浅友们好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试用各种姿势,把他们的无边脑洞和温情故事讲给你听。如果你想和我做朋友,不妨加微信。
世界千疮百孔,有一群黑客在缝缝补补
文 | 史中
武林门派大乱斗,游侠活捉王喇嘛
世界从不太平。
Long long ago,金人陈兵百万,在边疆与宋对峙。眼看攻守胶着,金国决定剑走偏锋,祭出“黑客”戏码:招募变装易容、飞檐走壁的高手,深入大宋腹地盗取情报。
这招儿虽不体面,但真™好使。
一时间,风声鹤唳,不仅大宋朝廷成了攻击目标,连实力雄厚的各大武林门派也被盯上。
话说少林、武当、崆峒、峨眉、青城各派,自是高手云集,不怕当面锣对面鼓地干架。可是对这种来无影去无踪的“大盗”,招架起来还真没啥经验。
眼看一大波金国大盗正在路上,几大门派的掌门聚在一起商量对策:与其坐等迎敌,还不如咱们先相互切磋一下,仿照不久前的华山论剑,搞一场“安全大比武”!
规则很简单:
1、以俩礼拜为期,这期间,几个门派各自派出高手,你偷我家宝贝,我偷你家宝贝。
2、当然是点到为止,不真伤人,即便偷出宝贝来也得还给人家。
3、如果最后咱们之间相互都能防住,那岂不是金国大盗来了也难得逞了嘛!
说干就干!
且看武当。
武当掌门是个外向仔,决定先下手为强。
他撒出人去,遍访天下高手,从西域找来了一位王喇嘛。
这位王喇嘛可是了得,他有一手绝活:配钥匙。
可不是路边那种10块钱配一把的钥匙。而是只看一眼锁,他能直接配出钥匙!
多年行走江湖,王喇嘛攒下了一串钥匙,拍着胸脯说:天下的锁,定能被其中一把或几把钥匙打开!
武当掌门将信将疑,拿出各种锁头请王喇嘛当面展示,果然能开。
掌门拍手称绝:“请您即刻前往少林寺,把这帮秃驴的镇寺之宝全部盗来,让他们底裤都不剩!”
再看少林。
少林方丈是个内向仔,首先想到的是防御。他找来了“火眼兄弟”。
这两兄弟,从西洋人那里学来了绝活。
他们建议:
在少林寺的“账房”、“议事厅”、“大殿”、“方丈禅房”等等关键位置都安装火眼监控。
把这些监控画面汇总在一起,加密脱敏后用一根网线传输到“火眼兄弟”总部,由超级计算机进行分析,一旦发现可疑,马上报警↓↓↓
方丈皱了皱眉:
你这洋玩意儿虽好,只是不符合我寺的庙情。
根据规章制度,我寺所有的数据都是秘密,似你这般,连我禅房里的数据都要传输出去,恐怕不妥吧。你虽说脱敏,但我哪知道你脱得干净不干净?
不如这样,我买一台电脑放在我寺分析,私有部署,数据不出域,何如?
火眼兄弟说:“行倒是行,可这样算力不足,不仅存下来的图像会模糊,而且分析不太准。恐怕。。。”
方丈摆摆手:“噫!还是数据安全要紧嘞~”
就在少林寺“监控系统”刚部署好的第二天,乔装改扮的“王喇嘛”来到了寺门口。
可是,他没有像其他香客一样进入寺庙,而是一闪身,进入了正门,,,旁边的“传达室”。
少林寺传达室有一个很重要的职责:收发信件。
外人和少林寺众僧相互写信,都会由传达室代为转交;
少林寺内部人员相互传递文件,也都统一给传达室,由传达室大爷负责转送。
鉴于通信繁忙,“传达室”每天都人声鼎沸。
今儿也不例外,上百人在邮箱前投信件、取信件,压根儿没人注意到王喇嘛。
他走到邮箱跟前,自然地掏出钥匙,径直打开,用极快的速度把里面所有的信快速看了一遍,然后若无其事地走了。
当天晚上,少林寺刚关上山门,方丈就接到了武当山掌门的电话。
掌门说:“咳咳,你寺的宝贝是不是都埋在后院儿的银杏树下?你们昨天总共收了12548.3文香火钱!你还准备资本运作一下,收购山下的尼姑庵,对不对?!”
