微信公众号
皮相专栏
共 67 篇文章
数字空间和信息安全的进化论
2017-01-25
(2016年11月9日在中国互联网安全领袖峰会的演讲)
今天有两件大事:第一件大事是美国人民正在选他们的领袖,第二件就是我们在这里参加中国互联网安全领袖峰会——开个玩笑,不过两件事其实真有点关系。2008年的美国大选,通常被认为是互联网第一次影响了大选;而今年的美国大选,则是信息安全问题第一次影响了大选的结果。
现在大家应该都可以接受这样一个观点:我们同时生活在两个空间,一个是物理空间,一个是数字空间。自计算机和互联网诞生,这么多年过去,我们对数字空间的依赖不断加深,我们在物理空间中活动也不断向数字空间转移,而这两个空间的交融也变得越来越深入,数字空间对人类的影响越来越大。刚才讲到物理空间,大爆炸理论认为是150亿年前一次大爆炸形成了宇宙。宇宙中的物质最早是基本粒子,然后基本粒子形成了最早的星际物质,星际物质形成了星球,星球形成了星系,150亿年之后有了我们今天这样的宇宙。这是一个由简单到复杂的过程。当然还有一种观点,认为宇宙其实是由神创造的。但是不管宇宙是谁创造的,不管物理空间是谁创造的,数字空间一定是我们创造的,这也是我们作为人类的荣耀。
我们回顾创造数字空间的过程,回顾数字空间前几十年的发展历史,会发现:数字空间也有一个类似物理空间这样由基本粒子一步步演化的发展过程。而在数字空间的创世早期,安全问题也大多数是一些微观层面的问题。
早期的安全问题往往是由什么而引起的呢?可能是某一处代码有问题,某一处配置文件有问题,或者是某一个变量设定有问题,是一些微观层面的问题形成了微观的安全问题,影响了一个微观的对象。
现在我们看一张比较鲜艳一些的图。这张图展示的是生物演化的过程,从一个单细胞生物的诞生,一直到产生了地球上最为复杂,最为壮观的生命,那就是我们人类。虽然今天的地球上仍然存在着单细胞生物,但整个演化过程总体还是变得越来越复杂,个体的功能变得越来越多样。同时还有一点:就是个体的脆弱点也同样变得越来越复杂。虽然人类是万物之灵,但是人类无论是精神还是肉体都是非常脆弱的,比很多动物都脆弱。而且很多的这种脆弱到现在还搞不清楚。因为在演化过程中,不光这些对象演化了,对象的弱点也会演化。
今天人们在数字空间中,操作的对象颗粒度变得越来越粗,对象之间的联系也变得越来越复杂。所以今天很多安全问题已经不再是某一行代码的问题,或者说某几处代码之间的问题。而是一个协议和一个协议之间的问题,或者是某些协议共同作用发生的问题。甚至是一个设备和一堆设备之间的问题,一个系统和一个系统之间的问题,而且甚至这些对象它们相互之间看不到特别明显的关系。这些其实就是演化的结果。传统那些安全问题是否还存在?就像今天地球上仍然存在单细胞生物一样,这些问题仍然存在,但是新的问题已经演化出来了。有个非常典型的例子,是很多电商系统都犯过的一个错误。当我们去电商网站买一样东西的时候,在付款的过程中会进入到交易结算的系统,交易结算的系统和电商系统通常是两个系统,甚至于是隶属于不同的公司所有。这两个系统在产生关系的时候,就有可能发生问题。交易系统的设计是由一组人员去完成的,而结算支付系统往往是另外一组人员去完成的。无论他们之间怎么去约定,怎么沟通,这种沟通都是不能达到百分之百透彻的。所以出现过这样一种情况:攻击者可以在购买完成之后结算的时候将交易金额修改成一个非常小的数字;而电商系统只是判断了这个交易结算系统返回的信息是否交易成功,它并不知道交易数字到底是多少,就是说他不知道攻击者买一台冰箱到底是花了2千元还是花了1元。所以攻击者就可以用1元买下冰箱。以前很多电商网站都犯过这样的错误。还有个例子比较新一些。前几年很多运营商向用户提供了一种叫做“短信保管箱”的服务,这是完全正常的一种业务。但是这种业务引起了什么样的后果呢?他破坏了我们用手机短信作为第二验证因子的这样一种安全设计。因为手机短信在以前是被认为相对可信的另外一重因子。但当运营商把短信存储到服务器上,可以在电脑上登陆去查看的时候,实际上就已经把双因子又变成了单因子。本来是出于一个美好的初衷设计出来的美好的业务,和网银业务遭遇后,就可以被网络犯罪者用来窃取用户网银上的资金。这事儿已经发生了很多起了。
