不懂安全的你,不好

这篇文章是写个其他圈子的同学看的,有感于这些天的一些发现,大家感兴趣可以看我之前的文章。

我以前并没如此强大的感受,但我现在意识到一点:安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心……

正因为安全看不见,所以往往不受重视,因为感知到的概率真的太低,用户的第一感知是他看得见、摸得着、嗅得到、品得出的东西,实实在在的东西,而不是那种虚无缥缈的东西,我们对概率低的东西往往默认选择忽略

一个例子
比如飞机降落滑行,手机被明确告知不能开机,以免影响滑行导航,可能导致事故,可就会有很多人开机,因为在用户的记忆里似乎没听过这能出什么事故,而且别人也开了,飞机照样没事,更加而且的是还经常能看到个别人在飞机飞行过程中悄悄打开手机,拍照啊、看视频啊,这样的情况下,飞机也没事呀,那可以得出的结论是:我偷偷打开手机导致飞机坠机的概率太太太低了,我可以偷偷开机……

这种例子还能举出N个,比如:路人抢过红绿灯、抽烟、频繁熬夜、不吃早餐、浪费纸张等等等。

那什么时候我们会开始重视这些问题呢?
1. 身边稍微密切的人,有那么几个出安全问题了;
2. 自己出安全问题了;

一旦能感知到,就会开始重视,但别忘记了:是人性之一,随着时间的推移,这种感知又会慢慢开始降低。

网民眼里的安全
回到网络上,有牛人说过网民是一个低智商、没耐心、易暴怒、易跟风的群体。这些人你和他谈安全,人家当你白痴,他们来用你的产品可能就是看中某项小得不能再小的功能,用完就走,想用就来,不想用就不来。这个时候你和他们谈安全,即使把活生生的黑客摆在他们面前,他们仅仅会用千奇百怪的眼神打量下,然后呢?然后就没然后了。

你要不去问问,黑客在网民的眼里代表什么?更多的是惊讶与好奇,有些网民巴不得哪天自己能被黑一次,这样在朋友聚餐吹牛的时候,还可以拿出来大吹特吹,表面假装气愤,实则心里那个爽啊。

哪天网民的邮箱被盗,密码被改,要都要不回,里面一堆重要资料啊,气愤啊咬牙啊,终于发现有一个帖子上说到:“密码最好设置复杂些,否则容易被破解,账号会被盗取。”从此,网民开始意识到:安全事件还真的发生了。

故事不都这样发生的么?不用想了,都是这样的。说不定这个邮箱被盗的网民是系统安全的大牛呢,可人家不懂Web安全啊,不懂黑客会这样来社工他,防不胜防。

老板是怎样想的
老板第一思考的当然是如何赚到更多的钱,如何拥有更多用户,如何把公司做得更大更好。大多时候老板和这些网民是站在一起的,老板会下意识的认为:“用户都不在乎安全问题,我们的产品需要尽快研发上线,需要一流的用户体验,需要第一时间抢占市场!”老板从来不会在那些战略话语中带上“安全”字样,包括安全圈中的老板,虽说是做安全产品,但不等于做好了产品安全。

老板这样想是对的,可具体的执行人千万不要这样,在说明这点之前,我先说下哪类人会被黑及什么情况下会被黑?

哪类人会被黑
1. 没安全意识的人。这种人压根没这个概念,用最土的方式都能把这种人黑掉;
2. 有安全意识,却没安全经验的人。比如上面说的系统安全大牛邮箱被盗事件;
3. 有安全意识,有安全经验,却没安全习惯的人。常在河边走,哪有不湿鞋?培养后天习惯往往是很困难的,我说了是人之本性啊!

这3类人应该包含全人类了,所以结论是:我们都会有被黑的时候。

什么情况下会被黑
某人问:“可是……被黑的概率还是很小呀。”恩, 我知道当满足一些条件的时候,被黑概率会越来越大:
1. 你手上有黑客感兴趣的私密资料,你仔细想想下自己有没有什么隐私是某些人感兴趣而很想得到的,比如网游里的装备、网银里的RMB、邮箱里的私密对话、空间里的马赛克图片……哪怕你是屁民,一样被攻击,黑客根本不需要认识你;
2. 你用的互联网产品有价值,有利益驱动,成为黑客的目标了,比如CSDN、天涯等各大网站密码泄露事件,导致千万网民躺枪……即使你是屁民,你在黑客面前早已经没了马赛克;
3. 你名气很大,枪打出头鸟,黑客无聊或有聊都会把你当做目标,周鸿祎、刘谦、李开复等不都被黑?
4. 你直接得罪黑客,比如月光博客曾经就各种鄙视贬低黑客,后来各种密码被破解,博客被黑,这个黑客是好的,仅仅是给个教训;

其实这些都是被爆出来的,有多少没被爆出的、间谍活动的、恐怖活动的,我感觉这些离我们很近,不过绝大多数人会感觉很远……

执行人该怎么办
首先有一点,我必须强调的:这个世界决不能交给不懂安全的人。前面说了老板和网民站在一起,身为具体产品过程的执行人,我们该怎么办?