方丈惊了:“老贼你咋知道?”
掌门说:“既然你诚心诚意地问了,我就大发慈悲给你提个醒吧——传达室。”
方丈摔掉电话,赶紧查看“火眼兄弟”的平台,并没有报警啊。。。
他不甘心,又把传达室的监控原始画面调出来亲自看,但因为是私有部署,容量有限,画面糊的一比。
方丈把脸贴屏幕上,也没看出啥异常。。。
第二天一早,传达室大爷被绑在少林寺门口的树上,方丈眼里喷火:“说!是不是你叛变了?!”
大爷哭得都快背过气了:“老夫忠心耿耿,方丈你怎么血口喷人啊!”
看热闹的人越来越多。此时,一位游侠路过,听到了事情的原委,走上前去对方丈说:“方丈息怒,能否把邮箱上的锁头借我一观?”
方丈狐疑地把锁头递给游侠,游侠点点头:“依我看,很可能有高人利用锁头上的漏洞,做出一把特制钥匙开了锁,已经把所有信件都看走了。”
方丈赶紧问:“啊!是谁干的?我现在就带人去拿他!”
游侠说:“具体是谁还说不好。不过别急,这位黑客定会再来,待我手搓一颗铜豌豆,塞进锁芯里,到时候那个人再用特制钥匙开锁时,不仅打不开,还会触发我的警报,咱们只需埋伏在暗处就行。”
方丈赶紧道谢,一切听从游侠安排。
果然,当天寺庙开门之后,乔装打扮成普通人的王喇嘛又吹着口哨来了,他把钥匙插进锁芯,嗯?哪里不对劲?
说时迟那时快,四周卷帘门“哗啦啦”落下,王喇嘛根本来不及反应,就被冲进来的武僧们来了个瓮中捉鳖。
那边武僧们去给王喇嘛坐老虎凳灌辣椒水暂且不表,这边方丈对游侠千恩万谢:呜呼呀,敢问大侠自何处而来,尊姓大名?!
游侠笑道:“我自赛博昆仑而来,俗名郑文彬,人称 MJ。”
方丈道:“昆仑侠客果然法力无边!只是贫僧有一事不明,你与这王喇嘛素不相识,怎料到他一定会用这把钥匙开锁嘞?”
MJ 拿起刚从王喇嘛手里缴获的钥匙,一边端详一边解释:
方丈有所不知,天下的锁头有千万种,在技艺不精的人看来,它们可以被各种姿势撬开,防不胜防;
但在高手看来,变化的撬锁方法背后利用的“脆弱点”却是有共性的——每一把锁上,最多同时存在几个脆弱点。
至于你这把锁,我一看,就猜出了王喇嘛会用哪些脆弱点来开。所以即便不知道他具体会用什么钥匙,只要量身定做了那颗“铜豌豆”,刚好挡住那些脆弱点,就足够了啊!
老方丈大受震撼:“大侠,如此说来,你若是能在我少林寺,甚至武当山,乃至大宋所有的锁头里都放上铜豌豆,岂不是金国大盗在我大宋疆土上就寸步难行了?”
MJ 点头:“确实如此。不瞒你说,此番我下昆仑来在中原,正是为了把这些铜豌豆放进天下的门锁里,保一方太平啊!”
众僧闻听,纷纷双手合十,向侠客致意。方丈抬头远望,苍茫大地,山雨欲来。
漏洞不是漏洞,是通往“平行宇宙”的入口
这位说了,中哥,你咋还编起武侠小说了呢?
我也真希望这是我编出来的小说。但悲伤的恰是,这都是真事儿,而且就发生在几个月前。只是有些东西不便对号入座,唯有写个中二故事,借侠客之口一叙。
如果还有人蒙圈,我不妨提示一下:
刚才提到的“武当”和“少林”,其实就是各大关键企业;
“金国大盗”,就是虎视眈眈趁机盗取机密的黑客组织;
“安全大比武”,其实就是网络安全演习;
“王喇嘛”,就是在演习中负责测试的队伍;
“大侠 MJ”,不是别人,就是站在我对面的这位网络安全大神,赛博昆仑的创始人 MJ。
MJ 郑文彬
上面的真事儿,来自 MJ 最近参加网络安全演习时经历的一场“高端局”。
当时的情况是酱的:
1、攻击手盯上了A企业的邮件服务系统,发现里面有一个隐秘漏洞;
2、于是他构造了一段攻击代码,直接拿到了系统权限,把邮箱里的全部邮件都给拷贝出来。
3、因为邮件系统里存了大量内部邮件,所以攻击手一下子获取了大量机密;
4、这些机密本身的泄露已经足够给 A 企业带来巨大的威胁,而且利用这些信息做跳板,再去进攻内部的数据库,还会造成更大的损失!
