本周,两个灾难性的新处理器漏洞泄漏到了公开的领域,科技界仍在接受这一损害。这些被称为“熔毁”和“幽灵”的漏洞几乎影响了过去20年**的每一款处理器。熔毁是直接的威胁,已经有了概念验证的漏洞,但幽灵更深入,更难修补,在未来几年可能会导致一代又一代更微妙的漏洞。结果,几乎每一家大型科技公司都争先恐后地保护自己和客户。
到目前为止,人们关注的焦点一直是个人设备,今天上午已经有大量补丁可用,但许多专家认为,当利用云服务进行攻击时,最严重的损害可能会出现。”这些漏洞将允许一个租户窥探另一个共同托管租户的数据,”Juniper Networks威胁研究负责人Mounir Hahad说这就是许多组织在处理敏感信息时避开托管服务的原因。”
Meldown和Spectre都处理从计算机的一个部分泄漏到另一个部分的数据,这使得在用户之间共享单个设备时,它们变得特别危险。由于大量命令并行运行,这些攻击找到了一种通过复杂的定时攻击从处理器缓存中提取数据的方法,从而避开了通常的权限。如果执行正确,这可以让像web插件这样的低级进程访问保存在计算机更安全部分的密码或其他敏感数据。
在个人计算机上,这种攻击对于权限提升最为有用:运行低级恶意软件的黑客可以使用幽灵bug拥有整个计算机。但是一旦你站稳了脚跟,已经有很多方法可以接管电脑,现在还不清楚新的处理器攻击会改变多少。
但在云计算中,权限提升要可怕得多,在云计算中,同一台服务器可以同时为数十人工作。亚马逊网络服务(Amazon Web Services)和谷歌云(Google Cloud)等平台允许在线公司在全球数据中心的数千台服务器上传播一个单一程序,就像共享飞机或地铁一样共享硬件。集体硬件不是一个安全问题,因为即使不同的用户在同一台服务器上,他们也在不同的软件实例中,无法从一个实例跳到另一个实例。幽灵可以改变这一点,让攻击者从共享同一芯片的任何人那里窃取数据。如果黑客想要执行这种攻击,他们所要做的就是启动自己的实例并运行程序。
云服务也是任何希望从幽灵公司获利的人的有利可图的目标。许多中型企业在AWS或谷歌云上运行其整个基础设施,通常信任该平台提供敏感且可能获利的信息。比特币交易所、聊天应用甚至**机构都在云服务器上保存密码和其他敏感数据。如果您运行的是现代web服务,那么就别无选择。如果有人在一个云实例上设置了一个新的漏洞,那么很难说什么样的数据会被破坏。
到目前为止,云平台正在认真对待这一威胁,并竭尽全力遏制它。Amazon Web Services、Google Cloud和Microsoft Azure都立即部署了针对熔毁攻击的补丁,而且没有迹象表明可用的漏洞攻击可以针对这些平台中的任何一个。漏洞依然存在的地方,是因为公司正在等待第三方的补丁,比如基于Windows的AmazonEC2实例。主要的平台已经很好地处理了即时响应,没有理由认为我们在接下来的日子里会走向一场云灾难。
(谷歌的一位代表说,该公司的云服务已经受到保护,不受熔毁和幽灵的影响,但他们拒绝详细说明幽灵的保护措施。)。亚马逊没有回应置评请求。)
更令人担忧的是未来几年会发生什么。像幽灵这样根深蒂固的漏洞很难消除。研究人员将在未来几年内发现新的变种和新的开发项目——就像我们在Stagefright中看到的一样——而且并非所有的新技术都会像幽灵和熔毁那样广为人知。很容易想象,六个月后,一个未被发现的幽灵漏洞会落入犯罪分子之手,而一旦落入犯罪分子之手,AWS和谷歌云等平台将成为极具诱惑力的目标。
这尤其令人望而生畏,因为这些平台支撑着几乎所有我们认为的互联网。他们几乎运行你**上的所有程序,播放你的歌曲和节目。很难想象互联网上有一条信息在某个时候不经过这些服务器,甚至只是为了缓存。从物质意义上讲,它们是互联网。虽然他们拥有世界上最好的安全团队,但攻击面几乎是无限的。处理幽灵带来的后果将是该系统所面临的最困难的安全问题之一,而且这个问题不会很快消失。
... 新的个人电脑、智能**和平板电脑将在2018年及以后面世。熔毁和幽灵不需要永远影响你的计算或移动体验。 ...
...只影响英特尔处理器(尽管一些报告显示AMD处理器也可能受到攻击)。内核是计算机操作系统的核心,对系统具有完全的控制。由于它有如此全面的控制,对系统内核的访问是有限的。 ...
...也造成了破坏。一些糟糕代码的实例在很大程度上造成了灾难。以下是10个历史上最严重的编程错误。 ...
... 将文件存储在云中可以大大降低它们遭受灾难的风险。云存储并不能取代真正的备份,但它确实更安全。 ...
...最灵活的存储解决方案。它可以用作基于云的应用程序、灾难恢复、媒体托管的存储,也可以用作文件的普通旧云存储。例如,可以使用S3存储作为Linux设备的备份。 ...
...的冬季风暴冻结了电力和供水系统,造成了一场人道主义灾难。首先,人们被困在严寒中,没有电和热。接着是食物供应和清洁饮用水的短缺。正如以前发生的那样,危机对残疾人和慢**患者的打击尤其严重。 在一个令人痛心的...
...亡,并向大气中释放了致癌辐射——甚至是2011年福岛核灾难的数倍——导致大范围的健康和环境问题,这些问题目前仍在考虑之中。遗址周围的村庄早已废弃,环境受到污染,官员们仍在努力清理遗址——这一过程预计需要数...
...出3.5到7.3英尺。从取代数百万人的角度来看,后果可能是灾难性的。 一些气候模型目前预测,到2040年,全球气温可能比工业化前高2摄氏度(3.6华氏度)。到21世纪末,我们可以看到全球气温上升超过5摄氏度(9华氏...
... 最严重的或最严重的 “这是世界上有史以来最严重的灾难。” “伏地魔是哈利最大的敌人。” 最糟糕的是, 最困难、最不愉快的事情、人或情况。 “当我看到屋外的警车时,我最怕的是。” “这是几年来我见过的最糟糕...
...财产,从而扰乱社会活动的事件。 因此,危险可能导致灾难,完全扰乱受害者的生活条件。然而,危险和灾难都对人类构成潜在威胁,因为它们都会造成生命和财产的损失和损害。灾难在性质上比危险更重要,在极端情况下,...