本周的 InfoQ 播客内容是 Barry Burd 教授和 Shuman Ghosemajumder 的对话。Ghosemajumder 是 Shape Security 公司产品管理部 VP,也是 Google 之前处理点击欺骗的主要负责人。Ghosemajumder 还是书“CGI Programming Unleashed ”的作者之一,他在 QCon 纽约 2016 大会上讲了一些安全战争的故事。
关键要点
由于现在我们的线上生活越来越多的要借助于科技和信息检索系统,这些对高科技的使用就让犯罪分子有可乘之机去做一些本来他们做不了的事。
- 网络罪犯来自世界各地,有着各种社会经济背景,只要能在一定程度上的访问计算机和技术他们就可以从事犯罪活动。
- 有组织的网络犯罪主要是针对大公司的,因为这样可以使他们的攻击回报更大。
- 网络犯罪也在不断创新,在不断使用我们之前没想到的新方法来攻击网站。
- 你可能会受到大规模攻击,可是站在被攻击的程序的角度却完全不知道攻击从何而来。
- 你把软件用来做什么?这件事远比查看代码来找漏洞重要。
要点
数据泄漏的步伐越来越加快
1 分:13 秒 - 大家的生活已经逐渐搬到网上:在网上办理业务、在网上生活。所以犯罪分子才会越来越重视使用科技,因为那样他们可能以简单地方式去骗人。
1 分:32 秒 - 技术变革也在不断发生。当你越来越多地通过技术和信息检索系统处理生活相关事宜时,犯罪分子就有机会用高科技来做一些以前做不到的事情。
2 分:01 秒 - 使用科技手段,犯罪分子可以同时侵入千万个家庭,可以用自动化工具非常高效地进行攻击。
2 分:55 秒 - 因犯罪分子进行网络犯罪的目的不同,他们进行犯罪行动的方法也会有所不同。比如他们是想窃取一些非常有价值的数据,而且也愿意花大价钱来做这件事的话,那就要用到不同寻常的技术。
网络犯罪背后的人
5 分:28 秒 - 这里涉及到形形色色的人。网络犯罪分子来自世界各地,有着各种不同社会经济背景,只要能在一定程度上的访问计算机和技术就可以从事犯罪活动。即使他不知道怎么直接使用技术,也不知道怎么制作恶意软件,他们也还是能进行犯罪。
6 分:29 秒 - 有一种不怎么要求高技术水平的方式就是从很多人的银行账户中偷钱。但即使能够使用恶意软件从别人的账户里把钱转出来,犯罪分子最终还是要把钱取出来。这最后一步还是要有人去做。
7 分:43 秒 - 还有一种是在不为人知的情况下偷偷控制几百万台个人电脑形成僵尸网络,这样别人完全不知道他的电脑已经被用于参与犯罪了。有时候他们也会通过程序和人工相结合的方式来进行验证码犯罪,在支付时常常要校验验证码,可是犯罪分子拿到的验证码很可能是用字符识别算法辨认不出来的,这种情况下他们可能会借助于海量用户的力量来把它挖掘出来。
个人消费者欺诈和公司欺诈之间的区别
9 分:13 秒 - 这两者之间有很大的交集,因为很多公司是要为海量用户服务的。这时网络犯罪分子就会试图获得用户的帐号,再通过帐号获取利益,这样就成了用户和提供服务的公司的共同问题。
9 分:37 秒 - 如果有人窃取了你的银行账户,那这就是你和银行共同的问题,所以你们两个都要想办法避免这样的事情发生。这个可能极其困难,你们都有自己能做的事或者想做的事。对于单个人来说,当你发现你的账户余额出现异常时你可能非常紧张。银行会想找出肉眼看不到的欺诈的迹象,因为网络犯罪分子能偷到钱的方法并不多。
