崩溃，幽灵: 芯片行业大安全漏洞内幕

11月已经很晚了，前英特尔公司工程师托马斯·普雷彻 (Thomas prescher) 与德国德累斯顿的朋友一起享用啤酒和汉堡时，不祥的话题转向了半导体。

几个月前，网络安全研究人员安德斯·福格 (Anders Fogh) 发布了一个博客，提出了一种可能的方法来侵入为世界上大多数计算机供电的芯片，朋友们花了一部分时间试图理解这一点。这个想法在prescher中困扰着，因此当他回到家时，他启动了台式计算机，并着手将该理论付诸实践。在上午2点，这是一个突破: 他将代码串在一起，以强化Fogh的想法，并暗示存在严重错误。普雷舍尔说: “我的直接反应是，'这不可能是真的，这不可能是真的。'

上周，当全球最大的芯片制造商之一英特尔表示，所有现代处理器都可能受到称为Meltdown和Spectre的技术的攻击，从而暴露关键数据 (例如密码和加密密钥) 时，他最担心的事情被证明是正确的。包括微软公司，苹果公司，谷歌和Amazon.com公司在内的最大的技术公司都在急于修复pc，智能手机和为internet供电的服务器，有些公司警告说，他们的解决方案在某些情况下可能会降低性能。

prescher是在全球工作的至少10名研究人员和工程师之一-有时是独立的，有时是在一起-发现了Meltdown和Spectre。对其中几位专家的采访揭示了一个芯片行业，该行业在谈论保护计算机安全的努力时，未能发现其产品的共同特征使机器变得如此脆弱。

<iframe src = "https://www.dailymotion.com/embed/video/ k20YxMsH0TFg5NufgT2" 宽度 = "100%" 高度 = "363"></iframe>

“这让你不寒而栗，” 保罗·科彻 (paul Kocher) 说，他帮助找到了Spectre，并在去年离开芯片公司Rambus Inc. 的全职工作后开始研究安全性和性能之间的权衡。“处理器人员关注的是性能，而不是安全性。”Kocher仍然担任Rambus的顾问。所有处理器制造商都试图通过让芯片猜测来加快芯片处理数据和运行程序的方式。使用推测性执行，微处理器获取预测下一步需要的数据。

Spectre欺骗处理器运行投机操作 (通常不会执行这些操作)，然后使用有关硬件检索数据所需时间的信息来推断该信息的详细信息。Meltdown通过破坏不同应用程序中的信息被所谓的内核 (每台计算机的核心关键软件) 分开保存的方式直接暴露数据。

研究人员至少早在2005年就开始撰写有关中央处理器或cpu核心安全弱点的潜在信息。澳大利亚阿德莱德大学的Yuval Yarom上周因帮助发现Spectre而受到赞誉，他撰写了一些早期工作。 到2013，其他研究论文表明，cpu可以让未经授权的用户看到内核的布局，这是一组指导计算机如何执行关键任务的指令，例如管理文件和安全性以及分配资源。此漏洞被称为KASLR中断，是上周一些启示的基础。

2016年，费利克斯·威廉 (Felix Wilhelm) 和其他人的研究证明了投机执行的早期版本如何使芯片容易受到数据泄漏的影响。根据最近的一条推文，年轻的Google研究人员詹恩·霍恩 (Jann Horn) 首次报道了崩溃和幽灵的弱点，他受到了其中一些工作的启发。

在拉斯维加斯举行的一次重要的网络安全会议Black Hat USA上，格拉茨技术大学的一个团队2016年8月介绍了他们今年早些时候的研究，以防止对英特尔芯片内核内存的攻击。其中一个小组的丹尼尔·格鲁斯 (Daniel Gruss) 与IT安全咨询公司G Data Advanced Analytics的恶意软件研究人员Fogh共享了一个酒店房间。长期以来，福格一直对 “侧通道” 攻击感兴趣，即使用芯片结构来迫使计算机显示数据的方法。

Fogh和Gruss熬夜讨论后来成为Spectre和Meltdown的理论基础。但是，就像一年多后的普雷舍尔一样，格拉茨团队对此表示怀疑，这是一个真正的缺陷。Gruss回忆起告诉Fogh，芯片制造商会在测试过程中发现如此明显的安全漏洞，并且永远不会运送具有此类漏洞的芯片。

