Altı dev, 222 gün boyunca süper çip güvenlik açıklarının sırlarını gizlemek için bir ittifak kurdu, neden dünyaya söylemeye cesaret etmeyesiniz?
Onlarca yıldır gizli olan bir çip hatası keşfedildi ve gezegendeki modern elektronik cihazların çoğunu etkiledi. Şimdi, teknoloji kodamanları, "yüzyılın bu büyük boşluğunu" ortadan kaldırmak için sadece bir ittifak kurmaları değil, aynı zamanda uzun süreli bir savaşa girmeleri gerektiğini anladılar.
Metin | AI Finans ve Ekonomi Yan Dongxue
Editör | Zhao Yanqiu
Yarım yıldan fazla bir süredir Intel, Microsoft, Google, Apple, Amazon ve ARM gibi teknoloji devleri birlikte bir sır sakladı: Modern yongalarda uzun süredir devam eden iki güvenlik açığı var. Hangi üreticinin çipi olursa olsun, hangi marka cep telefonu, tablet, kişisel bilgisayar ve sunucu olursa olsun, neredeyse hiç kimse bu iki boşluk tehdidinden kaçacak kadar şanslı değildir.
Bu, Iron Man, Captain America ve diğerlerinin durumu gibidir ... Ani ve güçlü bir tehdit tüm dünyaya yayıldığında, hiçbir süper kahraman ona tek başına karşı koyamaz. Sonuç olarak, "Yenilmezler" filminin hikayesi 2017 ve 2018'in başında teknoloji dünyasında sahneleniyor.
"Sır" atıldı
1 Haziran 2017'de, Google'ın en iyi beyaz şapkalı bilgisayar korsanlarından oluşan Project Zero ekibi aniden Intel, AMD ve ARM şirketlerine haber verdi ve güvenlik açıklarını keşfetti: Meltdown ve Spectre. Bu iki yonga düzeyinde güvenlik açıkları, bilgisayar korsanlarının hassas bilgileri okumak ve temel verileri çalmak için sistem belleğine erişmesine izin verebilir. Etkisinin kapsamı şudur: Dünya üzerindeki cihazların büyük çoğunluğu modern çipler kullanıyor.
Güvenlik sorunlarının sonsuz bir şekilde ortaya çıkmasına rağmen, bu kadar geniş etki yelpazesine sahip güvenlik açıkları son derece nadirdir. Bu kritik anda Intel, AMD ve ARM gibi yonga üreticileri, Google ve Microsoft gibi işletim sistemi üreticileri ve Apple ve Amazon gibi donanım yazılımı üreticileri sessizce ve hızlı bir şekilde "en güçlü" ittifakı oluşturdular ve büyük boşlukların yakalanmasını sağlamak için gizlilik anlaşmaları imzaladılar Halka açmadan önce bir kurtarma bulun.
Daha önce çatışmalar ne kadar şiddetli olursa olsun ve bu benzeri görülmemiş kırılganlık krizi karşısında birbirlerinin çıkarlarının karışmasına bakılmaksızın, teknoloji devleri benzeri görülmemiş bir birlik ortamı yarattı.
Bu ittifak için son tarih: 9 Ocak 2018.
Satıcılar ile Google'ın Project Zero ekibi arasında varılan anlaşmaya göre, sorun 9 Ocak'a kadar çözülmeden kalırsa Google, bilgisayar korsanları da dahil olmak üzere dünya gruplarına yönelik güvenlik açığının bundan yararlanma fırsatına sahip olacağını duyuracak.
Ancak her şey yolunda giderse, bu kodamanlar bu süper boşluğu 222 gün içinde ortaklaşa çözecekler. Bu şekilde, son tarih 9 Ocak'ta geldiğinde, bilim ve teknoloji endüstrisi hala gelişiyor, şarkı söylemek ve dans etmek yükselecek, bu heyecan yabancılar tarafından bilinmeyecek ve hayaletler ve hayaletler bilinçsizce içinden geçecek.
