2012年12月,全球項尖科技雜誌《Wired》,封面報導了一個無辜者“被黑”的真實故事:
故事的主角霍南,是《Wired》雜誌舊金山總部的一名優秀記者。
在一個8月天裡,一個來自世界另一邊的黑客少年,闖進了霍南的iCloud賬戶,發出了一個“遠端移除”的命令,刪除了霍南花了一輩子積累起來的資料。
其中,包括他女兒出生第一年的所有嬰兒照片,他早已過世的親戚留下的照片記憶,他八年心血工作累積的Gmail郵件等等,全部煙消雲散。同時,青少年還竊取了霍南的推特賬號,向他幾千個追隨者發出種族歧視和恐怖的汙言穢語。
不僅如此,當霍南致電蘋果的科技客服部門,希望追回自己的iCloud賬戶時,霍南發現另一個“自己”早在半小時前,已經打過電話要求重設密碼。
而他所有的資訊,在這位青少年面前幾乎都是透明的。甚至基於所獲取的資料資訊,該青少年完全可以入侵到霍南的網路銀行、股票賬戶等等,進行資金轉移。
整個事件下來,作為優秀科技記者的霍南連對手是誰都不知道,自然更不知道這一切的發生到底是“為什麼”了,當然這並不足為奇。
因為當這個青少年淡入人們的視野,享受眾人的目光的時候,他坦言:做這件事的目的只是要揭露我們每個人日日依賴的網路有多脆弱且不可靠。他達到了自己的目的。而霍南之所以會損失將近十年的資料和回憶,只能說因為“萬物互聯”被“殃及池魚”了。
科技發展滋生風險危機
“霍南事件”,對於在科技迅猛發展過程中,在走向物聯網、大資料的我們來說,不是什麼稀奇事,更不是個例。而且,越是科技發展,我們所用軟體及網路程式程式碼越是複雜,我們面臨危險就越大,而且也愈加脆弱容易受傷害。
根據卡內基美隆大學的研究指出,一般商業軟體,通常每1000行程式碼會有20-30個漏洞;每5000萬行就可能有100-150萬個可能存在風險或將被利用攻擊的漏洞。而事實上,我們現在很多程式的程式碼行數又何止成千上萬。
早在1969年,引導阿波羅11號航行35.6萬公里抵達月球再返航的導航電腦,程式程式碼只有14.5萬行。到了20世紀80年代,太空梭正式開始服役的時候,主要航行軟體的程式程式碼膨脹到了40萬行。而到了21世紀,微軟Office 2013的程式程式碼就有4500萬行;支援一輛汽車運作所需的程式程式碼更是高達1億行。
隨著軟體程式程式碼的大小與複雜程度的不斷上升,程式程式碼裡所含的錯誤與漏洞也在呈幾何倍數增加。所有的這些都在無形之間,增加了我們在這個“萬物互聯”的世界裡的處處危機與防不勝防。
無責任意識助推風險滋長
即便是程式程式碼變得更高階複雜,那麼,我們的程度員為何在黑客面前總顯得有些力不從心,甚至是“道高一尺、魔高一丈”呢?
或許,Facebook的軟體開發人員的一句格言能為我們說明些問題,那就是“Move fast and break things”(快速動作,打破事物)。這句話充公體現了Facebook關於程式開發的指導精神:關鍵在於產出程式程式碼的速度,即便有問題或安全隱患也在所不惜。
Facebook的CEO馬克·祖克伯亦表示,“如果你從來沒打破些什麼,可能就是你動作還不夠快”。
無獨有偶。我接觸過的一家國內網際網路金融企業,其公司技術開發團隊規模和實力都可以說是相當不錯的。但是,企業高層的指導思路跟馬克·祖克伯頗為相似:為了趕專案進度,哪怕產品做得再爛些,BUG再多些,都是可以接受的。
“先上線,搶佔先機,剩下的再慢慢更新、迭代、升級。”即便是這樣做,會對企業會造成具大的成本浪費也再所不惜,更別提使用者體驗和安全保障了。
甚至,我們的很多程式設計師都心知肚明,自己那些趕鴨子上架的東西實在“爛透了”,但是沒辦法,那就等下次有機會再做得好一點吧,但每次似乎都會有另一個“下次”。
這著實讓我感到深深的擔憂。“完成比完美更重要”,這種急功近利且不負責任的態度,或許就是我們軟體程式程式碼的所有問題的根源,並已成為今日網路安全面臨的最大威脅。
因為正是這些軟體缺陷和安全漏洞,讓我們爆露在物聯網和大資料的威脅裡任人魚肉。如若不得到改變,這種不安全性還將以摩爾定律增長。
據相關統計資料顯示,我們所使用的各種系統中,有75%都只需要幾分鐘就可以被攻破的。而我們就生活在這樣一個程式程式碼霍亂的時代,何以安全!
黑客技術的發展值得借鑑
當我們的程式設計師在為了“完成”而漏洞百出的時候,卻有一批黑暗處的人員,在精心耕耘培育著讓人為之“驚歎”的產品。這也是為什麼我們有時候會覺得:黑客或者說某些犯罪分子,總是能追上時代的最新趨勢;犯罪手法也永遠走在科技的最新尖端!
早在2012年,莫斯科的卡巴斯基實驗室研究人員發現了一個極其複雜的惡意病毒,而當他們發現的時候,這個病毒已經竊取全球資訊系統的資料長達五年以上。
對此,歐洲乃至世界知名的計算機及網路安全提供商F-Secure的研究長表示,這個病毒潛伏這麼久而一直沒有被發現,可以說是防毒產業的一大失敗;並且強調自己和同事可能“落後一大截,不在同個等級裡”。
同樣,那家要保護我們不被黑客攻擊的公司——防毒軟體諾頓的製造商賽門鐵克,也沒能防止自己的原始碼被盜,而被黑客入侵偷走了1.27GB的防毒軟體原始碼。
如何讓黑客技術為我所用,或者說培養白帽黑客以提高網路的安全保障,或許將成為我們接下來的一個考慮方向。
本文轉自d1net(轉載)