全球核心信息技术、关键基础设施以及国际互联网的技术标准和运行管理,被美国所掌控。在被震网病毒攻击后,伊朗政府宣布“独立”,要建立国域网。棱镜门以后,德国就提出建立“零监控”网络——德国国内通讯网。在互联网上,国家意识渐渐苏醒了。
我忽然觉得,在互联网上,国家意识苏醒了。周末刚刚听说,国家特设一个领导小组,专门负责网络安全和信息化。此事或将在2014年的两会上公布,距今还有一周多时间,大家可以见证这个历史时刻。
这种苏醒过来的网络国家意识,不光中国独有,德国表达的更为强烈。前几天,德国总理为抗议美国监听,发布强硬讲话,“欧洲人之间的通讯不能无缘无故绕美国一圈,我们要有自己的通讯网。”她的这个演讲被称为德国的“首次实质性表态”,因为美国不但长期持续秘密监控德国,监听默克尔手机通信,在被曝光后,还拒绝与德国签订“互不监听协议”(这算不算一种国格的侵犯呢?)。默克尔的建议如何实现暂且不说,但德国已经流露出强烈的互联网国家意识,这一点毫无疑问。
1.互联网国家意识
长期以来,互联网国家意识基本处于休眠状态中。早期的互联网精神以个人意识为主,倡导自由、平等、协作、共享;后来,随着商业力量的介入,自由(免费)两个字没有了,商业意识主导了网络;再后来,行政意识加入,各种规章法令对互联网做出了规范……随着各种限制力量越来越多,还一度引发了互联网中年危机的国际大讨论。
须不知,还在人们讨论网络自由为什么越来越少的时候,美国国防部已经悄然将互联网纳入网络国防战略,他们认为一个国家的疆域已经从传统的领土,领海,领空,太空,拓展到网络,成为第五空间,这种理论写在美国国防部2005年的战略规划中。
到2014年,我们也“觉醒”了,看到了网络空间的重要性,这种重要性至少体现在三个方面:一是国家利益越来越向网络空间发展;二是网络空间成为国家之间新的无形战场;三是网络空间成为世界范围内科技和商业创新的主要竞争领域。所谓互联网国家意识,即互联网上的国家意识,或说是国家的网络空间意识。我概括为两点,一层意思是防御,另一层意思是建设。我们既要加强网络国防建设,同时促进本国相关产业发展。这两者相辅相成,不可或缺。(为行文方便,下面简称为网络国家意识。)
2.棱镜门引发的国防盲区
国家意识是怎么苏醒的呢?棱镜门事件的帮助蛮大。我们回顾一下去年发生棱镜门事件,心中不难做出判断。根据斯诺登提供的机密文件,自2009年以来,美国国家安全局一直从事侵入中国内地和香港的电脑系统,借此获取有关中国的有价值斯诺登通过英国《卫报》爆料,美国不仅对欧盟在纽约的使馆进行监视,还有38个国家和地区的大使馆及代表处均被列为监控“目标”。此外,斯诺登的文件还显示英国政府借举办G20峰会,暗中截取与会外国政要的通话,并监控其的互联网通讯。监控目标中包括一些西方国家的长期盟国南非和土耳其,此外还有时任俄罗斯总统的梅德韦杰夫。
斯诺登走了,但是,一个沉甸甸的问题却抛给了我们—网络国家安全威胁,尤其是中国,暴露了一个“盲区”,长期以来,中国信息安全关注的重点是加密解密、网络攻防与内容合法性审查,对于基础设施形同无视,对于网络国防基本没有概念。
不得不承认,全球核心信息技术、关键基础设施以及国际互联网的技术标准和运行管理,被美 国所掌控。可以做个假想:不管哪个国家对之造成威胁或危害,美国政府只消启动网络战武器,通过分布于各国核心节点的通信设备连接,便可无声无息的让这个国 家陷入混乱。
