最近,我的朋友圈正在讨论一件大事。6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,将于2021年9月1日生效。数字安全法是一项基石法,非常重要。关注互联网行业的学生,特别是关注安全行业的学生,一定已经阅读了这项重要法律的规定和背景解释。
这些解释非常专业,但过于专业也很容易带来另一个困境:技术不熟悉法律,法律不熟悉技术,双方的解释有点让对方无法理解。更多的管理和其他行业的学生认为数字安全法是一个技术圈,甚至更小的是一个安全圈,自己无关。
今天,我想从另一个方面分享我对数据安全的理解。
01 身边的黑客和安全
我从事数据安全。当然,行业对数据安全没有准确的定义。也许同一个人有同样的工作,可以说“我从事数据安全”,也可以说“我没有从事数据安全”。
这就是为什么数字安全法非常重要,因为这是数据安全的第一个特殊立法。该行业仍处于反复探索数据安全功能和内容的阶段,立法已经出台,具有很强的前瞻性和指导意义。然而,我的工作既需要数据,也需要安全,一起说“数据安全”,应该不是很错。
安全行业总是给人一种神秘而疏远的感觉,每个人都应该听说过,但很多人不知道这个行业在做什么,更像是一群不吃烟花的怪人围成一圈来娱乐自己。这是一种误解,近年来安全行业也在不断宣传,主题是告诉你安全不远,安全就在你身边。
数据安全也是如此。我们对数据安全这个词并不陌生,但在过去,这个词经常挂在另一个词下,这个词被称为“网络安全”,在很多业内人士的理解中,网络安全受损,进而威胁数据安全是一种逻辑关系。
这种理解是否正确?这将从一个传奇人物开始:黑客。
黑客也不远,也在身边。
黑客也是一个大家都很熟悉但不太懂的词。曾经有一部很受欢迎的电影叫《黑客帝国》,里面的黑客都穿着斗篷和太阳镜,我感觉更像刺客。
然而,每个人每天接触黑客的机会并不多。再加上各种文学作品的渲染,很容易给黑客贴上各种奇怪的标签。说到黑客,大多数人都会有这样的印象:神秘的身份、熟练的技术、孤独的群体,喜欢呆在小房间里,除了吃饭和睡觉,每天面对电脑。
还有很多刻板印象。比如黑客破解什么目标的时候,屏幕一定要像下雨一样从上到下掉字符,手指一定要按键盘,让大家分不清是输了命令还是玩了电竞。这些纯粹的艺术想象不会一一列举。
当然,这些印象不能说是完全错误的,但也不能说是正确的。为什么?因为虽然黑客是一个利基群体,但他们也是一个群体,有背景和个性,有严肃的985班,有些高中不能闭门,爱好是多样化的,喜欢刷B站、喜欢玩Switch、所有喜欢逛街喝奶茶的人,黑客也是人,热爱生活,很多爱好和大家一样。
下面我想讲一些黑客的故事,安全并不只是黑客,但也许了解了黑客,会更了解安全。想了解黑客,我想首先是不要把黑客当成是生活在月球上的怪人,黑客和我们身边熟悉的每一个人都一样,并没有一套常人无法理解的独特逻辑支持着黑客的精神世界。
02 黑客和网络安全
现在我们谈论黑客,喜欢设置一个更大的词,叫做网络安全。
现在网络安全已经发展成为一个大产业,工业化意味着有很多农民工,说得更好“白帽黑客”,但与其他工薪阶层一样,他们也需要面对早高峰,KPI即使是996也是一个普通而严肃的职业。与每个人的分工不同,许多高校都关注这一就业机会,专门开设网络安全相关专业,系统地向网络安全行业输送人才。
在工业化的背景下,黑客不仅不是很神秘,而且成为黑客也不是很神秘。
要培养人才,我们必须首先有教科书。许多网络安全教科书一开始说,当网络时代刚刚兴起时,安全问题一直存在,但当时公司和企业只关心土木工程,不太关心这一块,近年来随着网络的快速发展,管理体系不断完善,这只是关注。
教科书的开头必须强调这门课程的重要性。没有人应该说这门课有很多内容,但外面没有多少人关注它。如果你不感兴趣,尽量少打鼾,不要影响其他学生的睡眠。然而,公司和企业是否真的有自己的自然停留属性?
