当前位置:安全行业动态 → 正文

何宝宏:“比特币勒索病毒”的三个思考 -凯发k8国际首页登录

责任编辑:editor006 |来源:企业网d1net  2017-05-15 16:40:53 本文摘自:通信世界网

5月12日晚,wanacrypt0r 2.0勒索软件在全球爆发(简称wcry2.0),在无需用户任何操作的情况下,wcry2.0即可扫描开放445文件共享端口的windows机器,从而植入恶意程序。黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。

1.固有的安全缺陷

信仰决定架构,架构决定技术,技术决定安全。

从互联网架构设计的角度看,安全问题必然层出不穷,难以根除,并且以后还会发生。

互联网信仰的是“人人参与”的理念,即开放、平等和自由等。根据这一信仰,工程技术人员设计出了“端到端透明”的架构,即将与通信相关的部分(ip网络)与高层应用(端点)分离,最大限度地简化ip网络的设计,将尽可能多的复杂性和控制放在用户终端上。

这一架构的基本假设,就是控制在终端,网络的负责最小化。表现在安全方面,就是安全责任归用户。这就要求,每位网民都必须成为计算机专家,成为安全专家,为自己计算机的升级、维护和安全负责。

在互联网还用于教育科研的阶段,在还没有商用的阶段,用户主要是学者和大学生,这一假设是成立的:用户是专家,用户彼此信任。

但现在,让全球30亿网民都成为计算机专家和安全专家的假设,假设用户彼此信任,明显就不成立。微软今年3月就发布了补丁,今年4月信息被公开,如果你不是计算机安全专家,又怎么会注意到呢?

有两种思路来解决这一安全问题。一是“自己不懂也不动”,找安全专家帮忙,比如为自己的计算机和智能手机,安装值得信任的360、腾讯等的安全软件。二是“自己不懂但搬家”,用户把应用和数据迁移到云端,托管到安全防护能力更强的云端,比如阿里云等。

历史上,我们只有私有的保镖、护卫等“私有安全防护”,几乎没有公共安全服务,现代社会“公安机关”提供了一般型安全服务。在互联网的设计中,也没有公共安全服务的位置,安全只能靠自己,但现在云计算出现了,可以为托管到云端的数据,提供公共安全服务了。

“公安机关”和“云计算的安全”服务,一个虚拟世界,一个物理世界,提供的都是一般性公共安全服务。如果需要更高层级的安全,还需要“云保安”、“云围墙”、“云防盗门”、“云护卫”等。

2.比特币的匿名性

在现代金融体系的设计中,需要无条件的信任央行。但2008年金融危机后,各国央行开始放水,于是去中心化发行货币的比特币,2009年诞生了,从信任央行改为信任软件和算法。

比特币已经形成了“币圈”。2017年以来,比特币价格已累计上涨80%,总市值超过500亿美元。比特币是商品还是货币,各国政策观点不一。

区块链是比特币的底层技术,目标是发展成一种通用的平台型的分布式数据库技术,也正在形成自己的“链圈”。

比特币和区块链的优势,包括了去中心化、匿名和不可篡改等,这些信念还生活在理想国,只因比特币和区块链还没有长大。

1996年的2月,在瑞士达沃斯,电子前线基金会(electronicfrontier foundation)的创始人之一约翰·佩里·巴洛,发表了“互联网宣言”:“工业世界的政府们,你们这些令人生厌的铁血巨人们,我来自网络世界——一个崭新的心灵家园。作为未来的代言人,我代表未来,要求过去的你们别管我们。在我们这里,你们并不受欢迎。在我们聚集的地方,你们没有主权……”

而比特币和区块链所标榜的这些理想和信念,几乎与21年前的“互联网宣言”完全一致。去年爆发的thedao事件,暴露了“不可篡改”与现实世界的冲突;现在爆发的“比特币勒索病毒”,又反映了匿名化带来的新问题。

区块链的理想和宣言,也会像21年前《互联网宣言》一样的结果吗?

3.谁来背黑锅

这次事件是wanacrypt0r 2.0病毒在勒索,却被很多媒体称为“比特币勒索”,或许是因为病毒真实名称难以记忆,或者是为了方便传播吸引眼球,或者是别有目的。

黑客利用病毒勒索比特币,就像不法分子利用手机骗钱的“电信诈骗”。

每次去银行营业厅,都会得到“谨防电信诈骗”的提示;每次去电信营业厅,得到的仍然是“谨防电信诈骗”,而不是“谨防金融诈骗”的提示。这类诈骗,金融业不背黑锅,只能是电信业背了。

利用电信和互联网等工具,从事金融诈骗,叫“电信诈骗”。按这一逻辑,利用windows漏洞和病毒等工具,从事比特币的金融勒索,应该叫“wcry2.0病毒诈骗”。

不让病毒背黑锅,而是让比特币背黑锅,还是传统金融业赢了!