震网病毒就是一个典型例子,这种病毒是美国专门设计用来攻击伊朗的重要工业设施,它在入侵一台个人电脑后,会寻找广泛用于控制工业系统如工厂、发电站自动运行(后来扩散到其他国家)。在“震网”病毒攻击下,伊朗核电站被迫推迟2年。2012年6月1日的美国《纽约时报》报道,揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。2008年,奥巴马上任后下令加速该计划。
我在《第五空间战略:大国间的网络博弈》这本书里,还分析过其他一些网络战争的例子,事实证明在以国家为主体的网 络攻击面前,商业组织和个人的力量非常渺小,很难进行有效的防范。基于这样的分析,我认为,网络安全的最高表现,应该是网络战争。因此,要解决国家安全面临的网络风险,需从国家战略层面进行整体统筹规划。
3.网络国家独立的先声
互联网长期处于单边主导的态势,对世界各国网络国防建设不利。美国人指出,维护国家安全首先必须考虑维护信息供应链安全。因此,基于国家安全,美国以几乎 莫须有的理由关闭了华为中兴等中国企业进入美国市场的大门。但是,你如果要试图关闭思科微软英特尔进入本土的大门,就会发现很难,非常难,就像要带着泰山 跨越太平洋。
在这种形势下,默克尔提议建设欧盟互联网,向美国外交宣战,可以说需要具备莫大的勇气。其实,德国人比韩日各国更具备网络国防意识,早在去年10月,德国就提出建立“零监控”网络——德国国内通讯网。当时,32%由政府控股的德国电信宣称,为了防止境外间谍和黑客对德国本地电子邮件内容的监视,建议设立一个德国国内的电子邮件通讯网。
通讯网使用德国的软硬件设备,可覆盖申根26国(不包含英国)。去年8月,该公司还推出了被称为“产地德国的电子邮件”——为电子邮件加密以及信息流完全 通过本国服务器的服务。“德国之声”说,欧洲通讯网建立在德国国内通讯网的基础上,而要建设欧洲通讯网,必须要实现“欧洲路由系统”,欧洲的各国通讯运营 商还必须签订协议。显然,建设欧盟网远比建设德国网难度大的多。默克尔能否成功?想必许多人会牵心挂肠。独立后,前景如何?大家都会猜测。不过,早在德国前,就有了另外一个版本的独立。
被震网病毒攻击后,伊朗政府于2011年6月宣布“独立”,要建立国域网。这个实现独立的文件叫做“清洁网络”计划,分两个阶段展开,第一阶段,“清洁”网站,Google、Hotmail和Yahoo将会被屏蔽,由政府推出的局域网如“伊朗邮件”(Iran Mail)和“伊朗搜索引擎”(Iran Search Engine)取代。国内用户仍能使用互联网。第二阶段,伊朗将永久关闭互联网。政府声明称,截止到8月份,所有互联网服务只能由国内局域网提供。新系统类似于公司局域网,只允许管理员访问已批准的页面。为了对付这种闭关锁国的独立模式,美国政府投入7000万美元,打造一个“影子”网络和移动电话系统,以便来帮助伊朗这样的国家的反对派,避开本国的网络监控或封锁,实现彼此与外界的“自由联络”。
毫无疑问,互联网上的国家意识已经苏醒,新一轮的互联网军备大赛也拉开帷幕,或将因C国的加入而达到新的高潮。一个忽然问题忽然跳进了我的脑海,如果欧盟互联网宣布独立成功,那么中国是不是也会跟进?继而,世界各国是否也会不朝周天子,纷纷宣布网络独立?
这一天,终究会来到的。会么,不会么?
作者:@张之笑容
很抱歉,这是一篇吐槽文。
因个人能力有限,难以持续维持价值输出,未来可能吐槽文和鸡汤文会越来越多,不喜欢的读者请踊跃退订。
上一篇文章 听说有人谋求稳定的工作? 有人说是纯鸡汤,只提出了问题没有提出解决方案,其实我只是不愿意重复已经写过的东西,底下相关旧文导读那个链接,我是随便放着玩的?