最后的结果是什么?运营商逐渐取消了这个业务。这是运营商和银行两个看起来没有关系的对象,关联产生出来的这样一套问题。
刚才的例子里银行是作为受害者。下面要说的例子中银行扮演的就不是受害者了。现在很多银行搞了叫做“虚拟卡”的业务。有一家银行的虚拟卡业务遭遇了苹果的应用商店之后,被人找到了其中结合上的问题。后果是什么呢?就是利用虚拟卡业务的某些特性,不花钱就可以在苹果的应用商店里充值。还有一个案例,可能前一阵子大家都听说过:美国的FBI为了解锁一个苹果手机,费了很大的力气。可能很多朋友也遇到过身边的朋友手机被窃,偷手机的人用了很多的方法试图去解锁这个手机。当然,我们知道苹果对手机的安全性做了很多很好的设计,去保护用户手机中数据的安全。即使被窃取之后,仍然可以通过云端对手机的数据进行删除,把这个手机清空,包括窃取的小偷也无法直接的去解开这个手机的密码。但现在犯罪分子找到了一条通道。当你的手机丢失的时候,随着手机一起丢失的还有什么?你插在手机里的SIM卡。虽然SIM卡插在这台手机里是不能使用的,但是把它拔出来,装到另外一台手机上,这个SIM卡可以打电话,可以收发短信,而且是你的号码。我们知道很多的网络服务为了安全性,它会要求用户跟他的手机号码绑定。所以你用手机号可以重置很多网络服务的密码。这些窃贼们拿到你的手机之后,虽然他不能直接用这个手机,但是他可以用这个SIM卡,通过SIM卡可以去控制你的某个网络服务,比如说你的邮箱。如果你苹果的ID是用绑定这个手机号的邮箱注册的,那么他通过控制这个邮箱就可以控制你的苹果ID。如果你通过苹果的iCloud把手机清空了,清空之后这台手机就可以用你的苹果ID进去。所以现在这套机制被很多的盗窃手机的犯罪团伙在使用。我们看这整个的过程里面,包括我之前举的这些例子,看起来谁都没有犯错误,动机都是美好的,每个对象的设计单独看起来也是美好的,大家都在为用户服务,都想把产品做好。但是这些问题纠缠在一起之后,就变成了我们要面临的新的安全问题。所以我们说,今天信息安全问题和网络空间中其它的对象一样发生了演化,我们抛开软件或者硬件这样的视角,将网络空间中的这些我们与之进行互动的对象抽象出来,同样可以发现这些对象之间的安全问题如同生物进化一样,今天他们进化成了一种非常复杂的形态,而这种形态的安全问题用传统的方法是难以进行发现、分析和防御的。相应的我们也必须随之进化。作为防御者,作为安全研究者,我们需要随之进化。当一切都进化的时候,你不进化是没有办法去应对这种新的情况的。当然这种情形是一种非常大的挑战,但是我相信这里面也一定蕴含着非常大的机会。
谢谢大家。
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
打杂和搬砖
2017-01-17
前阵子做一个访谈,采访者说有人评价我“能在别人的领域里发现安全问题”。我听了虽然窃喜,却可惜不能领受,因为事实并非如此。
在一个方向做到比较深入的时候,是有可能从精研一术而悟万法之道,从形而下抽象出形而上,跨领域指导工作,给别人以指导和启发。但即使到了这个阶段,也不太可能自己直接跨领域出成果。内力再强,没见过的招数也是使不出来的。那位朋友说的“能在别人的领域里发现安全问题”,可能是指我在过去几年里,除了内存破坏类漏洞这个方向上的研究外,还搞过伪造指纹通过 iPhone 登陆验证、BadBarcode、BadTunnel 等研究。而他可能认为我一直在从事内存破坏类漏洞研究。刚进入安全行业的时候,我写了很长一段时间 IDS 签名。而且刚开始的时候主要是分析古老的漏洞和冷门的木马,然后写一些可能永远不会被触发的签名。这种工作现在通常被归作“搬砖”。但在这个过程里,我了解了各类漏洞的原理,看到了各种系统可能出问题的地方,学会了很多分析工具的使用方法,熟悉了大量通用的和私有的网络协议。