比如信用卡數據中心,或者一些購物網站,這些地方都有一群頂級的網路安全工程師來保護,為啥黑客一個人就能黑進去呢?難道這些頂級的工程師的水平比黑客差遠了嘛?

「一個人若要暗殺另一個人,只要他夠耐心,夠狠夠絕夠時機,武功再高的人也防範不著」——溫瑞安

首先題主對業界有些誤解。金融類系統的設計實現水平並不高,其參與開發的工程師工資也較低,畢竟是走國企體制的。論水平別說是頂級,能達到平均就不錯了。

這也不怪這些工程師。金融行業本身是個高度成熟的行業,人作為工具的價值很低,要實現高價值的,都是要靠資源,或者說誰能拿到訂單誰的價值就高。這些工程師自然是作為成本中心的一部分,拿不到什麼靠譜的工資了。

金融和政府的信息安全主要不是依靠強壯的設計,而是依靠網路隔離。這類獨立於互聯網之外的網路有很多。在沒有物理連接的情況下,黑客想要探查網路內部結構的信息傳遞就非常困難。當然,如果真的搞到辦法物理接入了這些網路,那麼面對的也是大量的漏洞,可以為所欲為了。此時第二套機制就上場了,就是追查刑責的能力。只要被抓住,刑法里總有一條適合你。

購物網站在現代,比較大的幾個都有龐大的工程團隊,所以信息安全方面我是不懷疑的。即便是京東,早期的技術實力較弱,在最近這十年也迅速補齊了這塊短板。

另一個角度講,工程師是一種職業,僱傭工程師的僱主大部分情況下購買的只是按部就班做事。絕大多數情況下是買不到主動性和激情。這種情況下系統的安全依靠的是機制,比如大量的測試,漏洞掃描器,蜜罐,堡壘機等等。在工程師和黑客都沒有特別大技術創新的情況下,對於一個有大量工程師維護的系統,是不會有常見漏洞出現的。

現在,給你一張乒乓球桌,在這個桌子周圍,你可以圍一圈,每個人拿個拍子。允許你動用國家隊頂級乒乓球運動員。

請問,你覺得需要站幾個人防守,才能讓全世界的人沒有辦法從任何角度將乒乓球打進這張桌子?

你可能不了解一些公司里安全工程師與研發、運維的矛盾是多麼的突出,有些公司其他部門會把安全部門稱之為東廠,意思就是安全工程師只會找事。其實這是雙方的不斷博弈,不僅僅是系統安全的博弈,也有人的鬥爭(安全部門KPI和研發部門KPI是有衝突的)。

就在這樣的背景下,一般是安全工程師與研發,運維是配合著工作,安全工程師對系統的風險進行評估,發現了通知研發運維整改,而配合的過程由於或多或少的人為原因,都會出現信息差/落地差,比如資產、使用的軟體清單、版本都或多或少的不一致,基線執行的不徹底,這就導致了會有一定的風險沒有被發現。這可能會給黑客機會。

第二點,所有的安全漏洞修復是要一定周期的,理論上一發現漏洞就應該及時修復,但實際上由於人力、資產規模、難度等問題,都會出現真空地帶(微軟有的漏洞修復周期需要3個月甚至6個月的都有),這也可能導致黑客成功利用入侵。

第三點,系統的安全很多時候,不單單是系統本身,跟人的關係也很大,只要跟人有關係,那麼就存在弱點,被社工成功案例很多,更不用說內外勾結的了。

第四點,攻防(黑客)與防守方的工作思路是完全不同的,黑客只需要找到一個突破口,而防守方(安全工程師)需要去關注每一個角落,兩者的工作量也差距很大。而目前絕大多數公司配備的安全工程師人手都是不夠的,更何況一山更比一山高。

最後,想說的是有漏洞是必然的,被黑客盯上也是可能的,那麼最好的就是做好安全威脅感知,能夠及時發現,阻斷,修補。

先說「保護系統的工程師」,什麼「頂級工程師」???不存在的,絕大多數的系統,哪怕是和你兜里的錢,用的電、燒的煤氣,看病的HIS,還有一大堆「關鍵基礎設施」。。。相關的系統,維護的工程師都是「一般般」的工程師,這些工程師從性質上分三類:

1、企業自建的安全部門。「關鍵基礎設施」大多數都是國企,國企招聘,一個學歷門檻是必須的,博士遍地走、碩士多如狗。。。基層的安全專責都是211、985,他們就算是水平很高,但絕大多數都是在做PM的角色

2、外包服務團隊。國企自己的安全團隊當工頭,那具體做事的就外包啦,外包團隊一般都是規模比較大的安全服務商或集成商,投標的時候人才濟濟,證書漫天飛,但實際駐場的時候就不好說了,總要賺錢恰飯啦,成本是首先要考慮的,一個正式員工帶幾個實習生那是常有的事情

