雪夜围炉话安全（三）

你好，黑客

“黑”在我们中文语境中常常代表隐蔽的、非法的、恶毒、高深的（姓氏除外）。

来回顾一下我特别喜欢的《新龙门客栈》。

张曼玉饰演的老板娘金镶玉，风情万种，在大漠开了一家黑店“龙门客栈”，大漠黄沙，高手云集，狭窄空间，斗智斗勇，儿女情长，当然还有黑店里必卖的“人肉叉烧包“。

生活里跟黑有关的词语非常多，有黑车、黑市、黑话、黑道、黑店、黑货、黑钱、黑幕等待，数不胜数，这类词语应用非常广泛，这就是人们印象中的黑文化。

再后来打西边来了个黑客，什么鬼，黑客是什么？

黑客译自“hacker”，牛津词典的解释是“利用自己在计算机方面的技术，设法在未经授权的情况下访问计算机文件或网络的人”。其实黑客有很多分类，比黑客、骇客等等，我们今天不扯概念。

在国内，经过近几年媒体曝光和人们对信息安全认知的深入，慢慢接受了白帽子黑客和商业黑客的区别，加了这个标签后，大家都知道白帽子黑客是好人，其他时候提的黑客基本就是坏人了。

自打有了黑客之后，人们就把黑这个词应用到了计算机领域，

”老大，我qq被黑了，骗了好多亲友的钱，怎么办？”

“我电脑被黑了，网银被盗，被盗刷了好几万，完了。“

“我的苹果手机被黑客锁了，要汇500块钱过去才能解锁，真是够了。“

在大家眼中，这就是计算机领域的黑事件。其实万物均可黑，凡人皆黑客。

小时候奶奶骗你说，小明，一定要记着不能吃耳屎，吃了会变哑巴。奶奶就是一个黑客，通过信息不对等的方式吓唬小明达成了目的。

人贩子假冒小孩亲戚，拿着糖果玩具骗走小孩。人贩子就是一个黑客，通过身份假冒的方式拐走小孩。

90年代各家各户喜欢藏一把钥匙在家门口，小偷会以最快的速度找到钥匙，并趁主人不在家的时候入室偷盗。小偷就是一个黑客，他拿到了进入系统的密码，最终偷走有价值的财务。

西门庆趁武大郎外出卖烧饼时，与王婆沆瀣一气勾引潘金莲。西门庆就是一个黑客，找到武大郎貌丑人矮的漏洞，并利用自身多金且一表人才的优势勾搭上潘金莲。说到这里，还真有黑产利用美女勾搭网游公司的网管，最终完成脱库的例子。

充分发挥自己的知识、经验和技能，调动有效的资源，最大化利用对方的漏洞，并最终达成目标，这是凡人皆黑客的共同点。

不管你是慈祥的奶奶、小偷、人贩子、西门庆，还是所谓的脚本小子、web黑客、内核大牛，其实本质上都是黑客，只是初心不同，善恶有别，所以才有了白帽子和黑产之分。

当然黑久会白，白久会黑。如凯文.米特尼克，公认的世界头号黑客，犯罪时被美国FBI通缉，出狱之后却成为了一名网络安全咨询师，并出版了《反欺骗的艺术》、《反入侵的艺术》和《线上幽灵：世界头号黑客米特尼克自传》等书。白久会黑就不说了，匹夫无罪，怀璧其罪。一大堆金银珠宝唾手可得，诱惑够大的话，总有人会伸手。

讲到这里，别以为只有传统意义上的不法黑客才会犯罪，很多机构企业的信息安全事件，主谋往往是恶意的内部员工、他们懂业务懂数据，知道这些数据的惊人价值，所以巧妙地利用自己的权限，将机构的核心数据腾挪到自己手上。

这正好印证了一句老话：千防万防，家贼难防。

不信你问问斯诺登，对于大辽来说，他算不算是个家贼。

讲到这里，顺便再扯远一点，记得有个安全事件的统计数据，说70%以上网络攻击行为都发生在内网，虽然现在无从考证，但是这个趋势大体是没错的，现阶段我们的名门望族和大户人家（本系列第2篇内容）主要关注的还是外部的坏蛋。

怎么讲，设想一个情景，团练和镖师们关注的是宅子外面的可疑之人，比如这两天，宅子西南角樟树下多了两个乞丐，给后厨送菜的老农突然带了个精壮男子进来。

再进一步，老爷和少爷的院子平时要专人看护，来来往往的仆人和侍女要多加观察，新进的少爷伴读背景要做调查等等。

但是谁会关心二小姐与其表哥之间的儿女情长，谁又会关心小少爷沾上了赌习，经常去老爷厢房里溜达，口袋里鼓鼓囊囊走了出来。也不回留意二老爷家的小少爷会经常目不转睛盯着大老爷新娶的小妾，抑或大管家近段时间和三老爷联系很紧密。

传统意义上的团练和镖师不会做这个事情，他们也不适合做这个事情，容易引起察觉和反感。这时候就需要老爷在各个岗位安插自己的得力亲信了，这里就不展开讲了，有机会再细说。