11 分:18 秒 - 银行会寻找各种不同的网络欺诈方式的迹象,有时候损失的并不是可以直接从某些人账户里转走的钱。犯罪分子可能会登到账户里看看那个账户有没有某些特殊的附属物,然后再把那些附属物卖掉换钱。
关于网络罪犯
14 分:21 秒 - 网络犯罪分子攻击的主要目标常常是大型公司,原因之一是当他们发现通过某些方式可以挖掘出大量价值的时候,直接攻击大公司会有更高成效。攻破一个网站可能就会获得几百万用户的账户价值,或者可以窃取几百万用户的数据去黑市出售,和攻击几百万台个人电脑及相比,前者的收益太大了。
15 分:19 秒 - 在过去你可能以为有很多能力都比较强、成员受教育程度都比较高的网络犯罪组织都主要针对大公司进行攻击,但现在你可以看到迹象两方面都开始发生变化了。比如针对个人用户,有许多可以利用的微妙东西来写出恶意软件透过各种防病毒软件和各种防火墙,最终攻陷几百万台个人电脑,这种事情在技术上并不简单。同时还有一些工具甚至可以让那些技术初学者经过几个步骤就可以成功的对一些大公司进行攻击。
文化是如何对网络犯罪增多推波助澜的
16 分:36 秒 - 网络犯罪分子也越来越有创造力,开始用我们以前压根想不到的办法来和网站进行互动,当然可能只是从程序员的角度想不到。从终端用户的角度他们也有我们以前想象不到的办法。
密码安全问题
17 分:19 秒 - 人们没有认真想过在多个网站上使用相同密码会让他们多容易遭受损失。也许你的密码很复杂,但当你在多个网站上都使用相同密码的时候,再复杂也都没什么用了。比如你的社交网站的密码和你的银行账号密码是相同的,那如果社交网站被攻破犯罪分子就可以拿到你的帐号密码,他们就可以去各个网站上去尝试,包括你的银行网站。
18 分:40 秒 - 你应该在不同的网站上使用不同的密码,这样可以增大被攻破的难度。
19 分:02 秒 - 如果你有一个密码管理器,你用它来为每个网站都生成一个唯一密码,但当网络犯罪分子攻破这个密码管理器的时候,他们就一下子有了一堆整整齐齐的账号密码,他们就可以用你这些账号密码去随心所欲的访问那些网站了。
20 分:19 秒 - 如果你问那些网络安全从业者他们自己怎么保护自己的,你可以得到千奇百怪的答案。有的人甚至开发了私用公式系统,通过各种助记法来记住密码,而且对各种不同类型的网站有不同的安全等级。
20 分:56 秒 - 也许对于大多数的普通用户来说最简单易行的办法还是用个密码管理器,这样可以帮他们解决许多复杂的问题。不幸的是,从整个账号系统和安全产业的角度来看,最严重的问题仍然是在各个网站上都使用相同的简单密码。
安全战争的故事
22 分:29 秒 - 你可能会受到大规模攻击,可是站在被攻击的程序的角度却完全不知道攻击从何而来。
22 分:47 秒 - 人们有许多方式来与程序进行交互,从世界各地都可能发起,从各种设备上都可能发起,所以很难知道到底是一个真实用户还是一个攻击者在访问网站。攻击者可以利用这样的特点来进行非常大规模的攻击,甚至连有经验的防御者都可能蒙骗过去。
24 分:10 秒 - 在攻击发生后你可以发现有许多不同类型的攻击,你可以从这些发现中不断学习。但这样你只能知道那些你已知的东西。你可以做非常好的事后分析,但对于那些还未知的攻击方法该怎么办?
