安全是一个“道高一尺魔高一丈的”的行业,不存在没有漏洞的系统。安全事故爆发是用户的责任?还是黑客的责任?抑或是服务商的责任?其界定并不是那么清晰。似乎每次大型安全事故出现,其结果都是抓一两个惹事的之后不了了之,我们的安全到底要由谁负责 ?
不久前,作为互联网基础协议之一的OpenSSL爆出了“心脏流血”漏洞,据估算该漏洞涉及了网络上数百万的服务器,堪称互联网历史上最大的安全事件之一。
由于OpenSSL是最著名的安全传输协议,几乎所有对安全性要求比较高的传输比如银行交易等都使用了此协议。这使得大量使用了OpenSSL进行安全传输服务器里的重要数据都面临着数据被盗的风险。
全球第一个被攻击通告的案例是拿大税务局,他们确认“心脏流血”漏洞导致了900个纳税人的社会保障号被盗,这900个纳税人的社保号被攻击者在系统中完全删除。
从去年的斯诺登事件到今年携程信用卡泄密事件,再到这次的“心脏流血”漏洞,人们看到了整个互联网安全体系的脆弱。但与此同时,作为一个现代人,越来越离不开互联网,我们所有的信息数据行为正在被各种互联网服务存储、分析、利用。
我们的数据该怎么被储存,怎么被利用,安全由谁负责,这些问题在如今变得越来越复杂。
正在被电子化的世界和个人
越来越多的电子设备正在以一种前所未有的方式工作着。它们在你手里、在你身上、抑或是呆在你家里。但这并不是它们的全部,它们的“大脑”正在千里之外的数据中心里。在那里信息被汇集、分析,分析结果被用来指导它们出色的完成相应的工作。
当下最了解你的可能并不是你的朋友、亲人,而是你的手机。他知道你认识谁,和谁联系最多,几点起床,今天有没有会议,爱玩什么游戏等等。
随着云时代的到来,为了方便人们的生活,手机已经不仅仅是你手上的设备而已。方便的云服务可以把手机上的一切都自动备份到云上,这样不管你走到哪里,是否更换设备,都可以保证你的数据可以方便的被使用和转移。
而在越来越近的物联网时代,很多时候,输入可能都会变的多余。你的智能手表知道你睡了多久,心率齐不齐,血压高不高。你的智能冰箱知道你吃了多少,含多少热量。
这一切不会只是想象,据IDC的最新报告显示,预计到2017年,物联网的市场规模将超过200亿美元,我们的生活将被各种智能设备连接起来。而这些数据理所当然的也会被上传到云端上去。
这些来自你的PC、你的手机、你的智能设备的数据,在被处理后,形成一个个”用户画像“(这并不是一个比喻,”用户画像“是大数据中常用的一个正式的名词),供开发商进一步使用。当然当的信息被恶意获取以后,不法分子也可以通过这些数据对你进行“画像”。
云上的“炸弹”
多年前冯小刚的影片《手机》里就有这样一个经典的论断——“手机就是手雷“,原因就是因为你的手机知道的太多了。
无论是您的服务账号密码被他人获得,还是服务商服务被攻破,甚至是某次登陆时不小心在陌生电脑上勾选了“记住密码”都可能导致个人信息的泄露、财产损失。在云上的手机可能从”手雷“这种近距离武器变成了“导弹”这样远距离攻击武器。
“黑色产业链在手机的安全方面的渗透,越来越猖獗。”在百度手机卫士百日突击媒体开放日上百度移动安全总经理张磊介绍说,“从去年开始,真正黑色产业链进来了,不是小毛贼偷流量了,有背景的有组织的进来了,直接盯上你的钱袋子,(开始研究)怎么从手机中盗取现金盗取财产。”
现代电子设备体型虽小,但结构却极度复杂,且还环相连构成一个巨大的系统。从最底层的芯片,到上面的操作系统,再到应用,最后到相关云服务,都可能面临着不同的安全风险。除了传统的恶意软件,市面上还出现了伪基站、不安全的WIFI等新形势的安全威胁。
攻击者在获得一定信息以后可以通过各种技术和社会化手段发起攻击。一个真实案例是,钛媒体一个同事的机票信息被不法分子获得后,他们伪装成航空公司通知航班因特殊原因被取消,要求对机票进行改签,并收取一定的差价,最后该同事在向航空公司核实后发现这是一个诈骗。虽然这次诈骗没有成功,但个人重要信息的泄漏已经是事实。而至今为止,是哪个环节导致的个人信息泄露也无法查证。可能是手机上有恶意软件读取了机票信息,可能是航空公司信息泄露,也可能是订票代理出了问题。
安全已经不仅仅是杀毒软件的事情,整个信息传播环境任何一环出问题都可能导致严重的问题。正如周鸿祎在极客公园奇点大会上所说:“越来越多的安全问题已经不是在设备上杀病毒、清理流氓软件就能解决的,现在对于许多互联网公司来说,用户的安全已经与公司的安全紧密结合在一起。”
这是谁的安全
针对越来越多的安全威胁,安全市场也风起云涌,无论是黑色产业链,还是专业安全厂商,亦或是设备厂商、传统互联网大佬都加入到这场战争中来。
从商业角度来看,只要有需求,那就有市场。既然安全是如此基础的需求,那做安全就意味着巨大的市场空间,于是大家都开始拍着胸脯说:你的安全我负责!
“从今天开始百度保护支付宝,保护微信,只要你安装这个软件(百度手机卫士)就不会出现安全上的隐患,一旦出现安全隐患百度全部进行赔付。”张磊在百度手机卫士百日突击媒体开放日上这样向在场的媒体保证。
作为一款安全软件,这样的保证确实让人振奋,但为什么其他的支付软件的安全却需要交由一个第三方软件来承担赔付责任,这个逻辑总让人觉得有些奇怪。
而在像联想这样的设备厂商来看,安全是和设备最相关的软件环节,要由硬件厂商来做最合适,所以重点投入布局乐安全。联想生态和云服务集团总裁贺志强说:”乐安全和硬件融为一体,我们的乐安全真的是从根上开始具有的安全。“
虽然大家都意识到了安全是非常重要的,也花费巨资进行投入。但现实是,像OpenSSL这样重要的安全项目,却长期缺少资金支持。这样一个关乎上亿人安全的项目,其维护人员只有4个人,其中两个核心员工,只有一个全职员工。
另外一方面,对于漏洞的归属权问题,业界也没有统一的界定。
在黑帽黑客们看来,自己发现的漏洞当然就是自己的,是可以拿来卖钱换酒的好东西。据张磊介绍,应用级的漏洞在黑产行内的标价10万到20万。如果是系统级的,那价值就更高了。
在乌云网创始人方小顿看来,因为这些安全漏洞涉及到了广大用户的安全,所以这些漏洞是属于公众的,他创办的乌云网就旨在公布最新发现的漏洞。
而在百度等企业看来,漏洞是属于企业的。“我们发现微信巨大的漏洞,我们就第一时间通知了腾讯的团队。”张磊说:“这样的事件外面不知道的原因,我们第一时间通知厂商,进行修复,这是他们的领地。”