蜘蛛侠和洛基山羊

你看到的不一样是真的，你猜测的也不一定是对的。

蜘蛛侠是每个小男孩心中的英雄，在城市的高楼大厦中间自由穿梭，惩恶扬善，无所不能，但是孩子，漫画都是骗人的。当有些江湖镖局拍着胸脯跟雇主老爷说，我能搞定所有坏蛋的时候，这个时候你可以说一声“呵呵”。

山羊给人的印象是温顺的动物，犄角往后翻，攻击性不强。但洛基山羊却是全世界最会攀爬的动物，善于在悬崖峭壁间攀爬、跳跃，只要有可踏之处，不论如何陡峭的悬崖都可以轻易地上下。它们才是真正的踩钢丝大师，它们的蹄子天生适合行走于各种险境。

人们可能在想它们最大的天敌是美洲狮，狼和棕熊，其实不然，洛基山羊常年行走在悬崖峭壁，其他的动物很少能接触到它们。它们呆的环境简直就是访问控制做得非常好的安全域，普通的安全威胁压根进不来，除非类似雪崩类的自然灾害，或者美国国鸟白头雪雕之类的apt攻击（雕的生存成本太高，数量及其少，攻击洛基山羊的概率几乎可以忽略不计），不然的话，它们的安全会有极大的保障。

在建设安全保障体系的时候，我们是选择相信一位蜘蛛侠般无所不能的英雄，还是努力把自己变成勇于挑战险境的洛基山羊。其实答案不是二选一，而是慎重地在靠谱的安全机构的协助下，建设好自己机构的信息安全保障体系。

被黑是必然的

这句话不是消极的信息安全观，而是在阐述一个事实，这也是信息安全业界的共识。

我们的宅子一定会有坏蛋摸进来，我们的系统一定会被黑客攻击，不管你的安全性如何之高，不管你投入多大的成本，你还是得做好系统被黑的预案。

上一篇我们讲了安全是对抗，其实这个对抗是不对等的，为什么这么说，主要有这么几条：

一是攻击者只需攻击最脆弱的点，防守者却要防御所有的点线面，你千辛万苦地给金库做安保，保证金库的安全，抢劫犯却在你将财物取出后运走的途中下手。抢劫犯知道金库难搞定，所以会选择在某个路口搞定运钞车。

二是攻击者马放南山只需一时，偷偷的打枪，搞游击战，而防守者需7×24保持警惕。黑客攻击时，你在防御。黑客吃饭时，你在防御。黑客睡觉时，你还在防御。而且一旦很长时间内没有发现攻击行为，安全人员的警惕性就会降低，领导的关注度也会减少，这个时候就是最危险的时候。

三是攻击者能利用零日(0day)漏洞发起攻击，而防守者只能防御已知漏洞，正如宫院长所说，挖漏洞就像摘蘑菇一样，一场大雨新的蘑菇就长出来了，新的漏洞永远都是层出不穷。黑产手头的零日漏洞玩腻的时候，你可能才后知后觉发现自己家的系统早已菊花残遍地伤了。

四是攻击者可无所不用其极，防守者却要遵守法律和道德规则。前面我说了，凡人皆黑客，同样是为了获取钱财，有人选择乞讨，有人选择碰瓷，有人选择盗窃、有人选择打劫。我们不能说看你长得像坏人就打110报警对不对，在法律层面就是这样，只有当你受到伤害损失的时候，你才能予以还击，连钓鱼执法都是不允许的。曾经听说过这么一个事儿，黑产在脱人家的业务库之前，先去cc攻击人家门户网站，将人家的关注点和技术资源先转移到门户网站上面，然后才小心翼翼地去干真正的坏事。

说完上面这四条，现在各位大致明白“被黑是必然的”这句话了吧。

现实往往就是这么残酷。

某安全公司首席前几天发了一条朋友圈说：人会长大三次。第一次是在发现自己不是世界中心的时候。第二次是在发现即使再怎么努力，终究还是有些事令人无能为力的时候。第三次是在明知道有些事可能会无能为力，但还是会尽力争取的时候。

我觉得可以把这段话映射到信息安全领域：人们对信息安全的认知会经历三个阶段。第一阶段是从忽视到重视，突然意识到信息安全的重要性。第二阶段是从重视到无奈，发现安全工作是有心杀贼无力回天。第三阶段是从无奈到振作，即使百废待兴，仍然坚定不移地从头开始，确保信息安全革命成功。

为什么会无奈？因为家家都有本难念的经。

（未完待续，下篇重点讲讲难念的经）

－－－－－－－－－－－－－－－－分割线－－－－－－－－－－－－——-－－－－－－－

《雪夜围炉话安全》系列写到这里已经是第三篇了，年底工作比较忙，只能利用周末和晚上的碎片时间往前赶，大家担待。

本系列的第一篇和第二篇可以在我个人的微信公众号 @sunw3i 进行阅读，大家有什么建议可以在公众号互动留言，欢迎转发，让更多的人来了解信息安全，重视信息安全。