美大学发现计算机新漏洞 信息安全关键在能力提升

日前，美国华盛顿州立大学的一个研究小组在2018年IEEE/ACM 国际网络研讨会上声明发现了一个可能导致电子设备失效的重大且未知的漏洞。研究小组发现，如果有人通过故意增加恶意负载，可能会破坏芯片上的通信系统，并大大缩短整个计算机芯片的使用寿命。

此前，研究人员已经发现Intel、AMD、ARM的内核存在"幽灵"、"熔断"、ME等一系列漏洞，本次华盛顿大学的研究小组发现的漏洞则存在于精密通信主干网中具有高性能的计算机芯片中。

高性能计算机往往使用大量处理器，应对大数据应用程序和云计算，其中就需要通信系统协调处理器和内存的工作。研究人员正在努力增加处理器内核的数量，并将高性能的功能整合到手持设备中。

研究人员设计了三种"构造巧妙"的恶意攻击来测试通信系统，这种攻击增加了电迁移引起的应力和串扰噪声。研究人员发现，通信系统中数量有限的重要垂直链接特别容易受影响而失效。这些链接的作用是将堆栈中的处理器连接起来，从而允许它们进行对话。

根据该研究项目负责人潘德介绍：

通讯系统是把所有计算机系统粘合在一起的胶水，当它发生故障时，整个系统就会崩溃......我们确定了一个代理如何能够针对通信系统启动芯片中的故障做手脚。研究..过去尚不清楚通信系统会起到的作用和威胁。

业内人士介绍，华盛顿州立大学研究小组针对的是cpu核和最后一层cache或者dram通讯进行攻击，利用工艺的物理特性，例如应力硅，增加负载，使cpu自动提高频率，加快晶体管的老化。虽然理论上讲得通，但实践中问题并不突出，因为cpu的寿命比我们理解的要长。10年的cpu一样用得好好的。

不过，虽然本次华盛顿州立大学发现的漏洞谈不上致命，但此前发现的诸多漏洞却是非常现实的威胁。

一直以来，国内在保障信息安全方面比较迷信物理隔离，仿佛只要物理隔离就能解决任何安全漏洞。然而，物理隔绝是无法完全杜绝被攻击的可能性的。有敌意的设计者或者安全人员，，能够通过源码和设计查出一些系统漏洞，在某些特殊情况下触发。比如环境温度、光照、超声波等，让美国卖给中国做雷达的芯片，在中国本土可能没问题，到了南半球，然后在晚上的时候，很有可能误差变大。这些后门会在某些特殊情况下触发，只要设置的条件足够多，足够隐蔽，是不可能通过大量测试发现的。

对于越来越多的漏洞被发现，对付这些漏洞的关键还是提升自己的能力，提升正向研发的能力，提升安全检测的能力，如果始终从洋人那里买源代码，满足于"跟在洋人身后吃土"式的商业成功，那么，一旦发生紧急情况，后果不堪设想。