截至歐洲時(shí)間14日早晨，“想哭”勒索病毒已經(jīng)侵害150個(gè)國(guó)家的20萬(wàn)臺(tái)電腦，而這一數(shù)字還在增加；Intel被檢測(cè)出潛伏在其芯片內(nèi)長(zhǎng)達(dá)七年的漏洞，各類芯片病毒層出不窮，危害嚴(yán)重，芯片到底怎么了？

“想哭”病毒風(fēng)暴席卷全球

至歐洲時(shí)間14日早晨，多達(dá)150個(gè)國(guó)家的20萬(wàn)臺(tái)電腦遭“想哭”勒索病毒侵害。預(yù)料，到15日，人們回返公司上班，這一數(shù)字還會(huì)進(jìn)一步增加。歐洲刑警組織和其他警察機(jī)構(gòu)還不知道誰(shuí)是幕后元兇，他們假設(shè)這是刑事案子，目前正朝這個(gè)方向調(diào)查。

據(jù)了解，此輪黑客攻擊在12日開始，全球包括歐美和亞洲等地至少150個(gè)國(guó)家的政府機(jī)構(gòu)、銀行、工廠、醫(yī)院、學(xué)府的電腦系統(tǒng)先后遭黑客攻擊。俄羅斯和印度的情況最嚴(yán)重，這兩個(gè)國(guó)家“仍廣泛使用最容易中招的微軟視窗XP系統(tǒng)”。這一電腦病毒主要針對(duì)運(yùn)行微軟視窗系統(tǒng)的電腦。電腦受感染后會(huì)顯示一個(gè)信息，指系統(tǒng)內(nèi)的檔案已被加密，用戶須向黑客支付約300美元的比特幣來贖回檔案。若三天內(nèi)未收到贖金，這筆錢將翻倍；若七天內(nèi)還是沒收到，就會(huì)把所有文件刪除。有很多企業(yè)付錢，目前數(shù)額應(yīng)該不多，但這筆金額或許還會(huì)增加。黑客列出的比特幣地址所收到的贖金大約有32000美元。美國(guó)國(guó)土安全部的電腦緊急應(yīng)對(duì)小組稱，支付贖金也不能保證加密文件會(huì)被釋放，而是還可能讓這些黑客獲得他們的銀行信息。

多家網(wǎng)絡(luò)保安公司認(rèn)定，該病毒源自美國(guó)國(guó)家安全局病毒武器庫(kù)。上個(gè)月，美國(guó)國(guó)安局遭遇泄密事件，其研發(fā)的多款黑客攻擊工具外泄。該病毒主要針對(duì)微軟的永恒之藍(lán)的漏洞進(jìn)行傳播和攻擊。一旦電腦感染該病毒，被感染電腦會(huì)主動(dòng)對(duì)局域網(wǎng)內(nèi)的其他電腦進(jìn)行隨機(jī)攻擊，局域網(wǎng)內(nèi)沒有修補(bǔ)漏洞的電腦理論上將無(wú)一幸免的感染該病毒。

“想哭”勒索病毒發(fā)展速度迅猛，對(duì)我國(guó)的很多行業(yè)網(wǎng)絡(luò)也造成極大影響，目前已知遭受攻擊的行業(yè)包括教育、石油、交通、公安等，針對(duì)這個(gè)情況，公安部網(wǎng)安局正在協(xié)調(diào)我國(guó)各家網(wǎng)絡(luò)信息安全企業(yè)對(duì)這個(gè)勒索蠕蟲病毒進(jìn)行預(yù)防和查殺。據(jù)公安部網(wǎng)安局專家介紹，雖然目前國(guó)內(nèi)部分網(wǎng)絡(luò)運(yùn)營(yíng)商已經(jīng)采取了防范措施，但是在一些行業(yè)內(nèi)網(wǎng)中依然存在大量漏洞，并成為攻擊目標(biāo)，高校成為了重災(zāi)區(qū)。

根據(jù)網(wǎng)絡(luò)安全公司數(shù)據(jù)統(tǒng)計(jì)，截止5月13日晚8點(diǎn)，我國(guó)共有39730家機(jī)構(gòu)被感染，其中教育科研機(jī)構(gòu)有4341家，病毒利用了445的一個(gè)重要的端口。校園網(wǎng)因?yàn)閕p直連的情況，導(dǎo)致沒有一個(gè)nat和防火墻來阻斷對(duì)445端口的訪問所以在校園網(wǎng)沒有打補(bǔ)丁的機(jī)器就直接暴露在病毒之下了。另外，病毒有主動(dòng)攻擊的特性，所以每一次傳播范圍都很廣。電腦被感染后，不到十秒，電腦里的所有用戶文件全部被加密無(wú)法打開。加密的文件會(huì)根據(jù)病毒指引去付贖金獲得密鑰，但是根據(jù)目前的研究看成功的幾率非常低，整個(gè)互聯(lián)網(wǎng)安全界在積極的探索有沒有辦法解開這個(gè)密鑰。因?yàn)樗玫氖歉邚?qiáng)度非對(duì)稱加密的算法，這個(gè)密鑰空間非常大，就算用暴力破解也需要非常長(zhǎng)的時(shí)間，目前來看是不可接受的。

