安全巨星Bruce Schneier：我們正生活在一個極不安全的計算機(jī)世界｜CSS 2018

雷鋒網(wǎng)編者按：提到籃球，你可能馬上會想到喬丹；提到搖滾樂，你可能第一時間想到披頭士；而提到網(wǎng)絡(luò)安全，Bruce Schneier 經(jīng)常是大眾媒體第一個想到的專家。除了像其他的安全專家一樣做研究、開安全公司，他還會花很多的精力來撰文、寫書、編輯電子雜志，而且頻頻出現(xiàn)在各種大眾媒體和安全活動中，為各國政府和公司出謀劃策。在他多年的不懈努力下，原本秘不示人的先進(jìn)密碼算法、許多看似違反直覺的安全理論、技術(shù)和觀念漸漸在世界范圍內(nèi)成為常識，并應(yīng)用于億萬人的日常生活，他也因此被列為世界十大科技作家之一。

8月27日，在由騰訊、中國互聯(lián)網(wǎng)協(xié)會、中國電子技術(shù)標(biāo)準(zhǔn)化研究院等聯(lián)合主辦的第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會（Cyber Security Summit2018，簡稱CSS2018）中，Bruce Schneier 通過視頻帶來了一場名為《Securing a World of Physically Capable Computers》的演講。

以下是他的演講內(nèi)容，雷鋒網(wǎng)整理。

我所要說的就是計算機(jī)安全的未來，我們跟計算機(jī)的關(guān)系正在發(fā)生著變化，現(xiàn)在計算機(jī)已經(jīng)深入了我們生活中的方方面面，所有的東西都變成了計算機(jī)，你的智能手機(jī)是可以打電話的計算機(jī)，你的冰箱是可以讓東西保鮮、制冷的計算機(jī)，你的微波爐是可以加熱食物的計算機(jī)，這就是互聯(lián)網(wǎng)的世界。

由于計算機(jī)已經(jīng)被嵌入到各種設(shè)備，當(dāng)涉及到安全，計算機(jī)的安全已經(jīng)成為了牽一發(fā)而動全身的東西，我們所有關(guān)于計算機(jī)的障礙、漏洞、教訓(xùn)，這些知識現(xiàn)在大有用武之地。

第一是目前很多軟件寫的很差，漏洞百出，所以不安全，比如，我們能看到每周，每個月都有安全軟件的升級。為什么？因?yàn)槲覀儾恢涝鯓釉谝粋€能接受或者大家愿意支付的價格的基礎(chǔ)上寫一個安全的軟件，比如說一般的軟件它可能會有多少個BUG，這些漏洞會被利用。現(xiàn)在如此，以后依然如此。

第二個，我們設(shè)計因特網(wǎng)的時候本就沒有安全的概念，因特網(wǎng)本來就有接觸的障礙，你必須是專門研究結(jié)構(gòu)的成員，或者是某公司的成員才能接觸到因特網(wǎng)，這意味著設(shè)計者剛開始根本不需要擔(dān)心安全，但這造成了巨大的隱患。我們現(xiàn)在依然用的很多協(xié)議，它本身是不安全的，因?yàn)檫@個決定是來自于二三十年前。

還有第三個，關(guān)于可擴(kuò)展性。什么叫可擴(kuò)展性？就是說現(xiàn)在一個計算機(jī)化的設(shè)備的功能你無法限定，比如說我小孩的時候，我要是加個電話，墻上一個黑的東西，它就是電話，沒有其他的功能，現(xiàn)在的電話不僅是電話，可以打電話，可以做很多的事情，因?yàn)樗强蓴U(kuò)展的，因?yàn)樗梢耘芎芏嘬浖@些軟件的安全性誰來保證？

第四個教訓(xùn)，計算機(jī)系統(tǒng)的復(fù)雜性就意味著攻會易于防，這是一個非常重要的特征，這是現(xiàn)實(shí)。你攻擊一個復(fù)雜的系統(tǒng)比防御一個復(fù)雜的系統(tǒng)要簡單得多，你只要找一個方式攻擊就可以了，但如果你要是防御的話，你得想出無數(shù)的方法，來應(yīng)對五花八門的攻擊。

與此同時，這也意味著測試是困難的，因?yàn)橐獪y試的東西太多了，這就是計算機(jī)的現(xiàn)狀。

現(xiàn)在，除了技術(shù)的問題，還要面臨管理的問題，因?yàn)樾碌挠嬎阍O(shè)備在做不同的事情，比如有自動化，而且它可以做很多東西。可以想想大部分的計算機(jī)的安全，我們關(guān)注的就是保密的事情，數(shù)據(jù)竊取，有人偷你的數(shù)據(jù)，比如說用這個數(shù)據(jù)騙我，或者讓我一般來說新聞都有這樣的動作。

如果它造成的是有關(guān)生命安全的損失，這個威脅就嚴(yán)重很多。如果有人攻擊了醫(yī)院，把患者信息揭露，要是攻擊的話我會擔(dān)心，但是如果改了我的血型我會更加害怕。有人攻擊了我的車，他要是打開藍(lán)牙偷竊我的對話我擔(dān)心，但是他要讓我的剎車失靈的話，我會更擔(dān)心。這些威脅更嚴(yán)重，因?yàn)樗娴氖菍τ谏敭a(chǎn)造成的威脅。 

