中新網(wǎng)11月14日電 11月9日，發(fā)生了兩件大事。第一件是美國大選正在如火如荼地進(jìn)行著，第二件是以“智慧安全，連接賦能”為主題的第二屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(Cyber Security Summit，簡稱CSS安全領(lǐng)袖峰會)在北京國家會議中心開幕。

這兩件大事看似無關(guān)，實(shí)則有關(guān)。出席本次會議的騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示，今天的我們同時生活在兩個空間中，即物理空間和數(shù)字空間，“我們對這兩個空間的依賴已逐步從物理空間向數(shù)字空間轉(zhuǎn)移。這兩個空間的交融也變得越來越深入，數(shù)字空間對人類的影響也越來越大。”因此，2008年的美國大選通常被認(rèn)為是互聯(lián)網(wǎng)第一次影響了美國選舉，而今年的美國大選則是信息安全問題第一次影響了大選結(jié)果。

在會議上，被黑客界尊稱為“TK教主”的于旸發(fā)表了以《數(shù)字空間和信息安全的進(jìn)化論》為主題的演講。他將自己從事信息安全工作十余年的研究經(jīng)驗(yàn)，結(jié)合進(jìn)化論理論，深入淺出地剖析了數(shù)字空間中的信息安全演變過程，以及應(yīng)對措施。

信息安全 越進(jìn)化越復(fù)雜

物理空間誕生于宇宙大爆炸，其后，產(chǎn)生的基本粒子開始形成宇宙中的物質(zhì)。在于旸看來，今天的數(shù)字空間如同宇宙是從基本粒子長期演變形成的一般，也是基于一行一行代碼逐漸架構(gòu)起來的，只是規(guī)模可能還處于非常早期的階段，遠(yuǎn)未達(dá)到形成了“星系”的狀態(tài)。

于旸指出，在數(shù)字空間創(chuàng)世的早期，安全問題大多數(shù)是一些微觀層面的問題。如，一行一行的代碼中，某行代碼出現(xiàn)了問題，或者某個變量設(shè)定有問題等。這些微觀層面形成的安全問題，只會影響一個微觀的對象。

類比生物的進(jìn)化來看，從一個單細(xì)胞生物的誕生，一直到產(chǎn)生了地球上最為復(fù)雜、最為壯觀的生命——人類。在進(jìn)化的過程中，個體本身變得越來越復(fù)雜，個體的功能變得越來越多樣。與此同時，弱點(diǎn)也會跟隨個體一起進(jìn)化，個體的脆弱點(diǎn)同樣會變得越來越復(fù)雜。

與之類似，人們在數(shù)字空間當(dāng)中的行為已經(jīng)不是單一行為了，操作的復(fù)雜程度越來越高，操作對象之間的聯(lián)系也會變得越來越復(fù)雜，這就導(dǎo)致我們今天面對的信息安全，已經(jīng)不再是某一行代碼的問題，或者說某幾處代碼之間的問題，而是一個協(xié)議和一個協(xié)議之間的問題，或者是某些協(xié)議共同作用發(fā)生的問題，甚至是一個設(shè)備和一堆設(shè)備之間的問題、一個系統(tǒng)和一個系統(tǒng)之間的問題。但是，這些對象相互之間看不到特別明顯的關(guān)系，這些其實(shí)就是進(jìn)化的結(jié)果。

　　安全威脅 一波未平一波又起

在于旸看來，在信息空間的進(jìn)化過程中，不僅傳統(tǒng)的安全問題依然存在，新的安全問題也已經(jīng)進(jìn)化出來了。他以電商系統(tǒng)為例。當(dāng)我們?nèi)ル娚叹W(wǎng)站購物時，支付錢款時會進(jìn)入到交易結(jié)算系統(tǒng)中，而交易結(jié)算系統(tǒng)與電商交易系統(tǒng)通常是兩個系統(tǒng)，甚至有可能隸屬于不同的公司所有。這兩個系統(tǒng)在發(fā)生關(guān)系的時候就有可能發(fā)生問題。因?yàn)榻灰紫到y(tǒng)的設(shè)計(jì)是由一組人員去完成的，而交易結(jié)算系統(tǒng)是另外一組人員去完成的。

無論雙方溝通的結(jié)果如何，依然會存在一些瑕疵，這也就導(dǎo)致了這樣一種情況，即攻擊者可以在購買完成之后，將結(jié)算的交易金額修改成一個非常小的數(shù)字，而電商交易系統(tǒng)只是判斷這個交易是否成功，并不在乎交易數(shù)字是多少。這樣一來，“電商網(wǎng)站的交易系統(tǒng)可能不知道攻擊者購買一臺冰箱，到底是花了2000元，還是花了1元。”

于旸還列舉了很多生動的案例，闡述進(jìn)化過程所產(chǎn)生的新的安全問題。例如前幾年運(yùn)營商提供的短信保管箱服務(wù)，可以讓用戶將短信存儲到服務(wù)器上。這原本是一個非常好的便民措施，但犯罪集團(tuán)卻利用這項(xiàng)便民業(yè)務(wù)，結(jié)合其他黑客技術(shù)，攔截了短信驗(yàn)證碼，以竊取用戶網(wǎng)銀上的資金，而用戶很可能并不知道。

再例如對蘋果手機(jī)的解鎖和盜竊。蘋果手機(jī)的安全性首屈一指，即便手機(jī)被竊取，依然可以通過云端鎖定手機(jī)、刪除數(shù)據(jù)確保信息安全等。雖然竊賊對手機(jī)和SIM卡放在一起沒有辦法破解，但是假如他們盜竊到了你的蘋果手機(jī)，他們可以利用手機(jī)中的SIM去控制你的某個網(wǎng)絡(luò)服務(wù)，例如郵箱等。因?yàn)楹芏嗑W(wǎng)絡(luò)服務(wù)為了安全性，會要求與手機(jī)號綁定，這就給竊賊留下了可乘之機(jī)。若你的蘋果手機(jī)ID是使用這個郵箱注冊的，那么犯罪分子則通過這個郵箱又可以控制你的蘋果ID，將你的手機(jī)進(jìn)行清空，進(jìn)而取得蘋果手機(jī)的使用權(quán)限。

安全措施 應(yīng)隨安全問題同步進(jìn)化

事實(shí)上，在上述的案例中，看起來誰都沒有犯錯誤，也沒有人是故意的，甚至看起來根本就沒有人犯錯誤。但這些問題糾結(jié)在一起之后，它就變成了我們將要面臨的新的安全問題。

于旸進(jìn)一步指出，如果我們拋開軟件或者硬件的視角，以更抽象的視角來看，今天的信息安全和網(wǎng)絡(luò)空間進(jìn)化中遇到的安全問題，如同生物進(jìn)化一樣，已經(jīng)進(jìn)化成了一種非常復(fù)雜的形態(tài)，而這種形態(tài)的安全問題用傳統(tǒng)的方法是難以進(jìn)行發(fā)現(xiàn)、分析和防御的。

因此，于旸認(rèn)為安全措施也必須隨之進(jìn)化，即作為防御者、安全研究者，我們需要隨著安全問題進(jìn)化。這種情形是一種非常大的挑戰(zhàn)，但是于旸相信，這里面也一定蘊(yùn)含著非常大的機(jī)會。