云時代，你的安全誰負責

不久前，作為互聯(lián)網(wǎng)基礎(chǔ)協(xié)議之一的OpenSSL爆出了“心臟流血”漏洞，據(jù)估算該漏洞涉及了網(wǎng)絡上數(shù)百萬的服務器，堪稱互聯(lián)網(wǎng)歷史上最大的安全事件之一。


由于OpenSSL是最著名的安全傳輸協(xié)議，幾乎所有對安全性要求比較高的傳輸比如銀行交易等都使用了此協(xié)議。這使得大量使用了OpenSSL進行安全傳輸服務器里的重要數(shù)據(jù)都面臨著數(shù)據(jù)被盜的風險。


全球第一個被攻擊通告的案例是拿大稅務局，他們確認“心臟流血”漏洞導致了900個納稅人的社會保障號被盜，這900個納稅人的社保號被攻擊者在系統(tǒng)中完全刪除。


從去年的斯諾登事件到今年攜程信用卡泄密事件，再到這次的“心臟流血”漏洞，人們看到了整個互聯(lián)網(wǎng)安全體系的脆弱。但與此同時，作為一個現(xiàn)代人，越來越離不開互聯(lián)網(wǎng)，我們所有的信息數(shù)據(jù)行為正在被各種互聯(lián)網(wǎng)服務存儲、分析、利用。


我們的數(shù)據(jù)該怎么被儲存，怎么被利用，安全由誰負責，這些問題在如今變得越來越復雜。


正在被電子化的世界和個人


越來越多的電子設備正在以一種前所未有的方式工作著。它們在你手里、在你身上、抑或是呆在你家里。但這并不是它們的全部，它們的“大腦”正在千里之外的數(shù)據(jù)中心里。在那里信息被匯集、分析，分析結(jié)果被用來指導它們出色的完成相應的工作。


當下最了解你的可能并不是你的朋友、親人，而是你的手機。他知道你認識誰，和誰聯(lián)系最多，幾點起床，今天有沒有會議，愛玩什么游戲等等。


隨著云時代的到來，為了方便人們的生活，手機已經(jīng)不僅僅是你手上的設備而已。方便的云服務可以把手機上的一切都自動備份到云上，這樣不管你走到哪里，是否更換設備，都可以保證你的數(shù)據(jù)可以方便的被使用和轉(zhuǎn)移。


而在越來越近的物聯(lián)網(wǎng)時代，很多時候，輸入可能都會變的多余。你的智能手表知道你睡了多久，心率齊不齊，血壓高不高。你的智能冰箱知道你吃了多少，含多少熱量。


這一切不會只是想象，據(jù)IDC的最新報告顯示，預計到2017年，物聯(lián)網(wǎng)的市場規(guī)模將超過200億美元，我們的生活將被各種智能設備連接起來。而這些數(shù)據(jù)理所當然的也會被上傳到云端上去。


這些來自你的PC、你的手機、你的智能設備的數(shù)據(jù)，在被處理后，形成一個個”用戶畫像“（這并不是一個比喻，”用戶畫像“是大數(shù)據(jù)中常用的一個正式的名詞），供開發(fā)商進一步使用。當然當?shù)男畔⒈粣阂猥@取以后，不法分子也可以通過這些數(shù)據(jù)對你進行“畫像”。


云上的“炸彈”


多年前馮小剛的影片《手機》里就有這樣一個經(jīng)典的論斷——“手機就是手雷“，原因就是因為你的手機知道的太多了。


無論是您的服務賬號密碼被他人獲得，還是服務商服務被攻破，甚至是某次登陸時不小心在陌生電腦上勾選了“記住密碼”都可能導致個人信息的泄露、財產(chǎn)損失。在云上的手機可能從”手雷“這種近距離武器變成了“導彈”這樣遠距離攻擊武器。


“黑色產(chǎn)業(yè)鏈在手機的安全方面的滲透，越來越猖獗?！痹诎俣仁謾C衛(wèi)士百日突擊媒體開放日上百度移動安全總經(jīng)理張磊介紹說，“從去年開始，真正黑色產(chǎn)業(yè)鏈進來了，不是小毛賊偷流量了，有背景的有組織的進來了，直接盯上你的錢袋子，（開始研究）怎么從手機中盜取現(xiàn)金盜取財產(chǎn)?！?br />

現(xiàn)代電子設備體型雖小，但結(jié)構(gòu)卻極度復雜，且還環(huán)相連構(gòu)成一個巨大的系統(tǒng)。從最底層的芯片，到上面的操作系統(tǒng)，再到應用，最后到相關(guān)云服務，都可能面臨著不同的安全風險。除了傳統(tǒng)的惡意軟件，市面上還出現(xiàn)了偽基站、不安全的WIFI等新形勢的安全威脅。


