摘要:这些漏洞链到处都是。2012年,记者Mat Honan也因为其中一个而遭遇了大规模的个人攻击。他的Amazon账号的一个漏洞导致黑客可以进入他的苹果账号,后者又让黑客进入了他的Gmail账号。2013年,因为有人从自己的暖通空
| 牛莉的老公 哥特式名媛吧 鸽子情缘谐音 功夫英雄火焰魔 宫野麻奈果 孤胆枪手之枪手风流 孤星传说txt 孤星传说txt下载 古广明足球学校 古惑仔之星河风云 |
|
这些漏洞链到处都是。2012年,记者Mat Honan也因为其中一个而遭遇了大规模的个人攻击。他的Amazon账号的一个漏洞导致黑客可以进入他的苹果账号,后者又让黑客进入了他的Gmail账号。2013年,因为有人从自己的暖通空调承包商那里偷走了证书,塔吉特也被黑掉了。 常识1:在互联网上,攻击比防御更容易 但写得糟糕的代码漏洞百出,有时候多到每千行代码就有一个漏洞。其中一些是软件的复杂性固有的问题,但大多数都是程序错误。不是所有的bug都是漏洞,但有些就是。 自从计算机诞生以来就有了计算机安全问题。虽说安全不是原来互联网设计考虑的问题之一,但却是我们从一开始就想要实现的东西。 市场无法修补这个是因为买家和卖家都不关心这一点。被用于执行拒绝服务攻击的网络摄像头和DVR的主人不关心。他们的设备买下来的时候很便宜,它们还能工作,而且他们并不认识攻击受害者中的任何一个。那些设备的卖家也不关心:他们现在卖的是更新更好的型号,而原来的买家只关心价格和功能。这里没有市场解决方案,因为这种不安全是经济学家所谓的外部性:这是一种影响到别人的购买决定效应。可以把这看作是看不见的污染。 常识2:大多数软件写得都很糟糕而且不安全 通常而言,安全有两种基本范式。我们要么第一时间就努力确保某样东西的安全,要么我们可以让我们的安全敏捷化。第一种范式来自危险东西的世界:飞机、医疗设备、建筑。这种范式为我们提供安全设计和安全工程,安全测试和认证,执业证明,详细的预先计划以及复杂的政府许可,以及漫长的进入市场时间。这种安全是给危险世界准备的,确保事情搞对至高无上,因为如果出错的话是要出人命的。 编者按:对物联网的讨论有很多,但考虑到目前有那么种类型的电子产品被连上网时不仅令人感到心生恐惧。灯泡、DVR、摄像头、麦克风等都接入了互联网,但有谁真正思考过其隐含的意义吗?时至今日,一切都是计算机——我们正在建设一个可感知、思考和行动的互联网。我们在建造一个世界规模的机器人,但我们甚至还没有意识到这一点。密码学家、《应用密码学》的作者Bruce Schneier从技术和政治的层面审视了物联网给我们带来的巨大挑战,里面提出的东西值得所有人认真思考:在准备好之前,我们真的需要一个万物互联的世界吗? 现在,让我们开始列举那些安全威胁。我们不希望汽车导航系统被用于大规模监视,而不希望麦克风被用于大规模监听。我们也许希望在拨打911电话时它被用来确定汽车的方位,可能再用来收集一下高速公路的拥堵情况。我们不希望有人黑自己的汽车或者绕开排放控制限制。我们不希望制造商或者经销商也能这么做,就像大众做了很多年那样。我们可以想象希望赋予经常远程地、安全地让一辆移动中的汽车丧失能力的能力;这能够让高速追逐成为过去。但我们当然不希望黑客能够做这件事。我们绝对不希望他们能在毫无预警、以任何速度行驶的情况下让刹车失灵。随着我们从驾驶员控制过渡到各自驾驶辅助能力乃至于无人车,我们不希望上述任何关键部件被破坏。我们不希望有人会意外地撞上你的车,故意就更不用不说了。同样地,我们不希望他们能操纵导航软件来改变你的路线,或者操纵车锁控制来阻止你打开车门。这个列表可以列得很长。 举个具体的例子:现代的汽车,那些有轮子的计算机。方向盘不再转动车轴了,油门踏板也不再改变速度。你在车内的每一个动作都由计算机来处理,实际控制汽车的是它。中央计算机控制着仪表盘。还有一个在控制着无线电。引擎大概有20台左右的计算机在控制。所有这些都是联网的,而且越来越自动化。 所有的计算机都是可以被黑掉的。这既与技术有关,也与计算机市场脱不开干系。我们都希望我们的软件什么功能都有,而且价格还要很便宜,其代价就是安全和可靠性。也就是说,你的计算机会影响到Twitter的安全是一个市场失灵。这个行业到处都是市场失灵,但直到现在,基本上还为人所忽视。随着计算机继续渗透到我们的家庭、汽车,企业,这些市场失灵将不再可容忍。我们唯一的解决方案是管制,而这种管制会被一个在灾难面前不顾一切想要“做点什么”的政府强加给我们。 Wimbledon还需要扭转把一切都连上互联网的趋势。如果我们会有危害甚至死亡的风险时,我们需要再三考虑我们连接的是什么,我们故意放着避免计算化的是什么。 现在不再是计算机嵌入东西里面了,而反过来,是将东西附加到计算机上面。 到目前为止,我们做得还不是很好。我们仍然基本上要靠为汽车、飞机以及医疗设备内危险的计算机准备的第一种范式。因此,就出现了不能有安全补丁的医疗设备,因为这会导致其手上的政府许可无效。2015年,克莱斯勒找回了140万辆汽车以修复一个软件漏洞。2016年9月,Tesla在一夜间远程发送了一个安全补丁给其所有的Model S汽车。Tesla当然觉得自己做得没错,但这一远程打补丁的功能又会打开了什么样的漏洞呢? 更糟糕的是,这些设备大多数都没有任何打补丁的方式。像微软和苹果这样的公司不断推出安全补丁给你的计算机。一些家庭路由器在技术上是可以打补丁的,但实现的方式却很复杂,只有专家才会做这样的尝试。而你更新自己会被黑掉的DVR固件的唯一方式就是把它扔掉然后买个新的。 有很多不同的安全需求,而把它们搞错的影响从非法监视到勒索软件敲诈乃至于大规模死亡不等。 我搞计算机安全已经超过了30年:先是做密码学,然后是更通用一点的计算和网络安全,现在则是做一般安全技术。我们已经观察到计算机变得无所不在,并且见证了保证这些复杂机器和系统安全的第一手的问题和解决方案。我可以告诉你这一切是因为过去属于一个技术专门领域的东西现在已经影响到了一切。计算机安全现在是一切安全。但有一个关键的不同:其威胁更大了。 常识5:法律禁止安全研究 (责任编辑:admin) |
谈谈您对该文章的看