近日,关于英特尔、AMD和ARM架构芯片中安全漏洞的风险事件被媒体炒的沸沸扬扬,大家一致认为这能够让黑客盗取几乎所有的现代计算设备中的敏感信息,并且很多人都在担心这个风险?
引石老王从事信息安全研究20年,一直致力于人工智能反劫持防御与信息安全反黑工作,从专业的角度告诉大家,大可不必如此紧张,抓住芯片的漏洞,黑客确实可以入侵你的电子设备,但你的密钥也会被攻破了吗?哪有想象的那么容易!
英特尔、AMD和ARM架构的芯片的安全漏洞可能会造成设备内存被入侵的风险,会导致用户数据及密钥的泄露。
报道称,英特尔的芯片以及英特尔、AMD和ARM架构的芯片都存在关键性的安全漏洞,这个漏洞导致黑客可以绕过设备应用程序和内存之间的硬件防护,直接入侵设备的内存,这样黑客可以将内存的数据取走,最关键的可能会导致密钥的泄露。
这个漏洞几乎影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备,最大的风险是那些拥有支付功能的金融设备,比如我们常用的手持支付设备(包括手机),这可能会导致用户的资金风险。目前,很多设备厂商已经开始设备升级,但这样的升级过后,大大降低了设备应用的效率和性能,用户的体验也大打折扣。
在科技高速发展的当下,安全防御的核心是主动防御,而不是被动防护,由于产品设计中缺乏安全主动防御的考虑,在漏洞被爆出的时候,往往会损失系统的效率与用户的体验。
在科技高速发展的当下,系统或产品在被黑客入侵时,要进行主动防御,而不是发现入侵后,系统或产品通过升级来被动应对入侵。英特尔漏洞事件导致设备出现很大的安全风险,所以每个设备厂家会进行相应的升级,虽然可以阻止黑客的入侵,但最终的结果却是降低了设备的使用效率和性能,让用户的体验下降。
由于产品设计之初缺乏对主动防御的考虑,在漏洞被爆出的时候,厂家也只能是通过“打补丁”、“升级”的方式进行被动防护,就像杀毒一样,不停地增加数据内容,加大数据冗余来减少风险,可是如果再有新的病毒出现呢?那就再升级、加大病毒库,结果搞到应用效率极度降低,杀毒一次的时间是越来越长,关键整个系统运行起来也会很慢。
针对英特尔此次的漏洞,如果设备中的密钥是加密存储,那就算被黑客拿走也没关系,黑客根本无法解密这个密钥。但对于未加密、明文存储的密钥,黑客确实可以拿走并使用它。
从安全防御的角度来讲,英特尔此次漏洞导致黑客入侵内存并截取密钥的风险很大。但如果密钥是加密存储的话,黑客即使截取了这个密钥也没有办法破解。所以,大家也不必有那么多担心。而且金融类设备或应用都是通过行业安全检测的,密钥文件都是要求加密的,所以黑客即使拿到也没那么容易可以破解。
目前国内大部分企业对信息安全的认知还并不完善,而信息安全本身又是一件概率防御事件,所以需要设备厂商们对客户要负起责任。在许多未监管的应用中,有的密钥确实是明文存储,比如在某些电子设备中摄像头的密钥,为了方便,它很有可能是将明文密钥存放在内存里的。遇到英特尔此次的漏洞,黑客肯定是可以轻松拿走这个密钥的。
应用与设备厂商如何应对芯片级的安全漏洞造成的风险呢?
对于应用与设备厂家来讲,如何应对芯片级的安全漏洞造成的风险呢?
首先,从产品设计之初,就要考虑产品本身的主动防御策略,抛弃依靠打补丁、升级的事后防御。引石老王之前文章《人工智能若想不被非法控制,加强系统关键指令防护才是关键》中曾介绍过基于指令系统的主动防御,有兴趣的读者可以再看看。
其次,密钥一定要加密存放。如果设备中加入一颗安全芯片专门用于存放密钥,那密钥将会更加安全。目前市场上华为、金立手机已经有型号是加载了安全芯片的,这种手机的安全级别比用软件加密密钥的手机在使用上安全的多。
安全其实就是黑与白的技术竞争,有些漏洞的出现,确实是可以给黑客造成可乘之机,但也并非媒体讲的那么容易得手。
引石老王:从事信息安全工作20年的职业经理人,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注人工智能反劫持技术与信息安全反黑,为您解读当下科技创新与发展。
关注引石老王,评论安全热点,解读安全风险,欢迎您留言探讨,期待与您的互动,共同交流!
閱讀更多 引石老王 的文章
