https://weibo.com/p/1001603959419229573350
by tombkeeper
2006.08.13
村长<airsupply#0x557.org>邀我来B105沙龙和大家闲扯。而我近来的工作是拉磨居多,接客其次,实在没有什么新货。村长说:不必讲技术,可以谈谈“信息安全的现状和未来”。我思前想后,觉得这个题目纲领性太强,我这点资历讲起来显然自不量力。还是改称“信息安全走向漫谈”显得比较低调。漫谈漫谈,就是漫天乱谈,谈错了不要紧。万一谈得对,就算蒙上了。
1、学什么技术不会过时?
常有人跟我发牢骚,说搞技术太累,总要学新东西。还总问,安全技术未来的方向是什么,学什么技术不会过时,五年十年之后还能混饭?
每到这时我都很尴尬,不知道应该说什么。
有些朋友知道,我读了五年医科大学。很多人认为医生是一个稳定的职业,医学是保值的知识,学完了就可以躺在上面吃一辈子。其实恰恰相反。稍大一点的医院都有自己的图书馆。年轻医生就不用说了,很多六十多岁的老医生上门诊,抽屉里还放着一本专业书,有病人的时候就给人看病,没病人就拉开抽屉看书。以前儿科的老主任对我说过:干医生这一行,半个月不去图书馆读文献,就落后了。毛主席说“三天不学习,赶不上刘少奇。”医生这一行就是这样。
我们家乡有句俗话,叫“看别人吃豆腐觉得牙齿快”。很多技术人员都觉得销售这个活儿好干,工作就是吃喝玩乐混关系,挣钱又多,还不费脑子。我只能说“那你去试试看吧”。先甭说销售绝对不是不费脑子的活儿,也绝对不是光靠“吃喝玩乐混关系”就行的。就算是,这“吃喝玩乐混关系”七个字岂是简单的?谁刚从台上下来满怀落寞但还有一些重要关系?谁虽然只是个普通教授但是诸多弟子都身居要职?谁手里有指标但自己不能完全做主?谁行政级别高但没有实权?新上来一把手是爱人民币爱高尔夫爱燕鲍翅还是爱制服捆绑?京城里何处灯最红何处酒最绿?——这些信息都是动态的,变化的,而且靠订阅邮件列表和看BBS是得不到的。不收集,不学习,咋整?
公交车站牌上贴的那些招聘职位,没有学历要求,只要“形象好,气质佳,思想开放”就可以“日薪1500以上”,这个钱挣起来算是容易又轻松了吧?其实即便从事这种地球上最古老的职业,学和不学那也是大大不同。苏小小、李师师的时代,要上头牌都得会琴棋书画,填词唱曲。到了十里洋场上海滩,根据才情高低也要分出“书寓”、“长三”、“幺二”来,啥都不会就只能混“野鸡堂子”。现在没那么多讲究了,不过“一剑穿心毒龙钻,冰火红绳空中飞”这些基本业务总还得学,要不然也还是“野鸡堂子”、Street-Walker的命。
那究竟有没有什么是学了不会过时的呢?学会学习的方法,学会从学习中获得快乐,这是永不过时的。如果享受不了汲取知识的快乐,那就不适合做任何需要脑力的工作。
2、信息安全的未来如何?
最近一两年,大家感觉信息安全形势比前两年要好些了,不再像2002、2003年的时候,漏洞满天飞,蠕虫遍地爬。于是有人开始担心:漏洞少了的确有利于信息安全,但这样下去,最终会不会导致我们失业?
对此我是这样看的:信息安全技术的发展将来一定会有技术方向上的变化,但不会有前途上的问题。
电影《笑傲江湖》中任我行说:“有人就有江湖 ”。从有马帮的那一天起,就有马贼;从有海船的那一天起,就有海盗。有盗贼怎么办?理论上靠官府,实际上靠自己。自己搞不定怎么办?花钱找镖局。几千年来,什么时候这个格局改变过?过去镖局保的是金银,今天我们保的,归根结底也还是金银。从这个意义上讲,我们这个行业其实是镖局发展进入信息时代后,出现前面说的“技术方向上的变化”,而化生出来的。
所以,只要人类社会还存在信息交换行为,只要这些信息交换涉及到利益,就会有人试图改变这些利益的分配规则,就会有对信息安全的需求。百川归大海,这是一个根本法则,不管中间怎么九曲十八弯,最终,这个根本法则是不会有什么变化的。
大家感觉信息安全形势比前两年要好,可能一个主要原因就是看到软硬件厂商对安全越来越重视,安全措施越来越多。而看起来,比较严重的安全漏洞似乎有减少的趋势。互联网上几乎每台机器都有防火墙保护。新的Fedora Core默认开启了Linux的很多安全特性,而且看起来以后会一直这样下去。微软将要发布的Vista也似乎是一个强健无比的系统。这一切仿佛都在暗示信息安全会成为一个历史阶段性的事物,随着安全形势的进一步好转,这个行业也会逐渐淡去。
下面我们具体来谈谈这些问题。
Vista是个纸老虎
很多搞Windows安全的人最近都着实被微软的Vista给吓着了,觉得以后Windows就安全了,没什么可搞了。微软号称这个系统比前代大大增强了安全性。不过大家别忘了,微软推出Windows 2000的时候是这么宣传的,推出Windows XP的时候是这么宣传的,推出Windows 2003的时候也是这么宣传的。
