英特爾稱漏洞非一家之過 規範速度趕不上研發速度

英特爾安全漏洞暴露行業規範速度滯後

資料圖

「熔斷」和「幽靈」兩個安全漏洞出現的原因還是IT領域發展速度過快，而該行業一直沒有形成相應的組織架構標準和監管

法治周末見習記者吳昊

英特爾最近被「熔斷」（Meltdown）和「幽靈」（Spectre）這兩個安全漏洞纏住了身。

前者允許低許可權、用戶級別的應用程序「越界」訪問系統級的內存；後者則可騙過安全檢查程序，使應用程序訪問內存的任意位置。

1月3日，英特爾發布《最新安全研究結果及英特爾產品說明》，承認「熔斷」和「幽靈」的存在，正與AMD、ARM控股以及其他操作系統供應商合作解決問題。

英特爾方面在接受法治周末記者採訪時表示，在極端測試的環境下才有可能出現上述情況，截至目前，業界尚未一起與之相關的入侵事件。

但實際上，早在半年前，英特爾就被告知晶元有缺陷。

英特爾稱漏洞非「一家之過」

2017年6月，谷歌Project Zero安全團隊的一名成員向英特爾、AMD和ARM以及其他晶元生產商告知了「熔斷」和「幽靈」漏洞的情況。

「為了防止這些漏洞被黑客發現，產生安全隱患，發現此次漏洞的谷歌團隊要求英特爾、AMD、ARM等被通知的晶元企業以及各個操作系統供應商攜手秘密開發並著手修補漏洞。」英特爾方面告訴法治周末記者。

1月4日，英特爾發布公告稱，英特爾已經為基於英特爾晶元的各種計算機系統（包括個人電腦和伺服器）開發了更新，並且正在快速發布這些更新，以保護這些系統免受谷歌Project Zero所報告的兩種潛在攻擊隱患。英特爾與其產業夥伴在部署軟體補丁和固件更新方面已取得了一些進展。

亞太網路法律研究中心主任、北京師範大學法學院教授劉德良表示，我國的網路安全法有規定，各種系統或網路被發現存在漏洞時，發現者不能隨意公開，防止被黑客利用，有時候可能黑客並不知道漏洞存在，發現者公布後有可能在補丁更新前被黑客利用，造成損失。

根據《英特爾公司CEO科再奇致科技行業領袖的公開信》，英特爾將在近日發布更新，以覆蓋過去5年內推出的90%以上的英特爾CPU，其他CPU的更新將在1月底前發布。

「漏洞門」事件給英特爾股價造成了影響。

法治周末記者發現，英特爾股票自2018年1月2日46.85美元收盤、漲跌幅1.49%後，1月3日的收盤價為45.26美元，漲跌幅-3.39%；1月9日的收盤價為43.62美元，漲跌幅-2.50%；1月10日的收盤價為42.49美元，漲跌幅-2.59%。自「漏洞門」曝光後，其股價均出現下滑。

英特爾方面告訴法治周末記者，「熔斷」和「幽靈」兩個漏洞並非只有英特爾晶元受影響，這種影響力是跨架構、跨國界的，且PC、伺服器、平板、手機等都被波及。AMD、ARM、英偉達、蘋果、高通甚至IBM，近期都忙於修復上述漏洞。

法治周末記者注意到，蘋果也於1月9日發布《關於基於ARM 的CPU和Intel CPU中的預測執行漏洞》，稱「熔斷」和「幽靈」涉及所有現代處理器，且會影響幾乎所有計算設備和操作系統，Mac系統和 iOS設備都會受到影響。蘋果方面稱，已發布相應更新來應對「熔斷」和「幽靈」。

漏洞補丁導致性能下降

1月4日，在英特爾補丁發布當日，多家國內外媒體指出，漏洞補丁會造成晶元性能下降。

同日，英特爾更新公告稱，根據蘋果、亞馬遜、谷歌和微軟的評估，上述漏洞的更新對性能的影響很小，甚至沒有影響。

但一周後，英特爾又發布公告，承認漏洞補丁對於個人電腦性能的影響在2%至14%左右；搭載固態存儲設備的第八代酷睿平台的性能影響為6%或更低；第七代Kaby Lake-H高性能移動平台受到的影響與第八代類似，在7%左右；第六代Skylake-S平台的影響約為6%至8%。

英特爾方面告訴法治周末記者，由於此次漏洞涉及的晶元很廣泛，一些老版本的晶元性能遠不及近幾年的晶元，所以對晶元性能的影響與該晶元性能和具體的工作負載有直接關係，新出的晶元在更新後，對普通用戶的日常使用影響很小甚至感受不到，但一些老舊晶元受到的影響相對明顯。

除此之外，1月12日，英特爾公告表示，一些客戶在採用固件更新應對上述漏洞之後，系統重啟次數增多。不過，英特爾稱正在著手解決這一問題。

「在互聯網大環境中，任何要素都沒有信息安全重要，如果為了保護用戶信息安全而犧牲一部分性能也無可厚非。」劉德良表示，如何權衡性能和信息安全可謂仁者見仁，不過，做到既保證信息安全又不影響性能，是各個廠家需要切實考慮的問題。

規範速度趕不上研發速度

業內專家介紹，「熔斷」和「幽靈」來源於上世紀60年代IBM發明的亂序執行（Out of Order）技術，後被其他公司包括英特爾、AMD、ARM等處理器廠商和產業廣泛採納。當時，受限於科技水平，各廠商沒有認識到可能會存在這種漏洞，如今，這兩個漏洞被發現，並涉及整個科技行業。

不過，這倒促成英特爾與AMD、ARM等晶元廠商及操作系統供應商上演一場「安全預演」。

「熔斷』和『幽靈』漏洞之所以出現，是因為晶元在設計時的邏輯、構思存在缺陷造成。」劉德良表示，比如現在的互聯網或操作系統都會存在各種漏洞，但是百密一疏，產品在設計時的缺陷和漏洞不可避免。從宏觀上講，所有的系統架構再完美都會存在邏輯漏洞和缺陷，只不過是被什麼人在什麼特定的技術條件下利用什麼發現了而已。

不過，在中國電子商務研究中心特約研究員、投資金融律師董毅智看來，上述漏洞出現的原因還是IT領域發展速度過快，而該行業一直沒有形成相應的組織架構標準和監管。

「一直以來，行業相關標準和法規的制定具有滯後性，而科技的發展是日新月異的，制度的制定速度無法趕超。」董毅智認為，國內外對於IT行業都是有相應標準的，但是由於科技發展過快，很多領域的標準和免責條款還處於空白。

他對法治周末記者稱，從IT行業發展規律可以看出，該行業必然會形成寡頭壟斷，而這些巨頭出於保護自身利益，所以在行業標準制定中也會有傾向，在與用戶簽署用戶協議時會為自身預留免責條款。

「這種開放性的標準和監管口徑會造成的後果是，各類技術問題出現後，廠商可以以科技和技術為由，為自己免責。但從另一個角度來看，侵犯了客戶的權益，比如在漏洞補丁降速問題上，用戶就缺少話語權。不過為了科技創新，大家都願意放棄這些權益來保證創新和發展。」董毅智說道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！