Photo by Matthew Henry on Unsplash
南北战争 - The Hard Way Lead to The Information Security
最近一起数据泄露事件忽然在网络上出圈,被很多人转发讨论,但和搞信息安全的小伙伴们讨论起来,大家都只是一副「哦」的表情。一方面是因为见得太多而麻木了,另一方面是与数据泄露相比,大家更关心漏洞,为什么会这样呢?
最近一起数据泄露事件忽然在网络上出圈,被很多人转发,同一个群不断有人转发相同的信息进来,说明这个群大家平时基本不看,但遇事不知道找谁分享的时候都会想起,对于群的组织者来说,不知是喜还是忧。
虽说事件出圈,但和搞信息安全的小伙伴们讨论起来,大家都只是一副「哦」的表情。一方面是因为见得太多而麻木了,另一方面是与数据泄露相比,大家更关心漏洞,为什么会这样呢?
人类喜欢用东南西北来代表政治分野,例如用「南和北」代表了发达国家与欠发达国家。才会有「南南合作」、「南北对话」这样的称呼。北边是发达、正统、严肃的,是丘吉尔与罗斯福的旧大陆;南边是落后、自由、乱七八糟的,是卡斯特罗和切格瓦拉的加勒比海。
而信息安全领域,也有这么一个分界方法。北代表了规范与正统,而南代表了自由与奔放。进而还进化出了「北极点」、「北极圈」、「北回归线」与「赤道」,当然对应南部也有「南极点」、「南极圈」等等。
如果要给一个概括定义的话,「北半球」,应该是在政府主导下,以合规为主要驱动方式的信息安全。而「南半球」,是民间黑客为主,以攻防为主要驱动方式的信息安全。说到这里可能大家已经有了直观感觉。
「南北极点」几乎从不见面,并且思维方式极端,「北极点」可以说不关心任何技术,他们颁布法律,执法手段是军队与警察等暴力机构,而「南极点」则干脆就是黑产,只不过他们不是在暗网上贩卖奴隶和毒品,而是用技术手段获得系统漏洞与数据并出售。
世界上主流的信息安全控制方式,其实是偏北的,大家可以感受的到,各种《信息安全法》和「等级保护」、「ISOxxxxx」自不必说,连抓黑客的手段更多的都是技术辅助的刑侦手段,这里面除了网络上寻觅线索,通过个人信息跟踪、视频监控数据等等,跟抓强奸犯并无二致。
但是始终有一些人相信,南半球的价值观才真正有利于世界的进步,他们信奉罗宾汉拯救世界,他们黑进一个一个网站只为了告诉对方你的系统很脆弱,他们行侠仗义欺负坏人 —— 等等,对不起,这种古典主义黑客只停留在我们的美好想象中。
最后一波这样有一点情怀的人,随着「乌云」的倒掉而四散了,他们或彻底沦为黑灰产,或被体制招安活跃在赤道两侧,也有人进了大厂成为厂内南半球 —— 大公司如同一个国家,内部有北向的合规与内审部门,也有南向的安全攻防部门,他们仍然能够发挥余热,忘记当年快意恩仇拿下一个个网站的兴奋,每日忙着填写 OKR、给下属打分或被上级打分,期盼着 3.75 的绩效,头上添了白发。就好像我认识的一位朋友。
十年前我们的创业团队正做着细分领域第一的产品,他在乌云上给我们来了一个内网漫游 —— 内网漫游的意思是他黑进来,截了很多图以表示他进来了,然后发了个帖子。
其实他进来的方法十分简单,我们的一位马虎程序员把一段运维脚本上传到了 Github,里面有写死的服务器访问密码 —— 人类似乎从来不从过去吸取任何教训,直到今天,这种泄露方法仍然是最主流的,以至于扫描 Github 是否会出现自家密码,几乎成为了各软件企业内安全团队的一个标准动作。后来这位马虎程序员财务自由了,去年还来投资我们的公司,这就是后话了。
