“Meltdown”和“Spectre”漏洞背后的故事 - 全文

正讓Intel焦頭爛額的兩大處理器缺陷：“Meltdown”和“Spectre”，堪稱 2018 年開年第一大洞。對于它的發(fā)現(xiàn)者-----年僅23歲的?Jann Horn ，各大媒體也是充滿了好奇心。近日，記者就通過采訪這位德國小伙以及他身邊的人，為我們揭開“挖洞”背后的故事。

成功來的水到渠成

一有“天才少年”問世，媒體總是喜歡去找當(dāng)年的中學(xué)老師，Horn?的高中老師，就被記者找上門了。

發(fā)型凌亂，膚色蒼白，體格瘦削，談起這個(gè)外表十分普通的學(xué)生，中學(xué)計(jì)算機(jī)老師 Wolfgang Reinfeldt 印象深刻，他回憶，當(dāng) Horn?還是個(gè)高中生時(shí)，就經(jīng)常發(fā)現(xiàn)學(xué)校電腦網(wǎng)絡(luò)中的各類安全問題，對于如今他所取得的成功，?Wolfgang 表示一點(diǎn)都不意外。

在上高中時(shí)，?Horn?的 數(shù)學(xué)和物理成績就相當(dāng)優(yōu)秀，是位理科學(xué)霸。在2013年，為了參加德國總理默克爾在柏林舉辦的一場針對杰出德國少年的招待會，Horn?和同學(xué)參加了一場政府舉辦的競賽，他提出的課題是構(gòu)想一種控制雙擺移動的方法（雙擺是一個(gè)知名的數(shù)學(xué)難題）。

Jann Horn

這個(gè)毛頭小伙當(dāng)年通過編寫軟件、利用傳感器預(yù)測雙擺的移動、以及借助磁鐵修正意外出現(xiàn)的移動，出色的完成了這項(xiàng)研究，并與同學(xué)在競賽中獲得了第五名，成功獲得入場券，受到了默克爾的接見。

在上大學(xué)后，Horn?也會經(jīng)常發(fā)一些有趣的推文，比如探討如何規(guī)避一項(xiàng)重要的安全保護(hù)功能，該功能被設(shè)計(jì)來阻止惡意編碼感染用戶電腦。這被當(dāng)時(shí)的一家名為“Cure53”的安全咨詢公司的 CEO 所看到，因?yàn)檠芯糠椒ㄏ嗨疲@位伯樂立馬邀請還不到 20 歲的 Horn? 加入公司。

很快，這位 CEO 就發(fā)現(xiàn)，自己可能撿到了一塊“金子”，剛剛上大二的 Horn? ，當(dāng)時(shí)已經(jīng)開始在大學(xué)中從事博士后方面的研究了。由于網(wǎng)絡(luò)安全是一項(xiàng)實(shí)踐性很強(qiáng)的學(xué)科，此后他們還合作了論文，申請了專利。

也就是說，臨近畢業(yè)時(shí)，在同學(xué)們還在苦逼的找著工作，為生計(jì)發(fā)愁時(shí)，一臉憨厚狀的Horn? ，不僅得到 BOSS 青睞，還手握專利，妥妥的人生贏家。

不過畢業(yè)后，?Horn?并未繼續(xù)在老東家工作，而是選擇加入大名鼎鼎的谷歌“Project Zero”團(tuán)隊(duì)，前老板“十分不情愿”地給他寫了份熱情洋溢的推薦信。

他在采訪時(shí)說，“谷歌是他的夢想，我們沒法阻止他，雖然他的離開讓我很痛苦。如今他能取得這樣的成就，其實(shí)與他平時(shí)的悉心研究分不開，這是件水到渠成的事情?！?br />

“意外”發(fā)現(xiàn)的漏洞

作為谷歌“ Project Zero ”的成員，日常就是尋找可能會被黑客利用，然后入侵計(jì)算機(jī)系統(tǒng)零日漏洞，但雷鋒網(wǎng)發(fā)現(xiàn)，Horn? 這次發(fā)現(xiàn)的“Meltdown”和“Spectre”這兩種攻擊方式，卻非有意而為之。

至于怎么發(fā)現(xiàn)的，還要從去年 4 月開始說起，當(dāng)時(shí) Horn 為了確保計(jì)算機(jī)硬件能夠處理他所編寫的一段非常復(fù)雜的運(yùn)算代碼，他開始對長達(dá)數(shù)千頁的英特爾處理器手冊進(jìn)行仔細(xì)的研究，正是在這個(gè)過程中，他意外地發(fā)現(xiàn)了全球計(jì)算機(jī)芯片的重大漏洞。