針對(duì)已經(jīng)被感染病毒的用戶，專家建議首先使用安全軟件查殺蠕蟲病毒，并保留被加密的文件，待日后網(wǎng)絡(luò)安全公司找到有效方法后再進(jìn)行解鎖。目前唯一的防范措施就是上班一定要先拔網(wǎng)線，安裝安全軟件，打上補(bǔ)丁，然后再插上網(wǎng)線進(jìn)行工作，否則沒有打補(bǔ)丁的電腦非常大的幾率會(huì)收到蠕蟲病毒攻擊。

微軟被千夫所指，Intel難逃厄運(yùn)

“想哭”勒索病毒主要針對(duì)微軟永恒之藍(lán)的漏洞，而且使用WindowsXP，Windows2003操作系統(tǒng)的用戶暫時(shí)無(wú)法修復(fù)漏洞，一時(shí)間微軟被千夫所指，有口難辨。

無(wú)獨(dú)有偶，Intel在前幾日被檢測(cè)出潛伏在其芯片中長(zhǎng)達(dá)7年的遠(yuǎn)程劫持漏洞，其嚴(yán)重程度遠(yuǎn)超想象，最新發(fā)現(xiàn)的漏洞存在于Intel的AMT主動(dòng)管理技術(shù)當(dāng)中，該技術(shù)允許用戶通過遠(yuǎn)程連接來獲得計(jì)算機(jī)的完全控制權(quán)，因此安全性更加重要。

TenableNetworkSecurity在最新報(bào)告中稱，AMT技術(shù)被設(shè)計(jì)為訪問認(rèn)證時(shí)系統(tǒng)會(huì)用加密哈希值（cryptographichash）驗(yàn)證身份，然后才授權(quán)登錄。但是，最新研究發(fā)現(xiàn)這一驗(yàn)證技術(shù)存在嚴(yán)重漏洞，哈希值可以是任何東西，甚至連文字串都不需要。對(duì)此，TenableNetworkSecurity的技術(shù)主管CarlosPerez表示，即使輸入錯(cuò)誤的哈希值也可以獲得授權(quán)，甚至已有可以完全繞開驗(yàn)證機(jī)制的方法出現(xiàn)。安全公司Embedi的技術(shù)人員也發(fā)現(xiàn)了上述AMT技術(shù)漏洞，并表示該漏洞自2010年就已經(jīng)存在于Intel推出的部分芯片當(dāng)中，比如vPro處理器。

對(duì)于曝光的安全問題，Intel目前已經(jīng)表示會(huì)在一周內(nèi)發(fā)布相關(guān)的修復(fù)補(bǔ)丁，并會(huì)通過新固件的方式推送。

果然！不是所有的芯片都是好芯片

除了Intel芯片漏洞之外，其它芯片問題也是數(shù)不勝數(shù)。

中國(guó)曾公布的《美國(guó)全球監(jiān)聽行動(dòng)紀(jì)錄》報(bào)告揭露了美國(guó)通過“棱鏡”計(jì)劃監(jiān)聽世界各國(guó)特別是中國(guó)的證據(jù)。實(shí)際上，除了該報(bào)告以及之前各國(guó)媒體曝光的美國(guó)國(guó)家安全局監(jiān)聽手段以外，還有后門植入芯片的竊密方式。

美國(guó)公司對(duì)外出售的一些服務(wù)器、程控交換機(jī)具備遠(yuǎn)程維護(hù)功能。也就是通過網(wǎng)絡(luò)，由其母公司對(duì)服務(wù)器、交換機(jī)進(jìn)行診斷和維護(hù)，而如果在這項(xiàng)功能中提前設(shè)置“被植入芯片的后門”，那意味著美國(guó)即便不與網(wǎng)絡(luò)經(jīng)營(yíng)商簽訂協(xié)議，也可以任意復(fù)制服務(wù)器上的信息，或者通過這種方式監(jiān)控重要用戶信息。另外，“被植入芯片的后門”還可以通過計(jì)算機(jī)電源線竊取相關(guān)信息。