单单这么说,你可能还没反应过来“高端”在哪。。。
其实,高端在俩细节:
首先,攻击手利用的漏洞是他自己“原创”的,在这里也是第一次拿出来使用。
所以,无论是被攻击的“邮件系统开发商”、“A公司”,还是负责保护它的“网络安全公司”都不知道;
其次,整个攻击过程只集中在“邮件系统”这个极小的范围,攻击手实际做出的行为极少。
这导致“通过行为关联来判断黑客进攻”的安全系统“EDR”还没干活就已经败了;
牛X的来了:
即便黑客这么顶,MJ 部署在 A 企业的那颗“铜豌豆”在不知道这个具体漏洞存在的情况下,仍然感知到了攻击手的企图,并且在最短时间内把漏洞修补,挽回了后续可能出现的恶劣损失。
这里面有活儿啊!
话说,老浅友可能都了解,MJ 是我敬佩的史诗级黑客大神,打出他的名字前我得恭恭敬敬地擦掉键盘上的灰。。。
世界对 MJ 来说是“单向透明”的——只要他愿意,可以随意出入任何一台电脑和手机。
有关他的故事,我在《第二种核武器》《我最牛X的黑客朋友创业了》等等文章里已经写了很多,有兴趣的盆友可以去膜拜,此处不再赘述。
MJ 在2021年离开 360,创建了网络安全公司赛博昆仑。
他的创业主打一个阵容豪华。不仅 MJ 自己一直保持着世界顶尖的漏洞研究能力,他也同时凝聚着国内最强的一群漏洞研究大神。
这群大神想做的事情很简单:
搓出一颗颗“铜豌豆”,以女娲补天的优雅姿势,堵住网络世界的所有漏洞,让网络攻击的“滔天洪水”无法威胁我们的和谐社会。
话说到这儿,你可能会皱眉:中哥你这夸得有点狠吧?堵几个洞就能拯救世界,这玩意儿有啥科学依据么??
当然有。
MJ 给我科普了一下其中道理:
1、你可以把一个系统想象成一座房子。
2、然后把黑客摸进来之后的行进路线用时间线串起来。
3、黑客进入房子之后,他的选择非常多。
比如,他可以在不同的主机里来回躲闪,或者在某个不起眼的应用软件里等待时机,或者建立一个隐秘通道和外部通信,等等等等。
骚操作成千上万,还能排列组合,比孙悟空的变化还多。
4、但是,如果顺着时间线往前捯,在黑客进入系统的一瞬间,他的选择只有一个——漏洞利用。
把这个原理想清楚,你自然就会得出结论:
拦截黑客最好的时机,不是等他进入系统以后,而是就在他试图利用漏洞进入系统的那一瞬间。
你看《碟中谍》电影就知道了。
阿汤哥拳上能站人臂上能走马,两根手指捏着天花板上的钉子能吊在房顶一天一夜。在敌人老巢里他总把守卫耍得团团转,可是他潜入敌人老巢的方法也只有一个——溜门撬锁。
你要是在阿汤哥撬锁的时候逮不住他,等他进去,你就更别想逮住他了。
为了后文方便思考,这里我借用一个物理学上的“光锥”概念给大家建立一个思考模型:
我画了一个光锥,它标记了黑客现在所在的位置,以及一段时间以后黑客可能在位置的情况。
你可以看到,光锥的原点就是黑客撬锁的一瞬间;
然而,他撬开锁进入房间以后,世界就开始分裂成若干个“平行宇宙”,每一个平行宇宙里,黑客都在不同地方。
而随着时间推移,平行宇宙越分裂越多。
也就是说,距离漏洞利用那一刻时间越久,黑客的位置就越模糊,“熵”就越高;而距离漏洞利用那一瞬间越近,黑客位置的确定性就越强,“熵”越低。
黑客进入系统,就像一根针掉入大海。
如果在它入水的一刻你就伸手捏住,甚至入水后很短的时间内去捞,你仍有可能捞到它;
可是一旦它继续下沉,你捞到它的机会将急速下降,很快就变得非常非常小。
了解了这些,我们再回看那些漏洞,你会有完全不同的感触。
漏洞不仅仅是系统的破口,它更是黑客向无数个平行宇宙逃窜的可能性;
一旦封堵住漏洞,黑客就会瞬间从“吊炸天阿汤哥”变成“没有故事的女同学”。
看到这,我猜很多浅友一定觉得学废了:“漏洞很危险,需要动态清零,发现一个补一个,发现两个补一双,如此这般,定保平安!”