如果你要再想一想的話，它也可能是同樣的一個CPU，或者一個操作系統(tǒng)，或者是一個應(yīng)用軟件，或者同一個漏洞，或者同一個攻擊工具，因?yàn)橛嬎銠C(jī)的使用方式不同，它的攻擊效果和傷害是不一樣的，所有的都是我們現(xiàn)在考慮的這些東西。比如說醫(yī)療設(shè)備、汽車、飛機(jī)、無人機(jī)，所有的這些都是會影響到人員財產(chǎn)生命安全的系統(tǒng)。比如說像恒溫器，這些可能都有互聯(lián)網(wǎng)的連接。

計算機(jī)的失效可能是不一樣的形式，比如說一系列的設(shè)備可能會集體失效，我們不僅僅說的是一輛車，所有的車它的剎車都失效了，所有現(xiàn)在生產(chǎn)的車都是這樣的，這是一個漏洞，它會造成巨大的混亂。因?yàn)槲覀冋f物理的計算機(jī)，有可能還會造成人員的死亡。

與此同時，現(xiàn)在的計算機(jī)也運(yùn)用到更加復(fù)雜的領(lǐng)域。我們的計算機(jī)和電話是安全的，主要有兩個原因，因?yàn)楣こ處煟裎④洝⑻O果、谷歌，他們的設(shè)計剛開始的時候就是比較安全的，但是同樣這個公司會不停地發(fā)現(xiàn)漏洞，然后會打補(bǔ)丁。

但其他生產(chǎn)低成本智能設(shè)備的公司呢？ 像玩具，它是由第三方的工廠在設(shè)計，有很多的安全跟它相關(guān)，我們依賴于打補(bǔ)丁來保持它的安全，但是有的補(bǔ)丁確實(shí)是不能打了，因?yàn)楝F(xiàn)在在互聯(lián)網(wǎng)上加入的設(shè)備越來越多。

另外，我們還有一些設(shè)備經(jīng)常會被換掉，比如幾年你會換一個手機(jī)，但是有的其他消費(fèi)者設(shè)備不是這樣，比如說DVR五年一換，冰箱十年一換，調(diào)溫器一輩子不換，這些變化也會改變安全。如果是車的話，我可能買了車用了兩年，開了十年，然后又賣給別人，又開了十年，然后又賣給別人，可能賣到了別的國家，可能再開二十年，等等。 

你要看一下76年的電腦，你讓它啟動，讓它安全，你不知道怎么樣讓這么歷史悠久的計算機(jī)安全起來吧？如果你要是不能打補(bǔ)丁的話，你就不能保證它的安全，而這種情況，我們不知道怎么打補(bǔ)丁。

還有認(rèn)證也在失效，認(rèn)證本身就很細(xì)瑣，有的時候因子認(rèn)證可以。我們再看一下這些設(shè)備或者服務(wù)器的認(rèn)證，我們要做的認(rèn)證會是爆炸性的增長，有很多東西也需要認(rèn)證。比如說自動駕駛的汽車它會需要跟交通信號或者道路科學(xué)，這里面涉及到的認(rèn)證是成千上萬，幾百萬，這是一個規(guī)模級的認(rèn)證。 

目前來說，我的電話跟我的車，即便我不在，它可以自動認(rèn)證，因?yàn)樵谧畛踉O(shè)置的時候是我參與的。我有1000多個IOT的設(shè)備，它們會有相互之間的認(rèn)證，總的認(rèn)證可能是幾百萬，幾千萬。現(xiàn)在如果要有其他的IOT的設(shè)備，你說對你的蘋果的設(shè)備，這個東西也是不能升級的。

所以這就是一場安全的風(fēng)暴，我們的安全現(xiàn)在失效了，因?yàn)樘嗟臇|西連到了一起，真的是我們也愿意生活在這樣的一個技術(shù)空間，而且是不受監(jiān)管的空間當(dāng)中。而這種環(huán)境是不可持續(xù)的，所以我想這里面存在政策的問題，我們的政策得正確，這個非常重要。這里面我想提兩件事，說到政策。

第一個，首先應(yīng)該是以防御為重，我們的世界應(yīng)該有這樣的防御體系，這個防御體系應(yīng)該比攻擊體系更重要。現(xiàn)在有這么多的基礎(chǔ)設(shè)施和應(yīng)用，所以決策非常重要。還有技術(shù)原則，我們要先設(shè)計它的安全，然后保證它的安全。比如說我們現(xiàn)在可以考慮如果這些設(shè)備是不安全的會怎么樣？這個時候會更多的考慮安全，或者實(shí)現(xiàn)安全，因?yàn)榉阑加谖慈弧?/p>

另外，你們需要讓公司意識到這一點(diǎn)。

最后一點(diǎn)，在政策的制定當(dāng)中我們需要技術(shù)人員的參與。現(xiàn)在互聯(lián)網(wǎng)的安全已經(jīng)是屬于牽一發(fā)動全身，所以政策是無比重要，技術(shù)人員的參與無比重要。我們的政策應(yīng)該有很強(qiáng)的技術(shù)成分，我們需要工程師參與到政策的討論當(dāng)中，我們需要政策制定者有這樣的技術(shù)知識，這個要大于安全。

因?yàn)槲覀儸F(xiàn)在面臨的很多問題都是技術(shù)上的問題，如果說到安全的話，它應(yīng)該是技術(shù)和政策決策者在一起攜手工作，如果沒有這個攜手工作就會出現(xiàn)很多災(zāi)難性的成果，比如我們看到車或者飛機(jī)，如果出現(xiàn)問題的話，政策決定者要做什么決策的話，這個時候做的政策很有可能是非常不明智的。當(dāng)我們制定政策的時候一定要制定正確或者智慧的政策。

我再次為我沒能到現(xiàn)場表示歉意，北京，下次見。

以上演講來自CSS2018現(xiàn)場，雷鋒網(wǎng)編輯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。