x 何宝宏:“比特币勒索病毒”的三个思考 扫一扫
分享本文到朋友圈
凯发k8国际首页登录
当前位置:安全行业动态 → 正文

责任编辑:editor006 |来源:企业网d1net  2017-05-15 16:40:53 本文摘自:通信世界网

5月12日晚,wanacrypt0r 2.0勒索软件在全球爆发(简称wcry2.0),在无需用户任何操作的情况下,wcry2.0即可扫描开放445文件共享端口的windows机器,从而植入恶意程序。黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。

1.固有的安全缺陷

信仰决定架构,架构决定技术,技术决定安全。

从互联网架构设计的角度看,安全问题必然层出不穷,难以根除,并且以后还会发生。

互联网信仰的是“人人参与”的理念,即开放、平等和自由等。根据这一信仰,工程技术人员设计出了“端到端透明”的架构,即将与通信相关的部分(ip网络)与高层应用(端点)分离,最大限度地简化ip网络的设计,将尽可能多的复杂性和控制放在用户终端上。

这一架构的基本假设,就是控制在终端,网络的负责最小化。表现在安全方面,就是安全责任归用户。这就要求,每位网民都必须成为计算机专家,成为安全专家,为自己计算机的升级、维护和安全负责。

在互联网还用于教育科研的阶段,在还没有商用的阶段,用户主要是学者和大学生,这一假设是成立的:用户是专家,用户彼此信任。

但现在,让全球30亿网民都成为计算机专家和安全专家的假设,假设用户彼此信任,明显就不成立。微软今年3月就发布了补丁,今年4月信息被公开,如果你不是计算机安全专家,又怎么会注意到呢?

有两种思路来解决这一安全问题。一是“自己不懂也不动”,找安全专家帮忙,比如为自己的计算机和智能手机,安装值得信任的360、腾讯等的安全软件。二是“自己不懂但搬家”,用户把应用和数据迁移到云端,托管到安全防护能力更强的云端,比如阿里云等。

历史上,我们只有私有的保镖、护卫等“私有安全防护”,几乎没有公共安全服务,现代社会“公安机关”提供了一般型安全服务。在互联网的设计中,也没有公共安全服务的位置,安全只能靠自己,但现在云计算出现了,可以为托管到云端的数据,提供公共安全服务了。

“公安机关”和“云计算的安全”服务,一个虚拟世界,一个物理世界,提供的都是一般性公共安全服务。如果需要更高层级的安全,还需要“云保安”、“云围墙”、“云防盗门”、“云护卫”等。

2.比特币的匿名性

在现代金融体系的设计中,需要无条件的信任央行。但2008年金融危机后,各国央行开始放水,于是去中心化发行货币的比特币,2009年诞生了,从信任央行改为信任软件和算法。

比特币已经形成了“币圈”。2017年以来,比特币价格已累计上涨80%,总市值超过500亿美元。比特币是商品还是货币,各国政策观点不一。

区块链是比特币的底层技术,目标是发展成一种通用的平台型的分布式数据库技术,也正在形成自己的“链圈”。

比特币和区块链的优势,包括了去中心化、匿名和不可篡改等,这些信念还生活在理想国,只因比特币和区块链还没有长大。

1996年的2月,在瑞士达沃斯,电子前线基金会(electronicfrontier foundation)的创始人之一约翰·佩里·巴洛,发表了“互联网宣言”:“工业世界的政府们,你们这些令人生厌的铁血巨人们,我来自网络世界——一个崭新的心灵家园。作为未来的代言人,我代表未来,要求过去的你们别管我们。在我们这里,你们并不受欢迎。在我们聚集的地方,你们没有主权……”

而比特币和区块链所标榜的这些理想和信念,几乎与21年前的“互联网宣言”完全一致。去年爆发的thedao事件,暴露了“不可篡改”与现实世界的冲突;现在爆发的“比特币勒索病毒”,又反映了匿名化带来的新问题。

区块链的理想和宣言,也会像21年前《互联网宣言》一样的结果吗?

3.谁来背黑锅

这次事件是wanacrypt0r 2.0病毒在勒索,却被很多媒体称为“比特币勒索”,或许是因为病毒真实名称难以记忆,或者是为了方便传播吸引眼球,或者是别有目的。

黑客利用病毒勒索比特币,就像不法分子利用手机骗钱的“电信诈骗”。

每次去银行营业厅,都会得到“谨防电信诈骗”的提示;每次去电信营业厅,得到的仍然是“谨防电信诈骗”,而不是“谨防金融诈骗”的提示。这类诈骗,金融业不背黑锅,只能是电信业背了。

利用电信和互联网等工具,从事金融诈骗,叫“电信诈骗”。按这一逻辑,利用windows漏洞和病毒等工具,从事比特币的金融勒索,应该叫“wcry2.0病毒诈骗”。

不让病毒背黑锅,而是让比特币背黑锅,还是传统金融业赢了!

回到顶部
"));
"));

关于凯发k8国际首页登录联系凯发k8国际首页登录隐私条款广告服务凯发k8国际首页登录的友情链接投稿中心凯发k8国际首页登录的招贤纳士

企业网凯发k8国际首页登录的版权所有 ©2010-2024

^
网站地图