最近我的朋友圈都在讨论一件大事,6月10日,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》,该法将于2021年9月1日起施行。数安法是一部基石性质的法律,很重要,关注互联网行业,尤其是关注安全行业的同学,一定早已经看过关于这部重要法律的条文和背景解读。
这些解读都很专业,不过太专业也容易带来另一个窘境:搞技术的不熟法律,搞法律的不熟技术,两边的解读多少都有点让对面看不懂的地方。而更多的做管理和其它行业的同学则认为数安法那是技术圈、甚至更小一点是安全圈的圈内事,和自己没啥关系。
今天我想从另一个方面分享对数据安全的理解。
01 就在身边的黑客和安全
我本身就是从事数据安全的。当然,现在业内对于数据安全还没有一个很精确的定义,也许同一个人同一份工作,既可以说“我在从事数据安全”,也可以说“我没从事数据安全”。
这也是为什么说数安法很重要,因为这是第一部对数据安全的专门立法,业界还处在对数据安全的职能和内容进行反复探索的阶段,立法就已经出来了,具有很强的前瞻性和指导意义。不过,我的工作既需要搞数据也需要搞安全,合在一起说搞“数据安全”,应该不算十分的错。
安全行业总是给人一种神秘而疏远的感觉,大家应该都听过,但很多人都说不清这个行业究竟在干什么,更像是一群不食人间烟火的怪人围成一圈搞的自娱自乐的什么玩意。这是误解,这几年安全行业也在不断宣传,主旨就是告诉大家安全并不遥远,安全就在身边。
数据安全也是这样。数据安全这个词我们并不陌生,不过在过去,这个词往往是挂在另一个词下面的,这个词叫作“网络安全”,在很多哪怕是行内人士的理解当中,是网络安全遭到破坏,进而导致数据安全遭到威胁,是这么一种逻辑关系。
这个理解正不正确呢?这就要从一个具有传奇色彩的角色说起:黑客。
黑客也不遥远,也在身边。
黑客也是一个大家都很熟,但又理解不多的一个词。曾经有一部很火的电影叫《黑客帝国》,里面的黑客个个穿披风戴墨镜,我感觉倒更像是刺客。
不过,大家日常对黑客这个群体接触机会确实不多,加上各种文艺作品的渲染,很容易给黑客打上各种奇怪的标签。说起黑客,大家多半会产生这样的印象:身份神秘、技术了得、离群寡居、喜欢呆在小屋子里、每天除了吃和睡就是对着计算机。
还有很多刻板印象,譬如说黑客在破解啥啥目标时,屏幕一定是像下雨一样从上往下掉字符,手指一定是摁在键盘上一顿操作猛如虎,让大家分不清楚这究竟是在输命令还是在玩电竞,这些纯粹的艺术想象就不一一列举了。
这些印象当然不能说全错,但也不能说都对,为什么呢?因为黑客虽然是个小众群体,不过怎么说也是个群体,什么背景什么性格的人都有,有正儿八经985科班出身的、也有高中念不下去闭关成才的,爱好更是五花八门,喜欢刷B站、喜欢玩Switch、喜欢逛商场、喜欢喝奶茶的全都有,黑客也是人,也热爱生活,很多兴趣爱好还都和大家一个样。
下面我想讲一些黑客的故事,安全并不只是黑客,但也许了解了黑客,会更了解安全。想了解黑客,我想首先是不要把黑客当成是生活在月球上的怪人,黑客和我们身边熟悉的每一个人都一样,并没有一套常人无法理解的独特逻辑支持着黑客的精神世界。
02 黑客和网络安全
现在我们聊到黑客,喜欢套一个大一点的词,叫网络安全。
网络安全现正已经发展成一个很大的产业,产业化就意味着有很多打工人,说的好听一点叫“白帽黑客”,不过其实和其它工薪阶层同样,都需要面对早高峰、KPI甚至996,就是一份普通而正经的职业,和大家只有分工的不同,很多院校就盯着这块的就业机会,专门开设有网络安全的相关专业,体系化地给网络安全产业输送人才。
在产业化的大背景下,不但黑客不怎么神秘,连怎么成为黑客也变得不怎么神秘了。
要培养人才,首先得有教材。很多网络安全的教材开篇就说,在网络时代刚刚兴起的时候,安全问题就一直存着,但是当时的公司企业只顾大兴土木,没怎么管这一块,近几年随着网络快速发展,管理制度也不断完善,这才重视起来。
教材的开篇肯定都是要强调一下这门课程的重要性的,应该没哪本会说这门课内容不少,但外边关注的人不多,大家没兴趣的打呼噜声尽量小点,别影响到其它同学睡觉。不过,公司和企业是不是真的自带天然呆属性,非得后知后觉呢?
