分析：云時代，你的安全誰負責

由于OpenSSL是最著名的安全傳輸協議，幾乎所有對安全性要求比較高的傳輸比如銀行交易等都使用了此協議。這使得大量使用了OpenSSL進行安全傳輸服務器里的重要數據都面臨著數據被盜的風險。全球第一個被攻擊通告的案例是拿大稅務局，他們確認“心臟流血”漏洞導致了900個納稅人的社會保障號被盜，這900個納稅人的社保號被攻擊者在系統中完全刪除。從去年的斯諾登事件到今年攜程信用卡泄密事件，再到這次的“心臟流血”漏洞，人們看到了整個互聯網安全體系的脆弱。但與此同時，作為一個現代人，越來越離不開互聯網，我們所有的信息數據行為正在被各種互聯網服務存儲、分析、利用。我們的數據該怎么被儲存，怎么被利用，安全由誰負責，這些問題在如今變得越來越復雜。正在被電子化的世界和個人越來越多的電子設備正在以一種前所未有的方式工作著。它們在你手里、在你身上、抑或是呆在你家里。但這并不是它們的全部，它們的“大腦”正在千里之外的數據中心里。在那里信息被匯集、分析，分析結果被用來指導它們出色的完成相應的工作。當下最了解你的可能并不是你的朋友、親人，而是你的手機。他知道你認識誰，和誰聯系最多，幾點起床，今天有沒有會議，愛玩什么游戲等等。隨著云時代的到來，為了方便人們的生活，手機已經不僅僅是你手上的設備而已。方便的云服務可以把手機上的一切都自動備份到云上，這樣不管你走到哪里，是否更換設備，都可以保證你的數據可以方便的被使用和轉移。而在越來越近的物聯網時代，很多時候，輸入可能都會變的多余。你的智能手表知道你睡了多久，心率齊不齊，血壓高不高。你的智能冰箱知道你吃了多少，含多少熱量。這一切不會只是想象，據IDC的最新報告顯示，預計到2017年，物聯網的市場規模將超過200億美元，我們的生活將被各種智能設備連接起來。而這些數據理所當然的也會被上傳到云端上去。這些來自你的PC、你的手機、你的智能設備的數據，在被處理后，形成一個個”用戶畫像“(這并不是一個比喻，”用戶畫像“是大數據中常用的一個正式的名詞)，供開發商進一步使用。當然當的信息被惡意獲取以后，不法分子也可以通過這些數據對你進行“畫像”。云上的“炸彈”多年前馮小剛的影片《手機》里就有這樣一個經典的論斷——“手機就是手雷“，原因就是因為你的手機知道的太多了。無論是您的服務賬號密碼被他人獲得，還是服務商服務被攻破，甚至是某次登陸時不小心在陌生電腦上勾選了“記住密碼”都可能導致個人信息的泄露、財產損失。在云上的手機可能從”手雷“這種近距離武器變成了“導彈”這樣遠距離攻擊武器。“黑色產業鏈在手機的安全方面的滲透，越來越猖獗。”在百度手機衛士百日突擊媒體開放日上百度移動安全總經理張磊介紹說，“從去年開始，真正黑色產業鏈進來了，不是小毛賊偷流量了，有背景的有組織的進來了，直接盯上你的錢袋子，(開始研究)怎么從手機中盜取現金盜取財產。”現代電子設備體型雖小，但結構卻極度復雜，且還環相連構成一個巨大的系統。從最底層的芯片，到上面的操作系統，再到應用，最后到相關云服務，都可能面臨著不同的安全風險。除了傳統的惡意軟件，市面上還出現了偽基站、不安全的WIFI等新形勢的安全威脅。攻擊者在獲得一定信息以后可以通過各種技術和社會化手段發起攻擊。一個真實案例是，鈦媒體一個同事的機票信息被不法分子獲得后，他們偽裝成航空公司通知航班因特殊原因被取消，要求對機票進行改簽，并收取一定的差價，最后該同事在向航空公司核實后發現這是一個詐騙。雖然這次詐騙沒有成功，但個人重要信息的泄漏已經是事實。而至今為止，是哪個環節導致的個人信息泄露也無法查證。可能是手機上有惡意軟件讀取了機票信息，可能是航空公司信息泄露，也可能是訂票代理出了問題。安全已經不僅僅是殺毒軟件的事情，整個信息傳播環境任何一環出問題都可能導致嚴重的問題。正如周鴻祎在極客公園奇點大會上所說：“越來越多的安全問題已經不是在設備上殺病毒、清理流氓軟件就能解決的，現在對于許多互聯網公司來說，用戶的安全已經與公司的安全緊密結合在一起。”這是誰的安全針對越來越多的安全威脅，安全市場也風起云涌，無論是黑色產業鏈，還是專業安全廠商，亦或是設備廠商、傳統互聯網大佬都加入到這場戰爭中來。從商業角度來看，只要有需求，那就有市場。既然安全是如此基礎的需求，那做安全就意味著巨大的市場空間，于是大家都開始拍著胸脯說：你的安全我負責!“從今天開始百度保護支付寶，保護微信，只要你安裝這個軟件(百度手機衛士)就不會出現安全上的隱患，一旦出現安全隱患百度全部進行賠付。”張磊在百度手機衛士百日突擊媒體開放日上這樣向在場的媒體保證。作為一款安全軟件，這樣的保證確實讓人振奮，但為什么其他的支付軟件的安全卻需要交由一個第三方軟件來承擔賠付責任，這個邏輯總讓人覺得有些奇怪。而在像聯想這樣的設備廠商來看，安全是和設備最相關的軟件環節，要由硬件廠商來做最合適，所以重點投入布局樂安全。聯想生態和云服務集團總裁賀志強說：”樂安全和硬件融為一體，我們的樂安全真的是從根上開始具有的安全。“雖然大家都意識到了安全是非常重要的，也花費巨資進行投入。但現實是，像OpenSSL這樣重要的安全項目，卻長期缺少資金支持。這樣一個關乎上億人安全的項目，其維護人員只有4個人，其中兩個核心員工，只有一個全職員工。另外一方面，對于漏洞的歸屬權問題，業界也沒有統一的界定。在黑帽黑客們看來，自己發現的漏洞當然就是自己的，是可以拿來賣錢換酒的好東西。據張磊介紹，應用級的漏洞在黑產行內的標價10萬到20萬。如果是系統級的，那價值就更高了。在烏云網創始人方小頓看來，因為這些安全漏洞涉及到了廣大用戶的安全，所以這些漏洞是屬于公眾的，他創辦的烏云網就旨在公布最新發現的漏洞。而在百度等企業看來，漏洞是屬于企業的。“我們發現微信巨大的漏洞，我們就第一時間通知了騰訊的團隊。”張磊說：“這樣的事件外面不知道的原因，我們第一時間通知廠商，進行修復，這是他們的領地。”大家站在不同的角度，對安全的理解都不太相同。安全是一個“道高一尺魔高一丈的”的行業，不存在沒有漏洞