信息安全走向漫谈(四)

未来，各行各业各领域都将数字化，生活的方方面面都离不开信息技术。各种不同的信息技术交织在一起，构成巨大的宏信息世界，比我们现在的互联网大得多，复杂得多。安全问题也会随之复杂和严重。现在个人电脑上那一点点漏洞到那时候看就很渺小了。想想看，以前是你的电脑被入侵，以后你的电饭锅被入侵；过去是让你上网慢，以后让你吃夹生饭。

既然这样，为什么我们还要用信息技术呢？这一页PPT的标题叫做“信息技术是个狐狸精”。狐狸精，大家知道是什么吧，就是你知道她可能会害你，但身不由己。为什么呢？还是因为好，足够好到让你愿意冒这个险。

上高中时候，学摄影，用胶片，大夏天也要自己闷在暗房里冲洗。现在都是数码相机，随拍随看，多么方便。上大学的时候，大家都用“Walk-Man”，阔气一点的听随身CD、MD。现在一个火柴盒大小的MP3就都搞定了，价钱也便宜。

我在网上买过一个二手CF卡。拿回来，用数据恢复软件一看，里面有几张刑事案件的现场照片，血迹斑斑。还拍了受害人。这个卡不知道是哪个派出所淘汰下来的。如果追究起来，肯定要有人受到不好的影响。这种事情，在用胶片的时代不会有。但今天，新问题就出现了。

这些是什么啊？是狐狸精。狐狸精太好了，你很难舍弃。但糖衣好吃，炮弹难挡。信息技术发展的这么快，配套的安全很难跟得上。大家想想，汽车发明多少年后才有的安全带、安全气囊？有了安全带、安全气囊，每年还要车祸死多少人？每年车祸死这么多人，大家是不是还一样开车？这就是狐狸精，死都离不开。

今年世界杯，就有人提出，要在每个球员身上装RFID，对球员进行实时精确定位，用来作为裁判的辅助依据。虽然最后没有这么干，但这一天迟早会到来（注：后来才知道，马拉松比赛已经开始用RFID来跟踪选手的位置）。

（此处省略几页对RFID安全问题科普讲解的PPT内容）

刚才讲的比较科幻。落到现实中来，你我能看到的未来若干年中，可能的新热点有：Wi-Fi、蓝牙、WiMax、UWB等无线通信技术的安全问题，RFID的安全问题，消费类个人电子产品的安全问题，数字家电的安全问题，等等。

人类社会用信息技术越多，意味着越多的的财富和荣誉将由数字介质承载，越多的风险将是信息安全风险，信息安全技术就越重要，这个职业就越重要。

现在国外有种职业叫保安顾问，保障你现实世界的安全。有为企业服务的，也有为个人服务的。我瞎猜一下：在未来，可能要有类似这样的信息安全顾问。而且可能比较普及，就像现在国外的私人医生、私人律师一样。 退一万步说：信息安全企业也许会消失，但信息安全这个职业永远不会消失——只要人类还使用信息技术。

谢谢大家。

---

以上四篇“漫谈”是根据当时讲的PPT和备注整理出来的。当时讲的肯定比这些要多，不过大致的意思就这些，主要是“红旗还能打多久”的问题。当时Vista刚刚出来，初步研究后，自己也想过“红旗还能打多久”，所以借B105沙龙，把一些想法和大家分享了一下。

如果仅从技术角度着眼，那么，今天你搞不出来，就会认为红旗要倒了；明天搞出来了，就会认为红旗还能飘。但是从事物发展的一般规律来看，红旗绝不会一套新技术新办法就倒了。

就像挖石油。刚开始油多，好挖，随便一锹下去就喷一身，所以区分度不明显。后来油慢慢少了，难挖的油田也要挖，还是能挖出来。万一有天油真挖光了，怎么办？别忘了，挖油以前，这把锹是挖煤的，挖煤以前，这把锹是挖土的。脚下油没了，头上还有氦三。

这是我当时的观点，现在也还是这么认为的。不过现在更有底气一点。因为，今天即使从技术角度看，红旗也还能打几天。

我去年在一篇Blog中写过，对部分类型的漏洞来说，DEP+ALSR+SEHOP已经浮云。后来在SSCON 2009上讲《安全漏洞的下一个十年》，提了未来对抗这些的办法大致可以分成两类：一类很黄，一类很暴力。也给大家看了一个“很黄”的PoC（谢谢vessial的整理，省得我写了）。之所以用那个PoC，是因为它非常PoC，无害，又刚好能说明点问题。

那天yuange在Full Disclosure上发了张图（http://seclists.org/fulldisclosure/2010/Jan/614），我没看到那张图，不过从留在Full Disclosure里那行信息来看，用的可能也是“很黄”的一类办法。不过那应该已经超越PoC的范畴了。估计也就因为这个，所以现在图已经看不到。不过这至少可以告诉大家：红旗还在飘。