这话虽说没毛病。但理解到这个程度,你和现实之间还隔着10层棉袄。。。
为了一层层脱掉“棉袄”,咱们不妨回到少林寺的故事。
铜豌豆有多难搓?
放走王喇嘛之后,方丈赶紧去找邮箱的制造厂家,把收缴的钥匙扔在厂长的桌子上:
“您这玩意儿不安全啊!就用这钥匙,人家差点把我寺的底裤都偷了去!不少寺庙道观衙门口都用你家的邮箱,万一这把钥匙泄露出去,得有多少蟊贼群起而偷之?!你赶紧想想办法,把卖出的邮箱统一修理一下,不然天下危矣!”
厂长赶紧点头:“方丈所言极是,我即刻命令我厂老师傅思考方案,全部召回换新!”
大厂果然有信誉,三天之后,就把所有邮箱都换上了新锁,包括少林寺的这一把。
方丈满意地点头。
不过下一秒,他突然想到了什么,命人把 MJ 请来:“昆仑大侠,如今厂家已为我们更新了锁头,你给看看还有冇问题?”
MJ 仔细查看了一番门锁,笑了笑:
“不瞒您说,这把新锁,用你从王喇嘛手里缴获的那把钥匙,确实已经打不开了。但是。。。在那把钥匙上稍微打磨三两下,还是能开!”
方丈大惊:“这这这,是何道理?!”
MJ 说:“升级之后的锁对于脆弱点加了一些防护,但是没有护全,从特定角度迂回,还能碰到。”
方丈皱眉:“难道。。。是邮箱厂故意不给修好?”
MJ 摇头:“想来并非如此。邮箱厂肯定希望自己的产品安全,只是厂里的师傅大多精通的是造锁,对于如何防护住脆弱点,还是经验不足啊!”
方丈正想开口,MJ 摆手:“不用急,方丈只需把我之前那颗‘铜豌豆’重新塞进锁芯便可无忧!”
故事讲到这,咱们不妨回到现实,中哥我来解释一下。
方丈遇到的问题,恰是俺们国家的普遍现状:
市面上的软件不断被发现新漏洞,这很让人头疼;
但是旧的漏洞总!也!修!不!好!才更让人头疼!!
不过,这也不仅是俺们国家独有的情况,整个地球都这德行。
MJ 给我讲了一件真事儿:
2023年3月初,乌克兰网络应急中心向微软公司紧急报告了一个问题。
问题出在微软最著名的邮件客户端 Outlook 上。当时,乌克兰政府人员用 Outlook 收邮件的时候,发现“手感”不对劲,定眼儿一看:有人发来一个共享日程,自己啥也没动,Outlook 就自动“宽衣解带”,把邮箱密传给对方了!
乌克兰专家一查,卧槽,有人利用了 Outlook 的一个 0-Day 漏洞!
他们赶紧继续倒查,一身冷汗,发现黑客从去年4月就开始这么搞,已经小半年了。。。继续再查,我勒个去,北约各国的很多人也都中招了。。。
这段视频就显示了攻击过程。后面蹦出来一长串字符就是密码哈希,用它可以反推出密码。
虽说想破了脑袋也没猜出是哪个国家干的,但要紧的是,得赶紧让微软修洞啊!