不過美國(guó)也自身難保，常常搬起石頭砸自己的腳，亦不能避免其它國(guó)家芯片病毒對(duì)自己的攻擊。

2003年，美國(guó)俄亥俄州核電廠控制網(wǎng)絡(luò)的一臺(tái)計(jì)算機(jī)芯片被“SQLServer蠕蟲”感染，其安全監(jiān)控系統(tǒng)停機(jī)近5個(gè)小時(shí)；

2008年，在美國(guó)國(guó)家安全局一臺(tái)發(fā)電機(jī)控制系統(tǒng)芯片受到攻擊后被物理?yè)p壞。

2010年7月，德國(guó)專家發(fā)現(xiàn)世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)芯片的破壞性病毒，伊朗、印度尼西亞、印度和美國(guó)等國(guó)均遭到攻擊。

另外，國(guó)內(nèi)芯片也是隱患重重，最常見的就是BIOS病毒，它寄生在主板BIOS芯片里，BIOS是電腦基本輸入輸出系統(tǒng)，安裝在計(jì)算機(jī)主板的芯片上，提供最底層的、最直接的硬件設(shè)置和控制。這是一個(gè)格式化硬盤也無(wú)法觸及的高地，典型的BIOS病毒包括CIH、BMW（mebromi）和諜影。

1、CIH

1998年出現(xiàn)的CIH可以說是臭名昭著，它是首例破壞電腦硬件的病毒，從磁盤主引導(dǎo)區(qū)開始依次在磁盤中寫入垃圾數(shù)據(jù)，直到磁盤數(shù)據(jù)被全部破壞為止。有些品牌的主板BIOS也會(huì)被CIH破壞。CIH最早是通過盜版光碟傳播，在全世界范圍造成了極大損失。

2、BMW

2011年，第一個(gè)真正意義上的BIOSrootkit在中國(guó)出現(xiàn)，這個(gè)病毒被360稱為BMW（連環(huán)感染BIOS、MBR、Windows），賽門鐵克對(duì)其命名為Mebromi。與CIH相比，BMW的危害更大，它會(huì)聯(lián)網(wǎng)下載任意程序，不僅可以竊取或破壞硬盤數(shù)據(jù)，還可按照黑客指令實(shí)施盜號(hào)、遠(yuǎn)程控制肉雞和篡改瀏覽器。

3、諜影

在CIH和BMW病毒之后，BIOS早已成為安全軟件嚴(yán)防死守的重地，任何程序都無(wú)法隨便去改寫B(tài)IOS。于是，寄生在二手主板的諜影病毒出現(xiàn)了。諜影病毒被預(yù)先刷入主板中，再通過電腦配件網(wǎng)店銷售，它的顯著特征是會(huì)生成一個(gè)名為aaaabbbb的系統(tǒng)賬號(hào)，任由黑客遠(yuǎn)程控制。

安全芯片成市場(chǎng)寵兒

“道高一尺，魔高一丈”，芯片病毒種類繁多，危害嚴(yán)重，導(dǎo)致越來越多的商家開始使用高成本、高技術(shù)的安全芯片，安全芯片一躍成市場(chǎng)新寵。

安全芯片就是可信任平臺(tái)模塊，是一個(gè)可獨(dú)立進(jìn)行密鑰生成、加解密的裝置，內(nèi)部擁有獨(dú)立的處理器和存儲(chǔ)單元，安全芯片所起的作用相當(dāng)于一個(gè)“保險(xiǎn)柜”，最重要的密碼數(shù)據(jù)都存儲(chǔ)在安全芯片中，通過SMB系統(tǒng)管理總線與筆記本的主處理器和BIOS芯片進(jìn)行通信，然后配合管理軟件完成各種安全保護(hù)工作，而且根據(jù)安全芯片的原理，由于密碼數(shù)據(jù)只能輸出，而不能輸入，這樣加密和解密的運(yùn)算在安全芯片內(nèi)部完成，而只是將結(jié)果輸出到上層，避免了密碼被破解的機(jī)會(huì)。

安全芯片功能

安全芯片配合專用軟件可以實(shí)現(xiàn)以下功能：

1、存儲(chǔ)、管理密碼功能

以往這些都是由BIOS做的，忘記了密碼只要取下BIOS電池，給BIOS放電就清除密碼了。如今這些密鑰實(shí)際上是存儲(chǔ)固化在芯片的存儲(chǔ)單元中，即便是掉電其信息亦不會(huì)丟失。相比于BIOS管理密碼，安全芯片的安全性要大為提高。

