压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

于旸（騰訊公司玄武實(shí)驗(yàn)室負(fù)責(zé)人）：大家下午好！
今天我講的題目是《數(shù)字空間和信息空間中的進(jìn)化論》。

今天大家知道有兩件大事：第一件是美國人民正在選他們的領(lǐng)袖；第二件大事就是我們?cè)谶@里召開信息安全領(lǐng)袖峰會(huì)。但這兩件事情其實(shí)是有關(guān)系的，今天大家應(yīng)該都可以接受這樣一個(gè)觀點(diǎn)，我們今天同時(shí)生活在兩個(gè)空間，一個(gè)是物理空間，一個(gè)是數(shù)字空間，這個(gè)觀點(diǎn)應(yīng)該是現(xiàn)在普遍的被大家所接受了。

在2008年的美國大選，通常被認(rèn)為是互聯(lián)網(wǎng)第一次影響了大選，而今年的美國大選，我覺得應(yīng)該是信息安全問題第一次影響了大選的結(jié)果。

這是因?yàn)檫@么多年過去，我們?cè)谖锢砜臻g和數(shù)字空間這兩個(gè)空間中的活動(dòng)，我們對(duì)這兩個(gè)空間的依賴逐步的是從物理空間向數(shù)字空間所轉(zhuǎn)移，而這兩個(gè)空間的交融也變得越來越深入，數(shù)字空間對(duì)人類的影響越來越大。

我們剛才講到物理空間，物理空間的誕生按照宇宙大爆炸理論，我們認(rèn)為從最開始的一次大爆炸形成了物質(zhì)和能量，這些物質(zhì)最早是基本粒子，基本粒子形成了最開始的星際物質(zhì)，星際物質(zhì)形成了星球，星球形成了星系，最后150億年之后有了我們今天這樣的宇宙，這是一個(gè)由簡單到復(fù)雜的過程。

當(dāng)然還有一種觀點(diǎn)，認(rèn)為宇宙其實(shí)是由神創(chuàng)造的，但是不管宇宙是誰創(chuàng)造的，不管物理空間是誰創(chuàng)造的，數(shù)字空間一定是我們創(chuàng)造的，這也是我們作為人類的一種榮耀。

其實(shí)我們?cè)趧?chuàng)造數(shù)字空間的過程，我們回顧數(shù)字空間這幾十年的發(fā)展歷史，也可以看出來數(shù)字空間一開始也是從基本粒子這樣一點(diǎn)點(diǎn)的創(chuàng)造出來的。

今天數(shù)字空間還遠(yuǎn)遠(yuǎn)達(dá)不到我們說的已經(jīng)形成了星系的這樣一個(gè)狀態(tài)，還是一個(gè)非常早期的，其中所組成的元素應(yīng)該已經(jīng)不是基本粒子了。同樣我們說在數(shù)字空間創(chuàng)世的早期，安全問題也大多數(shù)是一些微觀層面的問題。

早期的安全問題往往是由什么而引起的呢？是由一行一行的代碼，比如說某一處代碼有問題，某一處配置文件有問題，或者是某一個(gè)變量設(shè)定的有問題，是一些微觀層面的問題形成了微觀的安全問題，影響了一個(gè)微觀的對(duì)象。

現(xiàn)在我們用一張比較鮮艷一些的圖來看，這張圖其實(shí)展示的是生物進(jìn)化的過程，從一個(gè)單細(xì)胞生物的誕生，一直到產(chǎn)生了地球上最為復(fù)雜，最為壯觀的生命，那就是我們?nèi)祟悺?/p>

在這個(gè)過程里面，雖然在今天的地球上仍然存在著這些單細(xì)胞生物，但是不可否認(rèn)的是，整個(gè)進(jìn)化過程所產(chǎn)生出來的這些生物有幾個(gè)特點(diǎn)。

首先個(gè)體本身變得越來越復(fù)雜，個(gè)體的功能變得越來越多樣，同時(shí)還有一點(diǎn)，就是個(gè)體的脆弱點(diǎn)也同樣變得越來越復(fù)雜。

所以我們說，雖然人類是萬物之靈，但是人類無論是精神還是肉體都是非常脆弱的，而且很多的這種脆弱到現(xiàn)在還搞不清楚。這就是我們說在進(jìn)化過程中，不光這些對(duì)象進(jìn)化了，對(duì)象的弱點(diǎn)也會(huì)發(fā)生進(jìn)化。