微软老师傅加班加点,3月14日就向全球用户推出了紧急补丁。
MJ 当时也看了一下这个补丁,看完捂脸,我勒个去,你这没修好啊,有经验的黑客肯定能绕过去!果然,一语成谶,不久后,微软又重发了一个新补丁。
但 MJ 觉得还是不对,微软工程师修这个漏洞的思路很奇怪,明明有机会直接封堵,他们却选择拿来一个模块盖在了这个漏洞上。
那个模块已经有几十年的历史了,本身逻辑又复杂,八成里面还有隐藏款问题。
果不其然,到了5月份,又有黑客绕过了这个防护,魔改了一版“钥匙”继续攻击 Outlook。微软没办法,只能在这个模块上继续堵。
到了8月,又被人绕过,微软再堵堵堵。。。
你看,就这一个漏洞,地表最强的公司之一微软,反复堵了四五次,才算是勉强堵明白。
这让 MJ 很恼火:
本来赛博昆仑的梦想是“高举高打”——已经爆出来的漏洞,你们软件原厂自己修修好;我门搞一点儿能探测“未知漏洞”的产品,大家分工协作,多好。
可是这种“原厂修不好”的新闻三天两头上头条,他心里一万只草泥马奔腾——已知的洞都没修好,我他喵的发现再多新漏洞有啥用?
事到如今,只能亲自下场了!
MJ 决定,转变产品研发思路,增加一款不依赖于原厂补丁,却能够防住已知漏洞的产品。
这就是后来的“女娲”系统。
你原厂修邮箱系统,可能修好,也可能修不好。
但不管了,我自己当女娲,炼出一颗“铜豌豆”给客户补上,保证把这个漏洞的所有攻击面都堵死,不就完事儿了?!
这个画面,想想还挺霸气侧漏的。
“可是,世界上那么多软件,每个都可能有漏洞,你们一个团队补来补去,不得忙成千手观音?”我问 MJ。
“漏洞其实远没你想得那么多。一个漏洞爆出来,只要我们初步分析存在攻击面,可能被黑客真的拿来用,百分之百都会做补丁。而这种漏洞,我们每年只会遇到100多个。”MJ 说。
为了佐证这个事儿,MJ 还给我介绍了一个“暗黑组织”,CISA。
CISA 是美国联邦政府在2018年成立的神秘部门,他们搞了一个法器——“漏洞生死簿”:
每当发现有黑客在野外利用漏洞发起攻击,他们就把漏洞写在“生死簿”上,敦促厂商按期修复;
如果厂商拖延症、闹脾气,没能在 Deadline 前修复,那么恭喜你,你会登上联邦政府的“黑名单”,以后的政府采购就没你的份儿了!
注意!
CISA 每时每刻都会对全世界爆出来的漏洞进行分析,但他们的“漏洞生死簿”上只收集真正对系统有威胁的漏洞:
如果一个漏洞看上去很牛X,但是根本不能利用,他们是瞧不上的;
如果一个漏洞可以被利用,但是只能造成“皮外伤”,打不进系统,他们也是不要的。
有些漏洞后面是有“光锥”的,能造成进一步伤害,所以要重点封堵。另一些漏洞无法利用,没有后续故事,就可以降低优先级。
按照这样“洞中龙凤”的标准,每年 CISA “生死簿”的上榜选手只有100-200个漏洞,CISA 成立5年了,总共才集邮了不到1000个漏洞。
MJ 对比发现,自己和小伙伴收集的漏洞列表,和 CISA “生死簿上”的很多漏洞都是重合的。这说明英雄所见略同!
从“网络安全治理”顶层设计的角度看,只要把“生死簿”上的漏洞挨个抵住,滴水不漏,就能让风险极度收敛!
聊到这儿,我恍然大悟:搓出一颗无比坚固的“铜豌豆”当然牛X;但精准描绘出一本“漏洞生死簿”,知道应该为哪些漏洞搓豌豆,才是更牛X的。
我刚要伸出大拇指,MJ 示意我先冷静。
这里还有个难度更高的功夫——把“铜豌豆”塞进锁芯里的姿势。
为啥塞豌豆还要讲姿势?
咱们不妨还回少林寺里继续看。
“豆上雕花”和“佛山无影手”
经历了“邮箱厂漏洞没修好”事件后,方丈决定把全寺所有关键设施的都检查一遍,给各种锁头统统塞上铜豌豆,以绝后患。
他和 MJ 盘腿对坐,制定完整的“少林补完计划”。
方丈反复推演,提出俩疑问:
第一,你这铜豌豆毕竟不是原厂所配,塞进诸多锁芯,会不会有概率让我们僧众正常开锁也被卡住嘞?