我的观点是,安全不仅是一项技术,也是一项业务。当然,网络安全非常重要,但我认为书中列出的安全意识可能是精心关心的结果。
目前,网络安全或更大的安全行业已经细分了许多类型的工作,包括渗透、挖漏洞和挖漏洞Web和二进制,这还是大方向。
然而,在早期阶段,大约20年前,互联网刚刚兴起。每个人对黑客的理解仍然相对纯粹。他们认为成为黑客,凡尔赛,吹嘘美国国防部的安全保护做得太多,只是没有我也帮它修复了两个漏洞。
但是,怎样才能成为黑客呢?
非常简单,黑客有两个快速的魔法武器:弱密码和木马。我记得有一份新闻报道,可能是一个天才电脑青少年,要么上中学,要么刚从中学毕业,然后专注于计算机技术,在某个时候打破了一个著名的网站。
当时,媒体似乎觉得他们需要掌握技术才能进入网站。当然,这种理解不能说是完全错误的,但当时人们的网络安全意识缺乏薄弱。许多人理解网络安全是添加防火墙,但无论防火墙有多强大,它都无法忍受弱密码。
什么是弱密码?注册账户需要填写两件事,用户名和密码,无论你是黑客还是黑客,你都必须知道这两件事。
对很多人来说,用户名很好,但密码不好,密码一般至少是一串六位数字,日常生活可以达到这样的长度,必须保持不变的数字并不少见,如果随意想到六位数字很容易,但每三五天想想当时的想法,恐怕很难。
那我该怎么办?懒惰的方法是选择一些容易记住和规则的数字串作为密码,如123456,如61,如生日,欧洲和美国也特别喜欢使用passwd,这是英文“密码”(password)简写。虽然人们的想法很奇怪,但每个人都想一起设置密码。你知道黑客也知道这是弱密码。
你的弱密码让别人猜到,别人可以像你一样登录你的账户。你认为这是黑客吗?这当然是最终决定权。但你说这件事需要很高的技术内容吗?有不同的意见。
有些黑客担心猜弱密码的门槛还是太高,好心收集常用的弱密码存储成TXT文件,名字叫“弱口令字典”,以后即使什么都不懂,也可以打开文件一个个试试,也叫美其名。“扫描弱密码字典”,外行一听直呼内行。
然而,话说回来,虽然弱密码看起来没有技术内容,但效果不错。当时你拿着它admin作为用户名和123456的密码,你可以在网上登录很多网站的管理员账户。在别人眼里,你是一个合适的大黑客。
说完弱密码再说木马,木马听起来很有技术含量,其实也是见仁见智。先说什么是木马。木马英文叫木马。Trojan,早年大家应该经常看到杀软的查杀记录叫这个东西。
Trojan直译应该叫“特洛伊”,这是一个地名,背后有一个关于希腊神话的故事。这里有很长的话要说。简言之,希腊的两个城邦雅典与特洛伊战斗。进攻方雅典打了十年后无法进入特洛伊城,所以他想出了一种方法,建造了一匹大木马,把士兵藏在木马里,然后假装撤退。特洛伊人看到自己的大脑抽烟,直接把木马拖进城里。
好家伙,他邀请敌人进门,用我们的话叫狼进门。不用说,抵抗了十年的特洛伊在那天晚上发挥了作用GG,这就是著名的特洛伊之战,叫特洛伊木马。
说完特洛伊木马,说说黑客木马。功能差不多,都属于引狼入室的类型。说到木马,很多网络安全教材似乎都是黑客的专用工具。不,从技术角度来说,木马属于远程控制软件,是网络管理的必备工具。
