面对幽灵和熔断漏洞,英特尔又上演了一次失败的危机公关?
来源:
|
作者:hk80516e
|
发布时间: 2018-01-10
|
1184 次浏览
|
分享到:
首先,投资者需要了解问题的始末。这一安全问题首先是在2017年1月6日由谷歌Project Zero团队(这个团队是谷歌的一个精英黑客团队,专门发现其他软件的漏洞)发现,谷歌的说明很难理解,不喜欢技术的投资者会发现对熔断和幽灵的解释很复杂。
简而言之,问题在于恶意代码可以访问系统上未经授权的信息,如密码、个人数据和重要的文件等。安全问题很严重。根据标准的行业惯例,英特尔和几个行业参与者包括AMD、ARM、微软、几家软件和安全公司对此展开工作,理解问题涉及的范围并确定缓解问题的办法。
英特尔对安全问题的相关评论在我们看来并不可信,该公司很有可能面临大规模召回。
英特尔正面临更糟糕的竞争环境,该公司未来产品有可能被推迟。
在分析师看来,英特尔现在缺乏说服力。
随着其处理器安全问题的持续发酵,英特尔对事态发展作出回应并召开一个电话会议来进一步缓解投资者的担忧。
正如我们下面提到的,英特尔对这一事件的阐述并不完全可信。
首先,投资者需要了解问题的始末。这一安全问题首先是在2017年1月6日由谷歌Project Zero团队(这个团队是谷歌的一个精英黑客团队,专门发现其他软件的漏洞)发现,谷歌的说明很难理解,不喜欢技术的投资者会发现对熔断和幽灵的解释很复杂。
简而言之,问题在于恶意代码可以访问系统上未经授权的信息,如密码、个人数据和重要的文件等。安全问题很严重。根据标准的行业惯例,英特尔和几个行业参与者包括AMD、ARM、微软、几家软件和安全公司对此展开工作,理解问题涉及的范围并确定缓解问题的办法。
该事件的现状是熔断似乎主要影响英特尔的处理器,是一种直接威胁,需要缓解。另一方面,幽灵则是影响所有当前微处理器的更棘手的问题,但它并不构成直接威胁。幽灵被认为是产业内将长期存在的一个问题。
过去几天可见到的信息显示对熔断漏洞的修复需要对操作系统如Linux和Windows的大量改动,并有严重的性能影响。一些消费产品的基准数据却鲜少收到影响,但一些数据库和云相关的基准数据表现出5%~30%的性能影响。一些基准数据甚至出现高达50%的严重的性能衰减。
据悉AMD处理器架构并未受到熔断漏洞的影响,因此不需要为其产品的性能削弱打补丁。
在此背景下,英特尔如何解决问题的呢?
可以说很失败。
例如,英特尔在新闻通告和接下来的报告中称,“英特尔相信这些漏洞不具有破坏、修改或删除数据的潜力。”
注意它说的是这些漏洞不会破坏、修改或删除数据。它可以未经授权访问重要数据。英特尔显然没有解决问题的根本。
英特尔下面的声明也没说实话,“近期报道指出这些漏洞是有一个缺陷或漏洞引起且仅针对英特尔的产品,这是不正确的。根据迄今为止的分析,很多型号的计算设备,包括多个不同供应商的处理器和操作系统都容易受到漏洞的攻击。”
虽然技术上成立,然而事实上,严重的性能衰减这一条似乎对AMD并不适用,而只限于英特尔的产品。
英特尔更进一步混淆视听,称“英特尔承诺产品和用户安全,我们正与多家其他技术公司,包括AMD、Arm和几家操作系统供应商紧密合作,以开发一种全行业适用的方法来快速而建设性的解决这一问题。”
这段话没有明说但也暗示了AMD和ARM也存在问题。英特尔继续用接下来的声明迷惑大家,“英特尔已经开始提供软件和固件更新,以减轻这些漏洞。与某些报道相反,任何性能影响都取决于工作负载,对于一般计算机用户来说,应该并不显著,并且随着时间的推移将得到缓解。”
上面这段话如果补充完整将是,这次的安全问题,尤其是熔断漏洞,对那些非一般计算用户如服务器和数据中心的部署将是巨大挑战。
英特尔用一个在我们看来显然缺乏可信度的声明来结束其这次危机公关,“英特尔相信我们的产品是世界上最安全的,有合作伙伴的支持,目前这个问题的解决方案为用户提供了最佳的安全性。”
这让我们实在无法理解,在漏洞面前英特尔怎么还敢声称其产品是最安全的。
在接下来的电话会议中英特尔继续避重就轻的做法让事情变得更糟。
会议中,英特尔称在一些应用中并不会产生性能影响,在某些应用中会产生最高30%的性能衰减。英特尔并没有就台式还是笔记本用户以及服务器和云用户的影响给出更多细节,但公开渠道有足够的信息显示服务器和云应用遭受的影响最大。
英特尔声称这次安全问题对英特尔的财务并未构成影响。我们严重怀疑这条声明,因为修复造成的应能影响较高。假设漏洞修复造成10%的性能衰减,意味着服务器云用户要增加10%的CPU资源以保证性能不受影响。这对现有的数据中心而言将是很大的一笔成本。服务器和云用户难道会放过英特尔而自掏腰包吗?
考虑到问题涉及的范围,假设现有英特尔处理器都受到影响,而AMD处理器没有收到影响,可以想象英特尔将面临数十亿的召回情况。
英特尔也回避了对其竞争力造成影响的问题。此次安全问题披露之前,AMD的EPYC芯片就已经成为了强大的竞争者,这下可能让英特尔更处于竞争劣势。如一些基准数据所显示的如果英特尔处理器的性能衰减30%,AMD将更加轻松的获得服务器和云客户的订单。
更糟糕的是,英特尔现在需要推迟未来产品的发布来完成安全问题的修复。可以预期最少将有6个月的延迟,才能设计和发布最新的产品(尤其是Xeon系列)。这将大大削弱英特尔的产品路径对AMD的竞争力。
自英特尔最初声称AMD产品可能免受漏洞影响的那一刻起,AMD应该就开始盘算了。
在我们看来,这次的安全问题要比英特尔解释的要严重。其消费者业务可能问题不大,数据中心业务面临严峻考验。
英特尔又一次面临公关惨败,这让英特尔很不讨好。下面看下Linux创造者Linus Torvalds对此事件的声明:面对幽灵和熔断漏洞,英特尔又上演了一次失败的危机公关?
总结
抛开英特尔的声明,这次的安全问题是个大问题,也加剧了英特尔竞争地位的恶化。
明天英特尔CEO科再奇将在拉斯维加斯举办的CES 2018上做主题演讲,鉴于英特尔最近的窘境,不知道会场上会不会嘘声一片。