近期我很荣幸地在RSA 2012大会上进行了主题演讲。本届大会的主题是“密码如同利刃”(The Cipher is Mightier than the Sword)——这一主题源于Great Cipher的故事,该密码在1893年被破解前已经使用了近200年。对我而言,这则故事的启示是:密码(及所有信息)关乎生死,而且没有任何东西是牢不可破的,只是时间问题。
在此前我准备主题演讲时,偶然发现了《罗宾汉》(Robin Hood)这部电影。Russell Crowe(罗素·克洛)扮演的角色回想起父亲的教诲:不断成长,直至羊羔变成狮子。当他问及含义时,父亲回答到:“绝不放弃。”
不过,我认为这句话的含义更深远。它意味着,人们可以主宰自己的自由,就像皇室(狮子)那样,而且应该不断成长,直至彻底实现。
好莱坞向来能够以小窥大,一直以来,它就通过各种影片警示人们未来的安全挑战。最早是 1968 年出品的影片《富豪之家》(Hot Millions),该片刻画了一个骗子、贪污犯形象,此人利用保险公司计算机程序员职务之便挪用了数千美金。该片凸显了社会工程学、身份欺骗、内部权限滥用和徇私枉法等问题。
类似的影片还有展现黑客高超技能的《战争游戏》(War Games)、让我们担心隐私和网络恐怖主义的《国家公敌》(Enemy of the State),以及《东西战争》(Jumping Jack Flash)、《通天神偷》(Sneakers)、《黑客帝国》(The Matrix)、《虎胆龙威4》(4Die Hard 4)等。
实际上,好莱坞编剧们之所以会编写与安全相关的“影视大餐”,是因为安全方面具备极大的可看性,并 且具备一定的真实性。主要原因有:第一,大量的机会。如今的设备数以十亿计,而且将在这个十年末攀升至500亿,因此,绝不缺少机会。第二,动机。因为这与金钱、信息(信息就是力量)、目的(可成为极为强大的动力)或破坏(例如,意在延迟伊朗核计划的行动)直接相关。最后,能力。由于工具和技术的可获取性以及可以承受的学习成本,使得黑客们能够较为容易得获得成功。
我们已从大型机和集中计算发展到 Windows、Apple和Linux,进而发展到实时操作系统和嵌入式系统。互联设备数量正呈爆炸式增长……而且未来注定是嵌入式设备的世界,由此带来的风险可谓前所未有地高。
以一型糖尿病患者为例,约50%的患者需要使用胰岛素泵来自动调节血糖。胰岛素泵是微小的嵌入式设备,内置必要的操作系统和芯片,用来控制移动部件,包括以所需速率调整胰岛素的泵。但是,很多人并不知道所有这些设备都是微小的计算机系统……它们甚至也能置人于死地。
为了实现让非保护对象更安全的目标,我们必须承认我们的不足。每当我们认为我们的保护已经足够完善时,都会发现在安全防护能力方面仍然差距不小。于是,我们会采取一些“非常规手段”来加以应对。然而,签名和黑名单已成为过去时。我们必须迈向白名单的世界——确切而言,是灰色的世界。要能够了解什么是安全的、什么是危险的、什么样的需求亟待解决,让用户来决定我们的声誉。
我们需要更深层次的安全保护。我们生活在操作系统、应用程序的世界里,我们已经进入了虚拟世界。但威胁并不止于此处,它们更加深入地渗透到了 BIOS、固件和辅助芯片中。这里正是我们的用武之地,有太多的领域等待我们挖掘,如安全管理、设备完整性(安全引导)、身份(确保使用键盘的人是设备所有者)、隐私(保护个人信息)和弹性(发生事故时快速恢复)。因此,新一代安全将以“控制”为核心——控制权限、控制执行、控制恢复。
2012年,我们将看到各类攻击相对2011年会有增无减。我相信,一些攻击可能是您已想到的,而一些攻击可能是您始料未及的。无论何种攻击,请记住,您是它们“命运”的主宰者。绝不放弃,绝不要忘记这条教义——不断成长,直至羊羔变成狮子。
