Re: [问题] 为何顶尖骇客都是年轻人没有老头大叔?
楼主: howtotell (工作的日子) 2025-10-18 12:02:27
→ yshinri: 是这么说他的: “如果你还没读过很多计算机历史, 10/18 11:02
→ yshinri: 这里破个梗:你会一直看到 Ken Thompson” 10/18 11:02
→ yshinri: 话说这篇提到 Unix 系统, 他跟 C 语言之父 Dennis Richie 10/18 11:04
→ yshinri: 在 1983 因为 Unix 跟作业系统相关贡献获得图灵奖 10/18 11:04
→ yshinri: 他的受讲讲稿非常有趣, 读完会让你对资安有进一步的思考 10/18 11:05
→ yshinri: 标题叫《Reflections on Trusting Trust》 10/18 11:06
→ yshinri: *受奖讲稿 10/18 11:06
好奇看了一下
这在现代完全不可能做到啊 是真的完全不可能
你身为一个厨师
你能做的只有料理食物
你是不可能养牛种菜全部都自己来的
种菜有没有用农药 ?
牛有没有吃激素药物 ?
就算是有机 附近水源有没有被污染 ?
无论是多顶尖的厨师都没办法做到控管所有的环节
资讯系统也是一样
现在都有针对主机板韧体的攻击了
一个写软件的大神可以去做韧体甚至自己搞板子 ? 怎么可能...
大神很神是没错 但不可能神到这种程度
这番话就跟我说如果一个人能跑赢光 他就能拿跑步冠军是一样的
说的没错啊 但前提就不可能做到
资安不是无限上纲贩卖恐惧
每个卖资安设备的都说没有我家的设备你出事了会缺东缺西
对啊 但是我公司的预算就是这么多啊
光是大家最瞧不起的收log就要花一堆钱 log跟垃圾没什么差别
只有真的要查事件的时候log才有价值
平常的log就肥的跟猪一样 然后躺在那边 毫无用处 还会有各种莫名其妙的问题
很多东西就是理想很美好
但不好意思 做不到 而且是完全不可能做到 再厉害的公司也是做不到
做不到...就是说爽的
资安不是美好的漂亮话 资安是个妥协啊
《Reflections on Trusting Trust》(〈信任信任的反思〉)是电脑科学家 Ken
Thompson(肯・汤普森) 在 1984 年获得图灵奖时发表的经典演讲与论文。这篇文章探
讨了软件信任与编译器安全的根本问题,被视为电脑安全领域的里程碑之一。
以下是重点摘要:
一、主题概述
Thompson 谈论“信任”在软件世界中的意义——尤其是:
我们为什么相信一个程式能如我们所见那样运作?
他指出,即使我们能检视程式码,也无法完全确定它没有被恶意修改,因为问题可能存在
于更底层的工具(例如编译器或作业系统)中。
二、核心实验与概念
Thompson 描述了一个著名的“自我复制后门”实验:
他在 C 编译器(cc) 的原始码中加入一个后门,使得每当编译 login 程式 时,会偷偷
插入能让他以任意帐号登入的恶意程式码。
接着,他又修改了 编译器本身的原始码,让它在重新编译自己时自动加入该后门,即使
之后删掉恶意程式码的原始码也没用。
结果是:任何用这个被污染的编译器编译出来的系统,都会有后门,而程式码本身看不出
任何异状。
这实验证明:
“你不能信任你自己没有完全从头建造的任何软件。”
三、深层意涵
Thompson 的论文揭示出:
开放原始码也不代表安全,因为编译工具链本身可能已被污染。
信任的链条(trust chain)无限下延——我们信任的基础永远有一层更底层的假设。
安全最终是社会问题,不是纯技术问题;我们必须建立透明与验证机制来确保信任。
四、后续影响
启发了可重现编译(Reproducible Build)、双编译验证(Diverse Double-Compiling)
等现代安全方法。
成为软件供应链安全、信任根(Root of Trust)等概念的理论基础。
总结一句话
Ken Thompson 用一个简单的编译器实验,提醒世人:
真正的安全,不只是防骇客,更是防“信任”。
→ yshinri: 这里破个梗:你会一直看到 Ken Thompson” 10/18 11:02
→ yshinri: 话说这篇提到 Unix 系统, 他跟 C 语言之父 Dennis Richie 10/18 11:04
→ yshinri: 在 1983 因为 Unix 跟作业系统相关贡献获得图灵奖 10/18 11:04
→ yshinri: 他的受讲讲稿非常有趣, 读完会让你对资安有进一步的思考 10/18 11:05
→ yshinri: 标题叫《Reflections on Trusting Trust》 10/18 11:06
→ yshinri: *受奖讲稿 10/18 11:06
好奇看了一下
这在现代完全不可能做到啊 是真的完全不可能
你身为一个厨师
你能做的只有料理食物
你是不可能养牛种菜全部都自己来的
种菜有没有用农药 ?
