《漏洞》作者:360公司创始人、360企业安全集团董事长齐向东
360社区
编者按
我们为您重磅推出的连载内容取自2018年下半年新出版的《漏洞》,这本七大院士联袂推荐的著作是齐向东根据他过去十几年的从业经历,对网络安全产业的总结和思考。他用通俗的语言和大家熟知的案例,把网络安全的基本构成、关键要素和未来趋势进行了梳理,并提出了应对当前网络安全威胁的新对策。近几期内容想在大家都感叹大势艰难的开年时刻,一起溯回本源,思考漏洞在推动互联网发展和完善中起到的进步力量,看清未来发展的方向。
第一章
善与恶:漏洞是造成危害,还是推动进步
在漏洞的海洋里,我们看到的永远只是浪花。
我一直在思考一个问题,什么是推动互联网发展和完善的动力。按照马克思主义的哲学观点,社会基本矛盾是社会进步的根本动力;社会进步是社会本身的自我否定即“扬弃”的过程。
在互联网领域,矛盾体现在哪里呢?体现在技术、设备、制度、行为的缺陷方面,也就是人们常说的“漏洞”。
漏洞有危害吗?答案无疑是肯定的,危害通常就发生在身边,还毫无察觉。
漏洞只有坏处吗?不,它还在推动互联网的革命和进步。
从技术发展的角度来看,人从会使用工具开始,到逐渐掌握各种客观规律,再到今天网络社会的高度发达,人的本质都是在尝试凭借自身的能力和外力工具来补上各种短板,克服漏洞,追求完善。所以,高尔基才说:“人生的意义就在于人的自我完善。”
因此,无论我们是否追求自我完善,无论我们的能力、金钱和社会地位如何,漏洞都会裹挟着我们,左右着我们的生活,时刻与我们相伴。
“一念善,皆是善。一念恶,皆为恶。”凭借掌握的漏洞,有人为恶,有人行善。人如是,社会也如是。
第一节 漏洞,源自人性的缺陷
曾经有领导问我:“漏洞是天生的吗?”我不假思索地回答:“是天生的。因为漏洞是客观存在,而且无法消灭干净的。”领导追问:“既然是天生的,为什么设计者自己找不出来,需要你们去找?而且,被利用的可以叫漏洞,没被利用,能叫漏洞吗?”这个问题引起了我的认真思考。
(一)天生缺陷,难免漏洞
辞典里对“漏洞”一词的解释有两个,一是小孔、缝隙;二是法律、法令、条约或协议中制订得不周密的地方,破绽。
我对漏洞的理解是:漏洞本质上是被利用的缺陷。就像一条船的船底和船舱门板上都有一个小孔,这两个小孔都是缺陷。其中,船底的小孔会导致进水,最终船毁人亡,所以它就是漏洞。
法律条文里可能有若干缺陷,能被利用的是漏洞,犯罪分子可能凭借漏洞逍遥法外;金融运行体制里也可能有不少缺陷,能被利用的才是漏洞,抓住这个漏洞可能赚得盆满钵满;甚至我们人也是一样,生来有多疑、贪婪等很多缺陷,一旦被利用,会带来失败和痛苦。
1946年2月,世界上第一台电子数字式计算机埃尼阿克在美国宾夕法尼亚大学正式投入运行,此后万维网逐渐建立,世界开始以一种更紧密的方式联系在一起。与技术相伴随的,是技术中存在的一个个缺陷。
“漏洞”一词,在有了互联网技术后,更多时候是一个被用于计算机领域的专有名词。由于缺陷是天生的,漏洞是不可避免的,因此网络被攻击是必然事件。
漏洞—利用人性的博弈
拿破仑曾经说:“我是我自己最大的敌人,也是自己不幸命运的起因。”人,与生俱来就有贪婪、自私、猜疑、虚荣、恐惧、固执等弱点,当这些缺陷被利用时,就演变成致命的漏洞。因此,我认为,漏洞存在三个支点:漏洞因人而生,因人心而用,因人性而决定使用之道。
三国时期,魏国派大将军司马懿挂帅进攻蜀国街亭,诸葛亮派马谡驻守失败后,司马懿率兵乘胜直逼西城,诸葛亮无兵迎敌。但他沉着镇定,大开城门,自己在城楼上弹琴唱曲。本就生性多疑的司马懿怀疑设有埋伏,引兵退去。这是《三国演义》第九十五回的故事,是民间著名的空城计故事。诸葛亮正是准确把握了司马懿多疑而谨慎这一心理缺陷,利用主帅的这个心理“漏洞”,使其错误判断了局势。
空城计并非诸葛亮首创,《三国演义》也不是第一本描述这一计策的书。作为心理战的一种重要方式,它源于我国古代的军事杰作《三十六计》。书中第三十一记“空城计”,就是充分利用人的猜疑这一弱点。原文中有一句“虚者虚之,疑中生疑”,说的就是让敌人在疑惑中更加产生疑惑,造成错觉,从而在敌众我寡的情况下惊退敌军的战术。
“心理战”,本质上研究的就是如何充分利用人心理上的缺陷,把其打造成致命漏洞的方法,军事活动中尤为多见。
诸葛亮和司马懿的这一战虽然是虚构的故事,但历史上确有许多真实战例。从我掌握的史料来看,我国历史上第一个使用空城计的例子可以追溯到春秋时期。
春秋时期,楚国的令尹公子元,在哥哥楚文王死后,非常想占有漂亮的嫂子文夫人。他用各种方法讨好,文夫人都无动于衷。于是他想建立功业,显示自己的能耐,以讨文夫人欢心。
