X86架构处理器与系统安全性有多大关系？

cairuohao

近日，波兰知名女性安全专家Joanna Rutkowska针对intel处理器提出安全性问题，指出的核心焦点在于CPU 内部采用的SMM管理机制。也就是说，假设黑客跳过所有外部安全因素及获得管理权之后，用户将素手无策。




但是，事物并不是建立在假设的基础之上，作为20年的PC机老用户，笔者很支持技术讨论，但某观点的理论和实际可能性有多大非常值得商榷，就此谈一些自己的观点和想法仅供参考。

　　纵观当今处理器市场格局，美国的Intel和AMD两家公司占据了几乎所有市场，而操作系统也9成以上是微软产品，无论你用Vista还是XP，32位还是64位，都不可避免的走入X86这个大环境，因为我们普通PC用户能想象到的任何一款应用软件或游戏，都是基于几十年来发展非常成熟和稳定的X86架构，以前也有江湖昵称叫做Wintel联盟。（就是Windows和Intel的整合称呼）。

　　就Joanna Rutkowska女士提出的技术问题，我们就实际情况进行分析。

　　先简单看一下多数常规用户的情况：

　　安全问题一向是存在于操作系统和软件层面的，而现在电脑中一般都装有防护软件，无论是国产的瑞星，江民，金山，还是国外的诺顿，卡巴等。即使PC用户是新手，那么经销商也会为其安装好相关软件，避免将来售后返修的麻烦。若是联想，同方，惠普，戴尔等级别的大品牌机厂商，更是会有正版杀毒软件配备。

　　就笔者个人而言，采用的配置方案为奇虎360安全卫士+卡巴斯基的组合方案（每年费用仅40元），平时注意及时升级病毒库和安装Windows安全漏洞补丁。如果任何网页存在木马程序，或某优盘含有病毒，立刻会被干掉，所以日常办公和娱乐几乎不必担心安全隐患。若黑客朋友强大到灭掉所有高端杀毒软件而进入处理器的内部SMM层面时，我拔掉网线认输还不行么？所以个人感觉彗星撞地球是无穷小的一种概率，就算真发生了也不是凡夫俗子需要焦虑的，不必杞人忧天，我们该怎样生活就怎样生活。

　　假设未来某位黑客天才专家实现了这一目标，那我想他肯定先去破五角大楼或瑞士银行的系统吧，何必和我们个人用户PK呢？

　　接下来在看看企业级安全是如何做的，我们以招商银行(600036,股吧)专业版为例：

　　首先来看一下招行证书的认证过程，并不是被黑客破解了密码或植入木马就可以轻松把现金汇出的。开始要有证书文件，这需要用户持本人身份证和银行卡去柜台获得一个几KB大小的文件，再运行招行专业版时来“启用证书”。

　　其次还需要回答机密问题，比如父母亲友姓名，读过书的学校名字（这些均为用户自定义），再之后银行系统还会向使用者指定的手机发送验证码，这是一个4位数的一次性密码，用户将此数字输入招行网页的对应窗口，才可以完全证实本人身份并进行汇款交易。

　　综上所述，黑客朋友如果想“偷走或抢走”你账户中的cash，他需要：

　　1， 破解你的银行账户取款密码和查询密码。（这是有理论基础的）

　　2， 偷取银行给你的证书文件或偷走证书优盘。（也有可能丢失）

　　3， 破解你大脑中的私有问题。（未来高科技或外星人来做？或者用户傻到把私密问题写在BLOG上，或者有人用枪指着你问，但那样还不如直接抢钱或抢硬盘）

　　4， 偷走你的手机，并在你恢复SIM卡之前使用。（和之前几点同时发生的可能性很小）

　　5， 破解招商银行的内部服务器。（如果做到这一点，黑客已经无需从某个人账户中偷钱了）

　　透过这5点分析我们可以看出，系统安全漏洞的防范是一个整体，不会因为某个环节的失误造成重大影响，和X86架构处理器更没有直接关系，即使某天外飞仙做到了以上5点，那么你使用非X86处理器也是无济于事的。



我们把CPU比作是美国总统身边特工的武器，假设不存在安全保卫的总统直接被恐怖分子一刀秒杀，而指责安全人员手中武器不过关是没理由的。

　　就人的身体而言，被捅刀子还是挨子弹，都可能随时玩完，奥巴马和你我也没什么区别。但冲到美国总统面前1 VS 1来PK的概率是多少呢？我们总不能假设安全人员不存在吧。

　　再或者说，一个勇猛的战士（黑客）面对一辆M1A2坦克时，他强调“只要里面的驾驶员和炮手出来跟他拼大刀就一定能获胜”，这有什么意义呢？坦克上的火炮和机枪难道是摆设么？！就算里面的士兵站出来也是有防弹衣+钢盔+M16的，胜负还真不好说。