Loading...
别再群嘲鹅厂了!
07/24 09:41 浏览 110

过去一个月里,谁也没有想到,科技圈儿里最具话题性的事件,竟然是腾讯和老干妈之间一桩没有打成的“官司”。

事情的来龙去脉大概是这样的——2019年初,腾讯负责广告的小伙伴们突然接了一个大单子,号称“从来不打广告”的“老干妈”希望通过腾讯的平台进行一次网络推广,以覆盖网络新生代。很快双方敲定合作方案,利用腾讯旗下一款游戏APP实施推广计划,后续项目的执行也很顺利,但是到了该付款的时候却出现了麻烦,“老干妈”一直拖拖拉拉不给钱。于是忍无可忍的腾讯将“老干妈”诉至法院,想讨个说法。本来大家想好好围观一下这两家知名企业之间的恩怨情仇,结果反转来了——老干妈郑重宣布从来没有和腾讯公司进行过市场推广合作。

正当大家一头雾水时,警察蜀黍的通报也到了,经初步查实,原来是有3个大胆“毛贼”伪造老干妈的公章,冒充其身份与腾讯签约,目的是获取腾讯公司在推广活动中配套赠送的网络游戏礼包码,并通过互联网倒卖以非法获利。这一下,腾讯愤怒的“拳头”仿佛是打在了一团棉花上——原来鹅厂从一开始“吃”的就是“假的老干妈”——顿时成了全网的尴尬,在吃瓜群众眼里变成了一只容易上当受骗的“憨鹅”。

经过半个多月的发酵,这事儿终于告一段落,腾讯和“真的”老干妈发表了官方声明,消除了误会,握手言和了。不过这一纸声明,还是挡不住屏幕后面吃瓜群众心中的问号,其中最大的一个悬念就在于:鹅厂也毕竟是个大厂,对于合同及合作方身份真伪不可能没有严格的内部审核,几个毛贼是怎么蒙混过关的?仅靠几枚私刻的公章,就晃过了鹅厂的防线,有点让人匪夷所思。当然,大家都相信后面警察蜀黍会还原出一个真相,但不论真相如何,鹅厂这一票的损失都是实实在在的了。

前面说了这么多,本文的兴趣并不在于对这个终极真相做猜想,而是想通过这件事儿,让大家联想到另外一件更关乎我们每个人自身利益的事儿。

要知道,任何一个决策都是基于信息做出的,如果信息是假的,你越努力,只会在错误的道路上跑得更远,比如这次鹅厂的遭遇。而即使是如此的业务大单,在人们物理上面对面、密切接触的情况下,信息传递中还可能出现如此大的纰漏,那在如今我们越来越多依赖于网络的信息传递中,甚至是物联网中海量的、无需人参与的机器与机器之间的信息交互,如何能够确保信息安全,应该是件更让人操心的事。

从有互联网的那一天,从我们不知道和自己网聊的“是人还是狗”的那一天,对于网络安全这颗提着的心就没有放下来过,到了物联网时代,让人操心的“东西”就更多了。照常理,一个最有效的方法,就是确立一个安全标准,约束大家的行为规范,照此行事,在基本面上就可确保安全无虞。如今在确保互联网信息传输安全方面,一个最重要的标准就是安全传输层协议(TLS), 它保证的就是在两个网络通信对象之间数据的保密性和完整性。

TLS脱胎于NetScape公司设计的安全套接层(SSL)协议,后来经过互联网工程任务组(IETF)的一系列标准化工作,将其打造成了如今的样子,经过两次版本迭代更新,2018年推出了最新的TLS 1.3。

TLS协议保护网络信息安全,做的核心的三件事就是:防止别有用心的人窃取信息、修改信息,以及冒充他人参与通信。如果用比较严谨的概念表达,就是要确保信息的“保密性、完整性和真实性”,这也是整个物联网信息安全的要义。从目前公开的信息来看,鹅厂之所以会在“假的”老干妈面前失守,最大的可能就是在第三点对于信息“真实性”的判别上,相信了不该相信的人。

为了实现这样的信息安全目标,TLS协议几乎用上了今天可以想到的所有安全技术,比如加密、随机数、数字证书等等。由这些技术架构起来的,是一个复杂的协议集。通信双方在通信发起时的“握手”,是一个外人看来非常繁复的过程,而实际上,这流程中的每一步的背后,都可能是一个亡羊补牢的安全教训。

图1,SSL/TLS协议握手过程(图源:网络)

真正吃透TLS协议是件比较耗时费力的事,篇幅有限,本文不做展开讨论。我们在网上找到一个网友用拟人化的方式,图解的SSL/TLS“握手”过程,直接搬过来供大家参考(见图2)。联想到腾讯“老干妈”的案子,如果在项目合作之初,也有如此缜密的一个审核确认的过程,也许就没有今天这桩热闹可看了。

图2,图解SSL/TLS协议握手过程(图源:网络)

不过需要说明的是,标准是人定的,实施落地也是靠人,在这个过程中难免会遇到这样那样的“干扰”,这也就导致最终结果会打折扣,给“毛(黑)贼(客)”留下侵入的缝隙。这种不利的“干扰”因素可以归纳为三个方面:

一、标准是否靠得住。毋庸讳言,在网络安全攻防战中,我们通常是处于守势,而黑客处于攻势,而且他们受利益驱动,往往更有积极性去探索不同的“攻”法,在这个道魔相争过程中,需要标准的制订不仅能够满足今天所需,还要考虑到明日可能的威胁,这确实是个挑战。

二、工具是否跟得上。TLS等标准,只是提供了一套规则,真正的落地还是需要通过配套的硬件和软件工具来实现,工具好不好用,有没有会使用工具的人,如何能够让用户用得省时省力省心,即使是网络安全“小白”,也能够罩得住?这都会成为制约因素,把人挡在“信息安全”的门外。

三、物联网是否用得起?SSL/TLS源于互联网,但是物联网应用有其特殊性,比如网络边缘端的设备和应用需求往往极其简单,没有足够的安全预算,甚至连简单的加密都感到“奢侈”——这就好比你在街边摊儿上买份小吃,是不会考虑和商贩签订一份合同的。这时想用上标准TLS的保护,就很难了。但全面的、不留死角的安全防护,一定是我们理想中的终极目标。

所以从上面的分析我们可以看出,在物联网安全这件事儿上,我们有强烈的愿望、不断完善的标准和工具,但在实施的过程中也不可避免地会暴露出自己的短板和弱点,给人以可乘之机。

因此,看到别人在信息安全问题上失守——比如鹅厂之于“假的”老干妈——别只顾着吃瓜和群嘲,能从别人身上照出自己的不足,“日参省乎己”,才是正事儿,否则拴在网上的每个人或者是机器,都可能成为下一只“肉鸡”或是“憨鹅”。

声明:本内容来自公众号【安富利】,版权归原作者所有,如涉及侵权请联系我们。

推荐阅读

*本文仅代表作者观点,不代表易百纳技术社区立场。系作者授权易百纳技术社区发表,未经许可不得转载。

点赞2
收藏0
分享
我就是我,不一样的烟火~

精彩评论

内容存在敏感词
易百纳技术社区
确定要删除此文章、专栏、评论吗?
确定
取消
易百纳技术社区