2、加密功能

安全芯片除了能進(jìn)行傳統(tǒng)的開機(jī)加密以及對(duì)硬盤進(jìn)行加密外，還能對(duì)系統(tǒng)登錄、應(yīng)用軟件登錄進(jìn)行加密。比如目前常用的MSN、QQ、網(wǎng)游以及網(wǎng)上銀行的登錄信息和密碼，都可以通過TPM加密后再進(jìn)行傳輸，這樣就不用擔(dān)心信息和密碼被人竊取。

3、加密硬盤的任意分區(qū)功能

可以加密硬盤的任意一個(gè)分區(qū)，可以將一些重要文件放入該分區(qū)以策安全。

安全芯片支持國(guó)家密碼管理局指定的對(duì)稱密碼算法、非對(duì)稱密碼算法和雜湊算法，同時(shí)支持國(guó)際通用其他密碼算法它的特點(diǎn)；比如對(duì)稱密碼算法：SM1；非對(duì)稱密碼算法：SM2；雜湊算法及哈希算法：SM3。安全芯片集成了高速的安全加密算法和通訊接口，采用獨(dú)有的數(shù)據(jù)流加解密處理機(jī)制，實(shí)現(xiàn)了對(duì)高速數(shù)據(jù)流同步加解密功能，在加解密速度上全面超越其它芯片。

安全芯片特性

·芯片防篡改設(shè)計(jì)，唯一序列號(hào)，可防止SEMA/DEMA、SPA/DPA、DFA和時(shí)序攻擊；

·多種檢測(cè)傳感器：高壓和低壓傳感器，頻率傳感器、濾波器、脈沖傳感器、溫度傳感器等；

·具有傳感器壽命測(cè)試功能，一旦芯片檢測(cè)到非法探測(cè)，將啟動(dòng)內(nèi)部的自毀功能；

·總線加密，具有金屬屏蔽防護(hù)層，探測(cè)到外部攻擊后內(nèi)部數(shù)據(jù)自毀；

安全芯片分類

目前市面上的安全類芯片主要包括以下幾種：

1、AT88SC系列邏輯加密卡

標(biāo)準(zhǔn)訪問：對(duì)用戶存儲(chǔ)區(qū)的讀寫訪問無(wú)任何限制；口令訪問：對(duì)用戶存儲(chǔ)區(qū)的讀寫訪問需要口令驗(yàn)證；認(rèn)證訪問：通過不同用戶區(qū)所設(shè)定的口令檢驗(yàn)才能訪問用戶數(shù)據(jù)區(qū)；加密驗(yàn)證訪問：須先經(jīng)過認(rèn)證，認(rèn)證成功后以某個(gè)數(shù)據(jù)為密鑰再次認(rèn)證，再重復(fù)一次認(rèn)證訪問。

2、G7010/G7015

將MCU通過兩安全密鑰和制作商編號(hào)計(jì)算所得序號(hào)與芯片計(jì)算的序號(hào)相比較，每次密鑰可不同。

3、FS88x6系列芯片

把系統(tǒng)中重要的數(shù)據(jù)或代碼放在FS88x6中；系統(tǒng)CPU將ESW和Digest根據(jù)設(shè)定的要求分批的送入FS88x6，F(xiàn)S88x6將根據(jù)對(duì)應(yīng)的算法以及預(yù)存的密鑰，對(duì)送進(jìn)來的代碼進(jìn)行計(jì)算校驗(yàn)并反饋認(rèn)證結(jié)果，以達(dá)到保護(hù)系統(tǒng)的目的；3、在I2C/SPI總線上的數(shù)據(jù)，每次都是通過隨機(jī)數(shù)加密的缺點(diǎn)是端口進(jìn)行數(shù)據(jù)分析就容易被破解。

4、DM2016

將用戶MCU加密計(jì)算的結(jié)果送給安全芯片，安全芯片再解密的結(jié)果送回MCU進(jìn)行比較。

5、LKT安全芯片

將CPU或者是軟件中的一部分程序移植到安全芯片中，沒有此安全芯片cpu的程序不完整，LKT安全芯片提供了DES、3DES加解密功能。

另外，集美大學(xué)計(jì)算機(jī)工程學(xué)院教授劉年生用了3年時(shí)間研制出名為“適用于RFID（射頻識(shí)別）讀寫器的安全芯片設(shè)計(jì)”—它把傳輸?shù)臄?shù)據(jù)加密后，最長(zhǎng)需要2048位密碼才能解密。

芯師爺小結(jié)：電腦病毒肆虐，芯片問題重重，“安全芯片”也只是更多了一層保障，并不意味著絕對(duì)安全，小編還是要提醒一下芯粉們，“電腦有風(fēng)險(xiǎn)，上網(wǎng)需謹(jǐn)慎啊”！