您的位置:首页>>人物动态

CSS安全领袖峰会于旸:以进化的视角 解决安全问题的进化

发布时间:2016-11-14 15:44:54  来源:互联网    采编:贺飞  背景:

  11月9日,发生了两件大事。第一件是美国大选正在如火如荼地进行着,第二件是以“智慧安全,连接赋能”为主题的第二届中国互联网安全领袖峰会(Cyber Security Summit,简称CSS安全领袖峰会)在北京国家会议中心开幕。

  这两件大事看似无关,实则有关。出席本次会议的腾讯安全玄武实验室负责人于旸表示,今天的我们同时生活在两个空间中,即物理空间和数字空间,“我们对这两个空间的依赖已逐步从物理空间向数字空间转移。这两个空间的交融也变得越来越深入,数字空间对人类的影响也越来越大。”因此,2008年的美国大选通常被认为是互联网第一次影响了美国选举,而今年的美国大选则是信息安全问题第一次影响了大选结果。

  在会议上,被黑客界尊称为“TK教主”的于旸发表了以《数字空间和信息安全的进化论》为主题的演讲。他将自己从事信息安全工作十余年的研究经验,结合进化论理论,深入浅出地剖析了数字空间中的信息安全演变过程,以及应对措施。

  信息安全 越进化越复杂

  物理空间诞生于宇宙大爆炸,其后,产生的基本粒子开始形成宇宙中的物质。在于旸看来,今天的数字空间如同宇宙是从基本粒子长期演变形成的一般,也是基于一行一行代码逐渐架构起来的,只是规模可能还处于非常早期的阶段,远未达到形成了“星系”的状态。

  于旸指出,在数字空间创世的早期,安全问题大多数是一些微观层面的问题。如,一行一行的代码中,某行代码出现了问题,或者某个变量设定有问题等。这些微观层面形成的安全问题,只会影响一个微观的对象。

  类比生物的进化来看,从一个单细胞生物的诞生,一直到产生了地球上最为复杂、最为壮观的生命——人类。在进化的过程中,个体本身变得越来越复杂,个体的功能变得越来越多样。与此同时,弱点也会跟随个体一起进化,个体的脆弱点同样会变得越来越复杂。

  与之类似,人们在数字空间当中的行为已经不是单一行为了,操作的复杂程度越来越高,操作对象之间的联系也会变得越来越复杂,这就导致我们今天面对的信息安全,已经不再是某一行代码的问题,或者说某几处代码之间的问题,而是一个协议和一个协议之间的问题,或者是某些协议共同作用发生的问题,甚至是一个设备和一堆设备之间的问题、一个系统和一个系统之间的问题。但是,这些对象相互之间看不到特别明显的关系,这些其实就是进化的结果。

  安全威胁 一波未平一波又起

  在于旸看来,在信息空间的进化过程中,不仅传统的安全问题依然存在,新的安全问题也已经进化出来了。他以电商系统为例。当我们去电商网站购物时,支付钱款时会进入到交易结算系统中,而交易结算系统与电商交易系统通常是两个系统,甚至有可能隶属于不同的公司所有。这两个系统在发生关系的时候就有可能发生问题。因为交易系统的设计是由一组人员去完成的,而交易结算系统是另外一组人员去完成的。

  无论双方沟通的结果如何,依然会存在一些瑕疵,这也就导致了这样一种情况,即攻击者可以在购买完成之后,将结算的交易金额修改成一个非常小的数字,而电商交易系统只是判断这个交易是否成功,并不在乎交易数字是多少。这样一来,“电商网站的交易系统可能不知道攻击者购买一台冰箱,到底是花了2000元,还是花了1元。”

  于旸还列举了很多生动的案例,阐述进化过程所产生的新的安全问题。例如前几年运营商提供的短信保管箱服务,可以让用户将短信存储到服务器上。这原本是一个非常好的便民措施,但犯罪集团却利用这项便民业务,结合其他黑客技术,拦截了短信验证码,以窃取用户网银上的资金,而用户很可能并不知道。

  再例如对苹果手机的解锁和盗窃。苹果手机的安全性首屈一指,即便手机被窃取,依然可以通过云端锁定手机、删除数据确保信息安全等。虽然窃贼对手机和SIM卡放在一起没有办法破解,但是假如他们盗窃到了你的苹果手机,他们可以利用手机中的SIM去控制你的某个网络服务,例如邮箱等。因为很多网络服务为了安全性,会要求与手机号绑定,这就给窃贼留下了可乘之机。若你的苹果手机ID是使用这个邮箱注册的,那么犯罪分子则通过这个邮箱又可以控制你的苹果ID,将你的手机进行清空,进而取得苹果手机的使用权限。

