為什么不是所有人隨時都可能遭遇黑客攻擊
“信息安全就如同一條環環相扣的鏈條,實際等級取決于其中最薄弱環節的情況”。現在可能需要訂正一下該觀點的具體內容了。
這是因為微軟首席研究員科馬克·赫爾利與同事迪內·弗洛倫西奧共同撰寫的一份論文。如下所示:
“無法對互聯網實際安全狀況進行有效判斷的原因在于沒有認識到真正的核心情況所在。如果安全情況與最薄弱環節所處等級相同的話;那么,所有由于選擇弱口令、跨賬戶使用認證、拒絕聽取安全警告以及忽視補丁和更新等方面原因所導致的問題都將會遭遇黑客攻擊,并且這種情況將會呈現出周期性以及重復不斷發生的趨勢。
顯然,在現實的環境中并沒有發生這種情況。”
接下來給出的就是科馬克提出的觀點
卡斯勒:回顧以往我們對安全研究問題的合作討論,我一直期待——實際上可以說是渴望——你向讀者介紹這類“創造性”觀點。現在就又遇到了相同的情況,因此我們就從提出問題開始:
為什么不是所有人隨時都可能遭遇黑客攻擊?
這一問題確實屬于“非常創造性”的。究竟是什么原因促使你選擇研究這方面課題的?
赫爾利:當預計要發生的情況與現實所出現的真正問題出現差別時,我就會對造成這種現象的實際原因究竟是什么產生濃厚興趣。而具體到安全領域,就是傳統安全觀點所預測的現象與現實中真正發生的情況并不一致,這就導致其成為了一種非常好的研究對象。
公眾們被告知,如果希望確保數字化資產安全的話,就需要清除掉所有的漏洞。然而,這項要求實際上屬于無法完成的情況。絕大部分使用者都不會關注軟件更新和防病毒工具運行情況,還經常會選擇忽略操作系統和瀏覽器發出的警告,并隨意點擊各種惡意連接。
此外,我們也不應該忘記人們在密碼使用方面存在的各種陋習。使用者經常會選擇弱密碼,使用通用名稱,并將具體內容寫在所有人都能看到的即時貼上,甚至還會重復使用三到四個相同密碼來作為多處賬戶的保障。
然而,在全球使用互聯網的20億人中,每年都僅僅只有5%遭受重大攻擊。那么,究竟是什么原因導致剩余的95%逃脫攻擊的呢?
卡斯勒:按照該論文所提出的觀點,造成預測和實際相差如此懸殊的真正原因是攻擊者所使用的是綜合效果模式而不是追逐最薄弱環節所造成的。這究竟意味著什么呢?
赫爾利:綜合效果模式意味著攻擊者需要確保在對所有攻擊進行統計平均后依然可以做到有利可圖,而不是僅僅限于特定情況下。原因就在于每次攻擊都會產生成本,并且沒有攻擊可以完全成功。
為了保證最終平均實現贏利,攻擊者必須確保有足夠的成功來填補失敗所造成的全部損失。
舉例來說,讓我們先假設愛麗絲利用自己狗的名字來作為網絡銀行賬戶密碼的情況。按照公眾被告知的傳統安全理論,這屬于弱密碼的情況,將會導致她成為攻擊者的盤中美餐。但實際上,只有在滿足下列條件的情況下,攻擊者才能獲得成功:
·如果用戶名也被獲知。
·如果攻擊者可以猜出狗的名字。
·如果銀行沒有關注這筆業務。
·其它網絡竊賊沒有先下手。
因此,問題現在就變成了,攻擊者需要進行多少次攻擊才能獲得成功。舉例來說,假設攻擊者需要在每名客戶身上都花費一小時時間,并且:
·有5%的用戶會選擇他們狗的名字作為密碼。
·有5%的情況中,密碼會被破譯出來。
·有5%的情況中,用戶名會被猜測出來。
以此為基礎,我們現在就可以計算出攻擊者每獲得一個賬戶就需要攻擊20×20×20=8000個帳戶。
這時,我們再假設攻擊者的最低時薪是每小時7.25美元。現在,為了破獲賬戶需要所耗費的平均資金就變成7.25×8000=58000美元。
現在,如果我們進一步假設銀行對于攻擊者的非法企圖有75%的確認率的話,就意味著攻擊者現在需要232000美元的資金才能獲得一個賬戶。在這里,我們還沒有討論到其它攻擊者競爭所帶來的問題。
即便攻擊者愿意接受只有美國最低工資十分之一的報酬,并且在每名用戶上花費的時間也降低到十分鐘(而不是一小時),獲得賬戶的平均成本依然高達3866美元。所以,這種看起來很容易賺錢的方式實際上是很難用于謀生的。
現在,我們再換個角度來考慮一下。如果攻擊屬于無利可圖的,因而就不會被利用的情況;這就意味著,5%的弱口令將可以逃脫一劫了。所以說,真正的事實應該是針對弱口令的攻擊將很難變得有利可圖,因此系統才能保持安全;這一情況也證明了安全與系統中最薄弱環節相關的觀點顯然屬于不切合實際的。
