铁流:对付席卷全球的病毒,依靠自主CPU+Linux有用吗?

2017-05-15 12:03:09   




中国是此次病毒威胁重灾区


日前,永恒之蓝席卷全球,已经有90个国家遭到攻击。国内教育网是遭到攻击的重灾区,一些政府部门国企也被殃及,比如公安、法院、中石油等。不过,在安装相对老旧版本Windows的电脑普遍遭到攻击之时,不少安装Linux衍生版操作系统的电脑和苹果电脑逃过一劫。不少网友在网上纷纷表示庆幸,并对Linux或苹果的安全性大加赞美之词。但实际上,并非是这些操作系统在技术上拥有明显高于Windows的安全性,只是黑客没有专门针对其进行攻击而已。
为何这次病毒攻击席卷全球
电脑病毒早已不是什么新鲜事,比如早些年比较有名的熊猫烧香。而与本次勒索病毒类似的病毒程序以往也曾经出现过,比如一些网友在不经意间点击了一些链接,或者无意间安装了病毒程序,然后发现自己的电脑被远程控制了。但感染病毒有一个前提,就是以用户不自觉的点击一些链接、安装程序,或者打开来路不明的邮件。换言之,会在这种病毒面前中招的往往都是安全意识比较单薄的用户。对于具有一定安全意识的用户来说,是不会随意点击莫名其妙的链接,或者安装一些来路不明的程序的。这就使这种电脑病毒感染的范围一直被控制得较小。
而本次的不同在于,黑客通过盗取自美国国家安全局麾下的“方程式小组”的武器库——国家级攻击者开发的黑客工具可以通过微软操作系统的漏洞直接远程控制用户的电脑,不像过去那些病毒需要用户的“配合”。一般情况下,用户只要自己养成良好的使用习惯,就可以避免大部分病毒感染,但永恒之蓝则不同,根本不需要用户同意,就直接锁定电脑,而且被攻击的电脑会去扫描其他电脑,由此引发链式反应,并最终形成全球范围内病毒感染。
由于微软已经停止了对老旧版本Windows操作系统的维护更新,而政府机关和国企,以及普通老百姓中仍有大量电脑依旧使用老旧版本Windows操作系统,而微软在3月份曾经推出过补丁,但很多用户恐怕并没有及时更新。这使得对于国家级攻击者开发的黑客工具,不仅普通老百姓无法应对,在相关机构找到解决办法之前,即便是像公安、中石油这样的政府机关和国企,在短时间内也是很难招架。
Intel的芯片也存在高危漏洞十年不改的情况
本次永恒之蓝席卷全球其实是由美国国家安全局的黑客工具泄漏而引起的。这些工具针对的是微软操作系统存在的漏洞。其实除了微软操作系统存在漏洞,Intel芯片也存在高危漏洞十年不改的情况。
Intel芯片中有一个独立于CPU和操作系统的微处理器,叫做Intel ManagementEngine,简称ME。ME是一个有别于CPU的独立系统,本身其实就是一大堆固件代码实现的功能,比较关键的是ME里面有用于远程管理的功能,它可以在不受用户操控下远程管理企业计算机。而就在其中存在高危级别安全漏洞,攻击者可以利用该漏洞进行英特尔产品系统的远程控制提权。
据一位业内人士介绍:“(ME)其实并不是什么秘密。10几年前做Bios的时候就有(ME),Bios代码做好后要用Intel的ME工具把Bios和ME固件一起打包,然后烧到Bios芯片里,那时候ME固件已经有4兆大了,Bios才2兆......(ME)漏洞一直有,有人研究就能找到漏洞”。
对于ME存在的漏洞,国外科技曝料网站Semiaccurate表示:5年前就开始向英特尔公司提这个漏洞,英特尔公司10年来对该漏洞不屑一顾。
Semiaccurate网站在其文章中还暗示英特尔在芯片中故意留有后门:尽管英特尔对ME有着很多官方说明,但ME技术架构一直是英特尔不愿谈及的话题,因为没人真正知晓该技术的真正目的,以及是否可以做到完全禁用等。
而在本月月初,英特尔公司选择表示:漏洞影响所有英特尔企业版服务器和综合利用技术,涉及版本号为6.x、7.x、8.x、9.x、10.x、11.5、以及11.6系列的所有固件产品。这意味着英特尔近十年来的固件芯片都会受到影响。
英特尔公司之所以公开表示近十年来的固件芯片都存在高危级别安全漏洞,并非自发的主动行为,而是因为2017年3月底安全研究者Maksim提交了该漏洞,证实了其存在的安全风险。
纯技术角度,用Linux取代Windows未必能更安全
由此可见,无论是微软的操作系统,还是Intel的CPU,都是存在安全隐患的。而且美国国家安全局还有一系列利用微软操作系统漏洞进行攻击的黑客工具。Intel在5年前就接到漏洞反馈的情况下,一直不屑一顾的做法也颇为悬疑,以至于Semiaccurate网站在其文章中还暗示英特尔在芯片中故意留有后门。