今天这篇又跟旧文有关
相关旧文导读
信息安全常识科普
创业公司如何做好信息安全(上)
创业公司如何做好信息安全(下)
信息安全,别为了芝麻丢了西瓜。
旧文提及的内容,我会一带而过,那么,您要是没兴趣点开看,别老埋怨我不写干货。
旧文我提过一句话,信息安全防御这事,在业内,三分靠技术,七分靠人脉。
在知识星球提及的时候,就有人觉得,看来还是黑客牛逼,安全从业者只能靠人脉才能防御。
当然,还有一种观点也很常见,我公司请个厉害的黑客来做运维安全,就万无一失了。
这两个观点说的是一回事,然而很遗憾,这是错的。
1、攻击与防御是非对称的
攻击只需要一个点,而防御是全面性的。
攻击者只要一招鲜,就可以有辉煌的战绩,而防御是一个全面体系,任何一个领域的疏漏都可能是致命的。
2、防御缺乏存在感
只有出事的时候,人们才会责怪负责防御的信息安全负责人。
正如知乎那个奇葩问题,为什么没有人入侵支付宝?
一群安全专家费劲心力搭建的防御系统,完美的防御了大量的入侵尝试,然而对于外界甚至领导而言,似乎他们并不存在。只有出问题的那一瞬间,大家才会想起来,公司花了那么多钱养了你们,怎么居然还出事了?!
3、情报网络和信息交流,是安全防御重要的组成部分
这和国家一样,你说你有军队,有武器就可以了么,还是需要情报网络的协助,要知道潜在的风险是谁,破坏者是谁。以及最新的攻击方法,攻击手段有什么。
攻击者可以是独行侠,有独门秘笈就可以,但防御者需要面对是大量未知的攻击者,所以,情报网络有助于能够识别未知风险,以及针对已经出现的问题尽早得到相关信息。
现在可持续的入侵行为越来越普遍,很多企业早就中招而不自知,自家的数据库在黑产圈已经流散开了,而企业还蒙在鼓里,这样的案例也有很多起了。
4、防御首先是一个体系,其次才是具体的技术。
一个基本原则是,任何一个防御策略,都要额外加上一个失败后的补救策略。
具体下文还会再谈
那么额外要分享的一些关于信息安全领域的观点
关于信息安全的境界
站在最高一层的,并不是我们所熟知的信息安全专家,而是一些数学家,或者信息学上的学者。他们提供的是一些信息安全的理论,以及相关领域的思考。
比如去年有个轰动的案例,在苹果编译器植入木马,中国互联网巨头几乎全部中招的那个,那个理论其实很早之前就有了。(嗯,破案其实很快,然后相关内容就被屏蔽了,屏蔽了,蔽了,了。)
比如缓冲溢出是一种信息安全的理论,比如分布式拒绝服务攻击是一种理论,比如山东大学的数学系教授王小云对加密算法碰撞数的贡献。没有人会认为王小云是一名信息安全专家,但是她在信息安全领域的贡献是极为巨大的。
比如前文提到的共识算法,甚至获得了图灵奖的一些算法思路,其实也可以列为信息安全领域的理论。
在信息安全理论创新上,目前中国并未站在领先的位置上。
