面对CPU M/S漏洞只是打补丁，你可能掀开了可怕的潘多拉魔盒

自2018年1月2日，Intel CPU的芯片级漏洞Meltdown（熔断）和Spectre（幽魂）被媒体曝光以来，和以往任何一次病毒和漏洞大规模爆发不同，即使经过近1个月全产业链的努力，漏洞似乎仍然没有妥善的解决方案。老Z认为：这可能是自计算机诞生以来，除了千年虫问题，产业面临的最严重的挑战！甚至有专家预言，CPU摩尔定律可能受到此次事件的影响而终结。

面对CPU M/S漏洞，只是打补丁，你可能掀开了可怕的潘多拉魔盒！且听老Z告诉你：这为什么不是危言耸听，什么才是最重要的事情，正确的姿势是什么……  

漏洞的严重程度

漏洞的严重程度：你知道的设备和系统可能无一幸免

根据相关国际知名研究机构、设备厂商、媒体等的评测和报道，几乎在过去 20 年里所有的处理器都受到这两个漏洞的影响，包括但不限于 Intel、AMD、Qualcoom 高通、ARM 的处理器，甚至是 NVIDIA 家的 GPU（包括 GeForce、Quadro、NVS、Tesla 及 GRID，主要受 Spectre 漏洞影响）都在所难免 （见出处1） 。

而运行在这些CPU之上的设备和系统，包括手机、移动终端、PC、服务器、云虚拟机、以及其他专用设备；以及操作系统Unix/Linux、Windows、苹果Mac OSX、苹果手机IOS、谷歌Android及其各系统的变种都受到影响（见出处1、2）  。

  

漏洞的危险程度

漏洞的危险程度：经过系统的关键敏感信息都可能被窃取

通过利用CPU M/S漏洞，黑客可能窃取以下信息  （见出处3）：

o 泄露出本地操作系统底层运作信息，秘钥信息等； 

o 通过获取泄露的信息，可以绕过内核(Kernel)，虚拟机超级管理器(HyperVisor)的隔离防护； 

o 云服务中，可以泄露到其它租户隐私信息； 

o 通过浏览器泄露受害者的帐号，密码，银行卡账号和密码、其他信息内容，邮箱，cookie等用户隐私信息； 

利用漏洞获取密码的模拟攻击试验：密码立等可取  

赶紧打补丁？可能开启地狱之门

基于思维惯性，很多IT安全主管可能立即启动了对所有设备安装补丁的工作。很不幸的是，这次的漏洞，到目前为止，远不是打补丁能解决的事，不仅如此，还可能开启“地狱之门”！

1早期补丁引发系统频繁重启

漏洞被曝光后，从CPU到设备厂商到操作系统厂商到应用厂商（特别是浏览器）都陆续发布了补丁，建议用户安装。老Z观察到云服务商的行动最为迅速，很快发布公关稿说明已经全部安装最新补丁（预埋个梗）。

根据媒体报道，很多企业在对数据中心的服务器和终端在安装Intel的固件更新补丁后，系统频繁重启，甚至无法开机 （见出处4）。这下闹大了，漏洞还没产生实际的危险，系统却因预防措施挂了！Intel官方在1月11日也发布公告承认了这个问题  （见出处5）。

2Intel等还没有提供有效的补丁

1月23日，Intel发布公告称“重启问题的根本原因已找到”，“建议 OEM 厂商、云服务提供商、系统制造商、软件供应商和最终用户停止部署当前的版本，因为它们可能会引发比预期更频繁的重启，还有其它不可预知的系统行为”  （见出处6）。话说的很含混，意思很明确：之前发布的补丁问题不止重启，千万不要安装，至于有效的新补丁，我们还不知道什么时候准备好。

3已知的补丁将显著影响性能：可能腰斩

目前收集到的性能影响报道显示：补丁安装后性能将产生严重下降。可以肯定的是即使Intel发布了有效的新补丁，性能问题可能也得不到解决，甚至会更糟（老Z当然期望有效补丁不明显影响性能，但是从原理分析，堵上后门捷径的系统怎么可能更快？）。

o 福布斯称，性能影响较大的是Intel 1995年到2013年的老处理器，最高可达50%  （见出处7）

o PCWorld执行编辑Gordon Mah Ung评测表明：i7版Surface Book重伤，SSD性能腰斩  （见出处8）

o phoronix已对此进行了测试，IO性能几乎下降了50%，编译性能下降了接近30%，postgresql和redis也有差不多20%的性能下跌  （见出处9）

o Redhat发布的测试报告表明Linux下的OTLP数据库性能将下降8-19%  （见出处10）

o ……

（所以，你可以想见云服务商部署补丁的动力了吧，这可能意味着，如果云服务价格保持不变，业绩可能立马大涨啊！赶紧埋伏他们的股票吧）

4已知的补丁未必有用

1月22日多家媒体爆料Linux系统之父Linus Torvalds在社区大爆粗口，指责Intel发布的补丁“是彻头彻尾的垃圾”，不仅没有用处，还加剧了性能问题  （见出处11）。由此推断，针对CPU M/S漏洞的补丁可能还有很长的路要走。

CPU厂商员工可能累晕在厕所，而企业IT主管可能哭晕在厕所：不打补丁，出了安全事故扛不起；打补丁，打开的都是火山口。我老Z心地纯良，肯定会唤醒并扶起：兄弟，快醒醒，补丁的事情不过是这件事的1%呢！

 

  

正确的姿势是什么？

那么正确的姿势是什么呢？

1提升关键信息资产的安全防护

既然目前没有良好的补丁，那么提升关键信息资产的安全防护就变得十分急迫。现在要从（透明）计算也不安全的假设出发，重新审视信息安全的防护技术和管理体系，进一步优化防护逻辑和技术部署。显然，启动对于关键信息访问和处理的双重、多重因素验证，可能是最经济快速的方法之一。

