离2018年还有不到一周的时间,我们可能已经看到了今年最大的科技故事。研究人员已经确定了世界上最大的三位芯片设计师英特尔、AMD和ARM制造的计算机处理器的安全缺陷,以及英特尔芯片的第二个缺陷。这意味着世界上几乎每一台智能手机、平板电脑、笔记本电脑和商务电脑都可能容易被窃取敏感数据,包括密码。存储网站和其他互联网数据的云服务器也面临风险。
这是我们所看到的最大的网络安全漏洞之一,从对个人、商业和基础设施计算机系统的潜在影响来看。更重要的是,因为缺陷位于计算机的一个基本部分,所以没有办法知道一台机器是否被瞄准,以及哪些数据可能被访问。
这两个主要缺陷(Spectre)和英特尔唯一的缺陷(Meltdown)都是由一种旨在提高芯片性能的设计技术创造的,称为“投机执行”。这一问题意味着黑客可以访问计算机内存中应该无法访问的部分。敏感数据,包括密码,电子邮件,文件和照片都可能面临风险。
大多数网络攻击涉及到在计算机的软件中发现一个缺陷,允许黑客访问机器的内存或操作系统。例如,2017年,一个名为“WannaCry”的攻击利用了旧版本Windows的一个缺陷。它影响了150个国家的大约30万台计算机,并对包括英国国家卫生服务(NHS)在内的企业和组织产生了破坏性影响。
但是,“光谱”和“熔解”的缺陷可能会让黑客突破所有的软件层,侵犯计算机的核心,即为其基本工作提供动力的处理器芯片。由于所有主要芯片制造商都使用类似的设计,世界上几乎每台计算机都可能受到影响,从苹果iPhone和Android设备到MacBook、大型台式电脑和互联网服务器。
这个过程也是非常基本的,它不会创建任何操作日志,这意味着没有记录某个特定芯片是否被黑客攻击。这使得在早期阶段更难发现网络攻击,以防止它们再次发生,或者调查哪些数据可能被访问或窃取。
幸运的是,科技公司已经开始发布软件补丁,他们说这些补丁将解决问题,而不会对业绩产生重大影响。但一些人声称,任何修复都可能大大降低计算机处理速度。我们将不得不等待看到长期的影响。
这个故事也提出了一个重要的问题,关于负责任地披露这种安全缺陷。报道显示,业界对此问题已经了解了数月,但到目前为止只披露了有限的细节。你可能会争辩说,消费者有权知道这些缺陷,一旦他们被发现,以便他们可以尝试保护他们的数据。当然,问题在于,这最终可能会让黑客意识到这一缺陷,从而助长网络攻击。
在过去,这场争论迫使科技公司利用法律阻止研究人员披露安全问题。例如,伯明翰大学的科学家面临汽车制造商大众汽车公司的法律禁令,阻止他们公布汽车无钥匙进入系统缺陷的细节。
首选的途径是“负责任的披露”。当研究人员发现问题时,他们会告诉少数相关的人,然后他们就可以解决问题。然后,一旦解决方案准备就绪,制造商就可以向公众揭示问题,最大限度地减少黑客入侵的可能性和对公司股价的损害。
在这种情况下,谷歌的一位发现这些缺陷的研究员似乎在2017年6月提醒了英特尔,这两家公司一直在计划宣布修复。但技术网站The Registry随后公布了这一缺陷的细节,迫使这些公司披露了比计划更早知道的情况,并冲击了英特尔的股价。虽然这种披露可以说破坏了负责任的披露,但相反的论点是,它迫使制造商更快地解决问题。