攻擊者在獲得一定信息以后可以通過各種技術(shù)和社會化手段發(fā)起攻擊。一個真實案例是，鈦媒體一個同事的機票信息被不法分子獲得后，他們偽裝成航空公司通知航班因特殊原因被取消，要求對機票進行改簽，并收取一定的差價，最后該同事在向航空公司核實后發(fā)現(xiàn)這是一個詐騙。雖然這次詐騙沒有成功，但個人重要信息的泄漏已經(jīng)是事實。而至今為止，是哪個環(huán)節(jié)導致的個人信息泄露也無法查證?？赡苁鞘謾C上有惡意軟件讀取了機票信息，可能是航空公司信息泄露，也可能是訂票代理出了問題。


安全已經(jīng)不僅僅是殺毒軟件的事情，整個信息傳播環(huán)境任何一環(huán)出問題都可能導致嚴重的問題。正如周鴻祎在極客公園奇點大會上所說：“越來越多的安全問題已經(jīng)不是在設備上殺病毒、清理流氓軟件就能解決的，現(xiàn)在對于許多互聯(lián)網(wǎng)公司來說，用戶的安全已經(jīng)與公司的安全緊密結(jié)合在一起?！?br />

這是誰的安全


針對越來越多的安全威脅，安全市場也風起云涌，無論是黑色產(chǎn)業(yè)鏈，還是專業(yè)安全廠商，亦或是設備廠商、傳統(tǒng)互聯(lián)網(wǎng)大佬都加入到這場戰(zhàn)爭中來。


從商業(yè)角度來看，只要有需求，那就有市場。既然安全是如此基礎(chǔ)的需求，那做安全就意味著巨大的市場空間，于是大家都開始拍著胸脯說：你的安全我負責！


“從今天開始百度保護支付寶，保護微信，只要你安裝這個軟件（百度手機衛(wèi)士）就不會出現(xiàn)安全上的隱患，一旦出現(xiàn)安全隱患百度全部進行賠付?！睆埨谠诎俣仁謾C衛(wèi)士百日突擊媒體開放日上這樣向在場的媒體保證。


作為一款安全軟件，這樣的保證確實讓人振奮，但為什么其他的支付軟件的安全卻需要交由一個第三方軟件來承擔賠付責任，這個邏輯總讓人覺得有些奇怪。


而在像聯(lián)想這樣的設備廠商來看，安全是和設備最相關(guān)的軟件環(huán)節(jié)，要由硬件廠商來做最合適，所以重點投入布局樂安全。聯(lián)想生態(tài)和云服務集團總裁賀志強說：”樂安全和硬件融為一體，我們的樂安全真的是從根上開始具有的安全?！?br />

雖然大家都意識到了安全是非常重要的，也花費巨資進行投入。但現(xiàn)實是，像OpenSSL這樣重要的安全項目，卻長期缺少資金支持。這樣一個關(guān)乎上億人安全的項目，其維護人員只有4個人，其中兩個核心員工，只有一個全職員工。


另外一方面，對于漏洞的歸屬權(quán)問題，業(yè)界也沒有統(tǒng)一的界定。


在黑帽黑客們看來，自己發(fā)現(xiàn)的漏洞當然就是自己的，是可以拿來賣錢換酒的好東西。據(jù)張磊介紹，應用級的漏洞在黑產(chǎn)行內(nèi)的標價10萬到20萬。如果是系統(tǒng)級的，那價值就更高了。


在烏云網(wǎng)創(chuàng)始人方小頓看來，因為這些安全漏洞涉及到了廣大用戶的安全，所以這些漏洞是屬于公眾的，他創(chuàng)辦的烏云網(wǎng)就旨在公布最新發(fā)現(xiàn)的漏洞。


而在百度等企業(yè)看來，漏洞是屬于企業(yè)的?！拔覀儼l(fā)現(xiàn)微信巨大的漏洞，我們就第一時間通知了騰訊的團隊?！睆埨谡f：“這樣的事件外面不知道的原因，我們第一時間通知廠商，進行修復，這是他們的領(lǐng)地?！?br />

大家站在不同的角度，對安全的理解都不太相同。


安全是一個“道高一尺魔高一丈的”的行業(yè)，不存在沒有漏洞的系統(tǒng)。安全事故爆發(fā)是用戶的責任？還是黑客的責任？抑或是服務商的責任？其界定并不是那么清晰。


似乎每次大型安全事故出現(xiàn)，其結(jié)果都是抓一兩個惹事之徒以后不了了之。在整個安全領(lǐng)域，其涉及到的利益各方盤根錯節(jié)，紛繁復雜。安全似乎和所有人都有關(guān)，但似乎又不是任何人都直接責任。


在這個所有人都離不開電子設備和云服務的今天，我們不禁要問，我們的安全到底是誰負責。


本文地址:http://www.quema.com.cn/artinfo/459.html