第二,你”修锁“的时候,不会需要我寺暂时关门吧?
MJ 笑:方丈的担心确有道理。不过这两个问题我早有考量,这些年我练成两样功法:
一曰“豆上雕花”。
把铜豌豆上雕出极其精密的凹凸,既覆盖黑客可能触碰的位置,又在锁头正常运转的位置留出空间,保证补丁打得就像苏菲一样无感。
二曰“佛山无影手”。
可以迅雷不及掩耳盗铃之势,在所有人和锁都没感觉的情况下,把铜豌豆放置到位。所以,方丈大可正常营业,香客与众僧该干啥干啥!
方丈惊讶:“这。。。我寺的生意一秒钟几十亿上下,大侠可不要打诳语啊!你给说说,究竟怎么做到?”
咱们暂停,跳出来听中哥帮你科普。
方丈提的这两个问题,其实代表了很多企业最关心的事儿,说白了,就是问:打补丁会不会对我的正常业务造成影响?
先解释一下“豆上雕花”。
话说,如果手机提示你该升级系统了,你大概会不假思索地同意。可是各大企业的系统升级却存在一个尴尬的现状——“没人敢动”。
啥意思呢?
一般大公司都有几十年的历史,它的 IT 系统是过去一点点堆积起来的,其中很可能A系统早已过保,B系统连开发商都找不到了,C系统是当初公司自己开发的,现在开发它的工程师也不知道哪去了。
这些系统拼在一起。。。虽说能够运作,但是没有任何弹性——在里面稍微动一动,哪怕打个补丁,改几段代码,它都可能死给你看。
假如你是 IT 管理员,坏了就是你的锅。你敢动吗?你不敢动。
“豆上雕花”,就是解决这个问题的。
名义上这是一个“补丁”,但如果拿显微镜去看,它的大部分代码其实和软件的本体是分离运作的,只在最最关键的一两个地方像蘑菇一样衔接。
这种技术被 MJ 称为“最小支点防御”。
它对软件本体几乎没有入侵,所以引发问题的概率极低,不会把企业的 IT 管理者推到“里外不是人”的境地。
你懂的,这。。。很重要。
再解释一下“佛山无影手”。
无论是操作系统还是上层的应用程序,运转起来都有点像人的心脏跳动——每个挤压、收缩的动作都环环相扣,没有停顿的气口——这时如果硬塞一个补丁进去,是会卡 bug 的!
当然,“最小支点防御”的补丁对系统造成影响的概率比普通补丁小得多,但也不建议“硬塞”。
正确的打补丁做法,应该像给心脏做一台“搭桥手术”。
你得先让心脏停跳,然后把要搭桥的位置截断,在旁边加入一段血管,连接妥当之后,重启心脏。
可是这样一来,打补丁的过程虽然安全了,但程序却被掐停了。
然鹅,很多关键机构都是不能掐停的。。。
比如医院系统如果暂停,就会有病人危急;比如军工系统如果暂停,就会让国防出现真空。
你看到了么?“补”和“停”,这是一个几乎不可调和的矛盾。
而 MJ 的凶狠恰恰在于能搞定这个矛盾。
当然他也没有魔法,仍然要暂停程序,只不过他会把程序暂停的时间压缩到极极极短的一瞬间——大概几毫秒。
不同程序之间的协作,会把指令排成队列。如果暂停过长,队列就会混乱,造成程序冲突;
如果暂停时间足够短,本来就在容忍的弹性范围之内,也就不会导致冲突。
MJ 解释。
MJ 告诉我,为了让“瞬时心脏搭桥”万无一失,赛博昆仑的小伙伴做了无数次测试。
而且系统运行中有些代码跑在内存里,打补丁时还需要对内存布局进行微调,为此他们甚至对各种内存固件版本都做了精确适配,其中的工作量超乎想象。
话说,无论是“豆上雕花”还是“佛山无影手”,都不是那种立地成佛的功夫,而是像“黯然销魂掌”那样,需要在漫长的时间里一点点儿修炼。
这些修炼,其实都能追溯到 MJ 在 360 时代的往事。
2014年,微软宣布 Windows XP 系统正式停止更新。这意味着 XP 的安全以后“本主儿”就不管了,各位用户自求多福。当时,中国无数企业里都跑着 XP,不能靠命硬啊!