所以像 BadTunnel 所涉及的 NetBios 协议,从协议设计到系统实现,我在 2003 年就开始研究了,2004 年发过一篇简单的研究成果:http://www.xfocus.net/releases/200408/a723.html。所以实在不是“别人的领域”,这就是我的领域。搞技术有诀窍,但没有捷径。曾有人问我是怎么想到某个特性可能存在安全问题的,我告诉他我曾把这个产品组历史上的所有 Blog 全看了一遍,研发负责人出去演讲的 PPT 也全都找来看了。搞安全研究,就要像跟踪狂对待疯狂爱恋的目标一样去收集研究对象的信息。这几天,IT 技术圈内出现好几篇从不同角度谈 IT 技术人员职业生涯的文字。正巧,我上周在滴滴安全沙龙分享了一个主题,叫《安全研究者的自我修养》。当时也讲了上面这个搬砖的事。年轻人刚参加工作的时候,可能会做一些搬砖和打杂的工作,但这对成长可能是有好处的。这个阶段是积累阶段。多接触一些东西,多学一些东西,将来路也会宽一些。这可能和求学类似。读小学、中学的时候,需要学很多方面的知识。到本科阶段,才会分一个专业。研究生、博士,才会聚焦在一个点上。早早就分专业的,那就是中专了。事实上,我在参加工作若干年之后,也仍然还承担了很多本职之外的前场支持工作:渗透测试、应急响应、培训交流、售前售后……前场技术部门没把握的事,最后会找我们支持。而百分之八十的情况下,这些工作会交给我。因为大部分做研究的人不擅长交流,需要接触客户的工作基本就交给了我。对此,我当时其实有不少意见,因为我一直希望能不被打扰,专心搞研究。但后来逐渐体会到在这些工作中的积累给自己带来的益处。一方面是能学习到很多知识,接触了很多业务和系统。更重要的是在行业里积累了口碑。慢慢地,有些客户开始点名要我去支持项目。最后发展到有些之前没接触过我的客户来公司参观,也要求到我的工位上来看看,令销售部门的同事大为惊讶。这还是相当有成就感的。在滴滴安全沙龙的分享里,我也提到了技术人员培养表达、沟通能力的重要性。搞技术的人常常会忽略这一点,甚至内心有抵触。然而,我年龄越大越体会到这类能力的重要。所以自己其实也一直还在默默地练习。在我们实验室内部培训中,我除了讲思维方法、学习诀窍,最常讲的就是沟通、表达能力的培养。因为到我这儿来的同学,我都希望他们将来能发展好,在行业里有一片天地,而不是希望他们老老实实当做干活的卒子。当然,即使在技术上做好了积累,又培养了多方面的综合能力,也没人能保证你一定能怎么样。这是必要条件,不是充分条件。只能说:欲练神功,挥刀自宫。虽然自宫,未必成功。若不自宫,必不成功。
打破结界之战:“机器特工挑战赛”和“极棒跨次元 CTF”
2016-08-21
在中国象棋的世界里,有十横九竖共十九条线,相交成九十个点,中间又有“楚河汉界”。在这个世界里,马走日,象飞田,行动都有一定之法则。车虽厉害,也不能斜着走。
在围棋的世界里则纵横各有十九条线,相交成三百六十一个交叉点。棋子不分尊卑,一律平等,然而落下后就不能再动,无气之子要从世界里消失。这就是围棋世界的法则。
无论哪个世界,都有其法则。在世界之内,行事必受法则约束。然而,在一个世界里非常困难而几乎不可能的事,跳出来,从另一世界去看,却有无限的可能。
我们今天同时生活在两个世界,一个是物理世界,一个是数字世界。在物理世界,有一些很难做到的事;在数字世界,也有一些很难做到的事。但如果打破两个世界之间的结界,以高一维度的视角去看,可能情况会完全不同。所以,我为将在今年 10 月 24 日举办的“极棒” GeekPwn 1024 设计了两个打破结界的挑战。
从物理世界突破数字世界的——机器特工挑战赛
假设一台电脑没有任何安全漏洞,甚至完全不接入网络,还有可能被入侵吗?办公室的墙壁和门口的保安能保护台式机不被入侵者接触吗?人们常常担心手机和笔记本电脑遗失后带来的问题,却很少考虑台式机的物理安全。
办公室里有很多不起眼的小陈设、废纸箱,其中是否可能暗藏玄机?出差同事的快递会被人代收放在工位上,或者暂存在公司邮件中心,这可能带来什么安全隐患?