  安全措施 应随安全问题同步进化

  事实上,在上述的案例中,看起来谁都没有犯错误,也没有人是故意的,甚至看起来根本就没有人犯错误。但这些问题纠结在一起之后,它就变成了我们将要面临的新的安全问题。

  于旸进一步指出,如果我们抛开软件或者硬件的视角,以更抽象的视角来看,今天的信息安全和网络空间进化中遇到的安全问题,如同生物进化一样,已经进化成了一种非常复杂的形态,而这种形态的安全问题用传统的方法是难以进行发现、分析和防御的。

  因此,于旸认为安全措施也必须随之进化,即作为防御者、安全研究者,我们需要随着安全问题进化。这种情形是一种非常大的挑战,但是于旸相信,这里面也一定蕴含着非常大的机会。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
观脉科技CTO苗权:SD-WAN的本质是“技术+产品+服务+运营+销售”
SD-WAN,即软件定义广域网,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔...
日期:11-23
百度首席安全科学家韦韬做客第一财经:数据安全AI捍卫
AI时代,互联网和大数据已然融入到你我工作、生活之中,带来便利的同时,公众对于包括个人隐私在内...
日期:11-22
出门问问工程副总裁黄美玉博士入选IEEE Fellow
IEEE(国际电子电气工程协会)2019年的Fellow(院士)评选结果将于2019年1月1日正式生效,但记者刚刚获...
日期:11-22
今日头条CEO陈林:头条内部没有广告KPI ,欢迎行业良性竞争
11月17日,今日头条“创作者大会”更名为“生机大会”之后首次举办。在生机大...
日期:11-21
途鸽创始人、董事长张衡荣获 “企业家年度人物”
9月8日-9日,华中科技大学第11届校友企业家论坛暨第四届互联网论坛在北京举行,主题为“变化与...
日期:11-21
罗永浩回应酷派子公司起诉;华为已出货1万个5G基站
最近风波不断的锤子科技又被报道遭到了酷派旗下子公司宇龙的起诉,罗永浩昨晚发微博称“正在和...
日期:11-21
马化腾:腾讯走到今天,首先应该归功于这个时代
今年全国两会期间,腾讯公司董事会主席兼首席执行官马化腾称,微信全球月使用活跃用户数已突破10亿...
日期:11-20
今日头条CEO陈林:优质内容将胜出,低质信息将无路可走
11月17日,今日头条CEO陈林在生机大会上发表主题演讲,表示:随着内容行业的发展,优质内容将胜出,...
日期:11-20
华为王安宇:推动安卓绿色联盟成为行业标准,让技术服务于人
11月16日,首届安卓绿色联盟开发者大会在北京圆满落下帷幕。本届大会可谓是精英云集,阵容豪华。作...
日期:11-20
陈生强:共建才能发挥“产业X科技”的乘数效应
11月20日,由京东集团、京东金融联合主办的JDD-2018京东数字科技全球探索者大会隆重开幕。来自科技...
日期:11-20
今日头条CEO陈林:今日头条的关键词是“价值”
11月17月,今日头条生机大会在京举办。今日头条CEO陈林在大会上透露了,2018年4月,今日头条升级slo...
日期:11-20
今日头条CEO陈林:用户对优质内容的需求不断在提升
近日,2018今日头条生机大会举办。今日头条CEO陈林发表主题演讲,分享了他对内容行业的观察认知。陈...
日期:11-20
51Talk 人力副总裁王嵋GET大会剖析在线教育企业管理之道
11月15日,GET 2018教育科技大会在京闭幕,来自全球34个国家的328位教育领袖及数万名行业人员出席,...
日期:11-20
再获殊荣!e成科技CEO及总裁荣膺中国人力资源科技TOP人物
11月16日,e成科技受邀参加HRTech China在上海举办的的2018中国人力资源科技博览会。在活动当日进行...
日期:11-19
苹果CEO库克:科技公司不可为所欲为
一直以来,苹果在一些事情的处理器都严格执行着自己的底线,比如不会给政府留数据后门,比如对用户...
日期:11-19
百度安全马杰:AI思维重塑安全边界 七种武器助力开放生态
AI会让世界变得更好吗?
  这是11月16日,百度安全总经理马杰在天府2018国际网络安全高峰论坛...
日期:11-16
51Talk CEO黄佳佳出席GET大会:普惠式教育是在线教育的未来
11月13日,备受瞩目的GET2018教育科技大会在北京国际会议中心拉开序幕,GET大会由教育科技媒体芥末...
日期:11-16
广东省委书记李希、省长马兴瑞一行调研佳都科技
11月12日,中央政治局委员、广东省委书记李希,广东省委副书记、省长马兴瑞等领导在陪同河北省党政...
日期:11-16
联想常程:Z5Pro在加紧备货 发誓不做猴王
11月16日,上个月底,三款采用了滑盖结构的智能手机小米MIX3、荣耀Magic2以及联想Z5Pro相继发布。其...
日期:11-16
亚马逊CEO贝佐斯:亚马逊终会失败,我们的工作是尽可能拖延它
11月16日,近日,亚马逊CEO杰夫·贝佐斯向全体员工表示了自己对于亚马逊未来的想法。在上周四...
日期:11-16