3、原廠服務團隊。很多合同中是要求原廠直接提供維護服務的,但參考第2條,原廠的服務也就那麼回事

說完了「頂級工程師」,再談黑客為啥能黑進系統

1、系統是為業務服務的,也就是說,你的系統總要和使用者進行交互,使用者能訪問,那麼攻擊者也能訪問,即存在邊界

2、系統是由人通過代碼編寫實現的,只要是人編寫的代碼,就肯定存在BUG,有BUG,就能被攻擊者利用,即存在暴露面

3、對系統的防禦目前只能做到被動防禦,就是在邊界部署一堆安全產品(城牆),在內部多挖幾條壕溝(安全分區),但安全產品都是基於特徵和簽名做檢測,攻擊者總能找到繞過的方法,即滯後性

4、安全攻防,從防守的角度來說是全面防禦,而攻擊的角度來看只要找到一個薄弱環節,即不對稱性

以上四點,就算真的有一群「頂級工程師」保護的系統,黑客一樣能黑進去。

大哥,黑客黑進去一次夠他吃半年的了,頂級工程師?花大錢去防衛一個小概率事件,你猜項目經理會答應嘛

有誰能黑進支付寶,給我餘額改成一個小目標?

這才叫頂級安全工程師保護的系統。

你說的只是鬧著玩的。

第一,安全和開發是兩個不同的東西,但是又常常相伴出現。

頂級的工程師可能是業務內頂級,但是不代表安全意識也頂級。,比如說,在演算法上是一把好手,但是可能根本不懂緩衝區溢出。

第二,短板問題

一套系統可能由一群頂級工程師開發,水平可能良莠不齊,但是漏洞只需要一個人犯錯誤就行了。

第三,問題產生的原因可能不是自己。

舉個例子,幾年前的一個OpenSSL漏洞,這個漏洞其實存在了好多年。睡會想到一個被廣泛用的庫居然存在這麼嚴重的漏洞。現在軟體開發都不喜歡重複造輪子,現成的東西拿來直接用,可以節省很多時間。你也不可能保證所有的東西都是絕對安全的。你也沒有能力把所有的都審一遍。

網路安全,本來就是一個不斷博弈的過程,沒有絕對的安全,但是正是因為安全愛好者的不斷挑戰,才使得技術越成熟,整個網路越來越安全。

以前我們在網上打開個網頁就可能中病毒,如今只要你不手欠下載手動運行很少有被直接抓雞的情況。

誰告訴你信用卡數據中心,或者一些購物網站,這些地方都有一群頂級的網路安全工程師來保護。

購物網站的技術人員大部分都是做業務的。網路安全這種事情,基本上沒有什麼人管。公司也不重視網路安全。也不會招聘這種吃閑飯的。頂多雇個網管吧。

在中國,網路安全這種事情,不是什麼重要的事情。畢竟所有人都是使用運營商提供的上網服務。只要想查,分分鐘查個一清二楚。

另外政府重要內容基本也不會放到外網。我曾經參加過上海公安局的一個警民信息發布平台的開發。這個系統的後台的用戶名密碼都是admin。用了好多年都沒有事。後來有一個考公安系統失敗的臨時工,用埠掃描發現了這個系統,登陸進去一通亂講。結果二十分鐘就被抓走。判了十五年,罪名是破壞國家核心部門。

還有就是,騰訊代理吃雞遊戲的時候,遊戲外掛滿天飛。騰訊是怎麼處理的?僱傭頂級的網路安全工程師嗎?人家直接報警就完了。

有個大師蓋房子,中途有點事情,就讓徒弟安一個窗子。

結果徒弟安反了。

大師也粗心,未發現。

結果小偷就從這個窗子進來了。

程序員的世界更慘。

首先,窗子的數量多到數不勝數,一個不小心,就裝反了。

其次,在程序員的世界裡搞臨時建築太容易,到處都是臨時的房子和門,甚至都沒來得及安窗戶,也不上鎖。

信用卡系統都是一套很老舊的系統,一來設計初期就沒有安全原則——比如把安全碼印在信用卡上這種最低級的安全隱患至今還在使用。

二來更重要的一點是:信用卡公司對於系統的穩定性的重視遠大於安全性。系統即使發現了漏洞,在大多數情況下,補丁也需要經過嚴格的測試和試運行才能上線。否則如果由於補丁開發不當造成系統整體出現問題的風險,信用卡公司是無法承受的。

術業有專攻。

頂級工程師一般是用來做產品的,黑客專業是來攻擊的,頂級工程師的主要任務不是考慮安全問題,雖然安全也是架構的一方面。

絕大部分工業系統的安全性並不由工程師來保證,而由?中華人民共和國刑法?保護

有一座城池,十萬人防守。

千軍萬馬進不去,化妝成民眾進能混進去。

有百個十人巡邏隊,日夜不停巡邏,風吹日晒,每月工資一般。(大部分人積極性並不高)

混進去之後,可以走社工路線,賄賂誘騙中層,獲取信息,拿到部分許可權。(參考被美色迷惑的各大高管)

可以自己去偷機密。(拿信息)

可以自己去搞刺殺。(破壞伺服器)

可以偽造手令,調動兵糧。(脫人家資料庫)

可以偽造公告,擾亂人心。(掛外鏈)

可以攢動臨縣民眾,大批量進入城池,大批量買入糧食等物資。(拒絕服務)

