Re: [问题] 为何顶尖骇客都是年轻人没有老头大叔?
楼主: mana1993 (默莫) 2025-10-18 13:14:38
※ 引述《howtotell (猫在钢琴上昏倒了)》之铭言:
: → yshinri: 是这么说他的: “如果你还没读过很多计算机历史, 10/18 11:
02
: → yshinri: 这里破个梗:你会一直看到 Ken Thompson” 10/18 11:
02
: → yshinri: 话说这篇提到 Unix 系统, 他跟 C 语言之父 Dennis Richie 10/18 11:
04
: → yshinri: 在 1983 因为 Unix 跟作业系统相关贡献获得图灵奖 10/18 11:
04
: → yshinri: 他的受讲讲稿非常有趣, 读完会让你对资安有进一步的思考 10/18 11:
05
: → yshinri: 标题叫《Reflections on Trusting Trust》 10/18 11:
06
: → yshinri: *受奖讲稿 10/18 11:
06
: 好奇看了一下
: 这在现代完全不可能做到啊 是真的完全不可能
: 你身为一个厨师
: 你能做的只有料理食物
: 你是不可能养牛种菜全部都自己来的
: 种菜有没有用农药 ?
: 牛有没有吃激素药物 ?
: 就算是有机 附近水源有没有被污染 ?
: 无论是多顶尖的厨师都没办法做到控管所有的环节
: 资讯系统也是一样
: 现在都有针对主机板韧体的攻击了
: 一个写软件的大神可以去做韧体甚至自己搞板子 ? 怎么可能...
: 大神很神是没错 但不可能神到这种程度
: 这番话就跟我说如果一个人能跑赢光 他就能拿跑步冠军是一样的
: 说的没错啊 但前提就不可能做到
: 资安不是无限上纲贩卖恐惧
: 每个卖资安设备的都说没有我家的设备你出事了会缺东缺西
: 对啊 但是我公司的预算就是这么多啊
: 光是大家最瞧不起的收log就要花一堆钱 log跟垃圾没什么差别
: 只有真的要查事件的时候log才有价值
: 平常的log就肥的跟猪一样 然后躺在那边 毫无用处 还会有各种莫名其妙的问题
: 很多东西就是理想很美好
: 但不好意思 做不到 而且是完全不可能做到 再厉害的公司也是做不到
: 做不到...就是说爽的
: 资安不是美好的漂亮话 资安是个妥协啊
: 《Reflections on Trusting Trust》(〈信任信任的反思〉)是电脑科学家 Ken
: Thompson(肯・汤普森) 在 1984 年获得图灵奖时发表的经典演讲与论文。这篇文章
探
: 讨了软件信任与编译器安全的根本问题,被视为电脑安全领域的里程碑之一。
: 以下是重点摘要:
: 一、主题概述
: Thompson 谈论“信任”在软件世界中的意义——尤其是:
: 我们为什么相信一个程式能如我们所见那样运作?
: 他指出,即使我们能检视程式码,也无法完全确定它没有被恶意修改,因为问题可能存
在
: 于更底层的工具(例如编译器或作业系统)中。
: 二、核心实验与概念
: Thompson 描述了一个著名的“自我复制后门”实验:
: 他在 C 编译器(cc) 的原始码中加入一个后门,使得每当编译 login 程式 时,会偷
偷
: 插入能让他以任意帐号登入的恶意程式码。
: 接着,他又修改了 编译器本身的原始码,让它在重新编译自己时自动加入该后门,即
使
: 之后删掉恶意程式码的原始码也没用。
: 结果是:任何用这个被污染的编译器编译出来的系统,都会有后门,而程式码本身看不
出
: 任何异状。
: 这实验证明:
: “你不能信任你自己没有完全从头建造的任何软件。”
: 三、深层意涵
: Thompson 的论文揭示出:
: 开放原始码也不代表安全,因为编译工具链本身可能已被污染。
: 信任的链条(trust chain)无限下延——我们信任的基础永远有一层更底层的假设。
: 安全最终是社会问题,不是纯技术问题;我们必须建立透明与验证机制来确保信任。
: 四、后续影响
: 启发了可重现编译(Reproducible Build)、双编译验证(Diverse Double-Compiling
)
: 等现代安全方法。
: 成为软件供应链安全、信任根(Root of Trust)等概念的理论基础。
: 总结一句话
: Ken Thompson 用一个简单的编译器实验,提醒世人:
: 真正的安全,不只是防骇客,更是防“信任”。
补充一下,所谓资安的妥协,不只是现实与成本的妥协,更是与使用者之间感受的妥协
以网络安全为例,有可能做到完美的病毒与木马隔离吗?
有可能。
但前提是,你能接受光打开个网页就要等上数分钟。
所以在资安的世界里,有一个最广泛的安全目标,就是在多少时间内防止对手攻击成功。
只要能够做到,那么基本上你的安全防护就算有完成。
不过在现今的资安世界里,比起单纯的软硬件攻击,社交工程反而更让人防不胜防。
: → yshinri: 是这么说他的: “如果你还没读过很多计算机历史, 10/18 11:
02
: → yshinri: 这里破个梗:你会一直看到 Ken Thompson” 10/18 11:
02
: → yshinri: 话说这篇提到 Unix 系统, 他跟 C 语言之父 Dennis Richie 10/18 11:
04
: → yshinri: 在 1983 因为 Unix 跟作业系统相关贡献获得图灵奖 10/18 11:
04
: → yshinri: 他的受讲讲稿非常有趣, 读完会让你对资安有进一步的思考 10/18 11:
05
: → yshinri: 标题叫《Reflections on Trusting Trust》 10/18 11:
06
: → yshinri: *受奖讲稿 10/18 11:
06
: 好奇看了一下
: 这在现代完全不可能做到啊 是真的完全不可能
: 你身为一个厨师
: 你能做的只有料理食物
: 你是不可能养牛种菜全部都自己来的
: 种菜有没有用农药 ?
