從不受影響到不存在漏洞，談何為CPU信息安全的主動防禦

作者：紫檀芯說

本文轉載自紫檀芯說，已經獲得原作者授權，歡迎關注頭條號「紫檀芯說」，看更多精彩文章。

2018年1月3日，Google公司的Project Zero等安全團隊披露出的英特爾等處理器晶元存在非常嚴重的安全漏洞，發布了A級漏洞風險通告，並提醒該漏洞演化為針對雲和信息基礎設施的A級網路安全災難。1月4日，國家信息安全漏洞共享平台CNVD發布Meltdown漏洞（CNVD-2018-00303，對應CVE-2017-5754）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304，對應CVE-2017-5715和CVE-2017-5753）安全公告，CNVD對該漏洞的綜合評級為「高危」。

處理器「漏洞門」事件的持續發酵，由此引發全球高度關注處理器系統的安全議題。當國外CPU巨頭包括Intel、AMD、ARM等紛紛表示中招、微軟等操作系統廠商緊急向用戶推送修補補丁之際，國內CPU廠商卻一致表示不受影響或者不存在漏洞。真相是什麼呢？小編在這裡做一個簡單的分析。

Meltdown（熔斷）與Spectre（幽靈）是存在於系統內核甚至是CPU內部架構缺陷所導致的漏洞，幾乎影響了所有現代處理器公司。目前中國廠商「不受影響「或者」不存在漏洞」的可能性只有幾種，一是，不夠先進，根本就沒有使用本次披露的漏洞所涉及的先進的分支預測技術。二是，和Intel、AMD、ARM一樣採取了事後打補丁的補救措施。目前國內授權國外的CPU架構，如X86、ARM、MIPS、PowerPC等架構中都採用了BTB（分支目標緩衝器 Branch Target Buffer）和BPB（分支預測緩衝區，Branch Prediction Buff）技術，並且其指令、特殊寄存器等都對技術的使用有兼容性要求，這將導致合資或許可的處理器無法避免Spectre的缺陷問題。所以基於許可或者合資的所謂國產處理器晶元廠商都屬於這種情況，即所謂的「不受影響」，但根本談不上「不存在漏洞」。三是，基於先進的自主指令集、工具鏈和微架構設計，先天或者可以主動規避以上漏洞。顯然，中國真正有這樣能力的廠商屈指可數。下面就是對本次漏洞的一些粗淺的分析。

在現代CPU架構中，為了提高執行速度採取了很多優化手段，推測執行（Speculative Execution）是主要的優化技術之一，推測執行技術是一個大類技術的統稱，包括分支預測、預讀取、推測性內存訪問、緩存缺失的重疊/亂序處理（MSHR）等等，通常應用的推測執行技術都能達到80%-90%以上的推測準確率。

Meltdown漏洞利用CPU的「亂序執行（Out-of-Order）」技術缺陷。Spectre漏洞則利用CPU的「分支預測」（Branch Prediction）技術來進行攻擊，突破了不同應用程序進程間的隔離，誘導處理器推測執行不該有的程序路徑，達到破壞不同應用程序之間隔離機制的目的。與網路攻擊維度(Network Vector)不同的是，本地攻擊(Local Vector)需要攻擊者獲得本地執行許可權，才能夠對漏洞進行利用，且不像網路攻擊維度那樣可能存在明顯的網路通信特徵，因此很難通過網路安全設備進行防護。這次發現的底層硬體缺陷之所以引起廣泛關注，是因為其不同於操作系統和特定程序的漏洞，是CPU技術中的並行計算、分支預測機制的設計迴路出現了問題，隱蔽性極強，且破化力巨大，所有市面上已經存在的帶有缺陷的硬體設備都會暴露在攻擊範圍內，到目前為止還無法估計此次漏洞所造成的損失。此外操作系統層面的修復也有可能帶來了巨大的性能損失，而且對於硬體缺陷來說是一個治標不治本的補救措施。從個人電腦、伺服器、雲計算伺服器到移動端的智能手機，都受到這兩組硬體漏洞的影響，其中雲平台和部署在互聯網環境下的伺服器受攻擊的風險更大。