不要听到这个名字,我说一个人更熟悉这个场景,一天晚上我家乡的父母打电话给你,说家里的电脑有什么问题,问你该怎么办。
问题很简单。你一听到就想到了办法,但难点在于不知道如何向父母解释操作方法。我该怎么办?QQ有一个叫做远程协助的功能,请家长点击,你可以像自己的电脑一样远程操作家里的电脑,QQ远程协助是一种远程控制软件。
木马也是如此。制作木马有一些技术门槛,但使用木马的门槛要低得多。以前有一种叫做“灰鸽子”木马功能强大,但使用特别简单,如远程控制QQ的远程协助不能说十分相像,只能说一模一样。
然而,黑客的木马普通的远程控制总是有区别的,主要有两点。
第一个是免杀,也就是说,不要被杀死的软杀死。在那些日子里,有一个著名的杀戮软件叫做卡巴斯基。世界闻名的原因之一是,只要卡巴斯基检测到恶意软件,它就会播放莫斯科中央屠宰场杀猪的一般提示,这是一个无情的角色。
没有一个黑客想在这里安装一匹木马,卡巴斯基在那里发出猪的叫声,所以他必须免杀。当时,免杀主要是壳和反弹端口,听起来很复杂,实际操作特别简单,只是点击鼠标。
如果第一点听一些技术内容,第二点更重要,但没有技术内容,也就是说,请点击受害者的木马。所谓的木马,事实上,也是一个计算机程序,必须点击这台机器才能有效。
你不能告诉受害者你好,我是黑客。我想在你的机器上安装木马。请点击。我该怎么办?我们必须想办法让受害者像特洛伊人一样。当我们看到木马时,我们会想一想。例如,更改文件名称“X大教室监控录像”,现在很多人可能都想看,更别说当时了。
03 从网络安全到数据安全
当然,黑客的技术远不止这些。大家都听说过鄙视链,黑客圈也有鄙视链。我之前介绍过弱密码和木马。简单吗?简单,不简单。使用简单,往往意味着研发不简单。这有点像我们的智能手机。操作早已愚蠢,但在这背后,无数的设计师和工程师投入了大量的时间和精力不断改进和优化。
黑客圈也很清楚这个事实。有些人认为这些只知道使用工具的黑客玷污了象征高超技术的术语,所以他们想到了另一个词作为区别,叫做“脚本小子”。在黑客圈鄙视链的底层,是剧本男孩。
然而,我认为这个蔑视链是有偏见的,在今天的安全产业产业化中,我们会发现更多不同的东西。黑客曾经是技术的同义词,但技术永远不会是黑客的尽头。我们不说太抽象的事情,或者从我们周围的故事开始。
就说脚本男孩,脚本男孩也有自己难以形容的痛苦,别人很难理解,这很无聊。
两年前,有两款热门游戏,一款是塞尔达,另一款是动物森林。不幸的是,我没有玩过。然而,我听说这两款游戏非常受欢迎。许多不玩游戏的朋友买了它们玩,因为他们被朋友圈刷新了。
一开始,我觉得真的很有趣,但我慢慢地遇到了同样的问题:无聊。通过主线,建立了一个岛屿,最初的目标实现了,然后似乎没有什么可做的,找不到新的乐趣,但感到非常痛苦。
游戏本身不多说,没有Switch没有发言权,但是脚本小子的“痛苦的无聊”可以多说几句话。前面我说黑客有两个法宝,弱密码和木马,技术门槛不高,但想象一下,假设你真的用弱密码登录了一个网站的后台,或者用木马控制了一台电脑,接下来你该怎么办?