2018 CES Tüketici Elektroniği Fuarı'nda 5G kablosuz bant genişliği teknolojisi Intel standında sergilenecek. @ Görsel Çin
Bahsedilen şirketlere ek olarak, bulut satıcıları, büyük veri merkezleri nedeniyle bu krizin en büyük "kurbanları". 9 Ocak'taki anlaşma nedeniyle hafta içi barut dolu bulut satıcıları da şaşırtıcı bir şekilde örtük bir şekilde müşterilerini resmi web sitesinde büyük bir bakım yaptıracakları konusunda bilgilendiriyorlar ve tarih oldukça yoğun - Tencent Cloud, Microsoft Azure 1'de olacak 10 Ocak'ta yükseltilecek ve bakımı yapılacak ve Alibaba Cloud ve Baidu Cloud onarım ve yükseltmeyi 12 Ocak'ta tamamlayacak.
Bilgisiz halk için, bu tür bir "rutin bakım" sadece bir tesadüftür ve çok fazla insan bu "tesadüfü" fark etmeyecektir. Ancak bulut satıcıları bunu iyi biliyor.
Küçük bir sır dizisini korumak kolay olabilir, ancak böylesine büyük ölçekli bir kriz nihayet eski Çinlilere cevap verir: "Dünyada geçirimsiz duvar yoktur."
Spoiler belirdi. 3 Ocak Pekin saatinde teknoloji medyası The Register, bu iki çip zafiyetini ortaya çıkardı ve güvenlik açıkları giderilse bile cihazın performansının düşeceğini belirtti.
Bir kargaşa çıktı.
Belki de kesintiye uğradığı için, hata bulucu ve Google Project Zero ekibi ayrıntıları halka açıkladı. 4 Ocak Pekin saatiyle sabah 6: 27'de Project Zero ekibi resmi web sitesinde bir blog yayınladı ve güvenlik açığının ayrıntılarını duyurdu.
Microsoft Bulut Pazarlama Direktörü Jin Yawei, AI Finans ve Ekonomi'ye verdiği demeçte, Google'ın bu bloğunun belirli çiplere nasıl saldırılacağını açıkladığını ve ayrıntı düzeyinin bazı üst düzey bilgisayar korsanlarının saldırıyı yeniden oluşturması için yeterli olduğunu söyledi. Microsoft Azure bulutundan sorumlu kişi, başlangıçta 10 Ocak için planlanan onarım ve bakımın geliştirilmesi gerektiğini fark etti.
4 Ocak Pekin saatiyle saat 8 civarında, Microsoft Azure tüm dünyadaki kullanıcılara bir acil durum bildirimi gönderdi: o gün sabah saat 10'da yeniden başlatma gerçekleştirilecek. Microsoft Azure'un Çin'deki operasyonları, iletişim ve koordinasyon gerektiren yerel girişim 21Vianet'in sorumluluğunda olsa bile, ABD genel merkezinden yalnızca bir buçuk saat sonra bir onarım ve yükseltme başlatıldı.
Şu anda, Google'ın gizli blog gönderisinin yayınlanmasının üzerinden birkaç saat geçmiş olmasına rağmen, 10 Ocak'taki Azure'un orijinal yükseltme zamanından tam 6 gün önceydi. Bu tür bir acil ileri işlem, sadece teknik seviyeyi test etmekle kalmaz, aynı zamanda büyük ticari riskler gerektirir - sözleşmeye göre Azure, kullanıcılarına 5 iş günü önceden bakımı bildireceğini vaat ediyor. Bu sefer, bildirimden yükseltmenin başlangıcına kadar yalnızca bir veya iki saat vardı.
AI Finance and Economics, bu acil kararın Microsoft'un müşterileri tazmin etmesine izin verdiğini öğrendi.
Microsoftun endişelerinin ve risklerinin haklı olduğu ortaya çıktı - Google blogunun saldırının ayrıntılarını açıklamasından 8 saatten kısa bir süre sonra, bilgisayar korsanları saldırıyı başarıyla yeniden oluşturdu ve İnternette yayınladı. O gün saldırıyı tekrarlayan birkaç bağımsız kuruluş vardı.
