1. 顶峰蝈蝈首页
  2. 顶峰杂谈

互联网安全背后的英雄们

互联网改变了人类的行为模式:获取信息的代价大大降低;社交工具拉近了时空的距离;享受着廉价便捷的网购和专车…互联网通过去中间化、资源整合、连接一切,从而提升了世界的效率与人类感知。今天想和大家说一说,有一群默默支撑起互联网安全体系的人,他们并不被大多数人所熟悉,但是他们确为大多数人提供了无形的服务。

为我们发送邮件、网上聊天、网上支付提供安全保障的技术我笼统的称它们为网络安全技术。它们主要负责保护通讯环节的:内容的私密性、交易的完整性、交易网站的权威性、消息的不可伪造、不可篡改性等等。这些技术的混合复杂的应用,才造就了现在的网络安全技术体系,而网络安全的核心是加密技术。

鼎鼎大名的斯诺登

曾经,加密技术是被美国政府禁止出口的,就像很多武器禁止出口一样,其他国家的人,想要使用这些加密算法,就像要从美国买导弹一样,是不可能的。转机发生 在1995年, Daniel J. Bernstein他关于密码术源代码的出版问题对美国政府的诉讼,当他还是柏克莱加州大学的研究生时,针对密码软件与硬件的出口管制发起了对美国政府的法律诉讼,以言论自由挑战禁令的某些观点。1995年的Bernstein v. United States案例促成了在1999年判决印出密码算法的原始码属美国宪法言论自由保障范围内。在这之后,各 种密码协议和开源算法才从美国流传出来,被自由使用。这是一个伟大的历史时刻!要知道当时美国是计算机和密码学技术最最发达的国家(没有之一),为了战争和国家安全而使用密码技术可以被开放出来用作商用,用来保证人们的网络通讯私密性和电子商务安全,这是一个划时代的事件。

Netscape

接下来又一个历史时刻:网景公司推出了SSL和HTTPS。Secure Socket Layer(SSL),为网景所研发,用以保障在Internet上数据传输之安全,利用数据加密 (Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。现在它被广泛用于互联网上安全敏感的通讯,例如交易支付方面。网景公司还干了一些了不起的事,比如发明JavaScript和cookie。当时的微软用windows95操作系统捆绑IE浏览器的臭名昭著的捆绑销售事件对网景造成了深重的打击,接下来又发布了与网景SSL网络安全服务器类似功能的IIS服务器。彻底摧毁了网景这个曾经伟大的技术公司,1998年网景被美国在线公司收购。

网景的失败可能更多归结于商业运作的失败,但却是技术革新的成功!微软为了和网景在互联网技术产品上竞争也付出了惨痛的代价。导致微软在计算机行业坚若磐石的地位被急剧破坏力的冲击。大量的微软专有平台的开发者,转向了互联网web开发,促使面相互联网的编程有了持续发展。实话实说:捆绑销售事件的主要产品 IE3确实是跨时代的产品,深受用户喜爱,也是JavaScript发展的重要里程碑。是JavaScript这个简洁高效的脚本语言广泛应用到前端开发中造福互联网世界。

网景的SSL和HTTPS沿用至今,后来围绕着SSL和HTTPS又发展出了很多对网络安全起到推动作用的公司和组织。这里不得不提OpenSSL组织,它发布的OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL是一个没有太多限制的开发源代码的软件包,开源什么概念?就是说它开发源代码,可以让任何人自由的将这套完善的密码库免费的应用到自己的项目中提高网络通信安全。

免费可以是一种商业模式,比如谷歌和百度是面费向用户提供互联网的搜索功能,但是他们通过大量免费使用者带来了巨大的访问量,然后再通过卖广告赚钱。而像OpenSSL免费并开源的项目并没有这样的盈利模式,它是由一群思维开放、愿意智慧共享的黑客们发挥自己的才华所贡献出来的宝贵技术财富。正是因为免费、开源、并优秀OpenSSL才有了全世界最大的用户占比,从小型的网络公司到大型的互联网巨头们纷纷使用OpenSSL,而且是长期免费的使用着。因为使用者众多,而且使用领域关系到在线支付等关键环节,OpenSSL成了众矢之的,使用者心安理得的免费使用它,同时又希望的100%的可靠,绝不能犯错误。而全世界那些从事网络攻击的黑客们,每天都在想尽各种办法找到OpenSSL的漏洞,从而对OpenSSL的使用者进行攻击。

程序是人类逻辑的产品,人会犯错所以程序也会犯错误。终于2014年4月8日曝出严重的安全漏洞。使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码等敏感的信息。

OpenSSL

该段内容摘自百度百科—在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,清晰显示出大量人员的姓名、身份证号码等。北京某技术公司的CEO透露,目前的监测显示,某宝的网站被黑客盗取了1T的内存,雅虎邮箱的大量账户密码也曝已经泄露。面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,如360、百度等公司在升级OpenSSL,微信已暂停SSL服务,有的网站为规避风险,干脆暂停全部服务。截至9日晚,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、 比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。

出现严重漏洞后,确实有不少大公司伸出援手出钱出力,他们不论是因为良心上还是实际利益上都是必要的。因为他们通过免费使用OpenSSL为自己节省成本、创造价值,获得用户的喜爱,用户们却很少知道背后有一个OpenSSL。看见网上骂声一片直指OpenSSL,然后我才知道,这个叫OpenSSL的组织竟然只有15个人,而且15个人大多是兼职义务的做这个项目,这十几年OpenSSL组织并不盈利完全靠捐助活着。他们成员的技术水平完全可以在大公司做高级工程师,让自己和家人过的很爽。(他们中确实是大公司的工程师,可他们放弃了和家人一起的时间兼职的为OpenSSL工作),他们也完全可以多接些商业项目挣不少钱。可是他们都没有,他们一直努力的为网络安全工作。但是也会听到很多不和谐的声音这样说:你可以免费让我们用,但是你不能犯错误,否是你就是罪魁祸首。要知道OpenSSL每年只获得很少的捐助,他们要自己挣钱活着,还要背负各种骂名:代码不规范、不擅长管理财务、随时可能因为漏洞给造成人们的损失。这些也许都是事实,但如果反问一句:代码写得规范、又擅长管理财务、同时还能发布100%超级安全的免费加密系统,谁能做到呢?世界上可能不会有这样的团队和公司。

金钱并不等于财富,金钱只是财富的交换介质,财富是人类真正需要的东西,财富是什么呢?它可以是人们的各种“需要”比如食品、服装、住房、汽车、生活用品、外出旅行、健康、快乐等。最富有的人不是最有钱的人,而是活的最真实、最充实的那一小撮人!这个世界上总有那么一小撮人,和主流社会格格不入,但是他们却默默推动着人类的进步。以前不能无神论,如今不能质疑普世价值。不管如何,每个时代都有一些“不能说的想法”。怎么办呢,只好远离人群,带着嘲讽的态度旁观这一切,继续玩我喜欢的东西。也许他们曾经伟大的公司被卖掉,也许他们因为太爱工作而放弃和家人团聚的时间,也许他们不被大多数人所接受。但是他们通过贡献自己的智慧为人类创造了无穷的财富!我们很难成为上面说的那一小撮人中的一员,但是我要向他们致敬!向互联网安全背后的英雄们致敬!

原创文章,作者:大梦,如若转载,请注明出处:https://www.crazytop.cn/246/

发表评论

电子邮件地址不会被公开。 必填项已用*标注

QR code