于是有关单位组织了一个“XP 安全挑战赛”。
各大安全公司分别要为 XP 系统创建一个“保护盾”,然后邀请黑客们进行挑战,看看能不能攻破。
当时,MJ 带着 360 的老师傅们做了一套“XP 盾甲”,防住了所有攻击,拿到了冠军。你看当年的报道↓↓↓
注意,所谓防住,不仅要对方无法攻击,连自己蓝屏也不行。所以补丁必须做得精细。从此,MJ 萌生了“最小支点防御”的技术思想。
而在防护的过程中,MJ 也在思考如何让“XP 盾甲”随时增加新的防御策略,这就是“瞬时心脏搭桥”的雏形。
从那时开始,“实战派”的路线逐渐清晰:
真正的大侠,绝不能跟坏蛋扭成一团滚来滚去,桌椅板凳撞个稀碎;而是一刀让坏人毙命,连在旁边喝馄饨的路人甲碗里的馄饨汤都不撒出来一滴。
这么多年过去,MJ 他们正是沿着这条路一直走。
不过,他也必须承认一个现实:
即便构建了一个宇宙最强护甲,也不是绝对安全;你总会遇到突然爆出的漏洞,成为护甲的阿喀琉斯之踵。
遇到这种时刻,就好似一声发令枪响,老师傅们会原地窜出——和黑客赛跑!
怎么和黑客赛跑呢?咱们还是看个例子。
所有的敌人都是时间
在讲微软 Outlook 的故事时,我故意略过了一些细思极恐的细节:
当时,乌克兰向微软提交了漏洞,微软2023年3月14日发布了补丁。
这个补丁本意当然是遏制事态,不料却打开了潘多拉魔盒——仅仅过了两天,世界各国就开始探测到了针对 Outlook 疯狂的新攻击。
补个漏洞,还补出了事儿,这是何原理?
说来简单。全世界嗜血的黑客,每时每刻都在寻找攻击一切系统的入口。本来他们没有把注意力放在 Outlook 上。
补丁一推,他们立刻像野兽嗅到了血腥味,纷纷投来目光。
很快,有人通过补丁反推出了漏洞,进而发现漏洞并没有补好,只用了两天,就做出了新的攻击武器。
在无良黑客眼里,没有道德,只有利益。
钱给够了,没什么不能卖。
于是,攻击武器在地下疯狂传播,层层转手,越卖越贱。很快,连小毛贼也拿到了这个核武器。
一场所有人对所有人的喧嚣混战就此上演。
这时,尴尬的微软只能手忙脚乱地制作新补丁。
麻烦的事情来了:
微软是一家软件开发公司,不是一家网络安全公司,他们的软件开发是有流程和排期的。一般情况下,两个补丁之间的间隔都是一个月;哪怕在这种人命关天的情况下,也要一周时间才能做出新补丁。
一周时间,减去黑客制作武器需要的两天时间,等于五天。
这五天,就是黑客的 Party Time——他们疯狂杀戮,没人能阻止。
当然,也不是绝对没人能阻止,MJ 可以试试。
你还记得吧,“女娲”补天用的“铜豌豆”是 MJ 他们自己开发的,并不依赖官方补丁。
每当一个漏洞报出来,MJ 团队都会全速狂奔,在24小时之内开发好补丁,然后推送进“女娲”,所有受到“女娲”保护的系统在那一瞬间就具有了对这个漏洞的防御能力。
回到 Outlook 这个漏洞,也不例外。当时一天之内补丁就做好了。
由于最早的攻击武器是漏洞爆出两天后出现的,比 MJ 他们的补丁还滞后了一天。
事实上,所有被女娲保护的系统在那次攻击浪潮中都独善其身,岿然不动。
什么叫和黑客赛跑?这™就叫和黑客赛跑↓↓↓
当然,MJ 他们之所以每次都跑赢黑客,除了手快以外,还有一个重要的客观原因:
MJ 团队并非每次都和黑客站在同一起跑线上,有时他们是可以“抢跑”的。
咋抢跑嘞?