在“机器特工挑战赛”中,你可以制作一个能被远程控制并向控制者传送影像的机器人。机器人被装在快递包装箱里并能从内部自行打开包装箱,在远程控制下找到在地面上的台式机,然后将一个USB插头插到台式机面板上的USB口,再按下电源开关。机器人携带的USB插头的后面可以是一个USB存储设备和一个USB键盘。通过USB键盘的控制,可以让系统引导到USB存储设备所携带的操作系统中,然后就可以读取系统硬盘上的数据。
或者你也可以用能想到的任何其它方式来完成挑战。比如用无人机携带机器人从窗口投放进办公室——也许机器人完成任务后还可能全身而退。
从数字世界突破物理世界的——极棒跨次元 CTF
这可能是有史以来最好玩的 CTF。
传统 CTF 比赛,始于二次元,终于二次元。而在“极棒跨次元 CTF”中,每支参赛队会分配到一个无人机作战系统。大家不但要进行传统 CTF 比赛的网络攻防,争夺无人机作战系统的控制权,还要控制无人机发起对其他队伍作战基地的物理攻击。最后以物理攻击的结果论胜负。
当数字世界的攻防和物理世界的攻防结合在一起,无论是技术还是策略的比拼,都将变得更加火热和刺激。
提出“打破结界”,不仅是指打破物理世界和现实世界的结界,还希望打破技术的结界,让机器人社区、CTF 社区都能参与到“极棒” GeekPwn 1024 中来。社区间的跨界交流,也许能产生出更有趣的东西。
更详细的比赛说明将会在晚些时候公布。
老司机的BlackHat手册——衣食住行和WiFi
2016-08-10
广义的BlackHat,是指BlackHat US、BlackHat EU、BlackHat ASIA这三个会。但通常提起BlackHat,默认就是指在拉斯维加斯举办的BlackHat US。拉斯维加斯是BlackHat的大本营。BlackHat门票比较贵,两天的会,要人民币一万多。然而意义非凡。学技术有很多渠道,但BlackHat所带来的那种让你渴望融入安全社区的感受,则是其它任何会议都难以给予的。甚至包括BlackHat EU、BlackHat ASIA这些在BlackHat旗下但非主场的会议也完全无法相比。美国签证现在相对比较好申请。但如果你读了比较敏感的大学,比较敏感的专业,就需要提前一些,至少预留一个月被Check的时间。国内去拉斯维加斯没有直达航班,通常选择的转机城市是:旧金山、洛杉矶、西雅图。从旧金山和洛杉矶入境的人比较多,入境处前通常会排很长的队。西雅图相对来说好一些。据说不少人申请签证和入境时都不敢说自己是去BlackHat。不过我每次都实话实说,好象也没遇到过什么问题。这次入境也是这样的:“你来干啥?”“去拉斯维加斯开会,参加BlackHat,做一个演讲。”“BlackHat是啥会?”“一个信息安全的会。”“哦!信息安全!”(然后他迅速在电脑上输入了点啥,认真地看了一会儿屏幕)“那你这几天都住在拉斯维加斯?”“是的。”“祝你在拉斯维加斯愉快。”
然后边检小哥在我的护照上敲了个章,我就顺利入境了。如果你从旧金山入境,并打算在这儿住一两天倒倒时差,一定要记住马克·吐温那句话:“我度过的最冷的冬天是旧金山的夏天”。8月在旧金山路上我见过有人穿皮夹克。所以起码要带一件长袖外套。如果想去海边,得再带一件摇粒绒。别打算下海游泳,请记住:旧金山冰冷的海水曾是恶魔岛上囚犯越狱最大的障碍。要不是怕被冻死,犯人早都游走了。其实就算不打算在旧金山逗留,也有必要带长袖外套。因为BlackHat会场的冷气非常足。每年听了我建议带长袖外套去的同学最后都会握着我的手说:“谢谢啊”。从拉斯维加斯麦卡伦国际机场到举办BlackHat的Mandalay Bay酒店很近,打车只要十几美金。如果不想花这个钱,出机场的时候可以注意四处看看,常有安全厂商会雇人在机场向BlackHat参会者提供免费接机服务。其实最近几年搬到Mandalay Bay来办还稍微暖和一些。前些年在Caesars Palace更冷。而且那会儿会场还不供应热水,只有冰水——请注意是冰水。结果我又冷又渴(太冷了没法喝冰水),逼得跑到展会上各个展台领T恤,最后在身上套了四五件T恤才保住性命。拉斯维加斯地处沙漠中央,所以酒店里虽冷,但户外极热,夏天中午有40度左右。然而通常身上却不会感到有汗。因为沙漠城市空气干燥,汗一出来就蒸发了。