“安全可靠崩解”能说是3月份的利斯涅了,果不其然位数汇率交易市场币安遭骇客攻击,破坏了位数汇率绝对安全可靠的形像,然后Facebook出现使用者统计数据外泄性丑闻,形成了一场前所未有的危机。
其实这些还只是个已经开始,提醒大家一下,Google最近发布了这款72个物理BCC的通用型物理计算机Bristlecone,物理BCC数量急速提高、准确率急速降低,人类所掌握的计算资源正在猛涨,很快就会把仅存的一切身份验证措施逐一突破。
在社会公众知觉里,我们保护信息的方式,仅仅是从位数公钥变异到人脸识别和人脸罢了。这当中还存在着“橘子皮补齐touchID”、“孪生欺骗人脸”这类Bug,实在是弱爆了!
信息安全可靠上也取得了大量不断进步,今天介绍的“公钥截叶”是当中之一。
避免骇客跑的博蒙阿,不一定要靠拇指
那些在影视作品中的骇客都是怎样的?穿著紧身,逃出最终目标的服务部或客厅,从智能化手环中取下一个小小U盘填入笔记本电脑上,新切录于标识符后已经开始急切的等待读条。此时一定会有冒险者在西向相互配合,为骇客拖延时间。最后在关键时刻,unlock终于从99.5%变成了100%,骇客得到了国家机密统计数据,取下U盘不知去向。
这里有一点非常戏剧化,那是骇侵一定要科猫。因为骇客的重中之重最终目标不是“不被发现的偷走统计数据”,而是“偷走统计数据”。实际上防跟踪的手段也很多,比如下载WhatsApp的卷心菜应用程序Tor就能利用来避免跟踪。但如果最终目标伺服器在侵略过程中就有所察觉到,直接能停止骇客的出访,并且补上安全漏洞及时止盈。
就拿前两年索尼统计数据库被盗来说,为人诟病的一点是骇客从索尼统计数据库里拖出了上百T的统计数据,即使是千兆宽带的速度也要拖上几十天。持续时间如此之长的异常流量波动,竟然没有被索尼的日常运维监测到。
欠佳的天然呆企业,后者可能会等到自己的统计数据在WhatsApp上泛滥之后,才后知后觉的意识到发生了什么。
现在我们知道了,信息安全可靠问题的威胁程度很大一部分都取决于操作速度。那么有没有什么办法,让侵略者的速度慢下来?
把骇客放进去……然后狠狠关上门
公钥截叶的作用就在于此。
这项技术由Docker的信息安全可靠工程师 Diogo Monica提出,能被理解为一种对伺服器底层交互的改变。通过将统计数据身份验证,将密钥单独存放在硬件之中,有了这种硬件安全可靠模块存在,骇客在拖统计数据的时候就无法像下载电影那么容易了。
公钥截叶的作用并不是避免骇客进入统计数据库,而是在骇客进入统计数据库之后缩紧闸门让他们没那么容易把统计数据拿出来。统计数据本身的身份验证算法并不复杂,但是统计数据出入统计数据库需要经过经过硬件安全可靠模块的解密,仅仅是这一过程,就会大大拉长统计数据盗取行为的时间。以前用几个小时就能拖完的统计数据,现在则需要几十天。
这样一来,盗取的行为被拉长,如同给企业划定了一个范围,让企业在当中截叶盗取者的身影。骇客进去容易出来难,就成为了瓮中之鳖。
举例来讲,去年美国知名信用评级机构Equifax自曝被骇客盗取统计数据库,有1.4亿美国的个人信息被外泄。当中原因就在于使用者的私密统计数据虽然被身份验证,但为了保证信息的正常调用,前端Web伺服器同样拥有解密的密钥,骇客侵略之后能直接在统计数据库内完成解密。但有了公钥截叶,骇客在解密时需要反复向硬件安全可靠模块发送请求,即使每次请求只需要0.0001秒那么短的时间,加起来也会延缓骇侵的速度。
这种增加硬件安全可靠模块的方式正在越来越多样化。比如亚马逊和微软的云服务都包含硬件安全可靠模块上云服务,用云存储和云计算的方式减轻企业使用公钥截叶的负担。
最近IBM推出的盐粒大小的微型计算机,也被用来作为公钥截叶中的硬件模块。IBM宣称,这样造价低廉、体量小的计算机能用来作为传感器收集统计数据,并对统计数据进行监控和分析。IBM提出了一个应用案例,微型计算机能和区块链物流相结合,被植入到商品中作为一种可验证“电子指纹”,好让消费者知道自己的商品没有被掉包。
这样的应用方式虽然有点遥远,但云服务、微型计算机、微型芯片这些技术的确扩大了公钥截叶技术的应用可能。
企业信息外泄的成本有多低?
最高罚款不过百万
不过就目前来看,真正应用上公钥截叶的企业还不算多。除了Docker之外,还有移动支付企业Square,以及Facebook(划重点)和Uber。
当中一部分原因在于接入硬件模块的成本,当企业意识到统计数据安全可靠时,必然是已经建立好统计数据库的时候。这时再以硬件方式进行耦合和身份验证,往往需要耗费大量的时间和金钱成本。让企业花费这么多去交换一个抓住正在骇侵中骇客的机会,的确应该多加考虑。
当然,Facebook这次信息外泄和公钥截叶以及任何信息安全可靠技术无关,这次外泄甚至没有骇客参与,仅仅是因为不当的第三方授权模式,才让其他企业得到了使用者的统计数据。Facebook和Uber对密码截叶的应用很可能是在支付方面。
不过这也揭示了一种现象,在平时,几乎没有任何人能感知到企业对信息安全可靠的高成本投入,可一旦出现信息外泄事件,企业此前的努力就会被毁于一旦。最后形成了一种极端的结果:企业与其花重金提升信息安全可靠水平,不如把费用留在出事后的公关上。
想要解决这种状况,恐怕就需要所有人一起努力了。
责和惩罚。目前我国的中华人民共和国信息安全可靠法中,对涉事企业以及企业中个人的惩罚罚款最高也只有一百万。一家大企业每年花在安全可靠运维上的费用就早已超过了这个数目。
而我们自己能做到的,或许是在外泄事故发生后与企业的洗地行为进行对抗,加大企业发生信息外泄事件的成本,让企业知道信息外泄不是交几十万罚款、找公关洗洗地就能解决的事。和这次Facebook事件一样,使用者的发声和选择,可能会让信息外泄成为企业中的一场飓风。
如果类似的事件发生在中国网民身上,请不要忘记、不要沉默。
