安全摘记1：关于安全与黑客

摘要: 我觉得对基础及核心部分的深入理解是成为一名优秀技术人员的前提，安全圈也是如此。道哥曾说：“安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。”也正如剑心所说，“一直以来安全行业都不缺少所谓的技术和毫无思想的说明书式文字，缺少的是对于安全本质的分析，关于如何更好地结合实际情况解决问题的思考，以及对这些思考的分享。”在安全路上走了几年，想把自己关于安全的所见所闻所学所思整理成摘记沉淀下来，这些摘记大多源于安全圈的前辈们的文章，弹琴知音，以文会友。

0、安全问题的根源：系统越来越复杂，然后，人是复杂的。

1、信息安全的目标？风险控制

引申：

要讲信息安全，先看看其他领域的安全。

人身安全：姑娘家大晚上不要一个人出门夜跑。

财产安全：早上出门记得将窗户关好，将门反锁。

交通安全：上车要系安全带，不随意变道不超速。

我们来找找共同点：

1)保护啥？如花似玉的姑娘，家中的贵重物品，车上的乘客

2)谁会找麻烦？劫色的坏蛋，小偷，交通意外

3)为啥会有危险？姑娘打不过坏蛋而且晚上可能没人求救，门锁容易被小偷打开，违规驾驶可能会发生车祸

来个不恰当的比喻，姑娘就是有价值的资产，劫色的坏蛋就是威胁，姑娘手无缚鸡之力就是脆弱性。那么姑娘晚上一个人夜跑的风险就是这3个因素的综和权衡值了。

假设这个姑娘是如花，坏蛋可能就打消劫色的念头了。

假设姑娘在健身房跑步，坏蛋就不能接近姑娘了。

假设姑娘是跆拳道黑带9段，坏蛋在打劫姑娘的时候可能反被姑娘干趴下了。

讲到这里大家应该明白信息安全这个概念的内涵了，信息安全玩的还是风险控制，把安全风险降低到自己能够接受的水平，这就是信息安全的目标。每个机构投入到信息安全的资源是有限的，如何发挥这些有限资源的价值，来实现信息安全目标，这是各机构的安全担当该干的活。

2、安全的本质是信任的问题

引申：

一切的安全方案设计的基础，都是建立在信任关系上的。我们必须相信一些东西，必须有一些最基本的假设，安全方案才能得以建立；如果我们否定一切，安全方案就会如无源之水，无根之木，无法设计，也无法完成。现实中，登机前要进行安检，因为飞机是一个高度敏感和重要的区域，任何有危害的物品都不应该进入这一区域。通过一个安全检查（过滤、净化）的过程，可以梳理未知的人或物，使其变得可信任。被划分出来的具有不同信任级别的区域，我们称为信任域，划分两个不同信任域之间的边界，我们称为信任边界。现实生活中，我们很少设想最极端的前提条件，因为极端条件意味着小概率和高成本。因为成本有限，我们会根据成本将一些可能性较大的条件作为决策的主要依据。另一个角度，一旦我们作为决策依据的条件被打破、被绕过，那么就会导致安全假设的前提条件不再可靠，变成一个伪命题。因此，把握住信任条件的度，使其恰到好处，正是设计安全方案的难点所在，也是安全这门学问的艺术魅力所在。

3、互联网安全的核心问题，是数据安全的问题

引申：

在互联网基础设施已经比较完善的今天，互联网的核心其实是由用户数据驱动的--用户产生业务，业务产生数据。互联网公司最核心的价值就是其拥有的用户数据。

4、安全是一个持续的过程

引申：

攻击和防御技术在不断碰撞与对抗的过程中得到发展。微观上，在某一时期可能某一方占据了上风；但宏观上，某一时期的攻击或防御技术都不可能永远有效。因为两者是相互促进的辩证关系。

