谷歌研究員發(fā)文稱軟件技術(shù)無法解決英特爾“幽靈”漏洞

　　2月25日消息 提起去年席卷全球的英特爾“幽靈”（Spectre）漏洞，相信網(wǎng)友們都不會(huì)陌生！而據(jù)外媒最新消息顯示，有谷歌研究人員在對(duì)“幽靈”的攻擊范圍和影響進(jìn)行調(diào)查后發(fā)表了一篇論文稱，軟件技術(shù)無法解決這一問題。

　　據(jù)悉，谷歌研究人員認(rèn)為，無論如何，軟件都不足以防御這種攻擊——一些“幽靈”漏洞似乎并沒有有效的軟件防御措施。因此，“幽靈”將成為未來的一個(gè)重要安全隱患，并沒有直接的解決方案。

　　“崩潰”（Meltdown）和“幽靈”攻擊的發(fā)現(xiàn)無疑是2018年的重大安全事件。去年1月首次發(fā)現(xiàn)后，全年又出現(xiàn)了新的變種。這兩種攻擊都依靠處理器的理論架構(gòu)行為與真實(shí)的事實(shí)行為之間的差異來發(fā)動(dòng)。

　　具體而言，所有的現(xiàn)代處理器都會(huì)進(jìn)行推測(cè)執(zhí)行，例如，它們會(huì)假設(shè)某個(gè)值從內(nèi)存中讀取，或者某個(gè)if條件是真是假，使之可以根據(jù)這些假設(shè)提前執(zhí)行任務(wù)。如果假設(shè)正確，推測(cè)結(jié)果就會(huì)保留；如果假設(shè)錯(cuò)誤，推測(cè)結(jié)果就會(huì)放棄，處理器則會(huì)重新計(jì)算。推測(cè)執(zhí)行并不是處理器的架構(gòu)特征，而是執(zhí)行特征，因此應(yīng)該在完全不可見的情況下執(zhí)行程序。當(dāng)處理器放棄錯(cuò)誤的推測(cè)時(shí)，看起來就像這個(gè)推測(cè)從未發(fā)生過一樣。

　　但“崩潰”和“幽靈”漏洞的研究人員發(fā)現(xiàn)，推測(cè)執(zhí)行并非完全不可見。當(dāng)處理器放棄推測(cè)結(jié)果時(shí)，錯(cuò)誤推測(cè)會(huì)留下一些痕跡。例如，推測(cè)可能會(huì)改變處理器緩存中的數(shù)據(jù)。程序可以通過測(cè)量從內(nèi)存中讀取數(shù)值的時(shí)間來探測(cè)這些變化。

　　通過仔細(xì)構(gòu)建，攻擊者便可讓處理器根據(jù)一些興趣值進(jìn)行推測(cè)，并使用緩存變化來揭露出推測(cè)值的實(shí)際情況。這就會(huì)對(duì)網(wǎng)絡(luò)瀏覽器等應(yīng)用構(gòu)成威脅：可以利用惡意JavaScript來了解正在運(yùn)行的進(jìn)程的內(nèi)存布局，然后使用這些信息來利用其他安全漏洞執(zhí)行任意代碼。

　　網(wǎng)絡(luò)開發(fā)者認(rèn)為他們可以在瀏覽器處理過程中構(gòu)建安全沙盒，這樣一來，腳本就無法了解其包含進(jìn)程的內(nèi)存布局。從架構(gòu)角度來講，這種假設(shè)似乎完全合理。但由于存在“幽靈”攻擊，導(dǎo)致這些假設(shè)無法成立。

　　英特爾、蘋果和其他采用ARM架構(gòu)的芯片所面臨的“崩潰”漏洞則是這種方式的一個(gè)可怕變體。它能讓惡意程序從操作系統(tǒng)內(nèi)核中提取數(shù)據(jù)。在發(fā)現(xiàn)這種漏洞后，操作系統(tǒng)已經(jīng)進(jìn)行了一些調(diào)整，將多數(shù)數(shù)據(jù)隱藏，使之無法被這種惡意程序發(fā)現(xiàn)。英特爾也對(duì)其處理器進(jìn)行了專門的調(diào)整來解決“崩潰”問題，所以該公司最近的處理器已經(jīng)不再需要激活這些變化。

　　“幽靈”更加難以應(yīng)對(duì)。已經(jīng)出現(xiàn)了很多軟件技術(shù)阻止處理器通過推測(cè)方式執(zhí)行敏感代碼，或者限制信息通過推測(cè)執(zhí)行方式泄露出去。

　　谷歌研究人員發(fā)現(xiàn)，這些軟件措施有很多不完善的地方，例如在從內(nèi)存加載許多值之后便會(huì)屏蔽所有的推測(cè)，雖然可以屏蔽很多攻擊，但實(shí)際使用中卻效果不佳。研究人員還嘗試修改Chrome V8 JavaScript引擎，但卻會(huì)導(dǎo)致性能下降三分之一或五分之一。其他措施也會(huì)遭遇類似的問題。

　　但所有措施都存在一個(gè)問題：沒有一種方式能夠屏蔽所有的“幽靈”變種，因此需要將許多技術(shù)結(jié)合起來。而由于這些技術(shù)不能任意結(jié)合，所以單純是找到合適的技術(shù)組合也是一個(gè)巨大的挑戰(zhàn)。另外，谷歌還設(shè)計(jì)了一個(gè)通用目的“幽靈”家族攻擊，無法用目前的任何技術(shù)實(shí)現(xiàn)防御。

　　“幽靈”攻擊的一項(xiàng)重要因素是衡量緩存變化的時(shí)間系統(tǒng)。有一種想法認(rèn)為，可以讓應(yīng)用使用的時(shí)鐘不那么精確，這種理論認(rèn)為如果需要以幾納秒的長度來衡量緩存差異，那么以毫秒為精度單位可能就會(huì)太過粗糙，無法發(fā)動(dòng)攻擊！但研究人員卻設(shè)計(jì)了一種技術(shù)來放大這種時(shí)間差異，而這種放大效果可以戰(zhàn)勝這種讓時(shí)間系統(tǒng)變得粗糙的防御方式，這意味著不可能完全依靠軟件技術(shù)來防御“幽靈”攻擊。那么，你怎么看呢？