云時代,你的安全誰負責(zé)
安全是一個“道高一尺魔高一丈的”的行業(yè),不存在沒有漏洞的系統(tǒng)。安全事故爆發(fā)是用戶的責(zé)任?還是黑客的責(zé)任?抑或是服務(wù)商的責(zé)任?其界定并不是那么清晰。似乎每次大型安全事故出現(xiàn),其結(jié)果都是抓一兩個惹事的之后不了了之,我們的安全到底要由誰負責(zé) ?
不久前,作為互聯(lián)網(wǎng)基礎(chǔ)協(xié)議之一的OpenSSL爆出了“心臟流血”漏洞,據(jù)估算該漏洞涉及了網(wǎng)絡(luò)上數(shù)百萬的服務(wù)器,堪稱互聯(lián)網(wǎng)歷史上最大的安全事件之一。
由于OpenSSL是最著名的安全傳輸協(xié)議,幾乎所有對安全性要求比較高的傳輸比如銀行交易等都使用了此協(xié)議。這使得大量使用了OpenSSL進行安全傳輸服務(wù)器里的重要數(shù)據(jù)都面臨著數(shù)據(jù)被盜的風(fēng)險。
全球第一個被攻擊通告的案例是拿大稅務(wù)局,他們確認“心臟流血”漏洞導(dǎo)致了900個納稅人的社會保障號被盜,這900個納稅人的社保號被攻擊者在系統(tǒng)中完全刪除。
從去年的斯諾登事件到今年攜程信用卡泄密事件,再到這次的“心臟流血”漏洞,人們看到了整個互聯(lián)網(wǎng)安全體系的脆弱。但與此同時,作為一個現(xiàn)代人,越來越離不開互聯(lián)網(wǎng),我們所有的信息數(shù)據(jù)行為正在被各種互聯(lián)網(wǎng)服務(wù)存儲、分析、利用。
我們的數(shù)據(jù)該怎么被儲存,怎么被利用,安全由誰負責(zé),這些問題在如今變得越來越復(fù)雜。
正在被電子化的世界和個人
越來越多的電子設(shè)備正在以一種前所未有的方式工作著。它們在你手里、在你身上、抑或是呆在你家里。但這并不是它們的全部,它們的“大腦”正在千里之外的數(shù)據(jù)中心里。在那里信息被匯集、分析,分析結(jié)果被用來指導(dǎo)它們出色的完成相應(yīng)的工作。
當下最了解你的可能并不是你的朋友、親人,而是你的手機。他知道你認識誰,和誰聯(lián)系最多,幾點起床,今天有沒有會議,愛玩什么游戲等等。
隨著云時代的到來,為了方便人們的生活,手機已經(jīng)不僅僅是你手上的設(shè)備而已。方便的云服務(wù)可以把手機上的一切都自動備份到云上,這樣不管你走到哪里,是否更換設(shè)備,都可以保證你的數(shù)據(jù)可以方便的被使用和轉(zhuǎn)移。
而在越來越近的物聯(lián)網(wǎng)時代,很多時候,輸入可能都會變的多余。你的智能手表知道你睡了多久,心率齊不齊,血壓高不高。你的智能冰箱知道你吃了多少,含多少熱量。
這一切不會只是想象,據(jù)IDC的最新報告顯示,預(yù)計到2017年,物聯(lián)網(wǎng)的市場規(guī)模將超過200億美元,我們的生活將被各種智能設(shè)備連接起來。而這些數(shù)據(jù)理所當然的也會被上傳到云端上去。
這些來自你的PC、你的手機、你的智能設(shè)備的數(shù)據(jù),在被處理后,形成一個個”用戶畫像“(這并不是一個比喻,”用戶畫像“是大數(shù)據(jù)中常用的一個正式的名詞),供開發(fā)商進一步使用。當然當?shù)男畔⒈粣阂猥@取以后,不法分子也可以通過這些數(shù)據(jù)對你進行“畫像”。
云上的“炸彈”
多年前馮小剛的影片《手機》里就有這樣一個經(jīng)典的論斷——“手機就是手雷“,原因就是因為你的手機知道的太多了。
無論是您的服務(wù)賬號密碼被他人獲得,還是服務(wù)商服務(wù)被攻破,甚至是某次登陸時不小心在陌生電腦上勾選了“記住密碼”都可能導(dǎo)致個人信息的泄露、財產(chǎn)損失。在云上的手機可能從”手雷“這種近距離武器變成了“導(dǎo)彈”這樣遠距離攻擊武器。
“黑色產(chǎn)業(yè)鏈在手機的安全方面的滲透,越來越猖獗。”在百度手機衛(wèi)士百日突擊媒體開放日上百度移動安全總經(jīng)理張磊介紹說,“從去年開始,真正黑色產(chǎn)業(yè)鏈進來了,不是小毛賊偷流量了,有背景的有組織的進來了,直接盯上你的錢袋子,(開始研究)怎么從手機中盜取現(xiàn)金盜取財產(chǎn)。”