公元前666年,公子元亲率浩浩荡荡的兵车六百乘攻打郑国。楚国大军一路连下几城,直逼郑国国都。郑国国力较弱,都城内更是兵力空虚,无法抵挡楚军的进犯。郑国危在旦夕,群臣慌乱,有的主张纳款请和,有的主张拼一死战,有的主张固守待援。这几种主张都难解国之危。上卿叔詹说:“请和与决战都非上策。固守待援,倒是可取的方案。郑国和齐国订有盟约,而今有难,齐国会出兵相助。只是空谈固守,恐怕也难守住。公子元伐郑,实际上是想邀功图名讨好文夫人。他—定急于求成,又特别害怕失败。我有一计,可退楚军。”
郑国按叔詹的计策,在城内作了安排。命令士兵全部埋伏起来,不让敌人看见一兵—卒。大开城门,放下吊桥,摆出完全不设防的样子。又令店铺照常开门,百姓往来如常,不准露一丝慌乱之色。楚军先锋到达郑国都城城下,见此情景,心里起了怀疑,莫非城中有埋伏,诱我中计?先锋不敢妄动,等待公子元。公子元赶到城下,也觉得好生奇怪。他率众将到城外高地眺望,见城中确实空虚,但又隐隐约约看到了郑国的旋旗甲士。公子元认为其中有诈,不可贸然进攻,决定先进城探听虚实,于是按兵不动。
这时,齐国接到郑国的求援信,已联合鲁、宋两国发兵救郑。公子元闻报,知道三国兵到,楚军定不能胜。好在也打了几个胜仗,还是赶快撤退为妙。他害怕撤退时郑国军队会出城追击,于是下令全军连夜撤走,人衔枚,马裹蹄,不出一点声响。所有营寨都不拆走,族旗照旧飘扬。
第二天清晨,叔詹登城一望,说道:“楚军已经撤走。”众人见敌营族旗招展,不信已经撤军。叔詹说:“如果营中有人,怎会有那样多的飞鸟盘旋上下呢?他也用空城计在欺骗我,已急忙撤兵了。”
这就是中国历史上第一个使用空城计的战例。双方都使用了空城计,都是以为或者在想当然地以为自己利用了对方的弱点。在中国的战争史中,空城计、利用心理漏洞的案例屡见不鲜,毛泽东在解放战争中巧妙用计吓退了国民党的十万大军的案例堪称经典、精彩。
1948年10月下旬,当人民解放军在前线取得节节胜利的时候,中共中央得到北平地下党的紧急情报:驻守北平的蒋傅军,趁华北野战军主力远在绥远地区作战、冀中一线兵力空虚之际,决定以骑兵第九十四军、新编第二军共计10万余人的兵力,组织一支快速机动部队,经保定偷袭石家庄和西柏坡。
当时,解放军华北军区留守西柏坡的兵力只有1个约千人的团。华北军区共有3个兵团,一兵团在山西对付阎锡山部队,三兵团在绥远,只有二兵团在平绥路东段附近。从北平到石家庄只有600多里,其中北平到保定300里的铁路线基本被国民党军队控制。保定到石家庄也有300多里的路程,敌军快速机动部队只需两天,最多三天即可到达石家庄。华北二兵团从平绥路东段,即使日夜兼程,赶到保定以南地区也要四天,石家庄告急。
面对这一严峻形势,中共中央领导人立即紧急研究对策,进行了周密部署。
一方面,中共在军事上调动了部队和民兵以抗阻奔袭南进之敌;另一方面,运用新华社等媒体发动宣传攻势,揭露敌人的偷袭阴谋。在这场特殊的宣传战中,毛泽东亲自组织和撰写了几篇重要新闻。
第一篇是胡乔木起草、毛泽东修改的新闻稿《蒋傅军妄图突袭石家庄》(新华社10月25日播出),把蒋傅军企图突袭石家庄的消息及时公布于众。
第二条消息是毛泽东写的《华北各首长号召保石沿线人民准备迎击蒋傅军进扰)(新华社10月26日播出),把这次偷袭的兵力组成、指挥官名单、装备等,揭露得一清二楚。甚至是明明白白地告诉敌人,解放区军民早已做好充分准备,严阵以待,必将歼灭敢于来犯之敌。
第三篇是毛泽东写的口播稿《蒋傅军已进至保定以南之方顺桥》(新华社10月29日播出)。文章报道郑挺锋率其两个师在28日推进到保定以南的方顺桥地区,显示解放军对敌人的具体行动了如指掌,一切均在我掌握中。
第四篇是毛泽东写的述评稿《评蒋傅军梦想偷袭石家庄》(新华社10月31日播出)。这篇评述把国民党面临的垂死挣扎的局势、偷袭石家庄的真实意图和经过等,剖析得一清二楚。
新华社播发的这些新闻,起到了巨大的震慑作用。在华北军区第七纵队和地方武装的顽强阻击下,进扰之敌进展缓慢,10月30日进到定县以北的唐河后再不敢冒进。与此同时,华北野战军第三纵队也已陆续赶到。
这次偷袭的敌军指挥、第九十四军军长郑挺锋报告傅作义,称:“昨收听广播,得知对方对本军此次袭击石门(注:石家庄旧称石门)行动似有所警。广播谓本军附新二军两师拟袭石门,彼方既有所感,必然预有准备,袭击恐难收效。”傅作义得知阴谋暴露,大为吃惊,他见中共方面不仅详知自己的计划,做了准备,还有了歼灭部署。“疑中生疑”使他惧怕遭到埋伏,为了确保平津地区的防御,只好撤回军队,偷袭阴谋彻底破产。
这场中共与国民党的对战中,首先是中共利用对方的漏洞获取了重要的军事情报,又利用傅作义的心理漏洞,毛泽东巧妙运用舆论武器,发动宣传攻势,导演了一幕中国现代史上的“空城计”,成为历史上的一段佳话。
来源 360企业安全
|
评论
直达楼层