英特尔与 Uber 都摊上事儿了: 前者曝光系统安全漏洞, 后者隐瞒数据被盗事实
本文发布于机器之能(微信公众号:almosthuman2017),转载请联系 jqzn@jiqizhixin.com。
今天对于科技界的两位巨头,特别是他们的安全技术人员来说,可能并不是好过的一天。
他们一个是最近频频在公开场合露面的芯片企业英特尔,一个是在共享经济与无人驾驶领域都颇有建树的科技独角兽 Uber。
其中,前者在今天公布的一项安全建议中披露,其运行在芯片组一个单独微处理器上的独立子系统——Management Engine 出现了安全漏洞,而该漏洞所可能导致的最坏情况是「在用户和操作系统没有意识到的情况下,加载和执行任意代码」;
而后者则陷入了更大的麻烦,甚至成为了今天科技圈所有外媒的「头版头条」:
5700 万乘客与司机的个人信息被盗取。这个事实被 Uber 隐瞒了一年左右,且曾用 10 万美元“封嘴费”要求黑客删除被盗信息并保持沉默。
在这起引发科技界震动的丑闻曝光后,Uber 再次被推向风口浪尖,其首席安全官 Joe Sullivan 与他的一位副手被迫下台,而 Uber 也将开始正式接受纽约总检查长与联邦贸易委员会的的调查。
首先,我们来看看英特尔自己主动公布的一项安全漏洞:
多年来,安全研究人员一直在对英特尔的远程管理功能(即管理引擎,Management Engine,简称 ME)发出警告。
该平台对 IT 管理者有很多有用的功能,但是其需要获取对深层系统的访问权限,这对攻击者来说是极具诱惑性的目标——为管理引擎提供如此的权限可能导致计算机被其他人完全控制。
如今,在几个研究小组发现了 ME 的漏洞后,英特尔已经确认了最坏情况发生的可能性。
就在美国时间周一,英特尔发布了一项安全建议,罗列出了 ME 中新的弱点以及在远程服务管理工具 Server Platform Services 与硬件认证工具 Trusted Execution Engine 中的漏洞。
受到近期研究的影响,英特尔对自己的产品进行了安全性审查,发现了其中存在的缺陷。
随即,公司发布了检测工具,Windows 与 Linux 用户可以使用该工具查看系统是否暴露在这些漏洞之下。
上层管理
管理引擎(Management Engine)是运行在英特尔芯片组一个单独微处理器上的独立的子系统;它的存在允许管理者远程控制其计算机上所有的功能,从更新到故障排除。
正是因为管理引擎拥有广泛的访问权限并且可以完全控制主系统处理器,所以管理引擎中的缺陷为攻击者提供了一个强有力的起始点。一些人甚至将 ME 称为一项「多余」的安全隐患。
根据俄罗斯固件研究员 Maxim Goryachy 与缺陷评测公司 Positive Technologies 的 Mark Ermolov 下月将要在著名黑客大会「黑帽欧洲」(Black Hat Europe)上发表的结果,英特尔专门进行了发言人 Agnes Kwan 所说的「积极的、广泛的、严格的产品评估」。
结果展示了 ME 上的一个漏洞,该漏洞可以在最新的英特尔芯片组上运行无记名、无验证的代码,使用管理引擎作为不受限的启动点获得越来越多的控制权限。
此外,研究人员还揭露了 ME 的一个危险的特性:
即使计算机处于「关闭」状态,(只要插入设备)代码也能运行,因为 ME 在单独的微处理器上,实际上它相当于一台完全独立的计算机。
与之前 ME 的漏洞一样,几乎所有的英特尔芯片都在此次事件的影响范围内,服务器、个人计算机和物联网设备都受到波及。
而更复杂的问题是:英特尔可以向制造商提供更新服务,但是客户需要等待硬件公司发布修补程序。英特尔维持了可用固件更新的列表,但是至今为止只有联想公司提供了修补程序。
不过,英特尔还是确认了最坏情况发生的可能性。