Intel "potu geri ver"
Microsoft Azure'un heyecan verici ancak bilinmeyen eylemiyle karşılaştırıldığında Intel, doğrudan büyük güvenlik açığı olayının merkezine düştü ve kamuoyunun eleştirisinin hedefi haline geldi. Sırları açığa çıkaran söz konusu teknoloji medyası, makalenin başlığında doğrudan "Intel" kelimesine işaret etti.
Kamuoyu daha sonra fermente edildi ve tüm öncüler, sunucu ve kişisel bilgisayar çipi pazarına hakim olan bu şirkete yönlendirildi. "Intel Chip Door" ve "Intel Chip Vulnerability" gibi bilgiler hızla yayıldı. İki ya da üç gün sonra kademeli olarak diğer sesler ortaya çıktı: Bu güvenlik ihlali bir çip şirketine özgü değil, neredeyse tüm modern çipleri kapsıyor. Tüm modern elektronik tasarım endüstrisini süpürmek gerçek bir boşluk olayıdır.
Ancak her halükarda, bu en büyük çip şirketi her zaman bir kalkan haline gelecektir.Zafiyet açıklandıktan sonra hisse senedi fiyatı düşmeye devam etti. Hatta bazı medya organları, Intel CEO'su Ke Zaiqi'nin geçen yılın Kasım ayının sonunda 39 milyon dolar değerinde Intel hissesi sattığını ve yalnızca 250.000 hisseyi elinde tuttuğunu fark etti - bu, Intel'in yöneticilerden alması gereken minimum hisse sayısı. Bu, teknoloji çemberinde önceden bilinen bir sır olduğu için, bazı insanlar Ke Zaiqi'nin satışını güvenlik açığı olayına bağladı ve "CEO'nun planlanandan önce kaçtığını" belirtti.
Grafik AI Finans ve Ekonomi @
Intel haricinde, 3 Ocak'ta teknoloji medyası tarafından kovulmaya başlanan önümüzdeki birkaç gün, teknoloji endüstrisinde çılgın bir hafta oldu. Büyük şirketlerin tepkileri bir dizi "canlı varlık görüntüsü" oluşturmaya yetti:
Güvenlik açığı ayrıntılarının kamuya açıklandığı 4 Ocak'ta Intel, etkilenen çip ürünlerinin listesini, en son güvenlik araştırma sonuçlarını ve ürün açıklamalarını acilen duyurdu. Mobil yonga şirketi ARM de o gün hangi yongaların etkilendiğini belirten ayrıntılı bir liste verdi.
5 Ocak'ta AMD ve Qualcomm, arka arkaya resmi açıklamalarda bulunarak, bazı ürünlerin güvenlik açıkları olduğunu ve bunları onardığını kabul ettiler, ancak etkilenen çipleri belirtmediler.
9 Ocak'ta IBM, bu güvenlik açığının bazı yongaları üzerindeki potansiyel etkisini açıkladı.
Yapay zeka nedeniyle hızla yükselen yonga ünlü NVIDIA, 10 Ocak'ta bazı yongalarının güvenlik açıklarından etkilendiğini belirten bir açıklama yaptı ve yamalar yayınladı.
Apple, Microsoft ve Amazon gibi diğer teknoloji devleri, ilk kez, ürünün geniş bir alanının etkilendiğini, ancak ilgili onarımların tamamlandığını veya devam ettiğini itiraf etti.
Grafik AI Finans ve Ekonomi @
"Tüm Varlıkların Hayatı" nın bu cildinde ayrıntıları ilk alan Intel samimidir ve her gün ilgili incelemeler yayınlar ve müşteriler tarafından bildirilen sorunların detaylarına çözümler sunar, ancak halk bunu satın almaz. İnsanların hala şüpheleri var. İki nokta: Teknoloji devleri neden uzun süredir gizleniyor? Hata düzeltmeleri modern cihazların performansını etkileyecek mi?