現(xiàn)代電子設(shè)備體型雖小,但結(jié)構(gòu)卻極度復(fù)雜,且還環(huán)相連構(gòu)成一個巨大的系統(tǒng)。從最底層的芯片,到上面的操作系統(tǒng),再到應(yīng)用,最后到相關(guān)云服務(wù),都可能面臨著不同的安全風(fēng)險。除了傳統(tǒng)的惡意軟件,市面上還出現(xiàn)了偽基站、不安全的WIFI等新形勢的安全威脅。
攻擊者在獲得一定信息以后可以通過各種技術(shù)和社會化手段發(fā)起攻擊。一個真實案例是,鈦媒體一個同事的機票信息被不法分子獲得后,他們偽裝成航空公司通知航班因特殊原因被取消,要求對機票進行改簽,并收取一定的差價,最后該同事在向航空公司核實后發(fā)現(xiàn)這是一個詐騙。雖然這次詐騙沒有成功,但個人重要信息的泄漏已經(jīng)是事實。而至今為止,是哪個環(huán)節(jié)導(dǎo)致的個人信息泄露也無法查證??赡苁鞘謾C上有惡意軟件讀取了機票信息,可能是航空公司信息泄露,也可能是訂票代理出了問題。
安全已經(jīng)不僅僅是殺毒軟件的事情,整個信息傳播環(huán)境任何一環(huán)出問題都可能導(dǎo)致嚴重的問題。正如周鴻祎在極客公園奇點大會上所說:“越來越多的安全問題已經(jīng)不是在設(shè)備上殺病毒、清理流氓軟件就能解決的,現(xiàn)在對于許多互聯(lián)網(wǎng)公司來說,用戶的安全已經(jīng)與公司的安全緊密結(jié)合在一起。”
這是誰的安全
針對越來越多的安全威脅,安全市場也風(fēng)起云涌,無論是黑色產(chǎn)業(yè)鏈,還是專業(yè)安全廠商,亦或是設(shè)備廠商、傳統(tǒng)互聯(lián)網(wǎng)大佬都加入到這場戰(zhàn)爭中來。
從商業(yè)角度來看,只要有需求,那就有市場。既然安全是如此基礎(chǔ)的需求,那做安全就意味著巨大的市場空間,于是大家都開始拍著胸脯說:你的安全我負責(zé)!
“從今天開始百度保護支付寶,保護微信,只要你安裝這個軟件(百度手機衛(wèi)士)就不會出現(xiàn)安全上的隱患,一旦出現(xiàn)安全隱患百度全部進行賠付?!睆埨谠诎俣仁謾C衛(wèi)士百日突擊媒體開放日上這樣向在場的媒體保證。
作為一款安全軟件,這樣的保證確實讓人振奮,但為什么其他的支付軟件的安全卻需要交由一個第三方軟件來承擔(dān)賠付責(zé)任,這個邏輯總讓人覺得有些奇怪。
而在像聯(lián)想這樣的設(shè)備廠商來看,安全是和設(shè)備最相關(guān)的軟件環(huán)節(jié),要由硬件廠商來做最合適,所以重點投入布局樂安全。聯(lián)想生態(tài)和云服務(wù)集團總裁賀志強說:”樂安全和硬件融為一體,我們的樂安全真的是從根上開始具有的安全?!?/p>
雖然大家都意識到了安全是非常重要的,也花費巨資進行投入。但現(xiàn)實是,像OpenSSL這樣重要的安全項目,卻長期缺少資金支持。這樣一個關(guān)乎上億人安全的項目,其維護人員只有4個人,其中兩個核心員工,只有一個全職員工。
另外一方面,對于漏洞的歸屬權(quán)問題,業(yè)界也沒有統(tǒng)一的界定。
在黑帽黑客們看來,自己發(fā)現(xiàn)的漏洞當然就是自己的,是可以拿來賣錢換酒的好東西。據(jù)張磊介紹,應(yīng)用級的漏洞在黑產(chǎn)行內(nèi)的標價10萬到20萬。如果是系統(tǒng)級的,那價值就更高了。
在烏云網(wǎng)創(chuàng)始人方小頓看來,因為這些安全漏洞涉及到了廣大用戶的安全,所以這些漏洞是屬于公眾的,他創(chuàng)辦的烏云網(wǎng)就旨在公布最新發(fā)現(xiàn)的漏洞。
而在百度等企業(yè)看來,漏洞是屬于企業(yè)的。“我們發(fā)現(xiàn)微信巨大的漏洞,我們就第一時間通知了騰訊的團隊?!睆埨谡f:“這樣的事件外面不知道的原因,我們第一時間通知廠商,進行修復(fù),這是他們的領(lǐng)地?!?/p>
大家站在不同的角度,對安全的理解都不太相同。
安全是一個“道高一尺魔高一丈的”的行業(yè),不存在沒有漏洞的系統(tǒng)。安全事故爆發(fā)是用戶的責(zé)任?還是黑客的責(zé)任?抑或是服務(wù)商的責(zé)任?其界定并不是那么清晰。
似乎每次大型安全事故出現(xiàn),其結(jié)果都是抓一兩個惹事之徒以后不了了之。在整個安全領(lǐng)域,其涉及到的利益各方盤根錯節(jié),紛繁復(fù)雜。安全似乎和所有人都有關(guān),但似乎又不是任何人都直接責(zé)任。
在這個所有人都離不開電子設(shè)備和云服務(wù)的今天,我們不禁要問,我們的安全到底是誰負責(zé)。
- 目前還沒評論,等你發(fā)揮!