我的看法是,安全是一门技术,也是一门生意,网络安全当然很重要,但书本上所列举的这些对安全的后知后觉,我想也许却是精心计较后的结果。
现在网络安全或者更大一点的安全行业,已经细分出很多工种,有搞渗透的、有挖漏洞的,挖漏洞的还有分Web的和二进制的,这还都是大的方向。
但是在早期,大概是二十来年前,网络刚刚兴起,大家对于黑客的理解还比较纯粹,觉得就是技术大牛,都想成为黑客,没事就凡尔赛一下,吹牛说美国国防部的安全防护做得太次了,刚才没事我还帮它修了俩漏洞。
但是,怎么才能成为黑客呢?
非常简单,黑客有两个速成的法宝:弱口令和木马。我记得当年不时就会出来一篇新闻报道,说的大概都是某地出了天才电脑少年某某,不是正在上中学就是刚中学肄业,然后一门心思专研电脑技术,于某某时候攻破某著名网站。
当时的媒体好像都觉得能黑入网站都需要先掌握不得了的技术,这个理解当然也不能说全错,但是当时人们的网络安全防范意识缺失薄弱,很多人理解的网络安全就是加防火墙,但是再强大的防火墙也架不住弱口令。
什么是弱口令?注册账户都需要填两样东西,用户名和密码,不管是你还是黑客,要登录你的账户,都得知道这两项的内容。
对很多人来说,用户名好想,可是密码不好想,密码一般至少是一串6位的数字,日常生活中能达到这样长度而且还得一直不变的数字并不多见,要是随便想个6位数字还挺容易,可是要你隔个三五天再想起来当时想的是啥,恐怕就很难了。
那怎么办呢?偷懒的办法就是挑一些好记又有规律的数字串作为密码,譬如说123456,譬如说6个1,譬如说生日,欧美那边还特别喜欢用passwd,这是英文“密码”(password)的简写。虽然说人的想法千奇百怪,但在设置密码这方面大家都想到一起去了,你知道黑客也知道,这就是弱口令。
你的弱口令让别人猜到了,别人就能像你一样登录你的账户为所欲为。你说这算不算黑客?这当然得算。但是你说这玩意需要很高技术含量?见仁见智吧。
有些黑客担心猜弱口令门槛还是太高,好心地把常用的弱口令都收集起来存成TXT文件,起个名字叫“弱口令字典”,以后大家哪怕啥也不懂也可以打开文件挨个试,还美其名曰叫“弱口令字典扫描”,外行一听直呼内行。
不过,话说回来,弱口令虽然看着没啥技术含量,但架不住效果好,当时你拿着admin作为用户名和123456作为密码,在网上转一圈就能登上好多网站的管理员账户,在别人眼里你就是妥妥的大黑客了。
说完弱口令再说木马,木马这玩意听着挺有技术含量,其实吧也是见仁见智。先说什么是木马,木马英文叫Trojan,早几年大家应该经常看到杀软的查杀记录里就有叫这玩意的。
Trojan直译应该叫“特洛伊”,是一个地名,背后涉及到希腊神话的一个故事,这里就长话短说,总之就是希腊的两个城邦雅典和特洛伊打起来了,进攻方雅典怎打了十年也打不进去特洛伊城,于是想了个办法,造了个大木马,把士兵藏在木马里面然后假装撤退。特洛伊人一看脑子犯抽,直接把木马拖进城里。
好家伙,自己把敌人请进门了,用我们的话叫引狼入室。结果不用说,抵抗了十年的特洛伊当天晚上就打出了GG,这就是有名的特洛伊之战,这个木马也被称为特洛伊木马。
说完了特洛伊木马,说说黑客的木马。功能差不多,都属于引狼入室的这一类。很多网络安全的教材说到木马,说的好像这是一种黑客专用的工具。不对,从技术的角度来说,木马属于远程控制软件,是网管的必备工具。