İkinci sorunla ilgili olarak Apple, Amazon, Google ve Microsoft, güvenlik güncellemesinin performans üzerinde çok az etkisi olduğunu veya hiç etkisi olmadığını değerlendirdiler. Intel yetkilileri, farklı çipler için farklı derecelerde etki değerlendirme sonuçları verdiler. Microsoft Cloud, Alibaba Cloud ve Kingsoft Cloud'dan güvenlik uzmanları da AI Finance and Economics'e performans etkisinin gerçekleştirilen belirli işe bağlı olduğunu açıkladı. Çoğu bireysel kullanıcı için, bu güvenlik açığını gidermenin performansa etkisi ihmal edilebilir düzeydedir.
Geriye kalan tek soru şudur: neden onu halktan bu kadar uzun süre saklayalım?
Alibaba Cloud'dan bir ilgili kişi, AI Finance and Economics'e güvenlik ihlalinin benzeri görülmemiş bir teknolojik krizi tetiklediğini söyledi. Apple Capital ağ güvenlik fonu kurucusu Hu Hongtao, AI Finance and Economics'e bunun kapsam açısından bir "süper boşluk" olduğunu söyledi. Bu, çip üreticileri, işletim sistemi hizmet sağlayıcıları, bilgisayar cep telefonu ve diğer donanım üreticileri, yazılım üreticileri, bulut üreticileri vb. Dahil olmak üzere tüm bilgisayar endüstrisi zincirindeki tüm tarafların, birbirini tamamlamak ve gizli tehlikeleri tamamen ortadan kaldırmak için ilgili onarımları yapması gerektiği anlamına gelir. . Bu benzeri görülmemiş bağlantı onarımı, güvenlik açığını çözmek için eskisinden daha uzun süreye ihtiyaç duyduğunu belirler.
Önceden atılmasaydı, durumu bilen büyük teknoloji şirketleri, tüm taraflar başlangıçta planlandığı gibi 9 Ocak'ta tam olarak hazırlandıktan sonra bir açıklama yapmayı planlamışlardı.
Birçok bulut satıcısı, AI Finance and Economics'e bunu uzun zaman önce bildiklerini açıkladı, ancak işbirliğine dayalı gizlilik hususları nedeniyle bunu ifşa etmediler ve yalnızca özel olarak onardılar. Ancak 9 Ocak'tan sonra, her şirket "günlük bakım" adı altında onarım ve yükseltmeyi tamamlayacak.
Ek olarak, çip satıcıları, bulut satıcıları ve ağ güvenliği uzmanları da dahil olmak üzere birçok taraf, AI Finance and Economics'e güvenlik açığının belirli bir eşiği olduğunu ve geniş bir kapsama alanına sahip olmasına rağmen, yararlanılması kolay olmadığını söyledi. Şimdiye kadar, tüm ağ için resmi bir saldırı raporu alınmadı.
Yukarıdaki nedenlere dayanarak, "süper boşluk" bu kez 1 Haziran 2017'den medyaya maruz kalmaya gitti ve Temmuz'dan daha uzun bir süre için gizlendi.
Bu son değil
Sırf medyaya maruz kaldığı için, güvenlik açığının ayrıntıları anlaşma tarihinden önce duyuruldu. Google yanılıyor mu? Bu büyük güvenlik açığı olayında Google nasıl bir rol oynadı?
Güvenlik çemberi "Da Niu" ve Tencent'in Xuanwu Laboratuvarı başkanı Yu Yang'a (sektörde TK olarak bilinir) göre, güvenlik açığı ifşa mekanizması yeni bir şey değil ve tartışmalar on ya da yirmi yıl kadar erken bir zamanda başladı. Günümüzde tüm dünya, güvenlik açığı ifşa mekanizması üzerinde "açıklanacak" bir fikir birliğine sahiptir.
Özellikle Amerika Birleşik Devletleri'nde insanlar, savunmasızlığın ifşa edilmesinin ifade özgürlüğünün bir parçası olduğuna ve anayasa değişiklikleriyle korunduğuna inanıyor.
