正文
比如一个最常见的错误,就是防御方往往设定只要信息使用者是值得信任的,那其他元素就不用再去判断。
其实最大的安全谬误就是假定在系统内部一切都是安全的。
就好像机场的安检一样,安检之前的水是无法通过检查的,但过了闸机后,每个人都可以随意喝水买水,至于水是不是偷带的、水有没有问题,都没有人再检查。因为机场安检这套系统认定——能通过安检的人都是安全的。这显然存在安全漏洞。
再比如,黑客也可以从使用者行动中盗取信息。举个例子,大家常见的无线键盘就是一个安全隐患。
![]()
敲击键盘这一行为本身,也是黑客攻击的火力点。
无线键盘会定期发送无线信号。用户击键时,黑客可以从 250 英尺的范围内监听键入的内容,从而可以盗取口令、银行卡信息或其他敏感数据。
一些硬件大厂商都忽略了这些漏洞。2016 年 7 月,一家叫 Bastille 的无线安全厂商就爆出包括惠普、东芝在内的至少 8 个品牌的无线键盘都存在安全漏洞,非常可能已被监听。
第二,信息安全的本质—— “验证”,注定是不完善的。
信息系统非常复杂,内部有很多分支,每个用户行动都不只用到一个分支的资源。如此复合的步骤中,总有系统漏洞可以供黑客去攻击。
美国花费数十年和数十亿美元打造的爱国者导弹防御系统理论上可以拦截绝大多数导弹。然而飞毛腿导弹却轻易地突破了它的防线,它的造价仅为爱国者导弹的 1/100。
验证系统只能无限接近完善,但世界上没有最完善的系统可以信任。
第三,攻防双方在成本和效率上是不对称的,防守方处于绝对劣势。
一个悲催的真理:信息防守方在效率和成本上处于绝对劣势,就像病毒感染的成本永远低于疫苗研发成本。
![]()
在黑客与防御方的攻防战役中,攻击的成本远低于防守的支出。
破坏总是比建设容易,感染一定比免疫轻松。没有战无不胜的系统,只有防不胜防的黑客。
所谓木桶定律,即一只水桶能装多少水取决于它最短的那块木板。一个信息系统的安全程度也取决于它最薄弱的环节。
2014 年索尼公司的 PS 网络系统被黑客攻击,大量个人资料被窃,损失达到 1.7 亿美元。而对黑客来说,成本只是一台电脑和一根网线。在网上,一些用来盗取别人账户的软件只需要几十美元就可获得。
第四,在信息安全的战场上,人是最大的不确定因素,而傻子总是比较多
。
除了系统原因之外,人是最大的不确定因素。
由人的疏忽、被欺诈所导致的信息安全事故约占到了总数的 85% 。
全球首屈一指的网络安全解决方案供应商 Check Point 曾就 700 多名 IT 专业人士进行调查。结果显示如下:
![]()
人的疏忽大意,而非技术漏洞,是安全事故频发的主要原因。(深蓝制图)
87% 的受访者认为,最大的威胁来自公司内部粗心员工;近三分之二的受访者认为,客户数据频繁泄漏极有可能是由于内部员工的疏忽。
其实早在 2015 年秋,DNC 内部的信息安全专家就其脆弱的内部网络警告过党内高层,而这些建议均被置之不理。这批专家们经过两个月的调查,在一份报告中建议:DNC 应该雇佣专业人士,升级系统,并设置可追踪侵入者的防御机制。
FBI 同样也多次对 DNC 的网络安全系统发出警告:“可能存在问题”。2015 年,FBI 曾敦促一些 DNC 的人员检查内部系统是否有不寻常活动的迹象,但 DNC 什么都没能发现。
直到 2016 年 4 月 DNC 高层才开始重视这些警告,雇佣了私人安全公司 CrowdStrike 对系统进行整顿。然而,我们在内网中已经潜伏了超过一年。
正如我们的一位同僚,罗马尼亚黑客 Guccifer 2.0 形容的——
希拉里的邮件服务器像 “一朵开放的兰花,对于任何人而言都很容易攻破。”