: 牛有没有吃激素药物 ?
: 就算是有机 附近水源有没有被污染 ?
: 无论是多顶尖的厨师都没办法做到控管所有的环节
: 资讯系统也是一样
: 现在都有针对主机板韧体的攻击了
: 一个写软件的大神可以去做韧体甚至自己搞板子 ? 怎么可能...
: 大神很神是没错 但不可能神到这种程度
: 这番话就跟我说如果一个人能跑赢光 他就能拿跑步冠军是一样的
: 说的没错啊 但前提就不可能做到
: 资安不是无限上纲贩卖恐惧
: 每个卖资安设备的都说没有我家的设备你出事了会缺东缺西
: 对啊 但是我公司的预算就是这么多啊
: 光是大家最瞧不起的收log就要花一堆钱 log跟垃圾没什么差别
: 只有真的要查事件的时候log才有价值
: 平常的log就肥的跟猪一样 然后躺在那边 毫无用处 还会有各种莫名其妙的问题
: 很多东西就是理想很美好
: 但不好意思 做不到 而且是完全不可能做到 再厉害的公司也是做不到
: 做不到...就是说爽的
: 资安不是美好的漂亮话 资安是个妥协啊
: 《Reflections on Trusting Trust》(〈信任信任的反思〉)是电脑科学家 Ken
: Thompson(肯・汤普森) 在 1984 年获得图灵奖时发表的经典演讲与论文。这篇文章
探
: 讨了软件信任与编译器安全的根本问题,被视为电脑安全领域的里程碑之一。
: 以下是重点摘要:
: 一、主题概述
: Thompson 谈论“信任”在软件世界中的意义——尤其是:
: 我们为什么相信一个程式能如我们所见那样运作?
: 他指出,即使我们能检视程式码,也无法完全确定它没有被恶意修改,因为问题可能存
在
: 于更底层的工具(例如编译器或作业系统)中。
: 二、核心实验与概念
: Thompson 描述了一个著名的“自我复制后门”实验:
: 他在 C 编译器(cc) 的原始码中加入一个后门,使得每当编译 login 程式 时,会偷
偷
: 插入能让他以任意帐号登入的恶意程式码。
: 接着,他又修改了 编译器本身的原始码,让它在重新编译自己时自动加入该后门,即
使
: 之后删掉恶意程式码的原始码也没用。
: 结果是:任何用这个被污染的编译器编译出来的系统,都会有后门,而程式码本身看不
出
: 任何异状。
: 这实验证明:
: “你不能信任你自己没有完全从头建造的任何软件。”
: 三、深层意涵
: Thompson 的论文揭示出:
: 开放原始码也不代表安全,因为编译工具链本身可能已被污染。
: 信任的链条(trust chain)无限下延——我们信任的基础永远有一层更底层的假设。
: 安全最终是社会问题,不是纯技术问题;我们必须建立透明与验证机制来确保信任。
: 四、后续影响
: 启发了可重现编译(Reproducible Build)、双编译验证(Diverse Double-Compiling
)
: 等现代安全方法。
: 成为软件供应链安全、信任根(Root of Trust)等概念的理论基础。
: 总结一句话
: Ken Thompson 用一个简单的编译器实验,提醒世人:
: 真正的安全,不只是防骇客,更是防“信任”。
补充一下,所谓资安的妥协,不只是现实与成本的妥协,更是与使用者之间感受的妥协
以网络安全为例,有可能做到完美的病毒与木马隔离吗?
有可能。
但前提是,你能接受光打开个网页就要等上数分钟。
所以在资安的世界里,有一个最广泛的安全目标,就是在多少时间内防止对手攻击成功。
只要能够做到,那么基本上你的安全防护就算有完成。
不过在现今的资安世界里,比起单纯的软硬件攻击,社交工程反而更让人防不胜防。
作者: eva05s (◎) 2025-10-18 13:17:00
搞定人比搞定防火墙简单多了
作者: s8018572 (好想睡觉) 2025-10-18 13:18:00
搞社交工程 训练也比较低成本
作者: kuninaka 2025-10-18 13:28:00
这个逻辑可以类比到门锁只要能在能接受的时间挡住入侵就好无限上纲就没有意义了,例如过于复杂的密码规则
作者: yoyun10121 (yoyo) 2025-10-18 13:58:00
信用卡被盗刷, 马上打去痛骂银行不会控管然后买个steam被挡, 再打去痛骂银行管太多找麻烦
作者: Nitricacid (硝酸酸) 2025-10-18 14:30:00
光是请输入包含英文大小写与特殊符号的密码并且三个月更好一次就可以逼疯一些人了
作者: shlee (冷) 2025-10-18 15:51:00
现代资安政策朝向零信任在进行管控 光这点就很多使用者在哀哀叫了 这个不能连 那个不能用 还要提申请好麻烦blabla
作者: YCL13 (静默) 2025-10-18 15:51:00
觉得重点是不要树大招风
作者: peterw (死神从地狱归来) 2025-10-18 16:33:00
所以大家会信任谷歌帮用户生成的超复杂密码吗?标榜用户自己不用记,谷歌帮自动帮你记起来喔
楼主: mana1993 (默莫) 2025-10-18 18:54:00
我的做法是,比较没那么重要的网站,像是动画疯这种就让它帮我记。但真正重要的,简单来说就是与钱有关的,还是会自己来