24 分:42 秒 - 在安全行业中你可能发现这样的例子遍地都是:有些恶意软件在被发现之前已经潜伏了好多年了。
安全产业的吸引力
26 分:03 秒 - 吸引人们从事安全工作的部分原因是他们可以有机会用各种复杂的手段来保护人们,走在犯罪分子前面,如果比犯罪分子水平更高的话还可以击败他们。
27 分:03 秒 - 网络犯罪分子准备进行的攻击手段远比你要调试开发程序过程中遇到的 BUG 更复杂。我觉得如果你真的想给自己一些高难度的智力挑战的话,那进入安全产业是个不错的选择。
安全审计
27 分:44 秒 - 最难的是怎么衡量有多容易受攻击这样的事情。有可能你只有一个漏洞但却对系统功能影响非常大,也有可能你有一堆漏洞但却对你的程序来说不算什么大问题,这些都要看你的系统是怎样的。
28 分:20 秒 - 你怎么想明白那些你现在意识不到的问题?又怎么衡量那些你没有办法衡量的漏洞?这样不管你是用手动还是自动代码分析都会有问题。
29 分:06 秒 - 还是有很多审计工作可以做,但要记住不管你做多少审计工作,你都只能达到一定程度的安全而已。我觉得考虑到你的应用程序的基本功能、业务功能和逻辑功能,很难有通用的审计方法来对各方面都考虑周全。
28 分:48 秒 - 要分析某个软件或者系统的某个部分到底有什么程度的风险,你必须叫上业务负责人、软件开发者、做财务的和分析风险的,所有人一起来做这件事。
软件漏洞的挑战
30 分:52 秒 - 与分析代码级的漏洞相比,理解你的软件到底是用在什么场合更重要。这个讨论就超出安全和 IT 安全的范畴了,而这更是易受攻击的焦点。
32 分:05 秒 - 一个软件开发过程中的真正挑战是我们用某项技术去实现一个应用程序时,我们对那项技术的理解到底能有多深。知道某个模块是不是安全的这只是一种相对初级的工作,与之相比更高级的是:了解那个模块是否能以一种确保安全的方式来与系统的其他模块交互。
33 分:20 秒 - 有很多你本来觉得不会出漏洞的模块却偏偏出现漏洞,原因都是人们对软件的一些特殊用法。我觉得这些是真正有挑战的地方。
怎样让人擅长做安全审计?
37 分:26 秒 - 要有动力去真正理解人们在写软件时犯的错误到底是什么;要有动力去比那些真的很聪明的犯罪分子跑得更快;要有动力去保护单个人和整个社会。我觉得这些因素是促使大家投入安全产业的真正原因。
38 分:12 秒 - 你要站在对手的角度去想问题,要能预想到他们下一步会怎么做,但你尤其要小心的是对手可能对这些方面也已经非常有经验。
安全的未来
39 分:19 秒 - 我觉得对许多公司来说安全已经上升到董事会层面了,尤其是对于那些日常业务涉及许多在线活动的公司。现在安全已经是很多公司都会考虑的问题。
39 分:45 秒 - 对于安全和创新,在接下来的几年里技术上还可以有很大提升,安全产业和从业者都大有可为。
40 分:17 秒 - 在初创的安全公司中有许多令人兴奋的东西,在一些大型公司中也是,比如 Google 的 Project Zero。我觉得在安全产业自发的动力是让你与众不同的非常重要的一点。我们公司 Shape Security 在处理大规模自动化攻击方面就已经取得了非常大的成绩。
41 分:10 秒 - Apple 公司把 Touch ID 用在 iPhone 上是个伟大的创举,这是第一次把指纹识别技术作为默认选项用在一个几亿用户使用的标准平台上。
41 分:42 秒 - 就象在现实世界里没有人敢说他能百分之百的安全一样,在网络世界上也没有绝对意义上的安全,但我认为在谈到怎么使用科技时,大家的安全意识已经越来越强了。
文中提到的公司:
文中提到的产品:
关于 QCon 大会
QCon 大会是由 InfoQ 主办的全球顶级技术盛会,由业内人士推动,专为在团队中影响软件创新的技术团队主管、架构师以及项目经理而设计。QCon 每年的七场大会分别在伦敦、纽约、旧金山、圣保罗、北京、上海和东京召开。QCon 旧金山大会已经举办到第十届,今年将于 2016 年 11 月 7-11 日举行,届时会有 100 多名业内专家作为演讲嘉宾,并有 1300 多名与会者以及 18 个涉及如今推动软件开发发展的专题追踪报道。想要了解更多详情,请参见 qconsf.com 网站。
关于我们播客的更多内容
你可以通过订阅我们的 RSS 种子来时刻获得我们播客的最新内容,RSS 种子在 SoundCloud 和 iTunes 上都有。在这个页面上你可以看到我们记下来的笔记,里面有很多链接,点击就可以直接听到相关的音频。
阅读英文原文: The InfoQ Podcast: Shuman Ghosemajumder on Security and Cyber-Crime
评论