没事可干。
现在我经常听到人们抱怨,说现在安全行业的氛围远不如以前,在我们特别喜欢分享之前,发现一些想拿一个大喇叭让世界知道,现在都成为氪金游戏,每个人的技术都隐藏,发现漏洞也必须考虑什么SRC多给奖金。
我认为这种说法和以前的教科书一样,过去的企业都是自然的,忽视了时代的发展和变化。网络安全可以成为一个行业,因为现在网络承载的价值已经提高了,有点粗俗,网络现在可以实现更多的渠道。
与现在相比,以前的网络是一座空荡荡的大房子。虽然门户是开着的,但是当你闯进去的时候,你发现里面有四堵墙,没什么好偷的。你必须把它留在墙上“到此一游”四个字别人才知道你来过。
这就是剧本男孩的痛苦。你能用弱密码或木马登录网站背景或控制电脑做什么?要么挂黑页,告诉网络管理员你的网站是黑色的,要么告诉别人你是黑色的网站,要么在电脑桌面上留下一个TXT,告诉机主有人来这里旅游。
后来有一种说法是,这个阶段的黑客行为被称为“炫技”,说白了,没事干,只好找事刷存在感。
下一步该怎么办?或者日复一日地用同样的方法“炫技”,陷入越玩越无聊的困境,要么爬科技树,努力找到新东西。黑客技术也在螺旋发展,但由于网络的发展,黑客的角色真正进入了一个新的阶段。
网络资产值钱。
无论是网络安全还是数据安全,安全不仅是一项技术,也是一项业务。这是一项业务,因此有必要计算投入产出比。正如我们前面介绍的,早期网络普遍缺乏安全意识,账户密码简单而智能化,但背后的原因是什么?这是成本。
这里的成本不仅仅是钱。以密码为例。为什么我们都喜欢简单的密码?因为记忆成本很低。现在密码通常是8位10位12位,但也大小写字母加特殊字符,最好每个网站密码不同,安全系数提高,但记忆成本也提高,我经历了几次因为忘记密码和锁定账户。
安全需要投入成本,没有人会有动机在家里安装一个5A级的防盗门。而当大家开始安装防盗门的时候,一定是有了需要保护的东西,而这样东西的价值远高于安装防盗门的成本。
这个事实很简单,但背后的想法并不简单。现在,许多安全策略不再认为它们必须完全坚持下去,而是应该根据资产价值进行管理,在一些安全程度较低的地区放置必要但不重要的资产,以平衡安全和效率之间的矛盾。
一开始,互联网和当前的加密货币一样,属于利基极客玩具,时尚有趣,但家庭,随着网络时代的到来,网络资产的价值上升到一个更高的水平,黑客或网络安全也进入了一个新的阶段。我认为这个阶段有两种特殊的木马,QQ网游木马和木马。
QQ木马和网络游戏木马的技术含量低于远程控制木马,但出现时间稍晚。顾名思义,QQ木马是用来偷的Q号码的木马,网络游戏的木马是窃取网络游戏账户的木马,根据不同的网络游戏开发特殊或通用的木马,如传奇木马专门窃取传奇账户。
从技术的角度来看,QQ网络游戏中的木马和木马“玩法”远低于灰鸽等远程控制木马,配置界面一般只有一个,填写电子邮件地址,木马盗取账户和密码,将相关信息发送到电子邮件。QQ网游账号可以卖钱,“黑客”突然从纯粹开始“炫技”,它已经成为一种可以实现的渠道,群体的数量突然扩大。
我们开始意识到,缺乏网络安全确实会造成资产损失,对安全的需求也会增加。作为黑客的对立面,安全人员的数量也在增加,安全行业开始从个人英雄主义向工业化转变。
这就是黑客的故事。黑客有很多有趣的事情,但它们与本文的主题无关。如果你感兴趣,找其他机会和你谈谈。
我想分享一个观点,“黑客”听起来像一个“技术”的确,有一种叫做黑客技术的技术,但我认为,要真正理解黑客和黑客技术的发展,我们可能必须摆脱技术的束缚,从更广阔的角度进行研究。
数据安全也是如此。
04 技术以外的数据安全话题
现在,数据时代即将到来。越来越多的话题被称为“数据资产”。
现在很多企业都在讨论数字化转型,说要建一个数据中心平台。事实上,行业对数据的研究一直在进行,并提出了许多概念,如数据掘金、大数据等。
但这次不一样了。数据资产是一个很大的概念。在过去,我们讨论了数据,但实际上讨论了如何利用数据做好业务,优化产品,重点关注后者。现在不同了,我们讨论数据,说数据本身,数据是业务,数据是产品,可以直接实现。
数据资产概念的提出意味着数据已经从其他业务的附属品转变为独立的企业资源。我们有机会再写一篇文章。
数据资产的独立性也意味着数据安全不再仅仅依赖于网络安全的子概念,而是成为需要独立研究和管理的对象。这个话题很大。让我们从黑客术语中谈谈。
有个黑客术语叫“拖库”,也叫有人“脱库”或者“脱裤”,反正黑客不需要期末考试,也没有标准答案。总之意思是一样的。拖库最早是一个DBA数据库管理有时需要导出数据,如数据备份或数据迁移。黑客盯着这一点,试图找到一种方法来使用数据库“备份”到了自己手上,这就是拖库。
数据库存储的内容很多。以论坛为例,数据库至少包括用户列表、文章列表、关注列表、评论列表等。黑客的存储空间也有限。即使你找到了拖动仓库的方法,你也只会选择有价值的拖动。一开始,你只会拖动用户列表。
有什么用?破解账户对应的密码,然后“撞库”,简单来说,就是知道用户在A网站用户名密码后,可以试试吗?B网站登录更高端“弱口令”,这就是为什么现在提倡尽量不要使用密码,特别是重要的在线应用程序,如网上银行,必须使用不同的密码,否则真的会损坏。
然而,拖把的内容也在改变。一些黑客开始对密码以外的基本信息感兴趣,如联系电话、家庭住址等。
我们很容易理解账户密码的重要性,但许多人一开始并不理解电话和地址等基本信息的重要性。我记得一个朋友以前反驳过我,说让黑客偷电话和地址会有什么大问题,黑客会选择提供清醒服务吗?还是按照地址发送刀片?