今天人們?cè)跀?shù)字空間當(dāng)中的行為，我們操作的對(duì)象顆粒度會(huì)變得越來越粗，對(duì)象之間的聯(lián)系變得越來越復(fù)雜。

今天的這些安全問題可能已經(jīng)不再是某一行代碼的問題，或者說某幾處代碼之間的問題，而是一個(gè)協(xié)議和一個(gè)協(xié)議之間的問題，或者是某些協(xié)議共同作用發(fā)生的問題，甚至是一個(gè)設(shè)備和一堆設(shè)備之間的問題，一個(gè)系統(tǒng)和一個(gè)系統(tǒng)之間的問題，而且甚至于這些對(duì)象它們相互之間看不到特別明顯的關(guān)系，這些其實(shí)就是進(jìn)化的結(jié)果。
傳統(tǒng)的那些安全問題是否還存在？就像今天地球上仍然存在單細(xì)胞生物一樣，這些問題仍然存在，但是新的問題已經(jīng)進(jìn)化出來了。

有一個(gè)非常典型的例子，很多的電商系統(tǒng)都犯過一個(gè)錯(cuò)誤，當(dāng)我們?nèi)ヒ粋€(gè)電商的網(wǎng)站購買一樣?xùn)|西的時(shí)候，按照一個(gè)設(shè)定的價(jià)錢去付款，在付款的過程中會(huì)進(jìn)入到交易和結(jié)算的系統(tǒng)，交易結(jié)算的系統(tǒng)和電商系統(tǒng)通常是兩個(gè)系統(tǒng)，甚至于是隸屬于不同的公司所有。

這兩個(gè)系統(tǒng)在發(fā)生關(guān)系的時(shí)候，這個(gè)關(guān)系之間就有可能發(fā)生問題。交易系統(tǒng)的設(shè)計(jì)是由一組人員去完成的，而結(jié)算支付系統(tǒng)是另外一組人員去完成的。

無論他們之間怎么去溝通這個(gè)結(jié)果，這種溝通很有可能是不能達(dá)到百分之百透徹的，這也就導(dǎo)致了這樣一種情況，攻擊者可以在購買完成之后結(jié)算的時(shí)候?qū)⒔灰捉痤~修改成一個(gè)非常小的數(shù)字；而電商系統(tǒng)只是判斷了這個(gè)交易結(jié)算系統(tǒng)返回的信息是否交易成功，他并不知道這個(gè)交易數(shù)字到底是多少，就是說他不知道攻擊者購買一臺(tái)冰箱到底是花了2千元還是花了1元，這個(gè)問題其實(shí)是很多的電商網(wǎng)站都犯過這樣的錯(cuò)誤。

還有一個(gè)例子是比較新一些的，前幾年很多運(yùn)營商向用戶提供了一種叫做短信保管箱的服務(wù)，這個(gè)完全就是便民措施，是完全正常的一種業(yè)務(wù)。

但是這種業(yè)務(wù)實(shí)際上引起了一個(gè)什么樣的后果呢？他破壞了我們用手機(jī)短信作為第二驗(yàn)證因子的這樣一種安全設(shè)計(jì)。

因?yàn)槲覀冋f手機(jī)短信在以前是被認(rèn)為相對(duì)可信的另外一重因子，但是當(dāng)運(yùn)營商把短信存儲(chǔ)到服務(wù)器上，用一個(gè)密碼就可以去查看的時(shí)候，實(shí)際上就已經(jīng)把我們用手機(jī)短信形成的這樣一種所謂的雙因子又變成了單因子，本來是出于一個(gè)完全美好的初衷設(shè)計(jì)出來的業(yè)務(wù)，遭遇了短信驗(yàn)證碼之后，被網(wǎng)絡(luò)犯罪集團(tuán)用來竊取用戶網(wǎng)銀上的資金，已經(jīng)發(fā)生了很多起了。

最后的結(jié)果是什么？運(yùn)營商紛紛最后取消了這個(gè)業(yè)務(wù)，這是運(yùn)營商和銀行兩個(gè)看起來完全沒有關(guān)系的業(yè)務(wù)，最后混合產(chǎn)生出來的這樣一套問題。