福格2016年11月初在伦敦的黑帽欧洲再次向格拉茨研究员迈克尔·施瓦茨 (Michael Schwarz) 提起诉讼。两人讨论了侧通道攻击如何克服 “虚拟化” 计算的安全性，在这种情况下，单个服务器被切成看起来像多台机器的用户。这是越来越流行的云服务的关键部分。它应该是安全的，因为每个虚拟计算会话都被设计成即使在同一服务器上，也可以将不同客户的信息分开。

尽管受到了福格的鼓励，格拉茨的研究人员仍然认为攻击在实践中永远不会奏效。施瓦茨回忆说: “这将是英特尔的一次重大行动，这是不可能的。”所以团队没有花太多时间。在2017年1月中，福格说，他终于与投机执行以及如何将其用于攻击内核建立了联系。他在一次关于1月12日的行业会议上提到了他的发现，3月他向格拉茨团队提出了这个想法。

到今年年中，格拉茨的研究人员开发了一个名为KAISER的软件安全补丁，旨在修复KASLR中断。它是为世界上最流行的开源操作系统Linux制造的。Linux控制服务器-使其对企业计算很重要-并且还支持大多数移动设备使用的Android操作系统。作为开源，所有建议的Linux更新都必须公开共享，KAISER受到了开发者社区的好评。当时研究人员还不知道，但是他们的补丁将有助于防止熔毁攻击。

Fogh在7月28日上发表了他的博客，详细介绍了使用熔毁式攻击从运行真实软件的真实计算机中窃取信息的努力。他失败了，再次引发了其他研究人员的怀疑，即这些漏洞真的可以用来窃取芯片中的数据。福格还提到了将成为幽灵的未完成的工作，称其为 “潘多拉魔盒”。也没有什么反应。

不过，随着夏天的到来，格拉茨队的态度迅速改变。他们注意到Google，Amazon和Microsoft的研究人员在KAISER补丁上的编程活动激增。这些巨头正在推销更新，并试图说服Linux社区接受它们-有时不会公开其原因。

“这让它有点可疑，” 施瓦茨说。提交特定Linux更新的开发人员通常会说他们为什么要提出更改，“以及一些他们没有解释的事情。我们想知道为什么这些人投入了这么多时间，并且在努力工作，不惜一切代价将其集成到Linux中。“

对于Schwarz和他的研究人员，只有一种解释: 一种潜在的更大的攻击方法，可能会破坏这些漏洞，科技巨头在地球上的每个恶意黑客发现之前都在争先恐后地秘密修复它。

格拉茨团队和弗格 (Fogh) 不为人所知，弗格 (Alphabet inc.) 的Google名为詹恩·霍恩 (Jann Horn) 的22岁的小将在4月独立发现了幽灵和崩溃。他是谷歌零号项目 (project Zero) 的一部分，该项目是一个由破解安全研究人员组成的团队，负责寻找 “零日” 安全漏洞 -- 这些漏洞在被发现的第一天就引发攻击。

6月1日，霍恩告诉英特尔和其他芯片公司Advanced Micro Devices Inc. 和ARM Holdings他发现了什么。英特尔不久后通知了微软。那时，大型科技公司开始私下进行修复，包括格拉茨的KAISER补丁。

到11月，微软，亚马逊，谷歌，ARM和Oracle Corp. 向社区提交了许多自己的Linux更新，以至于更多的网络安全研究人员开始意识到正在发生一件大事-奇怪的事情。

这些科技巨头倡导的补丁测试显示出对关键计算机系统性能的严重影响。在一个案例中，亚马逊发现补丁程序将运行某些操作所需的时间增加了约400%，但云领导者仍在游说每个Linux用户都应该采用此修复程序。他说，这对他们最初的KAISER补丁毫无意义，这只会影响一小部分用户。