在處理器手冊中，有一項(xiàng)講的是推測執(zhí)行程序，這是一種速度加強(qiáng)技術(shù)，能夠讓處理器猜測下一步將要執(zhí)行的部分代碼，并提前執(zhí)行這些步驟。手冊中指出，如果處理器猜錯了，那么被錯誤抓取的數(shù)據(jù)依舊會存儲在芯片緩存中。

這句話看的讓 Horn 虎軀一震，如果真是這樣，那么信息就很可能會被精明的黑客取得。

那時(shí)我意識到，我們正在使用的代碼模式可能會泄露秘密數(shù)據(jù)。

這個(gè)漏洞利用了 CPU 執(zhí)行中對出現(xiàn)故障的處理，由于現(xiàn)在 CPU 為了提供性能，引入了亂序執(zhí)行和預(yù)測執(zhí)行。在一封郵件中?Horn?稱，從理論上講，它可能不只會影響到我們正在編寫的代碼段。

于是他啟動了進(jìn)一步調(diào)查，開始仔細(xì)研究芯片如何執(zhí)行推測執(zhí)行程序。

Horn 接下來與同事 Felix Wilhelm 討論了這一問題，并且通過?Wilhelm?提供的一些相似的研究，他得出結(jié)論，測試技術(shù)可能會被逆向處理，迫使處理器運(yùn)行新的推測執(zhí)行程序，讓其檢索數(shù)據(jù)被黑客所獲取。

這一芯片攻擊方法被發(fā)現(xiàn)后，Horn 還請教了谷歌的另一位同事 Robert Swiecki，并借助計(jì)算機(jī)測試了自己的部分想法，證實(shí)這個(gè)漏洞的真實(shí)性。

去年 6 月 1 日，Horn 聽取了?Swiecki 的建議，向英特爾、ARM、AMD 告知了這一漏洞。

一夜成名后的生活

作為公布英特爾芯片漏洞的第一人，小鮮肉 Horn 以火箭速度躥紅。畢竟，以這個(gè)年紀(jì)就發(fā)現(xiàn)被稱為史上最嚴(yán)重的硬件性漏洞，基本影響市面上所有的處理器，這足以吸引各路媒體和同行的眼球了。

操著一口德式英語的?Horn?，目前是全世界安全會議都想邀請的重磅嘉賓，在上周蘇黎世舉辦的一場業(yè)內(nèi)會議中，他就獲得了熱情的接待，在會議的提問環(huán)節(jié)中，他也是被提問的最多的。

與此同時(shí)，他也受到了來自同行的“膜拜”。

一個(gè)來自奧地利格拉茨技術(shù)大學(xué)的同行 Daniel Gruss 就對?Horn 的研究表示非常吃驚。

我們擁有好幾個(gè)安全研究團(tuán)隊(duì)，前期已經(jīng)有人為我們做了一些工作，知道該從哪個(gè)方向研究，而他是孤軍奮戰(zhàn)，憑一人之力就搞出來，太令人震驚了！

Daniel Gruss 和團(tuán)隊(duì)后來也研究出了 Meltdown 和 Spectre 的攻擊方式，所以他對其中的復(fù)雜程度深有體會，上面這番話，應(yīng)該不是恭維。

除了同行，他的前同事也被媒體挖出來，上了回新聞。

根據(jù)?Horn 在“Cure53”的前同事接受采訪所描述，他們對他的研究成果不太吃驚。

這個(gè)年輕的黑客總是在不斷發(fā)起極具創(chuàng)造性的攻擊，Meltdown 和 Spectre?只是兩個(gè)閃光點(diǎn)而已，我們并不認(rèn)為這是一個(gè)奇跡，這本身就像是他能做出的事情。

世上厲害的黑客多了去了，為何?Horn 會是那個(gè)一戰(zhàn)成名的人？憑什么就他站在鎂光燈下接受膜拜？

在記者的采訪中，雷鋒網(wǎng)發(fā)現(xiàn)，堅(jiān)韌的信念是屢次被提及的一個(gè)詞，可能除了聰明的大腦，踏實(shí)的研究更加重要吧。想挖洞的童鞋們，來，先把這上千頁的處理器手冊認(rèn)真看一下。