卡斯勒:該文件聲稱
“盡管在特定情況下,很多攻擊都可以說屬于成功的;但只要利用總體數據進行一下統計平均,立即就會變成虧損的。即便在包含很多有利可圖目標的案例中,這種情況也是經常發生的;從而進一步很好地解釋了為什么攻擊類型如此之多但實際觀測到的損害卻少之又少的現實情況。”
我了解到其中的邏輯所在,但下一句卻又變得云霧繚繞:
“因此,對于常規安全策略來說,效果強弱的關鍵就在于薄弱環節的數量情況。”
現在,我徹底糊涂了。快幫幫我。
赫爾利:好的。在這里,我們還以狗名字為密碼作為示范。假定50%而不是5%的使用者利用自己狗的名字來作為密碼。現在(其余參數不變),攻擊者一次針對的賬戶總數就從八千個大幅降低到八百個。僅僅由于更多的人選擇該策略,就導致攻擊帶來的回報率上升了十倍之多。
因此,這就意味著如果一項策略變得普及和可預見,就極易被攻擊者所利用,從而導致非常危險的后果出現。由于很多人都選擇在離家時將門鑰匙放在花盆底下,這就會導致該項策略變成存在極大風險的類型。但如果世界上只有一個人這么做,那就會屬于毫無風險的;造成這種結果的原因就在于,在這種情況下,竊賊檢查花盆底下是否有鑰匙將變成純粹屬于浪費時間幾乎不可能成功的舉動。
簡單地說,攻擊者就如同在玩數字游戲。對用戶使用密碼情況預測的越準確,獲得的回報就越大。
卡斯勒:我也曾試圖通過數學來確認這一模式是否成立——但最終慘遭失敗了。因此,我會讓數學專家來檢查你的工作。現在,你覺得自己是否有可能簡要地解釋一下相關結論的意義所在呢?
赫爾利:與其它類型的經濟活動相比,盜竊本身并無不同之處。這就意味著需要關注的并不是限于特定具體事件上,只有在統計平均上獲得成功才意味著真正存在價值。換句話說,攻擊者必須承擔每次攻擊所帶來的成本,并只有獲得成功才能收到回報。如果每次攻擊成本要一美元,而成功率為0.1%的話,那么每次成功必須帶來一千美元才能保持收支平衡。對于收入增長來說,極低的攻擊成功率帶來了非常嚴峻的現實挑戰。
卡斯勒:按照我的理解:你是在擔心由于安全專家們使用了錯誤的建模方法,從而會導致出現宣稱“狼來了”之類的虛假警告?
赫爾利:由于這種說法聽起來有點帶有一種欺騙的意味,所以我不知道自己是否應該將此類情況形容為“狼來了”。對于安全人員來說,職責就是尋找漏洞,預測事情變壞時將會發生的情況。因此,提醒人們加強注意屬于很正常的選擇。同時,我覺得大家必須承認,已經有20億人在使用互聯網,盡管確實存在著安全方面的問題,但絕大部分用戶都獲得了良好的體驗。
對于安全專家來說,“從攻擊者的角度進行思考”屬于重復再三的口頭禪。但就我個人而言,這屬于相當不現實的要求。除非用戶象針對一項感興趣的智力游戲一樣全身心投入,否則從攻擊者的角度進行思考并不能讓大家避免被攻擊或者入侵。
如果對于攻擊相關的總體效果感興趣,我們就必須象攻擊者一樣繼續下去,找出可以用來扭虧為盈的方法。這就意味著不應該限制于在可能出現問題的時間尋找漏洞和途徑,而且要計算出攻擊的單次成本為多少,成功率有多高。現實中的攻擊者肯定需要這么來進行思考,但普通用戶由于懶惰就會跳過這一部分的分析。
卡斯勒:現在到了棘手問題時間。在談及到安全方面的建議時,你會對我們的用戶說什么?
赫爾利:在這里我要強調一下。在本文中,我們的目的是解釋預測和觀察之間的不匹配情況。因此,就選擇了人們使用自己狗的名字當作密碼這一例子來進行示范,但對于現實中的安全策略來說,我絕對不建議真的這么做!
誰都不會想成為很容易被預測和利用人群中的一員。而為其它人提供建議則是一項非常棘手的工作。我個人的建議和其它人所提供的并無不同之處。但還有一點我想補充的就是——絕對應該避免可預見情況的出現。
最后的思考
我想大家應該認為自己屬于非常幸運的情況。互聯網上的絕大多數壞蛋都選擇轉向盈利領域。否則如果涉及到其它方面動機的話,我認為公眾將會遇到真正的麻煩。或者,換句話說,盡管我們可能就屬于好捏的柿子,但由于攻擊者選擇這么做付出的代價將顯得過高,結果反而變成安全的了。
【編輯推薦】
