不懂安全的你,不好(余弦)

首先声明这篇文章是转载余弦大牛的。

这篇文章是写个其他圈子的同学看的,有感于这些天的一些发现,大家感兴趣可以看我之前的文章。

我以前并没如此强大的感受,但我现在意识到一点:安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心……

正因为安全看不见,所以往往不受重视,因为感知到的概率真的太低,用户的第一感知是他看得见、摸得着、嗅得到、品得出的东西,实实在在的东西,而不是那种虚无缥缈的东西,我们对概率低的东西往往默认选择忽略

一个例子 比如飞机降落滑行,手机被明确告知不能开机,以免影响滑行导航,可能导致事故,可就会有很多人开机,因为在用户的记忆里似乎没听过这能出什么事故,而且别人也开了,飞机照样没事,更加而且的是还经常能看到个别人在飞机飞行过程中悄悄打开手机,拍照啊、看视频啊,这样的情况下,飞机也没事呀,那可以得出的结论是:我偷偷打开手机导致飞机坠机的概率太太太低了,我可以偷偷开机……

这种例子还能举出N个,比如:路人抢过红绿灯、抽烟、频繁熬夜、不吃早餐、浪费纸张等等等。

那什么时候我们会开始重视这些问题呢? 1. 身边稍微密切的人,有那么几个出安全问题了; 2. 自己出安全问题了;

一旦能感知到,就会开始重视,但别忘记了:是人性之一,随着时间的推移,这种感知又会慢慢开始降低。

网民眼里的安全 回到网络上,有牛人说过网民是一个低智商、没耐心、易暴怒、易跟风的群体。这些人你和他谈安全,人家当你白痴,他们来用你的产品可能就是看中某项小得不能再小的功能,用完就走,想用就来,不想用就不来。这个时候你和他们谈安全,即使把活生生的黑客摆在他们面前,他们仅仅会用千奇百怪的眼神打量下,然后呢?然后就没然后了。

你要不去问问,黑客在网民的眼里代表什么?更多的是惊讶与好奇,有些网民巴不得哪天自己能被黑一次,这样在朋友聚餐吹牛的时候,还可以拿出来大吹特吹,表面假装气愤,实则心里那个爽啊。

哪天网民的邮箱被盗,密码被改,要都要不回,里面一堆重要资料啊,气愤啊咬牙啊,终于发现有一个帖子上说到:“密码最好设置复杂些,否则容易被破解,账号会被盗取。”从此,网民开始意识到:安全事件还真的发生了。

故事不都这样发生的么?不用想了,都是这样的。说不定这个邮箱被盗的网民是系统安全的大牛呢,可人家不懂Web安全啊,不懂黑客会这样来社工他,防不胜防。

老板是怎样想的 老板第一思考的当然是如何赚到更多的钱,如果拥有更多用户,如果把公司做得更大更好。大多时候老板和这些网民是站在一起的,老板会下意识的认为:“用户都不在乎安全问题,我们的产品需要尽快研发上线,需要一流的用户体验,需要第一时间抢占市场!”老板从来不会在那些战略话语中带上“安全”字样,包括安全圈中的老板,虽说是做安全产品,但不等于做好了产品安全。

老板这样想是对的,可具体的执行人千万不要这样,在说明这点之前,我先说下哪类人会被黑及什么情况下会被黑?

哪类人会被黑 1. 没安全意识的人。这种人压根没这个概念,用最土的方式都能把这种人黑掉; 2. 有安全意识,却没安全经验的人。比如上面说的系统安全大牛邮箱被盗事件; 3. 有安全意识,有安全经验,却没安全习惯的人。常在河边走,哪有不湿鞋?培养后天习惯往往是很困难的,我说了是人之本性啊!

这3类人应该包含全人类了,所以结论是:我们都会有被黑的时候。

什么情况下会被黑 某人问:“可是……被黑的概率还是很小呀。”恩, 我知道当满足一些条件的时候,被黑概率会越来越大: 1. 你手上有黑客感兴趣的私密资料,你仔细想想下自己有没有什么隐私是某些人感兴趣而很想得到的,比如网游里的装备、网银里的RMB、邮箱里的私密对话、空间里的马赛克图片……哪怕你是屁民,一样被攻击,黑客根本不需要认识你; 2. 你用的互联网产品有价值,有利益驱动,成为黑客的目标了,比如CSDN、天涯等各大网站密码泄露事件,导致千万网民躺枪……即使你是屁民,你在黑客面前早已经没了马赛克; 3. 你名气很大,枪打出头鸟,黑客无聊或有聊都会把你当做目标,周鸿祎、刘谦、李开复等不都被黑? 4. 你直接得罪黑客,比如月光博客曾经就各种鄙视贬低黑客,后来各种密码被破解,博客被黑,这个黑客是好的,仅仅是给个教训;

其实这些都是被爆出来的,有多少没被爆出的、间谍活动的、恐怖活动的,我感觉这些离我们很近,不过绝大多数人会感觉很远……

执行人该怎么办 首先有一点,我必须强调的:这个世界决不能交给不懂安全的人。前面说了老板和网民站在一起,身为具体产品过程的执行人,我们该怎么办?

我们应该带着安全思维去执行产品的架构设计、研发、测试、运维(甚至完整的产品生命周期)。业务为导向的产品过程并不是处处强调安全,但是安全必须作为基础融入,这是一种有远见、负责任的产品过程!

我认为:不懂Web前端安全的前端工程师不好,不懂安全的架构师不好,不懂安全的产品经理不好,不懂安全的网民不好……为了逆袭,黑客们抢占这些职位吧,为中国互联网多带去优良的黑客基因,做出更好更安全的产品,这就是我之前说的跳出我们那狭小的圈子(http://evilcos.me/?p=238)。

所以我说知道创宇的使命与愿景就特别好:更好更安全的互联网🙂

为什么“更好”放在前面?我们其实和你们一样的,我们也是业务为导向,我们的产品也是第一抓用户体验,但是不同的是,我们在整个过程带着安全思维。我们希望互联网首先更好,其次安全也必须赶上!

嗨,别不服了,看看那年的高铁相撞事故,那个列车的用户体验爽了吧?虚荣心满足了吧?安全呢??还不够吗?现在你架构的业务让任何人都可能轻易被搞,安全无小事,不要以为自己做的不是“高铁”,其实危害最大的是你的残缺思维与无动于衷……

怪异心理 在很多大公司,安全与业务部门是分离的,安全人员恨不得这个产品出现一些有影响的安全事件,这样那些搞业务的人才会重视。这两派不应该这样,谁都不能高高在上,你说呢?

PS1:本文说的黑客(如果是坏的)都是指那些坏蛋,真正的黑客才不会这样,他们很有爱,我就是很有爱的一员。 PS2:个人思维残缺不可怕,团队思维残缺决不允许!

本文转自:EVILCOS


发表评论

(必填)

(必填)

(以便回访)