别听到名字觉得很厉害,我说一个大家更熟悉场景,某天晚上老家的爸妈给你打电话,说家里的电脑出了个啥啥啥问题,问你怎么办。
问题很简单,你一听就想到了办法,可是难就难在不知道怎么才能和爸妈讲清楚操作方法。怎么办呢?QQ有个功能叫远程协助,请爸妈点开,你就可以像操作自己的电脑一样远程操作家里的电脑,QQ远程协助就是一种远程控制软件。
木马也是一回事。制作木马是有一些技术门槛的,不过使用木马门槛就是低得多。以前有一种叫“灰鸽子”的木马,功能十分强大,但使用特别简单,譬如说远程控制这块,和QQ的远程协助不能说十分相像,只能说一模一样。
不过,黑客的木马和普通的远程控制总还是有不同之处,主要是两点。
首先是免杀,就是不要被杀软杀掉。当年有一款闻名天下的杀软叫卡巴斯基,闻名天下的原因之一是只要卡巴斯基检测到了恶意软件,就会播放一段莫斯科中央屠宰场的杀猪一般的提示音,一听就知道是个狠角色。
没哪位黑客希望这边刚装好木马,那边的卡巴斯基就发出猪叫声,所以要做免杀。那时免杀主要是加壳和反弹端口两种,都属于听起来挺复杂,实际操作特别简单,就是点几下鼠标的事。
如果第一点听着还有些技术含量的话,那第二点则是更重要但更没技术含量,这就是请受害人点击木马。所谓木马,其实也是一个计算机程序,必须得本机点击运行了才能有效果。
你总不能和受害人说,你好我是黑客,我要在你的机器上安装木马,请你点击一下。那怎么办?得想办法,让受害人就像特洛伊人一样,见了木马就想点。譬如说改个文件名,叫“X大教室监控录像”,现在很多人没准见了都想点,更别说当时了。
03 从网络安全到数据安全
当然,黑客的技术远不止这些。大家都听过鄙视链,黑客圈也有鄙视链。前面我介绍了弱口令和木马,简单吗?简单,也不简单。使用起来的简单,往往意味着研发的不简单。这有点像我们的智能手机,操作早都傻瓜化,但是这背后是无数的设计师、工程师投入大量的时间精力不断地去完善优化。
黑客圈也深明这个道理,有些人认为这些只知道用工具的黑客玷污了这个象征着技术高超的名词,于是想了另一个词作为区别,叫“脚本小子”。在黑客圈鄙视链的最底层,就是脚本小子。
不过,我觉得这个鄙视链有失偏颇,而在安全行业产业化的今天再重新审视,会发现更多不同的东西。黑客曾经是技术的代名词,但技术永远不是黑客的尽头。我们不说太抽象的东西,还是从身边的故事说起。
就说脚本小子,脚本小子也有自己难以言表的痛苦,而且别人很难理解,这就是无聊。
前两年有两款火出圈的游戏,一个叫塞尔达一个叫动物之森,很不巧我都没有玩过。不过我听说,这两款游戏非常火,很多原本不玩游戏的朋友,也因为被朋友圈刷屏而去买了来玩。
刚开始也觉得确实有趣,但慢慢的都遇到了同一个问题:无聊。通了主线,建好了岛,刚开始的目标都实现了,接下来好像没事可干了,又找不到新的乐趣,反而觉得很痛苦。
游戏本身不多说,没有Switch没有发言权,但是脚本小子的“痛苦的无聊”是可以多说两句的。前面我说黑客有两大速成法宝,弱口令和木马,技术门槛不高,但不妨想象一下,假设你真的使用弱口令登录了某个网站的后台,或者使用木马控制了某台电脑,接下来你该做什么呢?