就我粗鄙的理解，号称无法篡改的某某币在这次漏洞目前可能最容易被攻击，正在发生的交易所比特币被盗是不是与此有关我不知道，但是如此先进的某某币居然只能用密码作为身份鉴别和资产保护的唯一手段，我心里也只有大写的服！

2严密关注事态进展

目前情况下，需要紧密跟踪各主要CPU厂商、操作系统厂商、设备厂商和相关技术社区的公告和评测，关注事态进展，跟进做好应急预案工作。

3新补丁：测试、测试，再测试

重要的事情说3遍，尤其在补丁已经引发大面积故障的情况下。那么接下来可以打补丁了呢？不！

4做好计算资源容量规划

各路神仙已经为我们分析并证明了补丁将显著影响系统性能，未来新补丁也不乐观。很多企业的IT系统性能下降10%都要崩溃，哪能不做好准备就勒紧系统的脖子呢？

很有可能，过去你对各个系统的容量关系经验都归零！

AWS发布的评测和AWS社区中不同的用户的反馈表明：引发的性能下降因不同的系统差异很大 （见出处12） 。

举个例子，往常你开车回家需要40分钟，堵车厉害或者发生交通事故时，你也经历过，大概的影响也都知道。现在的情况是：为了让汽车在到处是坑的沙路上行驶，你安装了履带；为了防止有水倒灌，你密封了发动机排气管；为了防止有人透过玻璃偷窥车里，把所有的玻璃都换成不透光的坚固金融，只留下看路必须的小孔……那么你估计现在这种情况下什么时间、花费多少汽油到家？

由于容量的复杂性，过去很多企业IT部门靠拍脑袋做容量规划，在容量从零增长的过程中还能应对。但是现在面对的是正在处理大规模交易的系统，容量关联关系、性能影响的经验可能完全失效，必须快速建立新的容量分析模型，为打补丁的系统进行预选容量准备，防止系统因为补丁崩溃？

是时候引入并使用容量分析与预测系统了。

a. 收集系统的历史性能数据，包括业务性能KPI（如单位时间交易数、同时并发用户数、单个交易总时间等）、基础设施资源性能KPI（如CPU利用率、内存利用率、IO读写速度等）、重要组件性能KPI（如数据库、中间件的典型交易处理时间等）；

b.对历史性能数据进行容量建模。通过机器学习等人工智能算法和数据训练，建立历史性能容量模型；

容量模型与分析示意

c.将新补丁在系统测试环境（stage）中进行性能压力测试，收集性能数据，使用容量分析工具进行再次建模；

d.比较前后2次模型的差异。以历史数据模型预测的业务性能KPI容量趋势作为容量需求，使用测试数据模型预测对于打补丁后对资源的需求，将历史数据模型预测的资源需求作为资源容量需求（范围）下限，或者使用其他方法综合2个不同的容量预测结果；

e. 如果新的测试数据不足以进行数据训练和建模，则分析典型负载情况下性能的变化（恶化）比例，在历史数据模型下进行what-if分析，即假设不同资源性能参数如果发生不同比例的变化，分析容量需求将发生什么改变；

What-if分析示意

5准备好新增计算资源配给

根据补丁优先级策略，参考容量分析预测结果，准备好相应的资源，为补丁变更部署做好外部环境。

6与业务部门、客户保持沟通

尽快向业务部门通报CPU M/S漏洞对业务可能产生的影响，发展动态和IT准备的相关预案，需要业务部门做好业务预案，保持和客户的良好沟通。当准备补丁变更部署时，事先需要和业务部门共同评估变更方案、影响分析和回退计划等，待业务部门做好准备、同意后才能开展变更。

7生产环境补丁部署和资源扩容

这是一次大规模的部署，如果使用补丁自动化部署工具，配置好部署策略，那么就不用担心部署速度和人工操作风险了。在自动化大行其道的今天，很多企业IT资源的扩容也已经自动化了。还没有实现自动化的企业可要抓紧了，不然一年来一次这样的部署，累的工程师全离职不能怪政府啊！

8持续监控运行情况

针对打补丁的系统和新增的资源，要及时配置好监控系统，提升监控频度，严密持续监视运行情况，严密持续从各种渠道收集新补丁在其他企业和机构部署使用的反馈的情况，及时采取措施应对。

冬练三九，在有效补丁还没有出来之前，是时候做点长期重要并有价值的准备活动了，你懂的。

欢迎关注我的微信公众号！

信息来源：

1. http://www.sohu.com/a/216660409_465976

2. https://www.baidu.com/link?url=o0spv5dAi8E5xOKC1HmmLdlgxl3q7iwUNaEGClrIy41IZ4T8RTtnwH2xCIWVZkt0bHR6Gd_D_f1qGQBKp01nAbcPapm3TdqCg5jwcnrYpzy&wd=&eqid=dae80f580003893b000000035a6d9541

3. http://www.sohu.com/a/216660409_465976

4. http://news.mydrivers.com/1/562/562050.htm

5. https://newsroom.intel.cn/news-releases/press-release-2018-jan-12-02/

6. https://newsroom.intel.cn/news-releases/press-release-2018-jan-23-02/

7. http://tech.sina.com.cn/roll/2018-01-04/doc-ifyqinzs8450479.shtml

8. http://www.orz520.com/a/science/2018/0128/9525948.html?from=haosou

9. https://link.zhihu.com/?target=https%3A//www.phoronix.com/scan.php%3Fpage%3Darticle%26item%3Dlinux-415-x86pti%26num%3D2

10. https://access.redhat.com/articles/3307751

11. http://t.cj.sina.com.cn/articles/view/1826017320/6cd6d028020002rt9