5、安全是一门朴素的学问，也是一种平衡的艺术

引申：

“安全”和“便捷”天生是需要去平衡和取舍的。没有不安全的业务，只有不安全的实现方式。产品需求，尤其是商业需求，是用户真正想要的东西，是业务的意义所在，在设计安全方案时应该尽可能不改变商业需求的初衷。无论是传统安全，还是互联网安全，其内在的原理都是一样的。我们只需抓住安全问题的本质，之后无论遇到任何安全问题，都会无往而不利，因为我们已经真正地懂得了如何用安全的眼光来看待这个世界。

6、安全是产品的一个特性

引申：

当一个产品功能有缺陷、用户体验差的时候，是谈不上安全的，因为产品本身可能都已经无法存在下去了。但是当一个产品其他方面都做得好的时候，安全有可能会成为产品的一个核心竞争力。安全也做得好的产品，才是真正的好产品。将安全视为产品特性，往往也就解决了业务与安全之间的矛盾。其实业务和安全之间本来是没有冲突的，出现冲突往往是因为安全方案设计得不完善，比如安全成本较高，或者要牺牲很多产品功能的需求，还可能牺牲性能。

7、Web安全核心防御机制

引申：

控制用户访问

身份验证

会话控制

访问控制

控制用户输入

输入的多样性

输入处理方法

边界确认

多步确认与规范化

处理攻击者

处理错误

维护审计日志

向管理员发出警报

应对攻击

8、黑客

引申：

你可以在计算机上创造艺术和美。在朴实无华的外表之下，他们是真正的冒险家、梦想者、勇于承担风险的人和艺术家……而且他们显然清楚地认识到了为什么计算机是一种真正的革命性工具。他们对黑客思想的追求是永无止境的。真正的黑客把“黑客”一词视为无上的荣耀，而不是贬损。评判黑客的标准应该是他们的技术，而不是那些没有实际用途的指标，比如学位、年龄、种族或职位。而真正酷的其实是技术，而不是黑客这个词。

9、黑客守则

引申：

不要恶意破坏任何的系统，这样只会给你带来麻烦。

不要修改任何的系统文件，如果你是为了要进入系统而修改它，请在达到目的后将它改回原状。

不要轻易的将你要hack的站告诉你不信任的朋友。

不要再bbs上谈论你hack的任何事情。

在发表文章的时候不要用真名。

正在入侵的时候，不要随意离开你的电脑。

不要侵入或破坏政府机关的主机。

不要在电话中谈论你hack的任何事情。

将你的笔记放在安全的地方。

不要将已侵入电脑中的账号清除或改写。

不要修改系统文件，除非是为了隐藏自己的入侵痕迹，但仍须维持原来系统的安全性。

不要将你已破解的账号分享于你的朋友。

10、黑客等级

引申：

黑客，对很多人来说充满诱惑力。很多人可以发现这门领域如同任何一门领域，越深入越敬畏，知识如海洋.

Level 1 愣头青[百万人]：会使用安全工具，只能简单扫描、破译密码

Level 2 系统管理员[上万人]：善用安全工具，特别熟悉系统及网络

Level 3 大公司的开发人员或核心安全公司大牛[几千人]：对操作系统特别熟悉，开始开发代码，写自己的扫描器

Level 4 能找到并利用漏洞[几百人]：自己能找漏洞、自己找 0DAY 并且写 Exp 利用漏洞的，对系统做挖掘漏洞的协议测试

Level 5 高水平[少于百人]：防御和构建系统的人

Level 6 精英级[几十人到十几人]：对操作系统的理解很深入

Level 7 大牛牛[寥寥无几]：马克·扎克伯格、艾伯特·爱因斯坦等改变世界的人

其实技术的路没有捷径，只有踏实的积累。也不用担心天赋，因为以大多数人的努力程度之低，根本轮不到拼天赋。很多人梦想找到一个牛逼的师父，几天速成然后笑傲江湖。可是每一个真正练就一身武艺的人都是靠冬练三九夏练三伏这么过来的，他们靠着一种忘我的热情持续投入进去磨练，数年如一日，最终自己也不知道怎么就发现具备了无坚不摧的实力。