英特尔 SGX 技术爆漏洞,对大批加密货币项目造成冲击

Screen_Shot_2018-08-14_at_3.30_.54_PM_.png


 据英国金融时报报道,近日,英特尔确认了其处理器芯片中又一个漏洞「Foreshadow」。这是英特尔今年继 1 月份发现的 Meltdown 和 Spectre 之后第三个重要漏洞。

据了解,该漏洞被两个团队分别发现,一个团队来自比利时鲁汶大学,另一个团队包括美国密歇根大学和澳大利亚阿德莱德大学的专家,可以从 CPU 上的受保护飞地中窃取秘密,影响了英特尔的 SGX 技术。

该技术旨在让计算机上运行的应用程序将最敏感的数据放入虚拟堡垒中。

英特尔的 SGX 技术实际上应该可以防止投机性执行式攻击。然而,安全研究人员发现了一种绕过安全措施的方法,并在计算机 CPU 的不受保护的位置创建任何 SGX 飞地的「影子副本」。然后可以读取飞地内的数据,使保护无用。

美国政府的计算机应急准备小组在 8 月 14 日警告称,攻击者可能利用该漏洞获取敏感信息。利用「预兆」,网络罪犯可以获取一个内存芯片内的任意信息,包括敏感数据、通往长期内存的密码和密钥,攻击者还可以将敏感数据在一个安全飞地复制并获取。

不过,专家表示,与一般的漏洞攻击相比,「Foreshadow」是比较难以利用的。

英特尔在 8 月 14 日发表的官方公告中称,尚未发现有黑客利用该漏洞进行攻击的报告。同时,公司让消费者保持系统更新,并表示让系统保持最新能够降低大部分消费者和企业用户的风险。

另外,科技行业也尚未报告任何利用 Spectre、Meltdown 或最近发现的 Foreshadow 漏洞的攻击。在尝试武器化漏洞之前,网络犯罪分子更有可能坚持使用经过验证的黑客攻击方法,例如电子邮件网络钓鱼和密码破解。

目前英特尔推出了新的补丁程序,它将与之前 Meltdown 和 Spectre 的更新相结合,以抵御潜在的威胁。微软也发布了补丁程序以减轻危险。


「一旦系统更新,我们预计运行非虚拟化 操作系统的消费者和企业用户面临的风险将会很低,」英特尔在一份声明中表示。「这包括大部分数据中心安装基础和绝大多数 PC 客户端。在这些情况下,基于我们在测试系统上运行的基准测试,我们没有看到上述缓解措施带来的任何有意义的性能影响。」



但是,英特尔警告运行虚拟机的数据中心「防范情况」,云提供商无法保证所有虚拟化操作系统都受到保护。根据 Linux 供应商 Red Hat 的说法,这可能意味着云提供商需要关闭支持虚拟机的虚拟机管理程序线程,这可能会降低服务器性能。

英特尔已在此发布基准,并为寻求更多信息的客户提供安全建议。亚马逊和谷歌等大型云服务提供商表示,他们已经制定了缓解措施,以保护客户免受威胁。

与此同时,AMD 表示该公司的芯片「不易受」Foreshadow 漏洞的影响。

9bfdc7da-9e5e-5a6c-a8a1-f9ae36efcbf6.jpg


大批加密货币项目受牵连


由于很多加密货币项目计划采用这一技术,对于加密货币世界而言,Foreshadow 漏洞是个巨大的威胁。

其中最为引人瞩目的是 Signal 平台幕后的著名极客 Moxie Marlinspike 正在发售一种更为节约能源的代币 MobileCoin ,甚至为这一项目募集了 3,000 万美元。

因为这一漏洞,这些项目在真正落地推出前必须得做出一些修改。

「漏洞的发现对加密货币世界有着广泛冲击,」康奈尔大学安全研究人员 Phil Daian 对 Coindesk 表示。

不过好消息是研究人员遵循安全界「负责任」原则,在公开之前通知了英特尔,让英特尔几个月前就部署了安全补丁。不过安全界依然认为做得不够。

Daian 表示:


「因为系统升级很慢,很多补丁涉及到硬件升级升级,基础设施很长时间面对相关攻击依然非常脆弱……如果这一漏洞在某一时间点被利用来窃取加密货币,一点也不奇怪。」



开发者计划以 MobileCoin 取代挖矿,打造一种更为节约能源的加密货币。而涉及到 SGX 技术的加密货币项目远远不止这一个。

隐私数据存储计算的去中心化平台 Enigma 利用 SGX 独特技术来增强智能合约对隐私的保护,Enigma 发布了一个利用 SGX 进行计算的测试网。钱包硬件企业 Ledger 与英特尔达成盟友关系,探讨利用 SGX 技术存储私钥。Golem 发布了 Graphene-ng 以帮助开发人员编写支持 SGX 的代码,Oasis Labs 则通过 从 a16z 等机构募集了 4,500 万美元,用于构建支持 SGX 的分布式计算平台。类似的名单还很长。

三大笔记本电脑制造商:惠普、联想和戴尔都支持 SGX。MacBook 有了支持 SGX 的芯片,但 BIOS 还没有配置完成,还不能让操作系统支持该功能。等到有一天苹果也加入 SGX 阵营,全球四大笔记本电脑品牌都将内置支持 SGX 的计算。

「SGX 技术需要接受研究人员反复测试和破解,直到它能宣称达到很高的安全水准,这可能需要耗费数年时间,」Daian 表示,不过他补充说,他相信可信的硬件配合 SGX 技术,有朝一日能为加密货币世界作出重要的贡献。

简单而言,这需要很长时间。


作者:Perry Wang
0
分享
2018-08-16

0 个评论

要回复文章请先登录注册