王克：谨慎应对英特尔CPU漏洞门

近日，英特尔微处理器存在严重设计缺陷被披露，此后，许多知名厂商和公司竞相发布补丁。然而这是一个计算机底层硬件的缺陷，牵一发而动全身，打补丁可能会造成系统效率和可靠性下降，应该谨慎应对，防止出现更不想看到的后果。 计算机保护操作系统内核数据主要目的不是防止信息泄露，而是保证系统效率和可靠性。用户数据一般在用户进程区不在内核存储区（因为内核程序也不是信任程序）。这次披露的漏洞危害性还需观察。 有人问：密钥和权限在内核，有了这些，用户数据不就全曝光了吗？ 反问：密钥一般是加密存储如何解密？拿到系统权限数据的程序就有相应权限吗？道理很简单，拿到别人证件数据不代表你就是那个人。可能是可能，或许是想象。 要利用这个漏洞实现攻击还有几个条件： 1. 从内存杂乱无章的数据中解析出“权限数据结构”不是件简单的事，也差不多是个AI程序了； 2. 攻击程序要植入到云平台中，而云平台的程序是不可随便安装运行的。 想搞用户数据的人分三类： 一是国家级的，它们不用到云里拿数据，网上监听即可（多数数据不加密传输），也可以在内核程序安插“间谍”； 二是商业竞争对手，要有实力，有实力的对手不需到云上偷你的数据，用其它手段可以搞定； 三是黑产小偷，能让黑产小偷程序进入云平台，这样的云平台应该关闭。 把住云平台软件关口是解决问题的关键，冒着系统可靠性风险打补丁应该慎重。 至于个人隐私首先要有保不住密的理念，就是不怕自己的个人信息泄漏。信息社会人人都是裸奔，看想知道你个人信息的人是谁了。（即使谁都不知道，人在做天也在看） 目前数据不加密在网上传输比比皆是，数据在网上裸奔还担心在云端泄露，还要冒系统效率和可靠性风险给硬件漏洞打补丁，网络安全措施还没用在正地方。 和现实社会一样，丢东西是个永恒话题，小偷天天在，就在你身边，家家的门锁都可以不用钥匙打开，那也不必惊慌，没有必要闹得岌岌可危，更不能把门窗封死，连蚊蝇也飞不进。 数据保密是相对的，安全风险和解决安全问题的代价要平衡。 网络安全很重要，从事网络安全的人应该研究安全漏洞，提醒大众提高安全意识。而大众也不要听专家说多么可怕的安全漏洞就惊慌失措，不顾代价仓促应对。 医生的话要听，但不要全听。 来源：中关村信息安全产业联盟