「这些更新现在可以使用了,」英特尔在给外媒 Wired 中的声明中说道,「商业、系统管理员和使用含有英特尔产品的计算机用户或是硬件设备用户,应该检查其设备生产商或供应商是否为系统进行了更新,应该尽可能快地为系统进行适当的更新。」
此外,在很多情况下,补丁需要一段时间才能起效。
值得注意的是,新披露出的漏洞可能导致不稳定或者系统崩溃。攻击者可以使用这些漏洞伪装成 ME、 Server Platform Services 和 Trusted Execution Engine 侵蚀安全验证。
英特尔表示,这些漏洞甚至可以「在用户和操作系统没有察觉的的情况下,加载和执行任意代码」,而这才是 ME 最危险的地方。
如果这一点被利用,它可以完全独立于主计算机运行,这意味着许多 ME 的攻击者可以不引发警报就进行操作。
尚不明确的后果
不过,鉴于英特尔公布的信息有限,所以 ME 漏洞真正的影响还未可知。
密码学工程师与研究员 Filippo Valsorda 表示这看起来似乎很糟糕,不过,他们还不清楚利用这些漏洞的难易程度:
「可能将有大范围的机器受到影响,不仅限于服务器。对此,英特尔似乎深感担忧,不但发布了检测工具,并且对发布版本做了精心策划。」
而好消息则是大部分的漏洞需要利用本地的访问权限;且必须有人接触到设备或者深入网络。
但是,英特尔提醒道,如果攻击者拥有管理权限的话,则可以远程利用一些新的漏洞。而且一些漏洞还可能允许特权升级,这可能会使得攻击者以标准用户状态为起始点逐渐拥有更高级别的网络访问权。
「仅根据公开的信息,我们还无法得知这些漏洞造成了多严重的后果。可能没有危害,但也可能十分严重,」当漏洞首次被公布时,谷歌的安全研究员 Matthew Garrett 在推特上写到。
但是他很快补充说,「仔细想想,有很多结果我没注意到,这也可能没有危害。」
ME 漏洞所造成的负面影响需要一定的时间才能显现出来,但是对于多年来已经警告过 ME 危险性的研究员来说,英特尔的补救措施似乎没有带来多少安慰。
再来看 Uber 惹上的麻烦,这桩丑闻或许会让最近形式略有好转的Uber再次深陷泥潭:
「黑客窃取了 Uber 公司中 5700 万客户和司机的个人数据」,而这条信息,是 Uber 隐藏了超过一年的违规行为,也在今天被正式向全球披露。
就在本周一,Uber 公司开除了其首席安全员和他的一位副手。因为他们竟然对黑客的行为保持缄默,并向网络黑客支付了 10 万美元的款项。
Uber 于周二告诉彭博社,2016 年 10 月针对公司的一次网络攻击泄露了全球将近 5000 万名 Uber 司机的数据,包括姓名、邮箱和电话号码。
另外,有约 700 万司机的个人信息也被访问,其中包括大约 60 万美国司机的驾照号码。
但是 Uber 强调,这次攻击并没有泄露社会保障号、信用卡信息和行程细节等数据。
在 1 年前的事故发生时,Uber 曾与美国监管机构就涉及隐私侵犯的单独指控进行谈判。Uber 的说法是,公司本有法律责任举报黑客,并告知那些信息已经泄露的司机。然而,公司却曾经付费让黑客删除数据并使其保持沉默。
Uber 这样补充:公司相信黑客没有使用这些信息,但拒绝透露攻击者的身份。
「这些事本不该发生,我也不会为它找任何借口。」在今年 9 月份接任首席执行官的 Dara Khosrowshahi 在一份电子邮件的声明中这样说道,「我们正在改变做生意的方式。」
这个「秘密」在周二被披露后,纽约总检察长 Eric Schneiderman 发言人 Amy Spitalnick 表示,将对这起黑客事件展开调查。
丑闻内幕曝光,Uber 高层发生变动
近年来,黑客已经成功渗透到众多科技公司内部。尽管 Uber 的这起丑闻很严重,但比起 Yahoo、Myspace、Target、Anthem 和 Equifax 曾经发生的数据泄露与安全事件,也算是小巫见大巫。
