TMT观察网_独特视角观察TMT行业

你可以查看該系列的第一部和第二部文章。

安全或不安全

1960年，一位名叫Fernando Corbato的計算機科學家在麻省理工學院的計算機實驗室工作并發明了計算機的第一個密碼提示符。兩年后，實驗室的另一位研究員Allan Scherr想要獲得更多的電腦使用時間而竊取了所有密碼。然后，他描述了他是如何竊取到密碼的：有一種方法可以通過提交穿孔卡來要求電腦離線打印文件。在一個周五的晚上，我提交了一份打印密碼文件的申請，周六一大早我就在文件柜把打印出來的文件拿了出來，上面就有想要的密碼。

根據CSO的一份報告，網絡安全方面的支出預計到2021年將超過1萬億美元，其損失也可能會超過6萬億美元。億萬富翁Warren Buffett也曾表示網絡攻擊是人類面臨的頭號問題，并將網絡攻擊與核武器相提并論。

Cybersecurity Venture還估計到2021年將有350萬個網絡安全相關的職位空缺。Herjavec集團的Robert Herjavec進一步強調了網絡安全技能的極度匱乏，他對一大批新生說：我強烈建議你們繼續學習信息技術或計算機科學。網絡安全相關職位的失業率為零，這個領域的機會是無限的。

在安全領域受到如此高度重視以及耗費大量資金的情況下，Vitalik Buterin問為什么還沒有好的解決方案來解決賬戶的安全問題呢？

黑客的全面攻擊

也許為了了解如何建立一個更好的安全機制，我們應該先看看我們要避開什么、或者要避開誰。好萊塢經常用一些常見的角色原型來演繹的黑客，但他們手中的黑客都是非?？贪宓男蜗?。從Matthew Broderick在《戰爭游戲（Wargames）》中飾演的一名年輕的高中生黑客，再機密文件的泄密者Edward Snowden的主要勁敵。

正如好萊塢所描繪的那樣，這些黑客往往通過利用系統中先前未被發現的漏洞而聲名狼藉，他們就像一個普通的小偷那樣偷走了大量的數字產品。然而現實可要比好萊塢講的故事殘酷的多。正如Snowden所說的那樣：過去十年美國國家安全局（NSA）的工作方式和我們看到的有所不同。他們已經變成了國家的黑客機構，國家的監視機構。他們忽略了一個事實，那就是他們所做的一切都是為了讓我們作為一個國家和社會更加安全。

一些黑客利用這些漏洞謀生。一些新的漏洞是可以在地下市場上出售的，這為這些黑客們帶來大筆收入。一家名為RIG的俄羅斯黑客團伙經營的門店聲稱，每名經理每周可賺9萬美元。一個惡意軟件或勒索軟件的散布者每個月可以賺到高達9萬美元。

而其他黑客則是由國家資助的。有傳言稱朝鮮制造了一場以比特幣為基礎的勒索軟件攻擊，許多企業和消費者由此認識到了這一意圖?；蛟S一位比特幣時間旅行者關于朝鮮積累大量數字加密貨幣的說法是正確的。

特朗普的國土安全顧問Thomas P. Bossert在給《華爾街日報》的一篇專欄文章中寫道：WannaCry的攻擊范圍很廣，它消耗了數十億美元，朝鮮對此負有直接責任。我們是不會輕率地提出這項指控的。這樣說是有證據的，而且不僅僅是我們手里有證據。

黑客的惡意動機似乎是非常明顯的。他們通過發起攻擊來獲得名聲或金錢。但他們首先是如何做到進行攻擊的呢？

從0和1組成的數字再到一無所有

另一種考慮數據的方式應該是看它是如何創建和管理的。從云計算到臺式機，消費者傾向于創建數據并將其存儲在硬盤某處的文檔中。由于系統本身的性質，這個系統的每一層也會受到攻擊。

從電腦到平板電腦再到網絡設備的任何計算設備都是用來處理暫時的數據的。這些系統的各個存儲組件（如RAM、硬盤驅動器或記憶棒）都被構造成可修改的或可更新的。所有這些允許修改數據的特性使得哪怕是一個不可被破解的設備也被可以破解。

可以被破解的設備是隨處可見的。在今年的計算機黑客大會（Defcon）上，Ricky Lawshae入侵了一家名為Crestron的科技公司所制造的控制系統。這些控制裝置遍布酒店、辦公樓和大學。這些系統在企業中用來管理溫度、照明、門鎖和其他環境和建筑控制系統。在Defcon的報告中，Lawshae討論了這個漏洞：我將演示已經記錄過得和未被記錄的特性，這些特性可以用于實現完整的系統折衷，并告訴我們需要在每次部署中優先保護這些系統，而不是事后再考慮。簡而言之，hijinx會隨之而來。

在過去的50年的事件里，已經有很多人嘗試制作不可改變和不可驗證的數字文檔了。他們的想法是通過使用一系列密鑰對文檔進行加密，這樣就有可能對相同的文本進行可驗證解密的方式來讀取其內容。在傳輸過程中，如果不破壞該文件的話，那么就無法對其進行修改?？紤]到安全加密和解密文檔背后的數學計算量，這樣做會導致計算機的處理速度變慢，反過來，商業社區的采用速度也就相應的變慢了。

這些數字鎖正在被緩慢的采用，因此迄今為止在每個系統中仍然存在很多的安全漏洞。

變化是自然法則

計算機組件之間進行的相互通信是依賴于行業標準的。例如，消費者的手機用于與互聯網通信的無線協議依賴于IEEE 802.11標準。蘋果、微軟等公司每年要支付數萬美元加入標準制定機構，并研究這些設備如何進行相互通信。

IEEE工作組可以提供標準，比如WPA2，它允許用戶安全地輸入Wifi密碼。但該工作組通常關注的是速度和易用性，而不是安全問題。約翰霍普金斯大學的密碼學家Matthew Green進一步解釋道：這種復雜的加密技術是問題滋生的溫床。問題不在于WPA2中有太多的漏洞。問題是要給大多數低成本的消費者設備安裝補丁將非常困難。因此，所有這一切都是非常糟糕的因素，這讓很多人在多年來不知所措。

一旦出現漏洞，這一漏洞就可能會存在多年，直到IEEE標準工作組能夠規定新的WPA3安全協議。這種官僚主義回避了以下問題：有沒有可能去設計默認安全的操作系統呢？

一個好的開端應該是一個不可變的分類賬簿。像EOS這樣支持區塊鏈的操作系統可能會帶來保護系統所需的改變。通過從頭開始構建一些有安全保障的東西，就有可能在每個級別建立起可靠的安全性。

EOS開發團隊在白皮書中討論了構建支持區塊鏈的操作系統的過程。

這是通過創建一個類似操作系統的結構來實現的，在此基礎上人們可以構建應用程序。它最終得到的技術是一個可以擴展到每秒數百萬筆交易的區塊鏈架構，它消除了用戶的費用并允許快速、輕松地部署去中心化的應用程序。

即便如此，這個“操作系統”也并非沒有缺陷。一個有道德的黑客Guido Vranken花了一周的時間在EOS平臺上發現漏洞并最終賺了一大筆錢。

謝謝你！我還有很多獎勵要拿。我想最終我獲得報酬是12萬美元，但我記不清了，我花了大約一個星期。——GuidoVranken2018年6月4日

為我們的未來保駕護航

區塊鏈背后的技術提供了加強我們安全以及保護我們工作的最令人信服的機會。隨著這些技術聚集了更多的開發人員和用戶，也許會出現一些真正解決痛點的東西。