Üreticinin bakış açısından, ürünün sadece çehresini kaybetmekle kalmayıp aynı zamanda onarım maliyeti de olan boşluklara sahip olduğu belirtilmiştir. Bu nedenle, bazı üreticiler bilgisayar korsanları tarafından kullanılmaması ve kullanıcıların çıkarlarını etkilememesi için "sorumlu bir şekilde açıklama" yapmayı önermektedir. Ancak TK'nın bakış açısından bu "onurlu" bir ifadedir.Kamu baskısı yoksa üreticiler kullanıcı güvenlik risklerini boşa çıkarabilir ve bunları maliyet kaygılarından kurtarmak yerine boşlukları öğrenebilirler.
Çok taraflı uzlaşmanın sonucu, dahili bildirim ile boşlukların ifşası arasında bir tampon dönem olmasıdır. ABD CERT (Bilgisayar Güvenliği Acil Durum Müdahale Ekibi) organizasyonunun genellikle 45 günlük bir tampon süresi vardır. Süresi dolduktan sonra, üreticinin tamir edip etmediğine bakılmaksızın açıklanacaktır.
Google için güvenlik açığının ifşa edilmesi için tampon süresi 90 gündür. Bu rakam, "yıllarca süren ciddi değerlendirme ve sektör tartışmalarının" sonucudur. Google güvenlik araştırmacıları yaklaşık olarak aynı açıklama ilkelerini 15 yıldır kullandılar ... Nihai sonuç, güvenlik açıklarının çoğunun 90 günlük ifşa tarihinden önce olduğunu gösteriyor. Üreticinin sorumlu olma çabalarının bir kanıtı olan tamir edildi.
Ancak Google, güvenlik tehditleri değiştiğinde ifşa ilkesinin de buna göre değiştirilmesi gerektiğini kabul etmek zorundadır.Bu, her zaman sadece 90 günlük bir ara bellek süresi veren Google'ın neden bu çip zafiyeti için uzun bir sorun çıkardığını açıklamaktadır. 222 günlük ifşa etmeme sözleşmesi.
Bu açıkça "süper boşluk" için özel bir durum. Bu açıdan Google elinden gelenin en iyisini yaptı. En çok etkilenen Intel, CEO'su Ke Zaiqi bile en son açık mektubunda, tüm sektörün bu sorunları koordine etmesi ve çözmesi için koşullar yaratan "sorumlu ifşa" için Google ekibine "özel teşekkür" etti.
Ancak Intel, AMD, ARM ve diğer yonga üreticileri gibi yonga üreticileri bu güvenlik açığını gidermek için yeterince şey yapmadılar. Medya, anlaşmanın sona erme tarihinden bir hafta önce konuyu başlattı ve bu durum, Google'ın daha sonra güvenlik açığının ayrıntılarını ifşa etmesine ve kamuoyuna - özellikle bilgisayar korsanlarının gözü önünde sunmasına neden olarak, çeşitli üreticilerin onarım çalışmalarına daha fazla zorluk ve zaman kazandırdı. İnternetteki benzeri görülmemiş aciliyet duygusu da üreticinin krizi hafifletmek için krizin başında gizlice çözme planını bozdu.
Kezaiqi'nin en son açık mektubunda, Intel'in onarım sürecinde "şeffaf ve zamanında iletişimi" sürdüreceğine söz verdi ve sektördeki ortaklara bu onarımı desteklemeye devam etmeleri çağrısında bulundu, "Herkes çok önemli bir rol oynuyor."
Bilimsel ve teknolojik topluluğun ortak çabalarıyla Intel, son beş yılda piyasaya sürülen çoğu yonga ürünü için yazılım ve ürün yazılımı güncellemeleri yayınladığını duyurdu. 15 Ocak'a kadar, Intelin güncellemesinin son beş yıl içinde piyasaya sürülen yonga ürünlerinin% 90'ından fazlasını kapsaması bekleniyor. Diğer ürünler için güncellemeler bu yılın Ocak ayının sonundan önce yayınlanacak. Onarımın neden olduğu performans kaybına gelince, kademeli olarak minimuma indirilecektir.
Bu güvenlik açığı bir çip tasarım hatasından kaynaklandığı için bir donanım sorunudur. Birçok bulut satıcısı, AI Finance and Economics'e bu savaştan sonra veri merkezi donanımını değiştirme olasılığının göz ardı edilmediğini söyledi. Bununla birlikte, sıradan kullanıcılara kıyasla, bulut satıcıları tarafından donanım değiştirme sıklığının birkaç kat daha yüksek olacağını da vurguladılar.
