持久的不安与短暂的平安：关于Meltdown和Spectre漏洞

本周，GoogleProject Zero 和奥地利科研机构的研究人员正式披露了三个处理器高危漏洞，分别编号为 CVE-2017-5753（Variant 1）、CVE-2017-5715（Variant 2）和 CVE-2017-5754（Variant 3），前两个漏洞被称为 Spectre（隔离），后一个漏洞被称为 Meltdown（熔断），这些漏洞几乎影响了所有主流的处理器、主流的操作系统、主流的云计算服务。Meltdown破坏了用户和操作系统之间的基本隔离，Spectre破坏了不同应用程序之间的隔离，而隔离、访问控制属于信息安全的基础手段，破坏后果就是数据泄漏，任何机密数据都可能泄露。

如果说曾经号称史上最严重的安全漏洞—心脏滴血（heartbleed）漏洞主要影响的还是采用OpenSSL协议加密登录及通信过程的电商及其用户，以及其它采用OpenSSL加密登录过程的网站，那么这次的漏洞比OpenSSL还要严重得多。

看到这一消息，我首先想到的是，我的天啊，这个级别的漏洞要是被放到voupen上得卖多少钱啊？或者是首先被拉撒路们拿到的话，指不定要掀起多大的血雨腥风呢。

能得到IOS或Andriod Root权限的0 dayexploit几年前在voupen上就可以卖到10万美金，而今天的Meltdown和Spectre漏洞风险之高、影响范围之大几乎属于有价无市的漏洞。

个人倾向于认为Meltdown和Spectre属于基础架构层面的设计漏洞，不是实现漏洞，而且估计几家处理器的架构设计人员早知道这种设计有问题但没有意识到潜在风险，或选择性的无视这种风险，没有主动解决或暴露出来。

幸运的是首先由安全研究人员而不是骇客披露了这些漏洞，相关厂商也都迅速做出了应急响应，使得这些漏洞被大规模利用并造成严重损失的概率大大降低，安全研究人员们像物理世界的110和119一样，为网络世界扑灭了引向火药桶的导火索，为我们赢得了短暂的平安。

没有明确的证据证明Meltdown和Spectre漏洞是因为在处理器设计和开发过程中可用性、性能、时间、成本、安全等诸多因素的PK中安全被放到不重要的位置而导致的，但是现在的绝大部分信息系统安全漏洞确实都是因为在设计和开发阶段没有给予安全以足够的重视而导致的。

早期的INTERNET和计算机硬件、软件厂商们都没有把安全作为主要的设计目标，比如在ISO9126软件质量模型中，安全性仅是27个质量子特性之一，而不是6个质量特性之一。

早期的安全设计理念也基本都是add-on而不是built-in，需要了就加一点；效率和安全之间，安全也常常被牺牲。安全是随着INTERNET发展起来的，而INTERNET是免费的并且首先考虑的是可用性，免费已经成了互联网经济或互联网思维的一个重要特征，所以人们容易产生类似的倾向：安全也应该是免费的，或廉价的。

对普通网民来说，个人防火墙软件或反病毒软件属于基本的网络安全保障手段，但如果这个软件是收费的，那么无论它是由多么有名的企业开发的，功能有多么强大，大部分人都会转而寻求其它免费的产品。随着网络对人类生活的影响日渐深入，人们开始认识到安全的重要，但同时却不愿意为安全买单，这大抵也是安全行业的现状。

可是免费不应该用到安全上。免费当然不等于不安全，但是商业不是慈善，如果增加了安全方面的投入但并没有收到商业上的回报那么这种负反馈就会影响将来产品的安全性。如果安全作为一种不能单独收费的特性，那无论是在设计、开发和实现阶段，安全都有可能被不同程度的牺牲掉，这样的做法已经形成了主流，结果就是人们营造的虚拟网络世界处于长期的不安全当中。

现在和将来的数字化时代，安全太重要了，但往往廉价的、免费的产品无法提供足够的安全保障，所以将来某一天，安全会成为昂贵的商品，无论是安全特性、安全产品、还是安全服务，厂商在安全上花的每一分钱，都将在给用户提供的商品或服务价格中体现出来，安全一定是最终的和最重要的差异化手段。

安全从来都是一个持续不断的过程而不是一个确定的结果，长久来看，人们仍将处于长期的不安中，漏洞会不断的披露，威胁会持续的出现，破坏与保护的博弈也不会停止。

黑莓手机、洋葱网络（TOR）都曾因为突出的安全性而拥有明确的使用群体，SSL 的使用也日益广泛。当人们普遍接受安全要额外收费并且安全和价格成正比例时，一个持久平安的时代才可能到来。