" 安全崩壞 " 可以說是 3 月份的主題詞瞭,先是數字貨幣交易平臺幣安遭黑客攻擊,破壞瞭數字貨幣絕對安全的形象,然後 Facebook 出現用戶數據泄露醜聞,形成瞭一場空前的危機。
其實這些還隻是個開始,提醒大傢一下,谷歌最近發佈瞭一款 72 個量子比特的通用量子計算機 Bristlecone,量子比特數量不斷提高、錯誤率不斷降低,人類所掌握的計算能力正在飛漲,很快就會把現存的一切加密措施一一突破。
在公眾認知裡,我們保護信息的方式,僅僅是從數字密碼進化到指紋識別和人臉識別而已。這其中還存在著 " 橘子皮破解 touchID"、" 雙胞胎蒙騙人臉識別 " 這類 Bug,簡直是弱爆瞭!
不過我們天生會給予危險更多關註,實際近年我們在網絡安全上也取得瞭大量進步,今天介紹的 " 密碼錨定 " 就是其中之一。
防止黑客跑的太快,不一定要靠拳頭
那些在影視劇中的黑客都是什麼樣的?穿著緊身衣,潛入目標的辦公室或臥室,從智能手表中拔出一個小小的 U 盤插入電腦上,敲下幾行代碼後開始焦急的等待讀條。此時一定會有同伴在外圍配合,為黑客爭取時間。最後在緊要關頭,進度條終於從 99.5% 變成瞭 100%,黑客得到瞭機密數據,取下 U 盤逃之夭夭。
這裡有一點非常寫實,那就是駭侵一定要動作迅速。因為黑客的首要目標不是 " 不被發現的拿走數據 ",而是 " 拿走數據 "。實際上防追蹤的手段也很多,比如瀏覽暗網的洋蔥瀏覽器 Tor 就可以利用來防止追蹤。但如果目標服務器在入侵過程中就有所察覺,直接可以停止黑客的訪問,並且補上漏洞及時止損。
就拿前兩年索尼數據庫被盜來說,為人詬病的一點是黑客從索尼數據庫裡拖出瞭上百 T 的數據,即使是千兆寬帶的速度也要拖上幾十天。持續時間如此之長的異常流量波動,竟然沒有被索尼的日常運維監測到。
黑客所做的,往往是長期潛伏尋找漏洞,一旦找到就用最短的時間獲取盡可能多的數據,直到自己的訪問被禁止或漏洞被填補。如果那些善於防追蹤的入侵者遇上瞭索尼這樣網絡安全技術欠佳的天然呆企業,後者可能會等到自己的數據在暗網上泛濫之後,才後知後覺的意識到發生瞭什麼。
現在我們知道瞭,網絡安全問題的威脅程度很大一部分都取決於操作速度。那麼有沒有什麼辦法,讓入侵者的速度慢下來?
把黑客放進去……然後狠狠關上門
密碼錨定的作用就在於此。
這項技術由 Docker 的網絡安全工程師 Diogo Monica 提出,可以被理解為一種對服務器底層交互的改變。通過將數據加密,將密鑰單獨存放在硬件之中,有瞭這種硬件安全模塊存在,黑客在拖數據的時候就無法像下載電影那麼容易瞭。
密碼錨定的作用並不是防止黑客進入數據庫,而是在黑客進入數據庫之後縮緊閘門讓他們沒那麼容易把數據拿出來。數據本身的加密算法並不復雜,但是數據出入數據庫需要經過經過硬件安全模塊的解密,僅僅是這一過程,就會大大拉長數據盜取行為的時間。以前用幾個小時就能拖完的數據,現在則需要幾十天。
這樣一來,盜取的行為被拉長,如同給企業劃定瞭一個范圍,讓企業在其中錨定盜取者的身影。黑客進去容易出來難,就成為瞭甕中之鱉。
舉例來講,去年美國知名信用評級機構 Equifax 自曝被黑客盜取數據庫,有 1.4 億美國的個人信息被泄露。其中原因就在於用戶的私密數據雖然被加密,但為瞭保證信息的正常調用,前端 Web 服務器同樣擁有解密的密鑰,黑客入侵之後可以直接在數據庫內完成解密。但有瞭密碼錨定,黑客在解密時需要反復向硬件安全模塊發送請求,即使每次請求隻需要 0.0001 秒那麼短的時間,加起來也會延緩駭侵的速度。
這種增加硬件安全模塊的方式正在越來越多樣化。比如亞馬遜和微軟的雲服務都包含硬件安全模塊上雲服務,用雲存儲和雲計算的方式減輕企業使用密碼錨定的負擔。
最近 IBM 推出的鹽粒大小的微型計算機,也被用來作為密碼錨定中的硬件模塊。IBM 宣稱,這樣造價低廉、體量小的計算機可以用來作為傳感器收集數據,並對數據進行監控和分析。IBM 提出瞭一個應用案例,微型計算機可以和區塊鏈物流相結合,被植入到商品中作為一種可驗證 " 電子指紋 ",好讓消費者知道自己的商品沒有被掉包。
這樣的應用方式雖然有點遙遠,但雲服務、微型計算機、微型芯片這些技術的確擴大瞭密碼錨定技術的應用可能。
企業信息泄露的成本有多低?最高罰款不過百萬
不過就目前來看,真正應用上密碼錨定的企業還不算多。除瞭 Docker 之外,還有移動支付企業 Square,以及 Facebook(劃重點)和 Uber。
其中一部分原因在於接入硬件模塊的成本,當企業意識到數據安全時,必然是已經建立好數據庫的時候。這時再以硬件方式進行耦合和加密,往往需要耗費大量的時間和金錢成本。讓企業花費這麼多去交換一個抓住正在駭侵中黑客的機會,的確應該多加考慮。
當然,Facebook 這次信息泄露和密碼錨定以及任何網絡安全技術無關,這次泄露甚至沒有黑客參與,僅僅是因為不當的第三方授權模式,才讓其他企業得到瞭用戶的數據。Facebook 和 Uber 對密碼錨定的應用很可能是在支付方面。
不過這也揭示瞭一種現象,在平時,幾乎沒有任何人能感知到企業對信息安全的高成本投入,可一旦出現信息泄露事件,企業此前的努力就會被毀於一旦。最後形成瞭一種極端的結果:企業與其花重金提升信息安全水平,不如把費用留在出事後的公關上。
想要解決這種狀況,恐怕就需要所有人一起努力瞭。
比如當民眾的信息越來越多的被獲取時,政府可以加強對企業信息保護措施的硬性要求,並加強信息泄露後的追責和懲罰。目前我國的中華人民共和國網絡安全法中,對涉事企業以及企業中個人的懲罰罰款最高也隻有一百萬。一傢大企業每年花在安全運維上的費用就早已超過瞭這個數目。
而我們自己能做到的,或許就是在泄露事故發生後與企業的洗地行為進行對抗,加大企業發生信息泄露事件的成本,讓企業知道信息泄露不是交幾十萬罰款、找公關洗洗地就能解決的事。和這次 Facebook 事件一樣,用戶的發聲和選擇,可能會讓信息泄露成為企業中的一場颶風。
如果類似的事件發生在中國網民身上,請不要忘記、不要沉默。