现在大家应该就好理解多了。有一次我接到电信诈骗电话,对方提供了我的巨细无比而且十分准确的个人信息,要不是在业内混久了多少带有点安全本能,加上对方出现了一个明显的失误,找来一位满嘴闽南口音的同伙扮演北方人,我可能就要做出一些对不起安全从业人员这块牌子的事情了。
现在大家对待“拖库”态度越来越严肃,尤其是大网站名企,一旦被人接受“拖库”,我们将用一个更严肃的词来形容,叫做“数据泄露”。
“泄露”这是一个非常重的词我们以前说过“核泄漏”、“原油泄漏”,泄漏是一场危机,相关人员、企业甚至国家都可能遭受严重损失,甚至遭受灾难。
然而,这个词恰到好处。移动支付被称为四项新发明。我们不妨想象,一旦移动支付商发生数据泄露,即使只是无关紧要的一小部分,对各方的冲击和信任危机也不亚于传统的泄露事件。
更可怕的是,数据泄露比传统的泄露事件要困难得多,当发现时,可能会造成可怕的后果。
但是,我们统一刀切,切断数据的使用是否有效?
不可能,不可能,小到个人,即使你呆在家里,只要点外卖,手机号码和家庭地址必须交给别人。对于企业来说,因为这是一个数据时代,即使有办法把数据放在手中,数据的价值也无法反映出来。
怎么办呢?
互联网上出现了许多关于新发布的数字安全法的专业解释。有很多建议,比如完成重要环节,提高监管水平。我认为这是非常合理的,我最深刻的感受是立法者看到问题的高度和深度。
过去,很多人认为数据的问题是技术问题。因为有了黑客,数据就会变得不安全和泄露。对策是找技术部门。我不是技术部门。数据安全与我无关。
我认为这种观点是错误的。错在哪里?没有正确的理解“数据资产”这个概念与数据时代格格不入。我们说,安全是一项技术和业务,因为数据资产的价值越来越高,黑客窃取数据资产造成的损失越来越高,数据安全越来越重要。
数据安全远不仅仅是一个简单的黑客攻击和防御问题。新的数字安全法不仅是一项法律,而且提供了一个新的视角,告诉我们要注意数据安全,不仅要注意防止数据泄露造成的损害,还要看到数据资产的价值。在数据时代,如何最大化数据资产的价值,减少损失是数据安全最需要关注的问题。
显然,这个问题远不止技术问题。
我看到了一些解释,说数安法强调数据存储的安全性,这也限制了过去的一些惯性理解。我从数安法中读到的是另一个信息:
数据安全不再仅仅是如何处理数据,而是如何管理数据。“数据问题是技术问题”束缚不仅要构建完善的管理框架,还要明确使用数据的各方的权力和义务,协调参与数据安全管理。
我认为,随着数据时代的到来,数据资产变得越来越重要,我们对数据安全的理解和讨论也应该提高到一个更高的水平,成为整个企业、整个社会甚至整个国家参与的话题。
关于作者:莫凡,网名木羊同学。娱乐向机器学习讲解选手,机器学习算法的数学分析与Python作者,前沿技术发展观潮者,擅长高冷技术“白菜化”解说,微信微信官方账号“机器学习睡前”,个人知乎号“木羊”。