另外也因为是沙漠气候,太阳落山后气温下降比较快,晚上9点左右感觉就比较凉爽了。所以这里的气候虽然炎热,却毫不影响夜生活。每年来参加BlackHat的都有上万人,所以尽管拉斯维加斯酒店众多,但如果你想住举办会议的Mandalay Bay,一定要及早预定。万一订不到,可以订旁边的Luxor,也就是著名的“金字塔酒店”。但Luxor的客房质量比较差,金碧辉煌的外表下是一颗快捷酒店的心。也就因为客房质量差,所以几乎一定能订得上。当然,Mandalay Bay旁边还有一家Four Seasons,要是你的差旅标准能住五星级,这个也还是不错的……作为世界著名销金窟,拉斯维加斯除了遍地的赌场,遍地的酒店,遍地的演出,还有很多不错的餐馆。基本上世界各地的风味在这儿全能尝到。如果想奢侈一把,米其林一、二、三星也都有。不少自助餐也挺好的,而且价钱和国内差不多。只是美国人嗜甜,多数店的甜点都很腻,咱们通常难以接受。参加任何安全大会,最重要的事儿都是关闭手机WiFi,主要是防Karma攻击——只要你之前连接过任何一个无密码的WiFi,攻击者就可以让你的手机认为又来到了这个WiFi旁边,并连接上去。如果不想关WiFi,至少要确保手机之前没有连接过无密码的WiFi,或者所有连接记录已经清除。很多人不知道在iOS上该怎么清除WiFi连接记录。这里友情提供一下方法:打开“设置-通用-还原”,然后选“还原网络设置”即可。这个操作不但可以预防Karma攻击,还可以防止类似“我拿老公的iPad去闺蜜家却发现WiFi自动连接上了”这样的尴尬。我个人建议还是关闭WiFi。然而很多人用随身WiFi在国外上网,这就没法关WiFi了。其实现在国内几个运营商境外漫游的价钱都不贵,和用随身WiFi的成本差不多,不过还是走国内的网络出口——也就是说,人出去了,网没出去,身在曹营网在汉,该不能看还不能看。所以最优方案可能是买一张美国运营商的SIM卡,这个现在也很便宜。
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
关于“白帽子”的法律和道理
2016-06-25
在很多年前,当“Hacker”这个词被滥用,一些 Hacker 为了把自己和媒体中被称作“Hacker”的网络犯罪者——特别是没什么技术含量的——区分开,提出了“White Hat”和“Black Hat”的说法,国内通常译作“白帽黑客”和“黑帽黑客”。而“白帽子”在当今中国的语境中,又进一步特化了,特指向各个漏洞报告平台、厂商 SRC 提交漏洞的人。自“白帽子”诞生起,相关的争论就从来没有停止过。
先说说法律。
我国法律中和攻击入侵有关的主要是《刑法》第二百八十五、二百八十六两条,以及相关司法解释。这两条主要看:有没有越权控制系统,有没有越权获得数据,有没有破坏系统可用性。
常规端口扫描通常不会被认为是违法。那么漏洞扫描呢?通过获取版本号探测漏洞的方法显然也不算违法。但有些漏洞扫描需要在对方系统上实际执行命令才能判断漏洞是否存在,例如“Shellshock”。这种情况从理论上说,存在一个短暂的越权执行过程,但由于并未真正去试图控制系统,所以在实践中,通常不认为属于“非法控制”。
发送 "news.php?id=2-1" 这样的请求去探测是否存在 SQL 注入显然不算违法。而探测发现可能存在 SQL 注入,实际去尝试获取数据以判断是否真的存在漏洞,这种行为就比较模糊了。如果获取的数据是表的字段名、结构,不涉及用户数据,相对还好。而如果获取了用户数据,特别是用户名、密码,即“身份认证信息”就可能触犯《刑法》。
《刑法》第二百八十五条第二款:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
达到“情节严重”才是犯罪,那什么是情节严重呢?在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中是这样说的:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
