云时代,你的安全谁负责
2014年05月02日 来源: 新华网
新华网北京5月2日电(叶元)不久前,作为互联网基础协议之一的OpenSSL爆出了“心脏流血”漏洞,据估算该漏洞涉及了网络上数百万的服务器,堪称互联网历史上最大的安全事件之一。
由于OpenSSL是最著名的安全传输协议,几乎所有对安全性要求比较高的传输比如银行交易等都使用了此协议。这使得大量使用了OpenSSL进行安全传输服务器里的重要数据都面临着数据被盗的风险。
从去年的斯诺登事件到今年携程泄密事件,再到这次的“心脏流血”漏洞,人们看到了整个互联网安全体系的脆弱。但与此同时,作为一个现代人,越来越离不开互联网,我们所有的信息数据行为正在被各种互联网服务存储、分析、利用。 我们的数据该怎么被储存,怎么被利用,安全由谁负责,这些问题在如今变得越来越复杂。
正在被电子化的世界和个人
当下最了解你的可能并不是你的朋友、亲人,而是你的手机。他知道你认识谁,和谁联系最多,几点起床,今天有没有会议,爱玩什么游戏等等。
越来越多的电子设备正在以一种前所未有的方式工作着。它们在你手里、在你身上、亦或是待在你家里。但这并不是它们的全部,它们的“大脑”正在千里之外的数据中心里。在那里信息被汇集、分析,分析结果被用来指导它们出色的完成相应的工作。
随着云时代的到来,为了方便人们的生活,手机已经不仅仅是你手上的设备而已。方便的云服务可以把手机上的一切都自动备份到云上,这样不管你走到哪里,是否更换设备,都可以保证你的数据方便地被使用和转移。
这些来自你的PC、你的手机、你的智能设备的数据,在被处理后,形成一个个“用户画像”(这并不是一个比喻,“用户画像”是大数据中常用的一个正式的名词),供开发商进一步使用。当然当你的信息被恶意获取以后,不法分子也可以通过这些数据对你进行“画像”。
云上的“炸弹”
多年前冯小刚的影片《手机》里就有这样一个经典的论断——“手机就是手雷”,原因就是因为你的手机知道的太多了。
无论是你的服务账号密码被他人获得,还是服务商服务被攻破,甚至是某次登陆时不小心在陌生电脑上勾选了“记住密码”,都可能导致个人信息的泄露、财产损失。在云上的手机可能从“手雷”这种近距离武器变成了“导弹”这样远距离攻击武器。 “黑色产业链在手机的安全方面的渗透,越来越猖獗。”百度移动安全总经理张磊介绍说,“从去年开始,真正黑色产业链进来了,不是小毛贼偷流量了,有背景的有组织的进来了,直接盯上你的钱袋子,(开始研究)怎么从手机中盗取现金盗取财产。”
现代电子设备体型虽小,但结构却极度复杂,且环环相连构成一个巨大的系统。从最底层的芯片,到上面的操作系统,再到应用,最后到相关云服务,都可能面临着不同的安全风险。除了传统的恶意软件,市面上还出现了伪基站、不安全的WIFI等新形式的安全威胁。
安全已经不仅仅是杀毒软件的事情,整个信息传播环境任何一环出问题都可能导致严重的问题。正如周鸿祎在极客公园奇点大会上所说:“越来越多的安全问题已经不是在设备上杀病毒、清理流氓软件就能解决的,现在对于许多互联网公司来说,用户的安全已经与公司的安全紧密结合在一起。”
这是谁的安全
针对越来越多的安全威胁,安全市场也风起云涌,无论是黑色产业链,还是专业安全厂商,亦或是设备厂商、传统互联网大佬都加入到这场战争中来。
从商业角度来看,只要有需求,那就有市场。既然安全是如此基础的需求,那做安全就意味着巨大的市场空间,于是大家都开始拍着胸脯说:你的安全我负责!
像联想这样的设备厂商来看,安全是和设备最相关的软件环节,要由硬件厂商来做最合适。联想生态和云服务集团总裁贺志强说:“虽然大家都意识到了安全是非常重要的,也花费巨资进行投入,但现实是,像OpenSSL这样重要的安全项目,却长期缺少资金支持。这样一个关乎上亿人安全的项目,其维护人员只有4个人,其中两个核心员工,只有一个全职员工。
另外一方面,对于漏洞的归属权问题,业界也没有统一的界定。
在黑帽黑客们看来,自己发现的漏洞当然就是自己的,是可以拿来卖钱换酒的好东西。据张磊介绍,应用级的漏洞在黑产行内的标价10万到20万。如果是系统级的,那价值就更高了。在乌云网创始人方小顿看来,因为这些安全漏洞涉及到了广大用户的安全,所以这些漏洞是属于公众的,他创办的乌云网就旨在公布最新发现的漏洞。
大家站在不同的角度,对安全的理解都不太相同。
安全是一个“道高一尺魔高一丈的”的行业,不存在没有漏洞的系统。安全事故爆发是用户的责任?还是黑客的责任?抑或是服务商的责任?其界定并不是那么清晰。
似乎每次大型安全事故出现,其结果都是抓一两个惹事之徒以后不了了之。在整个安全领域,其涉及到的利益各方盘根错节,纷繁复杂。安全似乎和所有人都有关,但似乎又不是任何人都直接责任。
在这个所有人都离不开电子设备和云服务的今天,我们不禁要问,我们的安全到底是谁负责。