格鲁斯 (Gruss) 和其他研究人员变得更加怀疑，这些公司对其提案的理由并不完全诚实。英特尔表示，在采取全面补救措施之前，不披露漏洞是标准做法。这家芯片制造商和其他科技公司也表示，他们的测试显示出对性能的影响很小或没有影响，尽管某些异常的工作负载可能会减慢30%。

在11月后期，IT公司Cyberus Technology的另一组研究人员确信，英特尔一直在向其主要客户 (例如亚马逊和微软) 讲述这一问题，同时将整个危机的范围从Linux开发小组中隐藏起来。

前英特尔工程师prescher是Cyberus团队的成员。在德累斯顿发现深夜之后，他告诉Cyberus首席技术官Werner Haas他的发现。在他们下一次面对面的会面之前，哈斯确保穿上斯泰森，这样他就可以对普雷斯彻说: “我向你脱帽致敬。”

在12月3日，一个安静的周日下午，格拉茨的研究人员进行了类似的测试，证明了熔毁攻击是有效的。“我们说，'哦，天哪，那是不可能的。我们一定有个错误。在处理器中不应该有这种错误，“施瓦茨回忆道。 该团队第二天告诉英特尔-大约在Cyberus通知芯片巨头的同时。他们一个多星期没有听到任何声音。“我们很惊讶 -- 没有回应，” 施瓦茨说。

在12月13日上，英特尔让Cyberus和Graz团队知道他们发现的问题已经被Horn和其他人报告了。芯片制造商最初不愿让他们做出贡献。但在受到压力后，英特尔让这两个小组与其他相关研究人员保持联系。他们都开始协调更广泛的响应，包括同时发布更新的补丁。

一旦进入大型科技公司的秘密圈子，格拉茨的研究人员预计，在告诉世界之前，他们将有典型的90天时间提出全面的解决方案。施瓦茨说: “他们说我们知道这一点，但会在1月开始时发表。”他指出，自Google发掘以来已经大约180天了，将此类问题保密90天以上是不寻常的。

由10名研究人员组成的小组每两天通过Skype进行合并并保持联系。“圣诞节有很多工作要做。没有一天我们不工作。假期被取消了，”施瓦茨说。

他们的公共安全更新很快引起了英国技术新闻网站Register的注意，该网站在1月2日上写了一篇报道，称英特尔产品处于危险之中。通常，缺陷及其修复是同时公布的，因此黑客不会迅速滥用漏洞。这次，细节很早就出现了，补丁还没有准备好。这导致了一天一夜的疯狂活动，以安排所有公司的一致意见。

英特尔在1月3日的下午12点太平洋时间发表了该声明，并在两个小时后举行了电话会议，以解释其所说的可能影响整个行业的问题。不过，团结是海市rage楼。竞争对手AMD在英特尔电话会议开始前不久发表了自己的声明，称其产品几乎没有被利用的风险。一位知情人士说，经过六个多月的协调工作，英特尔在最后几个小时陷入了封锁，没有与以前的合作伙伴协商以加快公开声明的速度。

在宣布这一消息后，英特尔不得不跟进平静的声明，突显了恐慌情绪。第二天，该公司表示在部署更新方面取得了 “重大进展”，并补充说，到本周末，过去五年生产的90% 处理器将得到保证。

两位英特尔高管在电话会议上受到质疑的史蒂夫·史密斯 (Steve Smith) 和唐纳德·帕克 (Donald parker) 辩称，事情进展得很顺利，因为英特尔正在处理任何有关其技术威胁的报告。史密斯说，这一次的不同之处在于，他们的作品最终成为了 “聚光灯下的焦点”。他们宁愿秘密完成这项工作。

实际上，英特尔的沉默使一些外部研究人员感到愤怒。Cyberus的Haas说，该公司在需要了解的基础上运营，他在英特尔工作了大约十年。“我不是那个的超级粉丝。”

英特尔的帕克说: “我们的首要任务是全面缓解。”“我们已经提供了解决方案。”

网络安全社区中的某些人不太确定。帮助发现Spectre的Kocher认为这只是该行业困境的开始。现在，利用芯片的新方法已经暴露出来，将会有更多的变化和更多的缺陷，需要更多的补丁和缓解。“这就像剥开蠕虫罐头的盖子一样，” 他说。