於暘:以進化的視角解決安全問題的進化
2023-10-11 10:41:32 2
11月9日,發生了兩件大事。第一件是美國大選正在如火如荼地進行著,第二件是以「智慧安全,連接賦能」為主題的第二屆中國網際網路安全領袖峰會(Cyber Security Summit,簡稱CSS安全領袖峰會)在北京國家會議中心開幕。
這兩件大事看似無關,實則有關。出席本次會議的騰訊安全玄武實驗室負責人於暘表示,今天的我們同時生活在兩個空間中,即物理空間和數字空間,「我們對這兩個空間的依賴已逐步從物理空間向數字空間轉移。這兩個空間的交融也變得越來越深入,數字空間對人類的影響也越來越大。」因此,2008年的美國大選通常被認為是網際網路第一次影響了美國選舉,而今年的美國大選則是信息安全問題第一次影響了大選結果。
在會議上,被黑客界尊稱為「TK教主」的於暘發表了以《數字空間和信息安全的進化論》為主題的演講。他將自己從事信息安全工作十餘年的研究經驗,結合進化論理論,深入淺出地剖析了數字空間中的信息安全演變過程,以及應對措施。
信息安全 越進化越複雜
物理空間誕生於宇宙大爆炸,其後,產生的基本粒子開始形成宇宙中的物質。在於暘看來,今天的數字空間如同宇宙是從基本粒子長期演變形成的一般,也是基於一行一行代碼逐漸架構起來的,只是規模可能還處於非常早期的階段,遠未達到形成了「星系」的狀態。
於暘指出,在數字空間創世的早期,安全問題大多數是一些微觀層面的問題。如,一行一行的代碼中,某行代碼出現了問題,或者某個變量設定有問題等。這些微觀層面形成的安全問題,只會影響一個微觀的對象。
類比生物的進化來看,從一個單細胞生物的誕生,一直到產生了地球上最為複雜、最為壯觀的生命——人類。在進化的過程中,個體本身變得越來越複雜,個體的功能變得越來越多樣。與此同時,弱點也會跟隨個體一起進化,個體的脆弱點同樣會變得越來越複雜。
與之類似,人們在數字空間當中的行為已經不是單一行為了,操作的複雜程度越來越高,操作對象之間的聯繫也會變得越來越複雜,這就導致我們今天面對的信息安全,已經不再是某一行代碼的問題,或者說某幾處代碼之間的問題,而是一個協議和一個協議之間的問題,或者是某些協議共同作用發生的問題,甚至是一個設備和一堆設備之間的問題、一個系統和一個系統之間的問題。但是,這些對象相互之間看不到特別明顯的關係,這些其實就是進化的結果。
安全威脅 一波未平一波又起
在於暘看來,在信息空間的進化過程中,不僅傳統的安全問題依然存在,新的安全問題也已經進化出來了。他以電商系統為例。當我們去電商網站購物時,支付錢款時會進入到交易結算系統中,而交易結算系統與電商交易系統通常是兩個系統,甚至有可能隸屬於不同的公司所有。這兩個系統在發生關係的時候就有可能發生問題。因為交易系統的設計是由一組人員去完成的,而交易結算系統是另外一組人員去完成的。
無論雙方溝通的結果如何,依然會存在一些瑕疵,這也就導致了這樣一種情況,即攻擊者可以在購買完成之後,將結算的交易金額修改成一個非常小的數字,而電商交易系統只是判斷這個交易是否成功,並不在乎交易數字是多少。這樣一來,「電商網站的交易系統可能不知道攻擊者購買一臺冰箱,到底是花了2000元,還是花了1元。」
於暘還列舉了很多生動的案例,闡述進化過程所產生的新的安全問題。例如前幾年運營商提供的簡訊保管箱服務,可以讓用戶將簡訊存儲到伺服器上。這原本是一個非常好的便民措施,但犯罪集團卻利用這項便民業務,結合其他黑客技術,攔截了簡訊驗證碼,以竊取用戶網銀上的資金,而用戶很可能並不知道。
再例如對蘋果手機的解鎖和盜竊。蘋果手機的安全性首屈一指,即便手機被竊取,依然可以通過雲端鎖定手機、刪除數據確保信息安全等。雖然竊賊對手機和SIM卡放在一起沒有辦法破解,但是假如他們盜竊到了你的蘋果手機,他們可以利用手機中的SIM去控制你的某個網絡服務,例如郵箱等。因為很多網絡服務為了安全性,會要求與手機號綁定,這就給竊賊留下了可乘之機。若你的蘋果手機ID是使用這個郵箱註冊的,那麼犯罪分子則通過這個郵箱又可以控制你的蘋果ID,將你的手機進行清空,進而取得蘋果手機的使用權限。
安全措施 應隨安全問題同步進化
事實上,在上述的案例中,看起來誰都沒有犯錯誤,也沒有人是故意的,甚至看起來根本就沒有人犯錯誤。但這些問題糾結在一起之後,它就變成了我們將要面臨的新的安全問題。
於暘進一步指出,如果我們拋開軟體或者硬體的視角,以更抽象的視角來看,今天的信息安全和網絡空間進化中遇到的安全問題,如同生物進化一樣,已經進化成了一種非常複雜的形態,而這種形態的安全問題用傳統的方法是難以進行發現、分析和防禦的。
因此,於暘認為安全措施也必須隨之進化,即作為防禦者、安全研究者,我們需要隨著安全問題進化。這種情形是一種非常大的挑戰,但是於暘相信,這裡面也一定蘊含著非常大的機會。
