首页 > 世链号 > 从驻外机构受到黑客攻击谈新基建的方向
秒懂区块链  

从驻外机构受到黑客攻击谈新基建的方向

摘要:遇到攻击时,不能怪黑客,而是要把自己的大门补好,否则,这次不出问题,下次也会出问题。这是为什么很多企业会花钱请人来攻击自己的原因之一,只有真正的攻击,才能暴露出代码中一些深层次的问题。

在全球疫情尚不平静的当下,很多政府机构、企业都选择远程办公,在提高效率的同时,也带来了很多潜在的安全问题。

我在几周前写过一篇相关的文章《远程办公,除了防范疫情,还要防范黑客》,但是没想到,正如墨菲定律所言,该来的一定会来,而且还来得非常之快。

近日,有网络安全监测机构发现,有黑客组织对我国驻外机构和政府部门进行了有目的的攻击,还好被及时发现,否则后果不堪设想,其攻击流程示意图如下所示:

安全

简单而言,该黑客组织的攻击方式为:

1. 很多驻外机构、政府部门使用某国内上市公司的VPN产品连接国内外的办公室;

2. 该公司的VPN服务器有些没有及时更新,存在安全漏洞,被在网络上不停扫描的黑客组织所捕获;

3. 黑客攻击进入这些版本较旧的VPN服务器,替换其更新软件;

4. 客户端电脑在连接该公司的服务器时,自动下载新版本,客户端没有对其进行校验,导致装上了假的版本;

5. 黑客就可以连接到客户端,执行恶意代码,操纵客户端。

 

从整个过程来看,我认为本质上存在两个问题:

1)VPN服务器版本的更新不及时

这凸显了对系统软件、安全软件及时更新的重要性,因为安全漏洞是永远存在的,只不过看谁先找到、谁先补上。软件公司频繁推出的版本更新,一个重要目的就是弥补各种漏洞,否则时间一长,黑客总能找到机会,更何况现在很多商业软件中都使用了大量的开源代码,一旦某段代码被发现了漏洞,所有使用这段代码的软件都必须更新,否则就相当于大门敞开。

譬如,现在还有很多个人甚至企业,还在使用微软早就不再支持的老版本Windows,一旦漏洞被黑客发现,微软不一定会推出针对这些版本的补丁,因为不对其提供支持。当然有人会说升级要钱,这是另外一个问题了:安全,当然需要成本。

 

2)客户端在更新版本时,没有进行足够的安全校验

这包括文件版本、日期、签名和哈希值校验,一个不对都不行。根据网络安全公司分析的源代码,貌似是只比较了版本,这是一个核心的设计缺陷。

遇到攻击时,不能怪黑客,而是要把自己的大门补好,否则,这次不出问题,下次也会出问题。这是为什么很多企业会花钱请人来攻击自己的原因之一,只有真正的攻击,才能暴露出代码中一些深层次的问题。

由此,我不禁联想到最近炒得火热的“新基建”。在新冠疫情导致百业萧条的背景之下,社会上又提出了各种基建计划,包括传统的铁路、公路、机场,也包括新兴的特高压变电站、5G基站等等,这些在我看来,都是增量。

这就像著名的“破窗理论”这个悖论:因为窗户破了,所以带来了修理窗户、升级换代等各种经济效益,那么,岂不是我们应该经常主动把窗户打破?这个显然不符合正常的逻辑。

为什么?因为这些钱、精力,我们完全不必用来修窗户,而可以用于其他更好的用途。那么,窗户破了应该怎么办?我觉得,我们更应该想办法,让窗户更坚固,下次更不容易破。

也就是说,在发展增量的同时,也许把钱用于维护好存量也很重要,甚至更加重要。那么存量是什么?在我看来,就是医疗(建设更多的医院、护理场所和机构)、社会保障(建设更好的安全网)和养老设施等等。

同样,在技术领域,大数据、在线教育等各个互联网行业在这次疫情期间大显身手,起到了重要的支撑作用,但是在发展增量(不断推出各种新功能、新模式)的同时,我们也许,也需要放慢脚步,注意维护存量,即加强网络服务的稳定性和安全性。否则,功能越强大、服务越广泛,受到攻击之后反而损失也会越大。还是那句老话,我们应该在晴天修屋顶,而不是等到台风来了再修。

在技术行业,有个专门的词形容这种不断积累的风险“存量”,叫做技术债("tech debt")。迟早要还,而且越往后利息越多、代价越大。

 

作者:崔伟,香港国际新经济研究院高级研究员。

清华大学电机系博士。目前担任清华X-Lab区块链实验室创业导师,清华-青岛大数据研究工程中心顾问,人民网慕课法学院数字经济研究中心首席顾问。


                                                                                      来源:香港国际新经济研究院 

免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。