買通被孤立的將領(參考傳言中的B站程序員)

只有千日做賊,哪有千日防賊的道理。

我也是猜測,並不是相關從業人員。

首先安全就是木桶原理,只要有一處短板,薄弱點就能進去

很多大廠都會搞一種項目叫「攻防對抗」,從實際攻擊中發現自己薄弱點,再進行修復,優化自己的安全

「木桶定律是講一隻水桶能裝多少水取決於它最短的那塊木板。一隻木桶想盛滿水,必須每塊木板都一樣平齊且無破損,如果這隻桶的木板中有一塊不齊或者某塊木板下面有破洞,這隻桶就無法盛滿水。」

攻擊大部分的都是有團隊的,一個人能黑進的購物網站是有,但是基本不是頂級之流~~~

頂級購物網站?淘寶嘛?支付寶?

黑進去,你這個黑進去是指什麼【打到核心區嘛!還是一個DMZ區的shell就算?還是進後台就算?還是你一個VPS的shell就算?】但是能發現一些高危漏洞,的確大有人在

另外你說的頂級安全工程師保護,首先你保護是基於攻擊,防守方永遠都是被動的;大廠資產那麼多,他怎麼保護,肯定基於一些設備IPS IDS.................................................................................................發現攻擊流量了再去反溯源分析,但是這個過程已經晚一拍兒了,

還有紅隊的攻擊手段,就算你網站等等沒有漏洞,我們還可以進行郵件釣魚、網站釣魚、社工、再不行我去近源滲透插U盤去.......

但是但是!!!我們防守也還有郵件網關,增加員工安全意識、修改密碼策略等等加強安全等級................................

我承認沒有絕對安全的系統,但是,真那麼容易都進去了,還要我們這些安全工程師幹嘛!!!

其實黑的過程,就類似你偷偷進一個房子

進普通破房子的叫小偷(腳本小子)

進大房子的叫賊(黑客)

進高樓大廈的叫特工(大牛、大黑客)

進去還扔炸彈的叫恐怖分子(黑帽子,中文也有叫駭客的)

自稱白帽子的,現實里好像沒這麼個品種

這麼說下來,其實蓋個沒法偷的房子不難啊,

隨便找個建築工人,灌個實心的巨大水泥墩子,拿啥進去

(做一個完全不能寫入的固件)

但是房子得有用啊,

住家的得有門有窗,(有對外埠,操作系統)

園區里樓得在一起啊,(同網段)

大廈還得有頂有電梯,(各種應用開放埠,資料庫、web系統等)

還得放人進去,放各種住戶、業務相關、檢查相關的人士進去,(各種遠程許可權和後台、社工)

這裡面可操作空間就越來越大,

雖然施工團隊比灌泥墩子的水平高多了,但是防賊難度也大多了。

現實里防賊越來越容易,調個監控就完事,

網路上追查比較麻煩,首先得找到能查的記錄,然後順騰摸瓜沒準還幾層代理跑到國外機房去了。

話說回來,真要很嚴密的防禦,比如蓋成五角大樓那樣,再配合嚴密的監控和保安,

其實也很難干進去,網路系統也一樣。

不是,對於每一個人來說都會有一定的疏忽,人性都會有弱點,然而黑客他們會抓住你的弱點進行攻擊,一名黑客他可以用他的耐心長時間的搜集信息發現漏洞等等然後出擊!

就簡單的舉個例子,支付寶也是的確是有可能被「黑客」攻破的,但是攻破的可能性很小,也不要小瞧在支付寶工作的頂級工程師,支付寶肯定是有一套自己的安全監測系統,可能是在支付寶被攻破的第一瞬間,也有可能是在「黑客」嘗試攻擊時,支付寶就已經被盯上了,並且奇奇怪怪的攻擊測試過程都會被看的清清楚楚。

《我是誰:沒有絕對安全的系統》這個電影會告訴你,不可能有絕對安全的系統。但是,支付寶的負責安全的團隊在國內乃至全世界裡都是頂尖的團隊,如果支付寶都不是特別安全了,那麼就沒什麼軟體安全了。

所以,請相信那些頂級工程師他們的技術不必那些黑客差!

希望能幫助到你!

這就好比「千里之堤,潰於蟻穴」,黑客的目標是找到「蟻穴」,而不是暴力推翻河堤。而這也並不代表找到蟻穴這項任務的難度要比一群「頂級工程師」建設河堤更有挑戰。

防守為面 進攻為點

難度不一樣

一個高安全級別的系統就像一個防禦森嚴的堡壘,已知的混進去的手段全部得到妥善處理,完全無法可想。還有一幫白帽子整天在尋找混進堡壘的未發現途徑。

這種情況下,一個黑客可以混進去的唯一辦法就是那些白帽子未找到的嚴重級別的零日漏洞。白帽子們找不到,一個單兵作戰的黑客能找到,有這運氣可以抓獎去了。

題主太高看黑客了,現實中的黑客跟電影里敲幾下鍵盤就給自己轉賬好幾個小目標的那種黑客不是一個次元的啊

推薦閱讀:
相关文章