网络安全学

不懂网络安全的你,不好

这篇文章是写个其他圈子的同学看的,有感于这些天的一些发现,大家感兴趣可以看我之前的文章。

我以前并没如此强大的感受,但我现在意识到一点:安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心……

正因为安全看不见,所以往往不受重视,因为感知到的概率真的太低,用户的第一感知是他看得见、摸得着、嗅得到、品得出的东西,实实在在的东西,而不是那种虚无缥缈的东西,我们对概率低的东西往往默认选择忽略。

一个例子
比如飞机降落滑行,手机被明确告知不能开机,以免影响滑行导航,可能导致事故,可就会有很多人开机,因为在用户的记忆里似乎没听过这能出什么事故,而且别人也开了,飞机照样没事,更加而且的是还经常能看到个别人在飞机飞行过程中悄悄打开手机,拍照啊、看视频啊,这样的情况下,飞机也没事呀,那可以得出的结论是:我偷偷打开手机导致飞机坠机的概率太太太低了,我可以偷偷开机……

这种例子还能举出N个,比如:路人抢过红绿灯、抽烟、频繁熬夜、不吃早餐、浪费纸张等等等。

那什么时候我们会开始重视这些问题呢?
1. 身边稍微密切的人,有那么几个出安全问题了;
2. 自己出安全问题了;

一旦能感知到,就会开始重视,但别忘记了:懒是人性之一,随着时间的推移,这种感知又会慢慢开始降低。

网民眼里的安全
回到网络上,有牛人说过网民是一个低智商、没耐心、易暴怒、易跟风的群体。这些人你和他谈安全,人家当你白痴,他们来用你的产品可能就是看中某项小得不能再小的功能,用完就走,想用就来,不想用就不来。这个时候你和他们谈安全,即使把活生生的黑客摆在他们面前,他们仅仅会用千奇百怪的眼神打量下,然后呢?然后就没然后了。

你要不去问问,黑客在网民的眼里代表什么?更多的是惊讶与好奇,有些网民巴不得哪天自己能被黑一次,这样在朋友聚餐吹牛的时候,还可以拿出来大吹特吹,表面假装气愤,实则心里那个爽啊。

哪天网民的邮箱被盗,密码被改,要都要不回,里面一堆重要资料啊,气愤啊咬牙啊,终于发现有一个帖子上说到:“密码最好设置复杂些,否则容易被破解,账号会被盗取。”从此,网民开始意识到:安全事件还真的发生了。

故事不都这样发生的么?不用想了,都是这样的。说不定这个邮箱被盗的网民是系统安全的大牛呢,可人家不懂Web安全啊,不懂黑客会这样来社工他,防不胜防。

老板是怎样想的
老板第一思考的当然是如何赚到更多的钱,如何拥有更多用户,如何把公司做得更大更好。大多时候老板和这些网民是站在一起的,老板会下意识的认为:“用户都不在乎安全问题,我们的产品需要尽快研发上线,需要一流的用户体验,需要第一时间抢占市场!”老板从来不会在那些战略话语中带上“安全”字样,包括安全圈中的老板,虽说是做安全产品,但不等于做好了产品安全。

老板这样想是对的,可具体的执行人千万不要这样,在说明这点之前,我先说下哪类人会被黑及什么情况下会被黑?

哪类人会被黑
1. 没安全意识的人。这种人压根没这个概念,用最土的方式都能把这种人黑掉;
2. 有安全意识,却没安全经验的人。比如上面说的系统安全大牛邮箱被盗事件;
3. 有安全意识,有安全经验,却没安全习惯的人。常在河边走,哪有不湿鞋?培养后天习惯往往是很困难的,我说了懒是人之本性啊!

这3类人应该包含全人类了,所以结论是:我们都会有被黑的时候。

什么情况下会被黑
某人问:“可是……被黑的概率还是很小呀。”恩, 我知道当满足一些条件的时候,被黑概率会越来越大:
1. 你手上有黑客感兴趣的私密资料,你仔细想想下自己有没有什么隐私是某些人感兴趣而很想得到的,比如网游里的装备、网银里的RMB、邮箱里的私密对话、空间里的马赛克图片……哪怕你是屁民,一样被攻击,黑客根本不需要认识你;
2. 你用的互联网产品有价值,有利益驱动,成为黑客的目标了,比如CSDN、天涯等各大网站密码泄露事件,导致千万网民躺枪……即使你是屁民,你在黑客面前早已经没了马赛克;
3. 你名气很大,枪打出头鸟,黑客无聊或有聊都会把你当做目标,周鸿祎、刘谦、李开复等不都被黑?
4. 你直接得罪黑客,比如月光博客曾经就各种鄙视贬低黑客,后来各种密码被破解,博客被黑,这个黑客是好的,仅仅是给个教训;

其实这些都是被爆出来的,有多少没被爆出的、间谍活动的、恐怖活动的,我感觉这些离我们很近,不过绝大多数人会感觉很远……

执行人该怎么办
首先有一点,我必须强调的:这个世界决不能交给不懂安全的人。前面说了老板和网民站在一起,身为具体产品过程的执行人,我们该怎么办?

我们应该带着安全思维去执行产品的架构设计、研发、测试、运维(甚至完整的产品生命周期)。业务为导向的产品过程并不是处处强调安全,但是安全必须作为基础融入,这是一种有远见、负责任的产品过程!

我认为:不懂Web前端安全的前端工程师不好,不懂安全的架构师不好,不懂安全的产品经理不好,不懂安全的网民不好……为了逆袭,黑客们抢占这些职位吧,为中国互联网多带去优良的黑客基因,做出更好更安全的产品,这就是我之前说的跳出我们那狭小的圈子。


评论
热度(1)

© 网络安全学 | Powered by LOFTER