Ancak, bu güvenlik açığının nasıl düzeltileceğine gelince, bilgisayar biliminin "Kutsal Ülkesi" olan Carnegie Mellon Üniversitesi'nin CERT (Bilgisayar Güvenliği Acil Durum Müdahale Ekibi), "CPU'yu değiştir" den "güncel tut" önerisini değiştirdi.
Bu boşluk, yonga tasarım konseptindeki bir kusurdan kaynaklandı, 1960'larda IBM tarafından icat edilen OOO (Out of Order execution) teknolojisinden kaynaklandı ve daha sonra Intel, ARM ve AMD gibi modern işlemci üreticileri tarafından yaygın olarak benimsendi. Başka bir deyişle, bu onlarca yıldır var olan bir boşluktur ve neredeyse tüm modern çip tasarımlarının kaynağında ortak bir sorundur. Nasıl başa çıkılır bununla? Tüm çipler değiştirilsin mi? Veya güvenlik açığını gidermek mi? Tıpkı modern insanların yüksek binalar inşa etmek için doğal olarak betonarme kullandıkları gibi, bir gün aniden onlara söylenir: hayır. Şehir evler inşa etmek için sadece ahşap ve taş mı kullanacak, yoksa betonarme kusurları gidermeye mi çalışacak? Cevap kendisi için konuşuyor.
Gönderi itibariyle AWS, Microsoft Azure, Alibaba Cloud, Tencent Cloud, Baidu Cloud vb. 4 Ocak, 10 Ocak ve 12 Ocak tarihlerinde bu güvenlik açığı için düzeltmeyi ve güncellemeyi art arda tamamladı.
Ancak insanlar bunun fırtınanın yatıştığı anlamına gelmediğini anlamalı. Aslında her şey daha yeni başladı.
Security Niu güvenlik bilgileri web sitesinin baş editörü Li Shaopeng, zamanın gelişmesiyle benzer yongaların temel tasarımında bazı yeni sorunların ortaya çıkacağına ve gelecekte yeni yonga boşluklarının olabileceğine inanıyor.
Kingsoft bulut güvenliği uzmanı Zhang Na, AI Finance and Economics'e bulut satıcıları için boşlukların kaçınılmaz olduğunu ancak dereceye öncelik verileceğini söyledi. Bulut satıcıları için, zamanında yamalamaya ek olarak, bu güvenlik açığının daha fazla etkisi, onlara temeldeki araştırmaya yatırımı artırmaya devam etmelerini hatırlatmaktır.
Apple Capital'in kurucusu Liu Hongtao, bu iddiaları kabul etti ve ona göre, "İnsanlar bir şeyler yaptığı sürece, boşluklar vardır." Örneğin Tesla, Çin'in beyaz şapkaları tarafından keşfedilen donanım düzeyinde güvenlik açıklarına da sahip, ancak sonuçta sadece üreticileri bilgilendirdi ve onları halka açıklamadı. Ne de olsa insan hayatı tehlikede.
CES Tüketici Elektroniği Fuarı'ndaki Intel CEO'su Ke Zaiqi, güvenlik açıkları aracılığıyla kullanıcı verilerini elde etme davranışını bulamadığını söyledi @
Gizli ittifak planında başarısız olan çeşitli teknoloji şirketleri, artık rekabet nedeniyle her ikisinin de refah içinde olmasının zor olduğunu fark edebilir; ancak bulutun popülerleşmesi çağında, yapay zeka teknolojisinin daha da yaygınlaşmasıyla birlikte, bir güvenlik sorunu ortaya çıktığında bu çok zordur. Her şeyi kaybedebilir.
Bu yeni durumda, tüm ekolojik zincirin şeffaf ve açık birliği, bu sorunu çözmenin en iyi yoludur.
[Daha fazla rapor için lütfen AI Finans ve Ekonomi WeChat genel hesabını (ID: aicjnews) ve resmi web sitesi www.aicaijing.com.cn'yi ziyaret edin]