牛有没有吃激素药物 ?
就算是有机 附近水源有没有被污染 ?
无论是多顶尖的厨师都没办法做到控管所有的环节
资讯系统也是一样
现在都有针对主机板韧体的攻击了
一个写软件的大神可以去做韧体甚至自己搞板子 ? 怎么可能...
大神很神是没错 但不可能神到这种程度
这番话就跟我说如果一个人能跑赢光 他就能拿跑步冠军是一样的
说的没错啊 但前提就不可能做到
资安不是无限上纲贩卖恐惧
每个卖资安设备的都说没有我家的设备你出事了会缺东缺西
对啊 但是我公司的预算就是这么多啊
光是大家最瞧不起的收log就要花一堆钱 log跟垃圾没什么差别
只有真的要查事件的时候log才有价值
平常的log就肥的跟猪一样 然后躺在那边 毫无用处 还会有各种莫名其妙的问题
很多东西就是理想很美好
但不好意思 做不到 而且是完全不可能做到 再厉害的公司也是做不到
做不到...就是说爽的
资安不是美好的漂亮话 资安是个妥协啊
《Reflections on Trusting Trust》(〈信任信任的反思〉)是电脑科学家 Ken
Thompson(肯・汤普森) 在 1984 年获得图灵奖时发表的经典演讲与论文。这篇文章探
讨了软件信任与编译器安全的根本问题,被视为电脑安全领域的里程碑之一。
以下是重点摘要:
一、主题概述
Thompson 谈论“信任”在软件世界中的意义——尤其是:
我们为什么相信一个程式能如我们所见那样运作?
他指出,即使我们能检视程式码,也无法完全确定它没有被恶意修改,因为问题可能存在
于更底层的工具(例如编译器或作业系统)中。
二、核心实验与概念
Thompson 描述了一个著名的“自我复制后门”实验:
他在 C 编译器(cc) 的原始码中加入一个后门,使得每当编译 login 程式 时,会偷偷
插入能让他以任意帐号登入的恶意程式码。
接着,他又修改了 编译器本身的原始码,让它在重新编译自己时自动加入该后门,即使
之后删掉恶意程式码的原始码也没用。
结果是:任何用这个被污染的编译器编译出来的系统,都会有后门,而程式码本身看不出
任何异状。
这实验证明:
“你不能信任你自己没有完全从头建造的任何软件。”
三、深层意涵
Thompson 的论文揭示出:
开放原始码也不代表安全,因为编译工具链本身可能已被污染。
信任的链条(trust chain)无限下延——我们信任的基础永远有一层更底层的假设。
安全最终是社会问题,不是纯技术问题;我们必须建立透明与验证机制来确保信任。
四、后续影响
启发了可重现编译(Reproducible Build)、双编译验证(Diverse Double-Compiling)
等现代安全方法。
成为软件供应链安全、信任根(Root of Trust)等概念的理论基础。
总结一句话
Ken Thompson 用一个简单的编译器实验,提醒世人:
真正的安全,不只是防骇客,更是防“信任”。
作者: yshinri (ISML实习分析师) 2024-10-18 11:02:00
是这么说他的: “如果你还没读过很多计算机历史,这里破个梗:你会一直看到 Ken Thompson”话说这篇提到 Unix 系统, 他跟 C 语言之父 Dennis Richie在 1983 因为 Unix 跟作业系统相关贡献获得图灵奖他的受讲讲稿非常有趣, 读完会让你对资安有进一步的思考标题叫《Reflections on Trusting Trust》*受奖讲稿
作者: uranus013 (Mara) 2025-10-18 12:32:00
让我想起上次PSN直接从客服骗帐密的案子
作者: r24694648 (damnTurtleggs) 2025-10-18 14:11:00
确实是很有意思,真的没有从这种根本的方向去想过
作者: b160160 (HG Life is Foo~~~) 2025-10-18 15:02:00
太有趣了