也就是说,入侵获取 10 组以上金融证券行业的用户身份认证信息,或 500 组以上一般系统的用户身份认证信息,或入侵了 20 台系统,就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息,或 2500 组以上一般系统的用户身份认证信息,或入侵了 100 台系统,就可以判三年以上。
所以,在测试网站漏洞的过程中,想避免触犯《刑法》,就要注意获取的信息种类和数量,也不要去植入后门。
再讲讲道理。
在今天,一个存储了大量有价值数据的网站,一定会被盯上,一定会有人尝试入侵。一定,一定,一定。
而安全是四维的,不是三维的。对绝大多数网站来说,即使此时此刻的入侵难度很大,但在一段不算长的时间内(比如说一年),被至少成功入侵一次的概率则非常大。因为新漏洞总会不断被发现,而程序员、系统管理员的工作不会永远完美无缺。
而如果有人和入侵者一样,也去不断尝试入侵这些网站,并且发现漏洞后及时告知网站,实际上就成为了恶意入侵的竞争者,很多漏洞可以在被恶意利用前被发现和修复。
在大多数国家,都有网络入侵的相关法律,然而从 Microsoft 到 Facebook,从腾讯到小米,很多公司都成立了 SRC,鼓励大家帮助寻找自己网站的漏洞。而这些寻找漏洞的过程,如果严格按照法律条文去抠字眼,很多可能都有问题。(Facebook 定制的“White Hat”银行卡,用来给向他们报告漏洞的人发奖金)
有些人说“向厂商的 SRC 提交漏洞是合法的”。其实,合法不合法,看检测漏洞的行为本身,和提交给谁没关系。只不过建了 SRC 的厂商自然希望大家去提交漏洞,所以即使行为违反了法律,厂商通常也不会去报案,砸自己 SRC 的牌子。
法律通常都滞后于现实,而且往往滞后很多。上面提到的相关法条,是 2009 年《刑法》第七修正案中才加上的,司法解释是 2011 年才出来的。这些法条在当前形势下是否是最有利于维护信息安全的,还需要立法者去思考。但作为厂商,总是会选择在当前形势下最有利于把安全做好的方式。
厂商为什么要鼓励大家“入侵”自己的网站呢?因为没办法。对,没办法。在当前形势下,这可能是最好的选择。如果单纯靠法律就能解决安全问题,何必多此一举。
所有厂商在安全上基本都有这样的心路历程:
第一阶段,心存侥幸,觉得自己没那么倒霉,觉得世界上没那么多恶意入侵者。
第二阶段,被搞了一次后,同时明白了自己没那么幸运,必须解决安全问题,尤其是这次被搞的那个安全问题。但是既然被搞了一次,不会有两枚炮弹落到同一个地方吧?
第三阶段,又被搞了,很愤怒,去报案,一定要抓到入侵者,然而现实往往是无情的。于是终于意识到需要整体上做安全。去和同行交流,但还是试图不走寻常路,认为自己不用像别的厂商一样,应该能找到一种简单易行省钱省力的方法。
第四阶段,被搞了很多次后,终于认命了。开始引入大家踩了无数坑,吃了无数亏才总结出来的经验和方法,安全工作慢慢走上正轨。建立 SRC,鼓励大家报告自己的漏洞。虽然安全部门和产品、市场、法务等其它部门在这一点上还有分歧。
国内很多大企业都走到了第四阶段,但还有很多还处于前几个阶段。他们觉得只要捂住眼下的问题,然后勒令内部严查一下,事情就解决了。他们还没明白的道理是:钱不投入在安全上,迟早会十倍百倍千倍地送给黑产。
上周一个朋友找我,说他们公司做的是一种比较小众的交易平台,但没想到也被盯上了,去年被搞走十几亿,所以现在开始重视安全。像他们这种情况,其实还是幸运的。因为他们的钱是被一种能感知的方式搞走的,遭受损失后,就会开始重视安全。
然而,很多入侵是悄无声息的,弄走钱的方式是不知不觉的。比如把你的数据卖给你的竞争对手,让对手掌握主动掌握先机。归根结底,还是等于通过入侵把你的钱弄走了。但你没感觉,你只会觉得竞争对手一下变强了。即使因此企业倒闭,都不知道是怎么搞的。这种企业会长期停留在安全的幻觉中,认为一切报告漏洞的人都是麻烦制造者。
这些“麻烦制造者”可能确实很麻烦,他们不太考虑企业感受,特别想证明自己发现的问题很严重。但是,无论有没有他们,真正的网络犯罪者都一样会存在,一样会默默地去入侵系统,去窃取数据,换成钱。而如果没有这些“麻烦制造者”,会有更多企业沉浸在安全的幻觉中,真正的网络犯罪实施起来则会更轻松。
每一朵乌云都有一道金边,每一顶白帽都有一道黑边。希望“白帽子”能学习一些法律,保护好自己;希望企业能想明白道理,知道自己真正的敌人是谁。