老板: “安全很重要,你们一定要重视”
员工: “老板,能不能考虑招个人”
老板: “我们的队伍已经足够强大了,要注重潜力挖掘”
员工: “上次那份关于采购防火墙的。。。”
老板: “采购了防火墙你能保证完全解决问题吗?多想想一些替代方案,努力做到技术可控,咱们可以考虑自己开发嘛”
员工: “那好吧,没事我先去休服务器去了”
公司唯一的一个运维嘴里念着三字经,愤愤然离开了老板的办公室。
在国内,大家总是嘴上说重视安全,然后没人愿意投入。
为什么?
成本低啊。
想想有哪个公司因为用户资料被盗收到过处罚吗?当年某在线OTA的泄密门事件,不也不了了之了。
我们在每一个网站,成为用户,都要填一大堆的用户资料,所以,毫不客气的说,在中国要想查一个人的资料实在是太容易了,都不需要通过公安局,所以也才有那么多的黑产。
目前国内真正说用户产品安全度比较高的也就AT两家了,毕竟用户基数大,也是中国IT界的领头羊,总不能时不时爆出个漏洞什么的,而且他们也有实力网罗人才,但在它们的体系里,安全也只是非常小的一个方面,离FANG这些公司还是有很大的差距,特别是G家。
安全在中国的兴起,应该是从杀毒软件开始的。
二十年前,杀毒软件在中国兴起,那时候真是日进斗金,做经销商是要给相关人员送好处的。听某厂老员工讲过一个段子,创始人参加朋友婚礼,忘带卡,就拿车上几十张杀毒软件直接去中关村换现金。那时候可是硬通货啊。
现在呢?国内杀毒厂商除了某两家可以“无限试用”,其它都已经完全免费了,可以没有人愿意自研杀毒引擎这类核心技术了,花上几十上百万美金,都可以用上小红伞、比特梵德这种世界一流杀软的引擎和病毒库,自己要是招人研发,性能能不能达到人家的水平是个问题,光人员费用就不止那个数。现在的厂商,就是通过一些网络攻防,漏洞挖掘来提高自己的知名度,比如参加一个国际比赛,然并卵。
违法成本高吗?很高,好几个“白帽子”都被抓进去了。
违法成本低吗?非常低,可能只有万分之一的被抓住。
我们的信息每时每刻都在被泄漏,我刚参加完招行的一个活动,第二天就有*子骗**能说出我所有的信息,包括我刚参加的那次活动的细节,细极思恐。
信息一旦被泄漏,则不可能被收回,会被“分销”无数次,直至没人感兴趣。
前段时间的WannyCry勒索病毒,厉害吗?我倒觉得挺幼稚的。这样大规模的勒索手段,已经是上个世纪90年代的过时手法了,能收到几个钱?也就能搞搞破坏。不过,这次也打破了“内网隔离”的神话,这次中招的很多都是内网用户。
搞杀软的越来越少,搞网络攻防的越来越多。微软家的MSE已经很优秀了,实话说,谁能比微软家更熟悉自己的操作系统呢?当然,世界主流的几款杀软还是非常牛的,MSE也要稍逊一筹。
现在网络安全的方向很多,也有很多创业公司在做这些,但说实话,基本上很难成功。像之前某传统电视机大厂,把某个部门独立出来,专门做安全。烧了一些钱,然后现在开始裁员,这才刚一年。产品是做出来了,但谁用呢?你就算有几百万用户,又能怎么样呢?跟*今条头日**这种的流量导现能力差远了。
这也难怪真正赚钱的就剩“黑产”了。
上面说的信息贩卖是黑产,但黑产远不止这些。
举个简单的例子,协议分析,很直白的说就是*听窃**你跟另一端的通信。比如有的酒店,私底下有玩扑克的软件,大家可以在房间里玩儿两把,软件是公平的,发牌是随机的,但如果老板找一群人破解了通信协议,那么他就知道客人的底牌。
当然,也有很多危险性没那么高的,比如软件*绑捆**。把网吧里的主页锁定,在软件包里*绑捆**其它的软件,等等。
从世界范围来看,黑产都是一个庞大的产业,哪个国家都存在,不可避免。但在保护公民隐私上,跟国外比,咱们国家确实在制度上还需要进一步完善,特别是法律的制定与执行。
善与恶,只在一念之间,黑客不是个褒义词,也不是个贬义词,决定权在他们自己手里。