没事可干。
现在我常听人抱怨,说现在安全行业的氛围远不如以前,以前大家特别热爱分享,发现一点什么恨不得拿只大喇叭让全世界知道,现在全都成了氪金游戏,大家的技术都藏着掖着,捡到个漏洞还得琢磨一番哪的SRC给得奖金多。
我觉得这个说法和前面的课本认为过去的企业全是天然呆一样,忽略的时代的发展变化。网络安全能成为产业,是因为现在的网络承载的价值提升了,说得庸俗一点,网络现在能变现的渠道多多了。
以前的网络相比现在,就是一只空荡荡的大房子,虽然门户洞开,但是闯进去一看,发现里面家徒四壁,也没啥可偷的,还要在墙上留下“到此一游”四个字别人才知道你来过。
这就是脚本小子的痛苦。你用弱口令也好,用木马也好,登录了网站后台,或者控制了某台电脑,能干什么呢?要么是挂黑页,告诉网管你的网站被黑了,或者告诉别人你黑了网站,要么在电脑桌面上留个TXT,告诉机主有人到此一游。
后来有个说法,把这个阶段的黑客行为称作“炫技”,说白了就是没事可干,只好没事找事刷存在感。
接下来干什么呢?要么是继续日复一日地用同一种方法“炫技”,陷入越玩越无聊的窘境,要么就爬爬科技树,争取发现一点新东西。黑客技术也螺旋上升不断发展,但是,真正使得黑客这个角色进入新的阶段的,还是因为网络的发展。
网络资产值钱了。
前面讲的网络安全也好,后面要讲的数据安全也好,安全不单只是一门技术,也是一门生意,是生意,就要计算投入产出比。前面我们介绍,早期网络普遍缺乏安全意识,账户密码简单得弱智,但是背后的原因是什么呢?是成本。
这里的成本,说的不仅仅是钱。就拿密码来说,为什么我们都喜欢简单的密码?因为记忆成本低。现在的密码动辄8位10位12位,还要大小写字母加特殊字符,最好还每个网站密码不一样,安全系数是提升了,可是记忆成本同样也提升了,我自己就经历过好几次因为忘记密码而被锁定账号的事。
安全是需要投入成本的,谁也不会在家徒四壁的时候,有动机去安装一个5A级的防盗门。而当大家开始安装防盗门的时候,一定是有了需要保护的东西,而这样东西的价值远高于安装防盗门的成本。
这个道理很简单,但背后的思想并不简单,现在很多安全策略不再认为必须全盘死守,而应该根据资产价值分区管理,在某些安全程度相比较低的区域放置必要但不重要的资产,从而平衡安全和效率二者之间的矛盾。
在最开始的时候,互联网和现在的加密货币一样,属于小众的极客玩具,新潮有趣但是家徒四壁,而随着网络时代的来临,网络资产的价值上升了一个台阶,黑客或者说网络安全也进入了新阶段。这个阶段的标志,我认为是出现两种专门化的木马,QQ木马和网游木马。
QQ木马和网游木马的技术含量比远控类木马要低,但是出现的时间却还后者还稍晚一点。顾名思义,QQ木马就是用来盗Q号的木马,而网游木马则是盗取网游账号的木马,根据不同的网游发展出专门或者通用的木马,譬如说专门盗取传奇账号的传奇木马。
如果单从技术的角度说,QQ木马和网游木马的“玩法”要远比灰鸽子之类的远控木马要少得多,配置界面一般就只有一项,填写收号的邮箱地址,木马在盗取了账号和密码之后,会把相关信息发到邮箱里。但是,QQ和网游账号是能够卖钱的,“黑客”一下子从纯粹的“炫技”,变成了一种能够变现的渠道,群体的数量一下也膨胀了。
大家开始意识到,原来网络安全的缺失会实实在在地造成资产损失,对安全的需求增加了,而作为黑客的对立面,安全人员的数量也因此增加,安全行业开始出现从个人英雄主义,向产业化转向的趋势。
黑客的故事就讲到这里,黑客有趣的事还有许多,不过都和本文的主题关系不大,大家感兴趣再找其它机会和大家聊。
我想分享一个观点,“黑客”听起来是一个“技术”的词,也确实有一种技术叫黑客技术,但我觉得,要真正理解黑客和黑客技术的发展,可能必须要跳出技术的桎梏,用更为广阔的视野来研究。
数据安全同样是这样。
04 技术以外的数据安全话题
现在,数据时代来临了。大家聊得越来越多的一个话题,叫“数据资产”。
现在很多企业都在讨论数字化转型,说要建数据中台。业界对于数据的研究其实一直在进行,也搞出了很多概念,譬如说数据掘金、大数据等等。
但这一次不一样。数据资产是个很大的概念。以前我们讨论数据,实际讨论的是如何利用数据做好某某业务,优化某某产品,着重点放在后者。现在不同了,我们讨论数据,说的就是数据本身,数据就是业务,数据就是产品,能够直接变现。
数据资产概念的提出,意味着数据已经从其它业务的附属品,变成了一种独立的企业资源。有机会我们另写文章再聊。
数据资产的独立,也意味着数据安全不再仅仅只是依附于网络安全的一个子概念,而变成一种需要独立加以研究和管理的对象。这个话题很大,我们不妨从一个黑客术语来具体聊聊。
有一个黑客术语叫“拖库”,有人也称之为“脱库”或者“脱裤”,反正黑客不用期末考,没什么标准答案,总之意思都是同一个意思。拖库最早是一个DBA的词,数据库管理有时候需要对数据进行导出操作,譬如说做数据备份或者数据迁移。黑客盯上了这一点,想办法把数据库“备份”到了自己手上,这就是拖库。
数据库存储的内容很多,就拿论坛来说,数据库至少就包括用户列表、文章列表、关注列表、评论列表等等等等。黑客的存储空间也是有限的,就算找到办法拖库,只会挑有价值的拖,最开始的时候,只拖用户列表。
有什么用呢?破解账户对应的密码,然后“撞库”,简单来说就是知道了用户在A网站的用户名密码后,试试能不能在B网站登录,算是高端一点的“弱口令”,这也是为什么现在提倡尽量不要一个密码走天下,尤其是重要的网上应用,譬如网银,必须要用不同的密码,不然真的是一损俱损了。
不过,拖库的内容也在变化。一些黑客开始对密码之外的基本信息产生兴趣,譬如说联系电话、家庭住址等等。
账户密码的重要性大家比较好理解,可是对于电话和住址这类基本信息,很多人一开始并不理解有什么重要。我记得之前还有个朋友反驳我,说让黑客偷了电话和地址能有啥大问题,黑客会挑凌晨提供叫醒服务?还是循着地址寄刀片?
