CSS安全领袖峰会于旸：以进化的视角解决安全问题的进化

2024-11-15 16:49:22 admin

11月9日，安安全发生了两件大事。全领第一件是袖峰美国大选正在如火如荼地进行着，第二件是于化的化以“智慧安全，连接赋能”为主题的旸进第二届中国互联网安全领袖峰会（Cyber Security Summit，简称CSS安全领袖峰会）在北京国家会议中心开幕。视角

这两件大事看似无关，解决实则有关。问题出席本次会议的安安全腾讯安全玄武实验室负责人于旸表示，今天的全领我们同时生活在两个空间中，即物理空间和数字空间，袖峰“我们对这两个空间的于化的化依赖已逐步从物理空间向数字空间转移。这两个空间的旸进交融也变得越来越深入，数字空间对人类的视角影响也越来越大。”因此，解决2008年的美国大选通常被认为是互联网第一次影响了美国选举，而今年的美国大选则是信息安全问题第一次影响了大选结果。

在会议上，被黑客界尊称为“TK教主”的于旸发表了以《数字空间和信息安全的进化论》为主题的演讲。他将自己从事信息安全工作十余年的研究经验，结合进化论理论，深入浅出地剖析了数字空间中的信息安全演变过程，以及应对措施。

信息安全越进化越复杂

物理空间诞生于宇宙大爆炸，其后，产生的基本粒子开始形成宇宙中的物质。在于旸看来，今天的数字空间如同宇宙是从基本粒子长期演变形成的一般，也是基于一行一行代码逐渐架构起来的，只是规模可能还处于非常早期的阶段，远未达到形成了“星系”的状态。

于旸指出，在数字空间创世的早期，安全问题大多数是一些微观层面的问题。如，一行一行的代码中，某行代码出现了问题，或者某个变量设定有问题等。这些微观层面形成的安全问题，只会影响一个微观的对象。

类比生物的进化来看，从一个单细胞生物的诞生，一直到产生了地球上最为复杂、最为壮观的生命——人类。在进化的过程中，个体本身变得越来越复杂，个体的功能变得越来越多样。与此同时，弱点也会跟随个体一起进化，个体的脆弱点同样会变得越来越复杂。

与之类似，人们在数字空间当中的行为已经不是单一行为了，操作的复杂程度越来越高，操作对象之间的联系也会变得越来越复杂，这就导致我们今天面对的信息安全，已经不再是某一行代码的问题，或者说某几处代码之间的问题，而是一个协议和一个协议之间的问题，或者是某些协议共同作用发生的问题，甚至是一个设备和一堆设备之间的问题、一个系统和一个系统之间的问题。但是，这些对象相互之间看不到特别明显的关系，这些其实就是进化的结果。

安全威胁一波未平一波又起

在于旸看来，在信息空间的进化过程中，不仅传统的安全问题依然存在，新的安全问题也已经进化出来了。他以电商系统为例。当我们去电商网站购物时，支付钱款时会进入到交易结算系统中，而交易结算系统与电商交易系统通常是两个系统，甚至有可能隶属于不同的公司所有。这两个系统在发生关系的时候就有可能发生问题。因为交易系统的设计是由一组人员去完成的，而交易结算系统是另外一组人员去完成的。

无论双方沟通的结果如何，依然会存在一些瑕疵，这也就导致了这样一种情况，即攻击者可以在购买完成之后，将结算的交易金额修改成一个非常小的数字，而电商交易系统只是判断这个交易是否成功，并不在乎交易数字是多少。这样一来，“电商网站的交易系统可能不知道攻击者购买一台冰箱，到底是花了2000元，还是花了1元。”

于旸还列举了很多生动的案例，阐述进化过程所产生的新的安全问题。例如前几年运营商提供的短信保管箱服务，可以让用户将短信存储到服务器上。这原本是一个非常好的便民措施，但犯罪集团却利用这项便民业务，结合其他黑客技术，拦截了短信验证码，以窃取用户网银上的资金，而用户很可能并不知道。

再例如对苹果手机的解锁和盗窃。苹果手机的安全性首屈一指，即便手机被窃取，依然可以通过云端锁定手机、删除数据确保信息安全等。虽然窃贼对手机和SIM卡放在一起没有办法破解，但是假如他们盗窃到了你的苹果手机，他们可以利用手机中的SIM去控制你的某个网络服务，例如邮箱等。因为很多网络服务为了安全性，会要求与手机号绑定，这就给窃贼留下了可乘之机。若你的苹果手机ID是使用这个邮箱注册的，那么犯罪分子则通过这个邮箱又可以控制你的苹果ID，将你的手机进行清空，进而取得苹果手机的使用权限。