上圖：Intel的處理器微結構簡化框圖

Meltdown利用的亂序執行是在示圖中Execution Engine的部分，Spectre利用了圖中Branch Predictor的部分。

對於個人終端用戶，利用Meltdown與Spectre漏洞，低許可權用戶可以訪問內核的內容，泄露本地操作系統底層的信息、秘鑰信息等，通過獲取泄露的信息，可以繞過內核的隔離防護；如果配合其它漏洞，可以利用該漏洞泄露內核模塊地址繞過KASLR等防護機制實現其他類型的攻擊進行提權。另外，利用瀏覽器JIT特性預測執行特殊的JIT代碼，從而讀取整個瀏覽器內存中的數據，泄露用戶帳號，密碼，郵箱, cookie等隱私信息。

此次披露的漏洞是足以動搖全球雲計算基礎設施根基的，對於雲服務提供商下的租戶，由於其虛擬環境共用CPU硬體資源，所以攻擊者可以在雲平台通過租戶系統的普通訪問許可權來讀取雲平台的敏感信息，如管理員賬號信息，從而獲得更高的許可權和獲得其它租戶的敏感信息，也可能穿透虛擬機，從guest訪問host相關數據。儘管漏洞本身只能讀取數據，不能修改數據，但由於其獲取的數據中有可能包括口令、證書和其他關鍵數據，包括能夠完整Dump內存鏡像，因此這個漏洞比一般性的虛擬機逃逸對雲的危害更大。

截至 2018 年 1 月 10 日，包括 Intel、高通、Apple、NVIDIA、ARM 均承認旗下處理器受 Meltdown 和 Spectre 兩個漏洞影響。

• Meltdown影響幾乎所有的Intel CPU和部分ARM CPU；

• Spectre影響所有的Intel CPU和AMD CPU，以及主流的ARM CPU；

安全漏洞被披露後，英特爾陸續對公司已經為過去五年里發布的九成 CPU 發布了固件更新。補丁旨在緩解 Meltdown 和 Spectre 安全漏洞造成的影響。除了英特爾，許多其它軟硬體製造商也為自家系統發布了相關補丁。基於數據中心的跑分結果，英特爾聲稱補丁只會對整體性能造成 0~2% 的影響。然而某些針對存儲性能的測試表明，補丁可能對數據吞吐造成高達 18% 的負面影響。存儲性能開發套件（SPDK）測試顯示，單核性能的影響甚至可達 25% 。

1月16日，全國信息安全標準化技術委員會發布《網路安全實踐指南—CPU熔斷和幽靈漏洞防範指引》（https://www.tc260.org.cn/），引導受威脅用戶防範熔斷和幽靈漏洞,控制漏洞補丁升級所帶來的負面影響。

「計算機信息安全工作主要停留在查毒殺毒等被動防禦層面，很少去考慮主動防禦，在主動防禦上建樹不多。我國一些從事CPU研發的單位和企業寄希望於採取行政手段或通過制定標準規範來達到目的。顯然，在本次「熔斷」和「幽靈」漏洞面前，這些手段和方法都顯得十分蒼白無力。這次「CPU漏洞門」事件提醒我們：現在是時候扭轉一下發展思路了，要變「被動防禦」為「主動防禦」。 要想做到真正的安全可控，關鍵還是要掌握核心技術。沒有核心技術的支撐，按照別人的思路和架構去發展，很難逃開與別人一樣的結局。」清華大學微電子研究所所長魏少軍教授接受《中國電子報》採訪時提出。

中國工程院院士 倪光南在接受中國青年報·中青在線記者採訪時談道：國產CPU的發展已經到了從『少年』向『青年』的發展的階段，國產技術的發展邁向了新階段。」倪光南告訴中國青年報·中青在線記者，在新時代發展中國自己的CPU產業，應該進一步加強行業整體統籌和頂層設計，有目的地發展，最終實現CPU的完全國產化。

中央處理器（CPU）一直是各國電子信息產業的核心，近年隨著人工智慧、雲計算、5G等新應用的蓬勃發展， CPU與GPU、FPGA等其他計算單元的深度融合成為產業發展的必然選擇，也就是說，CPU的普適性和重要性並沒有削弱。無處不在的CPU對中國信息安全的重要意義即在於此。此次漏洞門事件不僅給全球用戶帶來了巨大的安全隱患，同時也給中國處理器行業敲響了安全風險的警鐘。有專家估計，這一漏洞十幾年以前就已經存在，並且被Intel發現，為什麼一直沒有被披露，這背後的原因值得深思。由此可見，如果中國不具備處理器指令集、微架構和工具鏈的自主創新能力，指望通過授權（包括架構授權）或者合資方式設計CPU，根本談不上處理器信息安全的主動防禦，也必然無法實現中國處理器行業的彎道超車。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！