剛才說到銀行可以說是作為一個(gè)受害者，現(xiàn)在我們要說的是銀行在這個(gè)地方扮演的不是受害者了，有一些銀行他們現(xiàn)在搞了叫做虛擬卡的業(yè)務(wù)，虛擬卡業(yè)務(wù)遭遇了蘋果的應(yīng)用商店之后，又被人找到了其中結(jié)合上的問題，后果是什么呢？就是利用虛擬卡業(yè)務(wù)，可以無限制、不花錢的在蘋果的應(yīng)用商店里充值。

還有一個(gè)案例，可能前一陣子大家都聽說過美國的FBI為了解鎖一個(gè)蘋果手機(jī)費(fèi)了很大的力氣，包括可能很多朋友也聽自己身邊的朋友說我的手機(jī)被竊了，偷手機(jī)的人用了很多的方法試圖去解鎖這個(gè)手機(jī)。

當(dāng)然我們知道蘋果對(duì)手機(jī)的安全性做了很多很好的設(shè)計(jì)，去保護(hù)用戶手機(jī)中數(shù)據(jù)的安全，就是即使被竊取之后，仍然可以通過云端對(duì)手機(jī)的數(shù)據(jù)進(jìn)行刪除，把這個(gè)手機(jī)清空，包括竊取的小偷也無法直接的去解開這個(gè)手機(jī)的密碼。

但是實(shí)際上現(xiàn)在犯罪分子他們找到了一條通道，當(dāng)你的手機(jī)丟失的時(shí)候，隨著手機(jī)一起丟失的還有什么？你插在手機(jī)里的SIM卡，雖然SIM卡插在這臺(tái)手機(jī)里是不能使用的，但是把它拔出來，裝到另外一臺(tái)手機(jī)上，這個(gè)SIM卡可以打電話，可以收發(fā)短信，而且是你的號(hào)碼。

我們知道很多的網(wǎng)絡(luò)服務(wù)為了安全性，它會(huì)要求用戶跟他的手機(jī)號(hào)碼綁定，你利用這個(gè)手機(jī)號(hào)可以重置很多網(wǎng)絡(luò)服務(wù)的密碼。

所以這些竊賊們拿到你的手機(jī)之后，雖然他直接對(duì)手機(jī)和SIM卡放在一起沒有辦法，但是他可以用這個(gè)SIM卡，通過SIM卡可以去控制你的某個(gè)網(wǎng)絡(luò)服務(wù)，比如說你的郵箱。

如果你蘋果的ID是用這個(gè)郵箱注冊(cè)的，那么他通過這個(gè)郵箱又可以控制你的蘋果ID。如果通過蘋果的iCloud把手機(jī)進(jìn)行了清空，清空之后這臺(tái)手機(jī)就可以用你原始的蘋果ID進(jìn)去。所以現(xiàn)在這套機(jī)制被很多的犯罪團(tuán)伙在使用。

我們看整個(gè)的過程里面，包括我們剛才舉的這些例子，看起來誰都沒有犯錯(cuò)誤，沒有人犯錯(cuò)誤，沒有人故意的，甚至看起來根本就沒有人犯錯(cuò)誤。

但是這些問題糾結(jié)在一起之后，它就變成了我們將要面臨的新的安全問題。

所以我們說，今天信息安全和網(wǎng)絡(luò)空間中其他的對(duì)象一樣發(fā)生了進(jìn)化，我們拋開軟件或者硬件這樣的視角，將網(wǎng)絡(luò)空間中的這些我們與之進(jìn)行互動(dòng)的對(duì)象抽象來看，同樣可以發(fā)現(xiàn)這些對(duì)象之間的安全問題如同生物進(jìn)化一樣，在今天他們進(jìn)化成了一種非常復(fù)雜的形態(tài)，而這種形態(tài)的安全問題用傳統(tǒng)的方法是難以進(jìn)行發(fā)現(xiàn)、分析和防御的。

相應(yīng)的我們也必須隨之進(jìn)化，就是作為防御者，作為安全研究者，我們需要隨之進(jìn)化。就是當(dāng)一切都進(jìn)化的時(shí)候，你不進(jìn)化是沒有辦法去應(yīng)對(duì)這種新的情況的。當(dāng)然這種情形是一種非常大的挑戰(zhàn)，但是我相信這里面也一定蘊(yùn)含著非常大的機(jī)會(huì)。

我的演講就到這里，謝謝大家！