结合本次永恒之蓝病毒席卷全球,不少安装Linux衍生版操作系统的电脑和苹果电脑逃过一劫,进而很多网友因此赞美其安全性。加上本次黑客攻击事件中,中国公安系统、中石油的大量系统一度陷入瘫痪,那么如果政府部门和中石油这样的国企在基础软硬件上换成自主CPU+ Linux是否会更安全呢?
对于这件事应该辩证的看。
纯粹从技术上说,软件或者硬件存在漏洞的原因无非两个:刻意留后门或者在开发过程中的无心之失导致存在漏洞。无论是软件还是硬件,只要代码还是人类编写的,以目前软件和硬件的复杂度,要实现没有漏洞其实是不太现实的。换言之,就是哪怕完全是自己开发的芯片和操作系统,也未必能保障不存在漏洞。
就以Linux衍生版操作系统来说,本次帮助很多用户逃过一劫,只是因为黑客没有专门针对Linux进行攻击而已。毕竟相对与Windows的用户来说,针对Linux进行攻击的价值会低一些,而且Linux用户的警惕性和技术水平总体来说也高于Windows的用户。而苹果的情况也是类似,由于过于小众,使得黑客针对其进行攻击获得的收益远远低于针对Windows进行攻击获得的收益。就像安卓刚刚兴起时,非常小众,病毒很少,但在安卓已经普及之后,各种病毒也随即开发出来了。苹果这次没有遭到攻击(安装WIN7的用户除外),更多原因是小众,而非其安全性超过了Windows。
安全永远是相对的,而不是绝对的。真正的安全性,其实在于能力——如果国内开发操作系统的技术团队技术实力强于微软,那么国产Linux操作系统会强于微软,但如果国内团队在技术上和微软有较大的差距,那么,Windows才是抗攻击最强的操作系统。考虑到如今中国信息技术上和美国的差距,用Linux取代Windows未必能在技术上更安全。
用自主CPU+ Linux衍生版操作系统替换Wintel具有实际意义
虽然从技术角度看,用Linux取代Windows未必能实现更安全。但从政治角度上看,科技公司往往会配合所在国政府进行一些有助于该国政府进行情报收集甚至网络战的工作——在这一点上,斯诺登已经证明了微软、雅虎、Google、Facebook、Paltalk、YouTube、Skype、美国在线、苹果公司先后加入了棱镜项目。
由于存在不可避免的科技公司故意留后门的情况,这就使采用自主设计的CPU和经过安全审查的Linux衍生版操作系统,在实际使用中会相对于采用Windows+x86CPU而言更加安全。
从这个角度来看,虽然自主CPU +Linux衍生版操作系统未必能够实现无懈可击,但可以避免被国外科技公司故意留的后门入侵,从安全的相对性来说,自主CPU +Linux衍生版操作系统会更好一些。


本次事件中,一些政府部门的内网也遭受病毒感染,而政府内网一般都是物理隔离的。由此可见,使用国外基础软硬件+物理隔离的做法,安全性也是无法得到保证的。本次病毒攻击仅仅是一伙黑客使用了从美国国家安全局泄漏出来的攻击工具。一旦将来发生网络战,国家级的攻击者亲自出手,所造成的危害和影响绝不是本次攻击所能相比的,很有可能会瘫痪掉社会经济的正常运行,后果不堪设想。
总而言之,提升中国信息安全的当务之急一方面要在政府部门、国企、事业单位中推广自主CPU +Linux衍生版操作系统,另一方面在试点和推广中不断查漏补缺,提升自己的技术能力和产业实力,只有这样,才能逐步提升中国政府、国企和事业单位抵御类似黑客攻击的能力。