次一层的是漏洞挖掘,基于信息安全的理论,对知名软件平台,操作系统进行漏洞挖掘和研究,以前绿盟是中国信息安全的黄埔军校,在漏洞挖掘方面培养了多个顶级专家。但今天,中国漏洞挖掘最厉害的是腾讯。(有钱真好)
漏洞挖掘的目标是操作系统,常用软件和服务平台,以及常见的产品设计和使用流程。(是的,一些安全漏洞来自于产品的操作和使用流程,泛泛的说,羊毛党就是这个范畴。)
在漏洞挖掘领域,中国已经成为世界顶尖水平之一。
再次一级的是工具设计和制作,基于已有的信息安全理论和已知的漏洞类型,制作设计扫描,监测,防御及自动入侵的系统。
再次一级的,才是攻击者或者说入侵者,他们善于利用工具,理解漏洞原理,并执行入侵。
但实际上这个划分只是一个很粗糙的模型,实际上会更复杂一些。
比如说,有漏洞挖掘的工具设计者,其对信息安全理论的熟悉和挖掘能力,是相当强的,甚至可以做出批量挖掘漏洞的工具。这种虽然是工具设计者,但其实就高于一般的漏洞挖掘层次了。
再比如说,基于web应用的攻击,虽然也是利用某些现有工具进行嗅探扫描和尝试,但由于每个web应用都是完全不同的代码,所以其技术实现过程又类似于漏洞挖掘,而不是简单的利用工具和现有漏洞入侵。
再比如说,即便是使用工具,也类似于特种兵和普通士兵,有些人非常熟悉漏洞的原理和机制,非常熟悉使用工具做出最大效率的攻击行为,这类似于熟悉各种枪械性能的特种兵;但也有根本不懂技术原理,只会拿着工具乱扫一气碰运气的入侵者,这种就是未经训练的士兵,但武器在手,也是有杀伤力的。
然而以上,也仅仅是基于攻击的层面,而作为防御者,也许不需要具备漏洞挖掘能力,但必须深入了解所有已公开的入侵形式和入侵原理。除了这些之外,防御需要额外的理论,也就是防御体系的设计,所谓防御体系,我不是专家,但我可以列出一些防御体系的目标。
1、尽可能去防护所有已知种类的入侵行为。
2、一旦出现紧急状况,外围失手的情况下,尽可能保护系统核心关键数据不受影响,保障系统不会被破坏性入侵行为干掉。
3、核心和关键数据即便遭到窃取,保障一些关键信息依然不可被读取。所谓随机salt加密策略。
4、能对入侵行为做追踪,定位,取证,方便采用法律手段维护权益。
5、建立信息安全的审核流程和工作流程,规范大量公司内部员工的数据读取,分享和操作行为。
6、保持情报资源畅通,随时密切观察外部流传的彩虹库,以及黑产灰产信息,与公司利益相关的需要尽快掌握详细信息。
7、审核产品业务与操作流程,审核业务数据日志,防止操作流程中被不当利用,例如羊毛党,广告投放劫持欺诈等等。当然,这个差事可能对信息安全人才来说有点强人所难,但据我所知,对于一些巨头而言,这种事情也是信息安全部门需要面对的挑战,而且越来越成为更加严峻的挑战。
现在,还觉得,聘请一个厉害的黑客,就能让自己公司的信息安全万无一失么?