当然,实事求是地说,从我们最近一段时间对Vista Beta版的研究来看,这个新系统的确采取了很多新的安全特性,大大增加了传统漏洞的利用难度;新的开发过程和开发工具也的确降低了漏洞发生的几率,比起之前的产品在安全上可以说有一个大飞跃。
但关键问题是:人们真的会接受这样一个用大量确认窗口和限制措施来虐待用户的操作系统么?更别提可怕的资源占用和乌龟般的速度了。至少我是绝对不会用这个东西的。估计在Vista正式上市后,各种Windows优化软件肯定会立即提供关闭这些安全特性的功能。
信息安全,信息为肉,安全为骨。肉无骨则不立,骨无肉则不活。蚯蚓之类,只有肉没有骨,尚可以慢慢蠕动,可以不太精彩地活下去;但是没有肉,光剩骨头,什么动物也活不了。安全措施对用户的扰动越小,就越容易被接受。时刻发挥作用,却几乎感觉不到它的存在,这就是安全工作的至善境界,也是最难达到的目标。要不然为什么杜雷斯的超薄型卖得贵还那么受欢迎。
在我看来,Vista就是个至少一厘米厚的杜雷斯。
任何企业的目标都是挣钱,只有当维护用户安全和挣钱这个目标恰好吻合时,它就会设法增强用户安全,如果维护用户安全影响了挣钱这个目标,它一定会考虑重新调整两边的砝码。
今天我在这里关起门来做个大胆的预言:Vista终将成为一个类似Windows ME那样没什么人愿意用的失败产品。微软甚至可能会在Vista后续的Service Pack或者下一代操作系统中取消或者减弱一些影响用户体验的强制安全特性。
另外,这个一厘米厚的杜雷斯是否真的就比0.03mm的超薄型安全333.33倍?值得怀疑。Windows 95只有1500万行代码,Windows 98有1800万行代码,Windows XP 有3500万行。Vista 则有5000万行,比XP多出了40%。新代码带来新功能,同样,新代码也必然会引入新漏洞。
毛主席说过,“一切反动派都是纸老虎。看起来,反动派的样子是可怕的,但是实际上并没有什么了不起的力量。从长远的观点看问题,真正强大的力量不是属于反动派,而是属于人民。”在我看来,Vista也很可能是个纸老虎。假以时日,纸老虎的软裆必然会被一一发现。
退一步讲,即便Vista、Fedora Core等为代表的新一拨操作系统真的是一个漏洞都没有了,从整体上看,信息安全态势仍然不乐观。
未来,各行各业各领域都将数字化,生活的方方面面都离不开信息技术。各种不同的信息技术交织在一起,构成巨大的宏信息世界,比我们现在的互联网大得多,复杂得多。安全问题也会随之复杂和严重。现在个人电脑上那一点点漏洞到那时候看就很渺小了。想想看,以前是你的电脑被入侵,以后你的电饭锅被入侵;过去是让你上网慢,以后让你吃夹生饭。
既然这样,为什么我们还要用信息技术呢?这一页PPT的标题叫做“信息技术是个狐狸精”。狐狸精,大家知道是什么吧,就是你知道她可能会害你,但身不由己。为什么呢?还是因为好,足够好到让你愿意冒这个险。
上高中时候,学摄影,用胶片,大夏天也要自己闷在暗房里冲洗。现在都是数码相机,随拍随看,多么方便。上大学的时候,大家都用“Walk-Man”,阔气一点的听随身CD、MD。现在一个火柴盒大小的MP3就都搞定了,价钱也便宜。
我在网上买过一个二手CF卡。拿回来,用数据恢复软件一看,里面有几张刑事案件的现场照片,血迹斑斑。还拍了受害人。这个卡不知道是哪个派出所淘汰下来的。如果追究起来,肯定要有人受到不好的影响。这种事情,在用胶片的时代不会有。但今天,新问题就出现了。
这些是什么啊?是狐狸精。狐狸精太好了,你很难舍弃。但糖衣好吃,炮弹难挡。信息技术发展的这么快,配套的安全很难跟得上。大家想想,汽车发明多少年后才有的安全带、安全气囊?有了安全带、安全气囊,每年还要车祸死多少人?每年车祸死这么多人,大家是不是还一样开车?这就是狐狸精,死都离不开。
今年世界杯,就有人提出,要在每个球员身上装RFID,对球员进行实时精确定位,用来作为裁判的辅助依据。虽然最后没有这么干,但这一天迟早会到来(注:后来才知道,马拉松比赛已经开始用RFID来跟踪选手的位置)。
(此处省略几页对RFID安全问题科普讲解的PPT内容)
刚才讲的比较科幻。落到现实中来,你我能看到的未来若干年中,可能的新热点有:Wi-Fi、蓝牙、WiMax、UWB等无线通信技术的安全问题,RFID的安全问题,消费类个人电子产品的安全问题,数字家电的安全问题,等等。
人类社会用信息技术越多,意味着越多的的财富和荣誉将由数字介质承载,越多的风险将是信息安全风险,信息安全技术就越重要,这个职业就越重要。
现在国外有种职业叫保安顾问,保障你现实世界的安全。有为企业服务的,也有为个人服务的。我瞎猜一下:在未来,可能要有类似这样的信息安全顾问。而且可能比较普及,就像现在国外的私人医生、私人律师一样。退一万步说:信息安全企业也许会消失,但信息安全这个职业永远不会消失——只要人类还使用信息技术。
谢谢大家。
(2006年8月19日,B105技术沙龙)
网友评论