业人士指出，一旦“崩溃”与“幽灵”攻击真的发生，现有的安全软件很难对其进行抵御，因为与通常的恶意软件不同，发动这两种攻击的恶意软件很难与常规良性应用程序区分开来。与此同时，尽管各科技公司目前都在陆续推出补丁，但这些补丁主要针对“崩溃”，而针对“幽灵”这种攻击方法的实施难度更大，要对其加以防御的难度也更大。与传统病毒不同，攻击不会留下痕迹，计算机无法在被攻击时发现。

　　业界也有分析认为，相关修复补丁将影响处理器的运算速度。美国国土安全部在一份声明中说，安全补丁是解决芯片漏洞最好的保护办法，但打补丁后电脑性能可能下降多达30%，并且芯片漏洞是由中央处理器架构而非软件引起，所以打补丁并不能彻底解决芯片漏洞。Linux系统开发人员表示，对芯片安全漏洞的修复将影响操作系统运行速度，典型的性能下降幅度为5%。

　　英特尔则否认类似说法，认为补丁对芯片影响会随时间减弱。英特尔公司在一份声明中称，这次被发现的缺陷并非仅存于英特尔的产品，采用许多不同供应商提供的处理器和操作系统的设备都很容易遭受类似攻击，希望与包括美国超威半导体公司、英国阿姆控股公司和多家操作系统供应商在内的许多其他科技公司密切合作，以开发一种全行业的方法，迅速而有建设性地解决这个漏洞。

　　广泛波及IT业，效率与安全矛盾待化解

　　此次英特尔“芯片门”事件再次给信息产业敲响安全警钟，尤其是如何平衡效率与安全，引发了诸多反思。

　　在发现此次芯片漏洞的研究人员看来，问题出在芯片制造商对效率的过度追求。目前包括英特尔在内的各主流芯片生产商都普遍采用了一种名为“推测性执行”的技术，以提高处理器的整体性能和效率。依靠该技术，处理器会预测它们可能需要为给定的进程运行哪些代码，并提前运行，以便结果在真正需要之前就准备就绪。有时，处理器可能会将数据从一个内存位置移动到另一个位置以供这些进程使用。执行期间，处理器会验证假设，如假设无效，将解除执行，但执行解除后可能会产生无法消除的副作用。这样的设计为黑客发动旁路攻击提供了可能。所谓旁路攻击，是指黑客利用计算机系统物理运行中一些可观察的方面，例如定时、功耗甚至声音等窃取信息。

　　“幽灵”的发现者之一保罗·科克接受《纽约时报》采访时指出，“幽灵”影响的是几乎所有高速微处理器，设计新芯片时对速度的高要求导致它们容易出现安全问题。“整个行业一直希望越快越好，同时做到安全。‘幽灵’表明，鱼和熊掌不可兼得……这是一个会随着硬件的生命周期不断恶化的问题。”

　　在新信息革命呼之欲出的当下，整个IT业对芯片运算能力的需求是巨大的。物联网、无人驾驶、5G、人工智能、深度学习、云计算等新兴领域都对芯片的计算能力提出了更高要求。修补漏洞对芯片计算效率造成的影响也可能拖慢整个行业的发展。芯片制造商如何在效率与安全两个方面求得平衡，这个问题的紧迫性日益凸显。