然而,防御总是没有存在感的,我们知道腾讯有袁哥,有TK,有吴石,都是顶级的漏洞挖掘专家,那么问题来了,腾讯负责防御的技术专家是谁?没人知道。
信息安全领域有白帽,灰帽和黑帽。
白帽主要在各大互联网公司或信息安全公司从事安全相关工作,黑帽主要从事黑产相关,但也有一些人介于二者之间,称之为灰帽,亦正亦邪,有时候会帮大公司解决一些安全问题,但也有时候禁不住诱惑,手脚不是很干净,但比黑帽可能会稍微有点底线的那种,比如,他们会私下贩卖漏洞或肉鸡给黑帽获利,但自己不直接从事入侵行为。
顶尖白帽彼此熟悉,大部分关系还好,所谓人脉圈,你看很多互联网巨头彼此口水仗打得厉害,但底下负责安全的专家们往往都是私下的好友,经常有来往和互通情报的。毕竟黑产才是大家共同的对手,当然,也有一些彼此不服对方,偶尔喷喷口水的,文人相轻,私人恩怨总会有一些,但通常仅限于口水。
比如某个阿里的安全大牛的传记里曾经点过我的名字,认为我瞧不起他,所以略有忌恨。然而很惭愧,第一我的技术水平根本没资格瞧不起任何搞安全的人,第二其实他抱怨的是安全焦点,但恰好我跟安全焦点关系很好,又恰好以前我写过一些安全有关的文章,他觉得其中有些内容是我替安全焦点含沙射影抨击他,然而我其实根本不认识他,当时都不知道他们还有恩怨这档子事。
当年我真点名抨击过的安全圈的人,貌似只有孤独剑客王献冰,抨击他也不是因为技术,而是心术不正,不能说是黑产吧,但是开培训课教小朋友用木马工具黑别人QQ什么的,结果最后被抓了。安全从业者,特别是有点水平的,稍微有点赚快钱的歪念头,其实很容易出事。
另一个我不是很喜欢是最近几年在知乎风头很盛的小伙子,这孩子之前在加拿大,以前做黑产颇赚了一些钱,其实我这个人还不是那种特别道貌岸然的,我觉得少不更事做了点坏事,也不能说就多大的罪过;最好呢,是洗心革面,忏悔过错,并发誓绝不再犯,这是最好的;次一级的,知道这个历史不好看,不讲了,不干了,好好做人就是了。说实话,就最近几年,黑产洗白后公司赚很多钱的我还真知道有几个。虽然我不跟这样的人打交道,但警察都不管,我也说不上什么对吧。但这孩子还经常炫耀自己的黑产历史,觉得自己挺有本事的,我就觉得这个,实在让我无法接纳了,别说,崇拜他的粉丝还是挺多的。
我们说打工也好,创业也好,其实都是利益驱动,天天讲梦想的那个永远下周回国,所以大家还是谈谈钱挺实际。但这个问题就来了,作为顶尖白帽,如果想赚更多的钱,其实是很容易的,你说入侵支付宝不容易,入侵财付通不容易,但互联网那么多平台,那么多利益产品在上面,对于拥有漏洞挖掘能力的人来说,真的就是看底线有多少的问题了。
最近几年还好,互联网巨头用高薪把一些顶尖安全专家养起来了,虽然没有去搞黑的赚钱多,但毕竟是份体面和安全的职业。然而这样的职位毕竟有限,依然有大量达不到顶尖水平,却仍然有一定漏洞分析能力的人才,散落在整个互联网上,他们可黑可白可灰,如果有一份优渥的薪酬,也会是很好的企业员工,但如果一直生活窘迫,又不是不能凭本事赚钱,难免动一些其他心思。其实乌云之前就是一个很好的通道,让这些人有一个机会正面的展示自己,并通过这种展示,有机会获得一份不错的工作,或者激励走向白帽。但我们必须承认,这个平台上未必各个都是好人。一定有黑产试图洗白的,一定有灰帽骑墙两观的。去处理某些问题是应该的,但是把通道关了真的不好。
不能指望这个世界都是由好人,完人构成的,不能指望手持屠龙技的人靠操守和品德保卫我们的家园。但正向激励可以让那些人向好的方向前进,让有才能的人可以凭才能获得体面的收益,让骑墙的人选择走向光明。然而很遗憾,***选择了反面,也许某些机构认为他们处罚了坏人,结果,黑帽弹冠相庆,灰帽绝望沉沦,白帽噤然无声。
说了这么多,大家会觉得,和我有什么关系?
前几天比特币为什么暴跌?点到为止吧。
其实企业信息安全防御还有一个重要的工作,是内部的安全培训,业内有个说法,入侵企业最好的办法是搞定老板的小秘,信息价值高,安全意识差,很容易中招,一旦中招,可以快速渗入内网,并且获得大量有价值信息,乃至以高管甚至老板名义散播木马病毒导致全面入侵。
信息安全对于企业而言,不只是技术的事情,而是全员的事情,旧文有提,不再赘述。