我们应该带着安全思维去执行产品的架构设计、研发、测试、运维(甚至完整的产品生命周期)。业务为导向的产品过程并不是处处强调安全,但是安全必须作为基础融入,这是一种有远见、负责任的产品过程!

我认为:不懂Web前端安全的前端工程师不好,不懂安全的架构师不好,不懂安全的产品经理不好,不懂安全的网民不好……为了逆袭,黑客们抢占这些职位吧,为中国互联网多带去优良的黑客基因,做出更好更安全的产品,这就是我之前说的跳出我们那狭小的圈子(http://evilcos.me/?p=238)。

所以我说知道创宇的使命与愿景就特别好:更好更安全的互联网:)

为什么“更好”放在前面?我们其实和你们一样的,我们也是业务为导向,我们的产品也是第一抓用户体验,但是不同的是,我们在整个过程带着安全思维。我们希望互联网首先更好,其次安全也必须赶上!

嗨,别不服了,看看那年的高铁相撞事故,那个列车的用户体验爽了吧?虚荣心满足了吧?安全呢??还不够吗?现在你架构的业务让任何人都可能轻易被搞,安全无小事,不要以为自己做的不是“高铁”,其实危害最大的是你的残缺思维与无动于衷……

怪异心理
在很多大公司,安全与业务部门是分离的,安全人员恨不得这个产品出现一些有影响的安全事件,这样那些搞业务的人才会重视。这两派不应该这样,谁都不能高高在上,你说呢?

PS1:本文说的黑客(如果是坏的)都是指那些坏蛋,真正的黑客才不会这样,他们很有爱,我就是很有爱的一员。
PS2:个人思维残缺不可怕,团队思维残缺决不允许!

——————————–分割线——————————–

我也跟风(跟“小道消息”和“道哥的黑板报”)玩下微信的公众账号,我的微信号是“lazy-thought”,也许这句话是这个微信公众账号的定位“我一直认为会思考且会执行的懒人改变了世界,我在这分享各种Hacking点评,无论是互联网、安全、还是人性。”我现在无法保证更新频率,欢迎查找收听,或用微信扫描下面这个二维码:

qrcode_for_gh_5d4286e791e1_430

23 comments

  1. 写的真好。大多数人往往都是后知后觉,只有真正遭遇过、经历过某些变故,才能产生足够的警惕。听君一席话,有些触动呀。相信对我以后的学习、工作,乃至生活都将有所裨益。

  2. 希望在微信上发的东西也在博客上同步更新。

    实在不想在手机上读优秀的文章……

  3. 网民在网络安全上不注重是普遍的现象了,就好比我们公司一样,在某个行业也算是领头的了,但对安全上,真懒得说。。。有些漏洞扫描器都能扫出来。期待余总更多精彩的文章

  4. 挺不错的。挺喜欢你的站点的 IDF EVILCOS FREEBUF 知识挺全面。很喜欢里面的几个工具和文章 已经转载了 著名了@evilcos -,- #不介意转载吧??

  5. 赞同楼主,不过有的时候并不是没有安全意识,习惯的问题,如本人小生意人一个,常出门在外买卖,本来是不用手机银行之类的,宁可跑atm,但是现在越来越多人使用手机银行,方便快捷,不得不下载手机银行,这就不得不说一下手机银行运行的环境了,预装太多而且没用的软件,只能root,删除之……并使用权限控制软件,但是不觉得可以100%安全,所以只能套用人在江湖身不由己,不管啥手机,必root,至少root后,降低了泄露卡号密码的几率!我是这样觉得,曾经在未root过的手机上泄露过,损失惨重,以上是一点小经验

  6. 文章很好!不过,话说黑客的博客一定要这么黑嘛。。。

  7. 写的不错,周围有很多人根本不重视安全,提醒他们的时候还说我的信息不值钱的搪塞

  8. 我以前也会和童鞋说点网络安全,但他们说我是话唠,卖弄技术,现在我也懒得和他们扯安全了,这群网民不被黑几次不知道什么是安全

  9. Pingback: 空城志

发表评论

电子邮件地址不会被公开。 必填项已用*标注