不过令人震惊的是,Uber 采取了的措施过于极端——向外界隐瞒黑客攻击的事实。这起事件应该是 Khosrowshahi 接任首席执行官以来爆出的最新丑闻。
公司声称,Uber 联合创始人兼前首席执行官 Kalanick 在 2016 年 11 月,即黑客窃取数据后一个月,就获悉此次攻击行为。而今天消息曝光后,Kalanick 拒绝对黑客事件发表评论。
(前 Uber 创始人兼首席执行官 Kalanick 因各种丑闻被迫下台)
而当下,Uber 的补救措施则是刚刚对就数据安全披露问题向纽约总检察长提起诉讼,并正在就处理消费者数据的问题与联邦贸易委员会进行谈判。
一位发言人向彭博社透露,即将离职的安全主管 Joe Sullivan 带头回应了去年的这起黑客攻击事件。
Sullivan 曾经是一位联邦检察官,他于 2015 年从 Facebook 公司离职并加入 Uber,此后便一直是 Uber 决策层的中心人物。
但没想到,他却让 Uber 栽了跟头。彭博社上个月报道说,董事会已经对 Sullivan 安全团队的行动进行了调查。公司表示,在这个由外部律师事务所调查的项目中,他们发现了黑客攻击事件与一些从未披露的信息。
而以下就是黑客攻击的具体细节:
两名攻击者访问了 Uber 软件工程师的私人 Github 站点并拿到了登录授权,随后获取了储存在 Amazon Web Services 账户中的数据。该账户被用于处理公司计算任务。
在那里面,黑客们发现了乘客与司机的信息档案。据 Uber 透露,黑客就此通过电子邮件向 Uber 勒索钱款。
根据美国各州及联邦的法律,公司在用户敏感信息泄露时,应及时向民众与政府机构发出警告。显然,Uber 有义务报告黑客的这起攻击与 5700 万数据被盗的事实,但公司却没有这样做。
现任 CEO Khosrowshahi 再次强调:「事件发生时,我们立即采取了措施保护数据,并且进一步关闭了未经授权的私人访问。同时,我们还采取了安全措施,以限制云存储访问,同时加强对云存储的管理。」
鲁莽与不堪的历史
自从 2009 年 Uber 成立以来,公司一度蔑视业务所在地区的法律,因此声誉逐渐变差。
熟悉相关事件的人说,美国至少对于 Uber 可能存在的贿赂、开发非法软件、可疑的定价方案以及盗窃竞争对手知识产权等问题进行了五次刑事调查;同时,这家独角也面临着数十起民事诉讼。
事实上,由于 Uber 的各种鲁莽行为,伦敦等地的政府已经采取措施关停了公司在当地的乘车服务。
2016 年 1 月,纽约总检察长曾向 Uber 处以 2 万美元罚款,原因是未能及时披露 2014 年早些时候发生的数据泄露事件。
而在去年网络攻击事件之后,Uber 表示,公司在跟黑客进行「讨价还价」的同时,也同时曾与联邦贸易委员会就一项隐私协议进行谈判,并在 3 个月前最终同意了联邦贸易委员会的和解协议。
但那时他们并没有承认错误,也没有告知去年的黑客攻击事件。
Khosrowshahi 上任后说过,他的目标是改变 Uber 的运营方式。本周二,在他的主持下,公司首次向纽约总检察长和联邦贸易委员会通报了这一事件。
同时,这位新任首席执行官提出让 Sullivan 辞职,并且解雇了向 Sullivan 汇报工作的高级律师 Craig Clark。两人对这此均未立即置评。
Khosrowshahi 在其邮件声明中表示:「我无法掩盖过去。我谨代表公司的每一位员工,保证从我们的错误中学习。」
Uber 表示,已经聘请国家安全局前首席法律顾问兼国家反恐中心主任 Matt Olsen 担任公司的安全顾问,他将帮助团队重建安全小组。
此外,Uber 也聘请了 FireEye 旗下的网络安全公司 Mandiant 调查这起黑客事件。
Uber 计划向客户发放声明,强调「并无证据表明攻击事件中的数据被滥用」。他们还表示,会为遭到信息泄露的司机提供免费的信用保护监控与身份盗窃保护。