王克：謹慎應對英特爾CPU漏洞門

近日，英特爾微處理器存在嚴重設計缺陷被披露，此后，許多知名廠商和公司競相發布補丁。然而這是一個計算機底層硬件的缺陷，牽一發而動全身，打補丁可能會造成系統效率和可靠性下降，應該謹慎應對，防止出現更不想看到的后果。 計算機保護操作系統內核數據主要目的不是防止信息泄露，而是保證系統效率和可靠性。用戶數據一般在用戶進程區不在內核存儲區（因為內核程序也不是信任程序）。這次披露的漏洞危害性還需觀察。 有人問：密鑰和權限在內核，有了這些，用戶數據不就全曝光了嗎？ 反問：密鑰一般是加密存儲如何解密？拿到系統權限數據的程序就有相應權限嗎？道理很簡單，拿到別人證件數據不代表你就是那個人。可能是可能，或許是想象。 要利用這個漏洞實現攻擊還有幾個條件： 1. 從內存雜亂無章的數據中解析出“權限數據結構”不是件簡單的事，也差不多是個AI程序了； 2. 攻擊程序要植入到云平臺中，而云平臺的程序是不可隨便安裝運行的。 想搞用戶數據的人分三類： 一是國家級的，它們不用到云里拿數據，網上監聽即可（多數數據不加密傳輸），也可以在內核程序安插“間諜”； 二是商業競爭對手，要有實力，有實力的對手不需到云上偷你的數據，用其它手段可以搞定； 三是黑產小偷，能讓黑產小偷程序進入云平臺，這樣的云平臺應該關閉。 把住云平臺軟件關口是解決問題的關鍵，冒著系統可靠性風險打補丁應該慎重。 至于個人隱私首先要有保不住密的理念，就是不怕自己的個人信息泄漏。信息社會人人都是裸奔，看想知道你個人信息的人是誰了。（即使誰都不知道，人在做天也在看） 目前數據不加密在網上傳輸比比皆是，數據在網上裸奔還擔心在云端泄露，還要冒系統效率和可靠性風險給硬件漏洞打補丁，網絡安全措施還沒用在正地方。 和現實社會一樣，丟東西是個永恒話題，小偷天天在，就在你身邊，家家的門鎖都可以不用鑰匙打開，那也不必驚慌，沒有必要鬧得岌岌可危，更不能把門窗封死，連蚊蠅也飛不進。 數據保密是相對的，安全風險和解決安全問題的代價要平衡。 網絡安全很重要，從事網絡安全的人應該研究安全漏洞，提醒大眾提高安全意識。而大眾也不要聽專家說多么可怕的安全漏洞就驚慌失措，不顧代價倉促應對。 醫生的話要聽，但不要全聽。 來源：中關村信息安全產業聯盟