这里,MJ 首先帮我区分了三种漏洞:
已经爆出来的漏洞,全世界都知道——这就是“已知的已知”。
新爆出的漏洞里,大概有20%是全新的。它的“攻击点位”和“攻击方法”都是我们以前没有设防的,必须从头开始写补丁——这就是“未知的未知”。
但在剩下的80%新漏洞里,有一半是由旧漏洞改出来的;另一半虽然不是改出来的,但攻击的手法脱胎于既有漏洞,对于这80%的漏洞,我们的补丁很有可能已经有效,即便既有补丁不好使,也可以通过修改实现快速防御——这就是“已知的未知”。
看个图你就明白了↓↓↓
你还记得,在少林寺的故事里王喇嘛使用的漏洞吗?那虽然是个 0-Day 漏洞,但对于 MJ 他们来说,却属于“已知的未知”这一类。
MJ 他们对这类漏洞有一定的“先验信息”。
这些先验信息并不完整——知道黑客很可能从这走,但具体怎么走不清楚。
但是,只要根据这些先验信息设计一个足够精巧的机关,有很大概率可以“捕获”到疑似的漏洞利用行为。
怎么设计这个机关呢?
他们会在可能的黑客攻击位置布置一些“感知点”。
这些点“只看不动”:
因为不够确信,如果拦截错误,怕影响到系统本身运转;但是一旦这些点位被触动,警报会传回团队。
此时 MJ 他们已经可以冲出起跑线,人肉调查一下这个触发到底是不是一次真正的黑客攻击。
如果不是,放过就好;如果是,马上升级补丁,拦截后续同类行为。
这一套动作,就像在铜豌豆上长出了一些绒毛,绒毛本身是柔软的,但是可以收集信息。
一旦确认发现了新的黑客进攻手法,绒毛立刻变硬,成为铜豌豆的一部分。
MJ 告诉我,这一套“未知漏洞发现系统”也有名字,叫“夸父”。
我觉得这个名字非常生动。一瞬间连 Slogan 都替他们想好了:夸父追日,你敢日,我就追。
说到这儿,MJ 的一整套安全范式已经展现在我们面前,我帮你总结一下:
1、要想保卫网络世界的和平,必须堵住一切攻击的源头——漏洞。
2、每次漏洞爆发,都是一场“正义力量”和“黑暗力量”的赛跑。“打补丁”的速度必须快于黑客“开发漏洞武器”的速度,天平才会倾向正义的一方。
3、软件原厂受制于开发机制,很难指望他们比黑客出手更快,必须有一群侠客挡在前面,手握“漏洞生死簿”,按照自己的节奏快速开发出“第三方补丁”。
4、第三方补丁必须用尽全力才能看上去毫不费力,“补丁运行”和“打补丁的过程”都不能对系统的正常运行产生一丝一毫的影响;
5、绝大多数“突发漏洞”都是“已知的未知”,所以网络世界并非纯粹的黑暗森林。只要提前做出行动,正义力量完全有机会碾压黑暗力量。
怎么样,不仅逻辑严密,而且很有实操性吧!
这意味着天下要太平了吗?
当然不是。自古以来,侠客虽然辈出,但天下从未无贼。
任何好的范式,都需要所有与之相关的人完整理解共同配合,才能实现它最初的设计目标。
而真正难的,恰是把这套超前的安全范式塞进每个企业老板的脑袋里。
最后,我们不妨把那个武林故事讲完。
无法卸下的责任
少林寺顺利实施“漏洞补完计划”后,安全无虞。
MJ 也决定作别方丈,拿着铜豌豆云游四方,继续拯救天下苍生。
他星夜兼程赶往崆峒山。但是,崆峒掌门但却不像少林一样那么急于求变。
他的理由很简单:“为了这次大比武,我们已经把所有的锁头都换成最新版了,也用了“火眼兄弟”的监控系统,最近一切太平,就先不劳您大驾啦!”
MJ 打断掌门:“很多官方补丁不能彻底堵住漏洞,监控也只有基础效果,贵派没有丢东西,不一定是‘王喇嘛’没有来过,也许他已经偷走了你们的秘密,只是你们还蒙在鼓里!”
掌门不悦:“说我被盗,有何证据?”
MJ 说:“证据暂时没有,不过你的锁确实不安全,我现在就能打开你家的藏宝阁!”
MJ 刚想上前一步,掌门突然手按剑柄:“宝阁里有诸多法器,不便外人叨扰。大侠不必继续纠缠了,送客!”
见此,MJ 只好作揖告退,转身前往青城、峨眉。。。
用户评论