中新网11月14日电 11月9日,发生了两件大事。第一件是美国大选正在如火如荼地进行着,第二件是以“智慧安全,连接赋能”为主题的第二届中国互联网安全领袖峰会(Cyber Security Summit,简称CSS安全领袖峰会)在北京国家会议中心开幕。
这两件大事看似无关,实则有关。出席本次会议的腾讯安全玄武实验室负责人于旸表示,今天的我们同时生活在两个空间中,即物理空间和数字空间,“我们对这两个空间的依赖已逐步从物理空间向数字空间转移。这两个空间的交融也变得越来越深入,数字空间对人类的影响也越来越大。”因此,2008年的美国大选通常被认为是互联网第一次影响了美国选举,而今年的美国大选则是信息安全问题第一次影响了大选结果。
在会议上,被黑客界尊称为“TK教主”的于旸发表了以《数字空间和信息安全的进化论》为主题的演讲。他将自己从事信息安全工作十余年的研究经验,结合进化论理论,深入浅出地剖析了数字空间中的信息安全演变过程,以及应对措施。
信息安全 越进化越复杂
物理空间诞生于宇宙大爆炸,其后,产生的基本粒子开始形成宇宙中的物质。在于旸看来,今天的数字空间如同宇宙是从基本粒子长期演变形成的一般,也是基于一行一行代码逐渐架构起来的,只是规模可能还处于非常早期的阶段,远未达到形成了“星系”的状态。
于旸指出,在数字空间创世的早期,安全问题大多数是一些微观层面的问题。如,一行一行的代码中,某行代码出现了问题,或者某个变量设定有问题等。这些微观层面形成的安全问题,只会影响一个微观的对象。
类比生物的进化来看,从一个单细胞生物的诞生,一直到产生了地球上最为复杂、最为壮观的生命——人类。在进化的过程中,个体本身变得越来越复杂,个体的功能变得越来越多样。与此同时,弱点也会跟随个体一起进化,个体的脆弱点同样会变得越来越复杂。
与之类似,人们在数字空间当中的行为已经不是单一行为了,操作的复杂程度越来越高,操作对象之间的联系也会变得越来越复杂,这就导致我们今天面对的信息安全,已经不再是某一行代码的问题,或者说某几处代码之间的问题,而是一个协议和一个协议之间的问题,或者是某些协议共同作用发生的问题,甚至是一个设备和一堆设备之间的问题、一个系统和一个系统之间的问题。但是,这些对象相互之间看不到特别明显的关系,这些其实就是进化的结果。
安全威胁 一波未平一波又起
在于旸看来,在信息空间的进化过程中,不仅传统的安全问题依然存在,新的安全问题也已经进化出来了。他以电商系统为例。当我们去电商网站购物时,支付钱款时会进入到交易结算系统中,而交易结算系统与电商交易系统通常是两个系统,甚至有可能隶属于不同的公司所有。这两个系统在发生关系的时候就有可能发生问题。因为交易系统的设计是由一组人员去完成的,而交易结算系统是另外一组人员去完成的。
无论双方沟通的结果如何,依然会存在一些瑕疵,这也就导致了这样一种情况,即攻击者可以在购买完成之后,将结算的交易金额修改成一个非常小的数字,而电商交易系统只是判断这个交易是否成功,并不在乎交易数字是多少。这样一来,“电商网站的交易系统可能不知道攻击者购买一台冰箱,到底是花了2000元,还是花了1元。”
于旸还列举了很多生动的案例,阐述进化过程所产生的新的安全问题。例如前几年运营商提供的短信保管箱服务,可以让用户将短信存储到服务器上。这原本是一个非常好的便民措施,但犯罪集团却利用这项便民业务,结合其他黑客技术,拦截了短信验证码,以窃取用户网银上的资金,而用户很可能并不知道。
再例如对苹果手机的解锁和盗窃。苹果手机的安全性首屈一指,即便手机被窃取,依然可以通过云端锁定手机、删除数据确保信息安全等。虽然窃贼对手机和SIM卡放在一起没有办法破解,但是假如他们盗窃到了你的苹果手机,他们可以利用手机中的SIM去控制你的某个网络服务,例如邮箱等。因为很多网络服务为了安全性,会要求与手机号绑定,这就给窃贼留下了可乘之机。若你的苹果手机ID是使用这个邮箱注册的,那么犯罪分子则通过这个邮箱又可以控制你的苹果ID,将你的手机进行清空,进而取得苹果手机的使用权限。
安全措施 应随安全问题同步进化
事实上,在上述的案例中,看起来谁都没有犯错误,也没有人是故意的,甚至看起来根本就没有人犯错误。但这些问题纠结在一起之后,它就变成了我们将要面临的新的安全问题。
于旸进一步指出,如果我们抛开软件或者硬件的视角,以更抽象的视角来看,今天的信息安全和网络空间进化中遇到的安全问题,如同生物进化一样,已经进化成了一种非常复杂的形态,而这种形态的安全问题用传统的方法是难以进行发现、分析和防御的。
因此,于旸认为安全措施也必须随之进化,即作为防御者、安全研究者,我们需要随着安全问题进化。这种情形是一种非常大的挑战,但是于旸相信,这里面也一定蕴含着非常大的机会。
[责任编辑:]