标签: 行业故事

最近一段时间，360宣称发现了“区块链史诗级漏洞，可完全控制虚拟货币交易”，对于始终对各种币抱着抵触态度的人来说，好像没有什么太大问题，但是考虑到比特币不菲的价格，这的确有点轰动。正好近期有机会听黑客分享他们的故事，还是刷新了很多认知。 第一个认识的点： 互联网绝没有想象的那么安全 ，如果有机会把所有互联网企业召集在一起，问一下谁家的网站不会被黑，应该没有人敢回答“Yes”！包括BAT甚至做安全的360，道理很简单，做网站需要考虑所有节点的安全，但是 百密终有一疏，无论协议上的漏洞还是代码的BUG，只要黑客抓住一点，那就宣告攻破了城墙 ！所以不要过分迷信科技，科技不可否认带给人便利、让时代进步，但同样的，道高一尺魔高一丈，有新的技术就一定有新的漏洞；一件很有趣的事情，一个黑客聊起自己的日常，虽然每天接触各种前沿科技，但是自己家里仅有的智能设备是路由器，两台路由器，一台给客人使用，另一台自己家人使用，两个密码还不相同；突然间感觉有些错愕，这是一个所谓的万物互联、智能时代，随随便便家里都要有一些智能家居，类似智能电视、扫地机器人诸如此类的东西，而推动行业发展的这些人，怎么讲呢，对新事物的接受程度，跟我们的父母在一个层级上，不过还是有本质区别的，一个是不了解，另一个是太了解？ 既然没有那么安全， 那现在大家都离不开的互联网如何保证安全？ 这就是第二点认知。 举个例子来说，特斯拉的自动驾驶被发现存在漏洞，开启自动驾驶功能时，存在被他人控制的风险，但是这个漏洞不只是软件层面的，还需要更新硬件，所以特斯拉的做法简单粗暴，在升级提示里推送给用户这样的消息：自动驾驶功能存在失控风险，建议谨慎使用，为了安全考虑，可以关闭自动驾驶功能；所以，这不仅是一个免责声明，还是一种官方提供的解决方式：既然黑客发现了修补不了的漏洞，那索性关闭它。除了这种被动的，还有另一个方向： 既然如前所述两者永远站在一个不对等的角度去博弈，那结果自然就已经注定；所以最新潮的策略是什么呢， 对待黑客不能守株待兔，而是要 主动出击，不再等待着黑客来攻破自己的大门，然后亡羊补牢；而是做一个猎人，设置好陷阱，引诱猎物进行捕捉；具体来讲，可以故意留下漏洞，吸引黑客，一旦黑客进入到这个看似漏洞而不是漏洞的点，就可以追踪他的地址。这就从被动防御跳转到了主动出击，效果如何有待验证，但至少不会让居心不良者肆无忌惮的出手！除了防守策略，还有行业态势，刚刚看了一份网络安全企业名录，才知道自己的孤陋寡闻，除了广为人知的卡巴斯基、360卫士、腾讯管家之类的企业，做网络安全的竟然如此之多，原因就在于互联网包罗万象，一家公司永远不可能把所有的面都覆盖到，索性就将它离散化，各自做各自擅长的， 不同的企业做着各自的安全领域， 这也不失为一个好的趋势。 万物互联连的是网，但终究离不开人，一切的根本还是这群神秘的黑客。理论上来讲，黑客也属于技术从业者，但是，却明显区别于一般做技术的，无论你是做芯片设计、硬件开发，即使码代码都感觉距离黑客这个团体有点遥远，他们最大的特点就在于其神秘性，无论其人抑或做的事情；但是： 黑客也需要面对自己的七情六欲，也需要作出对未来的抉择 ，这就是对于这群人的认知。国内早期有一个黑客团队，因为兴趣爱好聚在了一起，通过qq群相互联系，慢慢的积累了一些技术、有了一些名气，渐渐地qq群里面的人却越来越少，黑掉的头像越来越多。人都去了哪呢，有的被征召进了国家队，有的进了企业做网络安全，有的自己创业给大公司做专业业务；上的黑客虽然叫黑客，但是应该算是白帽子黑客，但是还有一种真正意义上的黑客，他们做什么呢，“ 黑产 ”！其实一个黑客凭借漏洞，如果真的去做一些违法的事情，实事求是的讲，他获利能力是很强的。但是收益往往和风险呈正比，有命挣不一定有命花，这也是个很现实的问题。所以就有了前面说到的qq群，一个个头像陆陆续续灭掉，有的知道去向，有的不知道去向，有的就那样突然消失了。正如很多白帽子说的那样，他们还是更享受晚上回到家里可以安心躺床上休息的感觉，而不是被噩梦惊醒。感同身受的是，这种安心的感觉绝对不只存在于黑客这个群体里，各行各业的人们都会面临着各种抉择，抉择意味着各种利弊的权衡，所以，在权衡的时刻千万别忘了，让自己心安是个非常重要的砝码。