上周,我们了解了最常见的处理器架构中存在的两个重大安全漏洞,它们现在几乎被用于地球上的每个数字系统。我们的吉姆·特里对这个问题写了一个很好的解释.可以预见的是,世界的反应是惊慌、愤慨,以及完全缺乏真正的理解。毕竟,这些漏洞是在营销狂潮中发布的。这些虫子有logo !一股前所未有的恐慌席卷了科技界。几天前,苹果公司“承认降低了旧款iphone的运行速度”。
当今以声音为驱动的文化严重依赖于50年的摩尔定律突然赋予我们所有人的技术。几乎在一夜之间,我们拥有了人类从未梦想过的能力,我们很快就达到了人类无法足够快地适应技术给我们生活带来的变化的地步。大多数人既对技术着迷,又无法对其工作原理有任何合理的理解。
作为工程师,我们经常遇到这种情况——可能最常见的形式是为我们的朋友和家人提供技术支持。如果我们足够幸运的话,我们已经教会了他们“打电话给我之前,先把它关掉,然后再打开。”如果这还不能解决问题,那我们再谈"规则"但是,当涉及到安全等问题时,一切都是徒劳的。媒体——尤其是非技术媒体——在以公众能够理解的方式解释安全问题方面做得很糟糕。他们甚至没有动力去尝试。毕竟,如果他们能抛出一个预示着大灾难的标题,他们可能会比他们的文章标题为“幽灵和崩溃——不是什么大事”获得更多的点击量。
为了让你的文章像病毒一样传播,有高风险和一个反派是有帮助的。这就是为什么这么多关于Spectre和Meltdown的早期媒体把英特尔挑出来的原因。如果公众能够相信,这件事背后有一个深刻的、黑暗的阴谋和掩盖,幕后黑手是摩天大楼里的邪恶人物,那么愤怒(以及大量的在线广告印象)很可能会随之而来。技术问题是驱使火炬暴民陷入幻想狂热的沃土。苹果电池“丑闻”就是一个很好的例子。苹果为iPhone内置了一种技术,可以延长电池的使用寿命,并在电压下降时通过减慢处理器速度来防止意外关机。但如果把它记为“苹果故意降低老款iphone的运行速度”,那就有趣多了。
如果我们将《幽灵党》和《熔解》放在低科技背景下会怎样?假设我们卖了几十年的车。那些车有上锁的门。然后,突然,有人说:“嘿,即使门锁着,几乎任何人都可以通过向窗户扔石头进入任何一辆车。”是的。这是事实。你可以自己试试。(不过,请使用自己的车。)现在,这个安全漏洞并不完全是一个“bug”。这不是汽车公司多年来一直试图向我们隐瞒的事情。 And it probably doesn’t require an immediate recall of every car ever made. Unlike Spectre and Meltdown, this vulnerability has most certainly been used many times. And, unlike Spectre and Meltdown, this vulnerability doesn’t require extremely specialized skills to exploit. Any six-year-old with a rock can pull it off.
有一种恐惧是由未知事物带来的。当危险是我们熟悉的时候,我们有更强的能力去接受风险和危险。这就是为什么人们可以阅读一项又一项研究,表明商业航空旅行比私人汽车旅行安全得多,但当他们不加思索地跳进汽车时,仍然对飞行抱有强烈的恐惧。那些我们不理解,因此也无法控制的事情,似乎比我们每天遇到的最危险的情况还要可怕得多。
无序执行和投机执行已经伴随我们很长时间了。(没有车窗那么长,但请和我一起呆在这里。)最近发现的漏洞可以通过软件补丁在很大程度上得到缓解——尽管仍有一些未知的性能损失。而且,正如Jim在他的文章中指出的那样,在试图利用Spectre或Meltdown之前,坏人必须已经进入内部。这样一来,它就不像破门而入了,而更像是一种进入手套箱的新方法。而且,就像手套盒一样,即使在他们使用了(目前尚未完全设计)黑客之后,也不能保证坏人会找到任何有价值的东西。
这给我们带来了一个关于幽灵党和熔解的更重要的问题:在世界上所有的安全漏洞中,这些漏洞是否为黑帽提供了任何新的价值?当然,有些密码可能保存在受保护的内存中。但是Meltdown漏洞是最好、最简单、最经济的获取方法吗?这样看来,我认为这些漏洞无处不在,但并不是特别有价值。
很多技术问题都符合这种模式。作为爱好,我用四轴飞行器进行航空摄影。我一般都会飞到非常偏远的地区,我会小心避免做出可能让附近的人不安的行为。不过,有几次,我还是听到有人说:“这是个监视别人的好方法,不是吗?”我的回答是:“不,实际上,不会。带长焦镜头的传统相机将是窥探他人的好方法。”如果你的目标是“监视别人”,四轴飞行器几乎什么都不会给派对带来。它看起来像是一个新奇的工具,但它并不能真正提高普通偷窥者的能力。Spectre和Meltdown是否为网络罪犯提供了真正的新能力?在这一点上,我不服气。
我预测“幽灵”和“熔断”将成为信息安全领域的小减速带。是的,漏洞的广度是惊人的,修复的规模也同样巨大,但从长远来看,我怀疑这两个小妖精会对社会造成多大的实际损害。这将是一个有趣的观察。
其中一个可以预见的反应是找律师——或者我猜是某些律师找一些客户。当然,首席执行官抛售大量股票也于事无补!
2015年,微软向我们释放了最严重的病毒!!
它被称为Windows 10,它继续困扰着世界!
这个程序可以下载,安装,并运行任何程序所需的作者(微软)在任何时候,而无需用户(您)的许可。它会在未经你同意的情况下将数据发送回家。它也会这样做的米连接!
我的牛肉…
2018年1月9日,Windows 10在没有我允许的情况下,通过指定的计费连接执行了一次下载,将我的笔记本电脑更新到最新版本,这样它就可以下载安装安全更新。然后它要求我在关闭笔记本电脑之前运行那些未经授权的更新。我没有任何选择,只能在安装更新后关机,或在安装更新后重新启动。没有“稍后提醒我”的选择!安装大约花了30分钟,在这段时间里我根本无法使用我的笔记本电脑。
更糟糕的是,在安装的启动过程中,出现了一些故障,并出现了“Windows正在执行回滚”的短消息。直到Windows执行了至少3次下载/安装/回滚循环(在我的计量连接上),我才注意到这一点。
一个朋友找到了一个微软的脚本,应该可以解决这类问题,但你猜对了,它不起作用。
从那时起,每当我使用笔记本电脑时,这个循环就会继续。我认为这是在第六或第七次循环,不断浪费我宝贵的有限下载报价(通过我的手机数据-我没有固定电话或adsl/nbn)。一旦我超过了我的限制,它将花费我$10/1GB。上次我让窗口对我的计费链接执行更新(通过取消设置计费选项),它超过了我的限制6GB,导致我支付了60美元的费用。
微软没有其他借口了。这就是病毒的定义。它会控制你的电脑,运行恶意代码,并将你的私人数据发送回家。你完全无法控制这种情况,除了把你的电脑从互联网上删除,这时你的电脑通常是不可用的。
这比Meltdown和Spectre可能的结果要糟糕得多。我损失了超过30% !!
解决这个问题并不容易。
我现在有一台ubuntu linux笔记本电脑在路上。