2013 年,一位数据通信行业的老专家,认为数据通信设备不可能有后门,也不可能被入侵。你跟他认真讨论技术,他就用一种特别浪催的语气绕来绕去。而且一直到 2014 年还在嘴硬。
然而啊,2015 年,某款网络设备被发现存在后门,而这位老专家当年正是该款产品的主要研发人员之一。当然,从时间上看后门不是这位老专家植入的。但是这仍然是一件欢天喜地大快人心的事儿啊。当然,即使如此,你想让他承认自己错了,门儿也没有。
偷换概念,把自己维护的概念无限收窄,是此类人最常用的诡辩武器。比如有人认为手机关机窃听是不可能的。2014 年我在 GeekPwn 上设立了这个挑战,给了一点提示,然后就有同学做出来了。你以为他们会认输吗?当然不可能。他们可以把“关机窃听”的概念收窄到“所有器件完全断电才叫关机”,然后宣布你这个关机窃听不是真正的关机窃听。
再比如有人认为“使用不安全 WiFi 导致网银被窃”是不可能的。假如你找出一个通过 WiFi 植入木马窃取网银的例子,他可以把“使用不安全 WiFi 导致网银被窃”的概念缩窄为“通过 WiFi 嗅探到网银密码”,必须是这种才算。
还有人认为“用了 SSL 就不可能被嗅探”,你找出一个实现漏洞,类似 iOS 那个著名的“Goto Fail”,他会说这个不算,必须是破解了算法才算。其实即使实现了破解算法他也不会认帐的。毕竟诡辩主要靠脸皮,不靠调试器。只要有那个脸皮,很容易从一个胜利走向另一个胜利,实现“微博打假无一失手”。
当然,偷换概念还算是人类行为范畴内的。还有更下贱的。比如你跟他们谈技术,他们狗急跳墙的时候会丢出一句:“那你们公司的产品也会被嗅探吗?请正面回答我”。
所以,作为信息安全从业者,把跟这些人争吵的时间和精力用来向大众宣传安全知识,才是更有意义的使用方式啊。