「乌云」是当时国内非常有影响力的一个网站,主要用于这些黑客们显摆自己黑了谁,乌云的创始人也是我的一位前同事,他苦于做安全找漏洞却不被公司重视,便想出这么个办法,确实推动了行业的进步,但他自己后来也付出了难以想象的代价,这也是后话了。
这些攻入网站并行侠仗义的人,有了新的名字:白帽子。意思是我免费帮你们找漏洞,我并不会做坏事,秋毫无犯不拿老百姓一针一线,只是贴一下为了增加我的行业影响力,咱们双赢。但企业不这么想,企业颜面扫地。更不要提有一些白帽子其实还是拿了点数据的,毕竟不拿白不拿。
因此「乌云」这个网站,在广大企业眼里,情绪很复杂。一旦被挂了以后仿佛被当众拍了裸照,虽然关键部位打了码,但毕竟也是裸照。可你还得配上笑脸,生怕对方一不高兴干点啥出格的事,毕竟人家手里有无码版。我当时发现这个帖子以后,就面临这个尴尬境地,而我采取的措施也十分原始 —— 我去上门堵他。
那时候白帽子的圈子还比较小,谁还没有几个熟人呢。最后我在广州找到了他,他很年轻,看面相可能也就 20 岁,讲话的谨慎却成熟过自己的脸,因为有共同的朋友,他可能也少了几分戒心,跟我聊他们白帽子团体的一些事。我才第一次听说很多顶级白帽子都是体制内单位里闲出屁的一帮人 —— 此处可以联想创作《三体》的刘慈欣。
当然我想招揽他,但他婉拒,似乎他更向往这种自由的生活 —— 多年以后,「乌云」倒掉之后,听说他去了某巨厂,拿到了很不错的 Offer,当然那还是后话了。
从所谓「成年人」的视角,信息安全一定是「北半球」的,有法律,有规范,有标准,有 SOP,一步一步按部就班,最终执行的人,不必有太多的专业经验,就可以将一个系统部署为铁桶一般,事实上从国家到企业,大多数也是这么做的。这是一个站在前人肩上的工作方法,也是人类之所以能活到现在的原因。我们不必从头学习所有知识,只要做好自己的一个环节,前面人类几千年的经验都能成为你的基石。
「北半球」的好处是,如果黑进一个系统的方法是已知的,那就绝对不会有人能黑进来。要知道,世界上大多数的坏人都是在搜索引擎上搜来的方法和工具,并且大水漫灌式的在网络上扫描弱密码或者已知漏洞。他们没有能力创造或发现新的系统漏洞,即使是这样,也可以攻破大多数的系统 —— 我们的信息系统与互联网就是这么脆弱。
但「北半球」的问题在于,如果黑进一个系统的方法是未知的,就容易不好使。这未知的就包括所谓 0-day 漏洞(意思是没有人知道的漏洞,至少软件厂商不知道,没有推出过补丁包),也包括各类复杂的非技术的攻击,例如 APT (Advanced Persistent Threat,高级持续攻击)。
APT 就是坏人盯上你了。给你装窃听器,假装快递员,你过生日女朋友买个游戏鼠标结果给掉了包,带个改装过的鼠标当生日礼物送给你,然后鼠标把你公司资料偷了什么的。这些问题,在专注于攻防的南半球眼里,可能是常见的方法,但用北半球的方法就很难杜绝 —— 毕竟规章制度没办法写这么细,说在公司不能用女朋友送的鼠标。当然这种攻击成本很高,一般都是针对高价值目标的,如果你莫名担心自己被 APT 盯上,可以先盘算一下自己值不值。此时就需要「南半球」的方法,去持续发现和挖掘新的攻击方式,做到比坏人更快。
如果要给本文一个和事佬式的结尾,那就是南北都不可或缺。而此时你再调头去看这个数据泄露事件,是不是也能自己得出一些结论了?