现在大家应该就好理解多了。有一次我接到电信诈骗电话,对方提供了我的巨细无比而且十分准确的个人信息,要不是在业内混久了多少带有点安全本能,加上对方出现了一个明显的失误,找来一位满嘴闽南口音的同伙扮演北方人,我可能就要做出一些对不起安全从业人员这块牌子的事情了。
现在大家对待“拖库”的态度也越来越严肃,尤其是大网站名企业,一旦被人“拖库”,我们就会用一个更为严肃的词来形容,叫“数据泄露”。
“泄露”是个很重的词,以前我们说“核泄漏”、“原油泄漏”,一次泄漏事件就是一次危机,相关的人员、企业乃至国家都很可能损失严重甚至遭到灭顶之灾。
但是,这个词又恰到好处,移动支付被称为新四大发明,我们不妨想象一下,一旦某家移动支付商出现数据泄露,哪怕只是无关痛痒的一小部分,对各方带来的震撼和信任危机一定一点也不亚于一次传统的泄露事件。
而更可怕的是,数据泄露远比传统的泄露事件要难发现得多,等到发现的时候,很可能已经造成了可怕的后果。
但是,我们统统一刀切,切断对数据的使用行不行得通呢?
办不到,不可能,小到个人来说,哪怕你一心宅在家里,只要点个外卖,手机号码和家庭住址就必须得给到别人手里。对于企业来说更是这样,既然是数据时代,哪怕真有办法把数据死死捏在手里,数据的价值也是没有办法体现出来的。
怎么办呢?
网上已经出现了对于刚刚出台的数安法的很多专业解读,有很多提法,譬如说补全了重要一环,提升了监管层面,我觉得都很有道理,而我感受最深的是立法者看问题的高度和深度。
以前很多人觉得,数据的问题就是技术的问题,因为有了黑客所以数据才会变得不安全,才会出现数据泄露,那么对策办法就是找技术部门上手段,我不是技术部门,数据安全与我无关。
我认为这个观点是不对的。错在哪里呢?没有正确理解“数据资产”这个概念,与数据时代已经格格不入了。我们说,安全是一门技术也是一门生意,是因为数据资产的价值越来越高了,黑客盗取数据资产所造成的损失才会越来越高,数据安全才越来越重要。
而且数据安全远远不只是简单的黑客攻防问题。新的数安法不仅仅是一部法律,也提供了一种全新的视角,告诉我们关注数据安全,不要再只是盯着防止数据泄露所带来的损害,还要看到数据资产所能产生的价值。在数据时代,如何让数据资产的价值最大化,同时损失最小化,才是数据安全最需要关注的问题。
这个问题,显然远不只是技术问题。
我看到一些解读,说数安法强调数据存储安全,这同样也是过去的一些惯性认识造成了局限。我从数安法中读到的是另一种信息:
数据安全不再只是数据如何处理的问题,而是数据如何管理的问题,彻底跳出了“数据问题就是技术问题”的桎梏,不但需要构建完善的管理框架,而且还必须厘清使用数据的各方的权力和义务,协调共同参与数据安全管理。
我想,随着数据时代的来临,数据资产越发的重要,我们对数据安全的认识和讨论也应该提升一个层面,成为整个企业,整个社会,乃至整个国家共同参与的话题。
关于作者:莫凡,网名木羊同学。娱乐向机器学习解说选手,《机器学习算法的数学解析与Python实现》作者,前沿技术发展观潮者,擅长高冷技术的“白菜化”解说,微信公众号“睡前机器学习”,个人知乎号“木羊”。