鬼仔's Blog

来源：http://hi.baidu.com/tombkeeper

以下是2006年8月19日在B105技术沙龙演讲的讲稿。

2006.08.13

信息安全走向漫谈

村长<airsupply#0x557.org>邀我来B105沙龙和大家闲扯。而我近来的工作是拉磨居多，接客其次，实在没有什么新货。村 长说：不必讲技术，可以谈谈“信息安全的现状和未来”。我思前想后，觉得这个题目纲领性太强，我这点资历讲起来显然自不量力。还是改称“信息安全走向漫谈 ”显得比较低调。漫谈漫谈，就是漫天乱谈，谈错了不要紧。万一谈得对，就算蒙上了。

1、学什么技术不会过时？

常有人跟我发牢骚，说搞技术太累，总要学新东西。还总问，安全技术未来的方向是什么，学什么技术不会过时，五年十年之后还能混饭？

每到这时我都很尴尬，不知道应该说什么。

有些朋友知道，我读了五年医科大学。很多人认为医生是一个稳定的职业，医学是保值的知识，学完了就可以躺在上面吃一辈子。其实恰恰相反。稍大一点的医院都 有自己的图书馆。年轻医生就不用说了，很多六十多岁的老医生上门诊，抽屉里还放着一本专业书，有病人的时候就给人看病，没病人就拉开抽屉看书。以前儿科的 老主任对我说过：干医生这一行，半个月不去图书馆读文献，就落后了。毛主席说“三天不学习，赶不上刘少奇。”医生这一行就是这样。

我们家乡有句俗话，叫“看别人吃豆腐觉得牙齿快”。很多技术人员都觉得销售这个活儿好干，工作就是吃喝玩乐混关系，挣钱又多，还不费脑子。我只能说“那你 去试试看吧”。先甭说销售绝对不是不费脑子的活儿，也绝对不是光靠“吃喝玩乐混关系”就行的。就算是，这“吃喝玩乐混关系”七个字岂是简单的？谁刚从台上 下来满怀落寞但还有一些重要关系？谁虽然只是个普通教授但是诸多弟子都身居要职？谁手里有指标但自己不能完全做主？谁行政级别高但没有实权？新上来一把手 是爱人民币爱高尔夫爱燕鲍翅还是爱制服捆绑？京城里何处灯最红何处酒最绿？——这些信息都是动态的，变化的，而且靠订阅邮件列表和看BBS是得不到的。不 收集，不学习，咋整？

公交车站牌上贴的那些招聘职位，没有学历要求，只要“形象好，气质佳，思想开放”就可以“日薪1500以上”，这个钱挣起来算是容易又轻松了吧？其实即便 从事这种地球上最古老的职业，学和不学那也是大大不同。苏小小、李师师的时代，要上头牌都得会琴棋书画，填词唱曲。到了十里洋场上海滩，根据才情高低也要 分出“书寓”、“长三”、“幺二”来，啥都不会就只能混“野鸡堂子”。现在没那么多讲究了，不过“一剑穿心毒龙钻，冰火红绳空中飞”这些基本业务总还得 学，要不然也还是“野鸡堂子”、Street-Walker的命。

那究竟有没有什么是学了不会过时的呢？学会学习的方法，学会从学习中获得快乐，这是永不过时的。如果享受不了汲取知识的快乐，那就不适合做任何需要脑力的工作。

2、信息安全的未来如何？

最近一两年，大家感觉信息安全形势比前两年要好些了，不再像2002、2003年的时候，漏洞满天飞，蠕虫遍地爬。于是有人开始担心：漏洞少了的确有利于信息安全，但这样下去，最终会不会导致我们失业？

对此我是这样看的：信息安全技术的发展将来一定会有技术方向上的变化，但不会有前途上的问题。

电影《笑傲江湖》中任我行说：“有人就有江湖 ”。从有马帮的那一天起，就有马贼；从有海船的那一天起，就有海盗。有盗贼怎么办？理论上靠官府，实际上靠自己。自己搞不定怎么办？花钱找镖局。几千年 来，什么时候这个格局改变过？过去镖局保的是金银，今天我们保的，归根结底也还是金银。从这个意义上讲，我们这个行业其实是镖局发展进入信息时代后，出现 前面说的“技术方向上的变化”，而化生出来的。

所以，只要人类社会还存在信息交换行为，只要这些信息交换涉及到利益，就会有人试图改变这些利益的分配规则，就会有对信息安全的需求。百川归大海，这是一个根本法则，不管中间怎么九曲十八弯，最终，这个根本法则是不会有什么变化的。

大家感觉信息安全形势比前两年要好，可能一个主要原因就是看到软硬件厂商对安全越来越重视，安全措施越来越多。而看起来，比较严重的安全漏洞似乎有减少的 趋势。互联网上几乎每台机器都有防火墙保护。新的Fedora Core默认开启了Linux的很多安全特性，而且看起来以后会一直这样下去。微软将要发布的Vista也似乎是一个强健无比的系统。这一切仿佛都在暗示 信息安全会成为一个历史阶段性的事物，随着安全形势的进一步好转，这个行业也会逐渐淡去。

下面我们具体来谈谈这些问题。

Vista是个纸老虎

很多搞Windows安全的人最近都着实被微软的Vista给吓着了，觉得以后Windows就安全了，没什么可搞了。微软号称这个系统比前代大大增强了 安全性。不过大家别忘了，微软推出Windows 2000的时候是这么宣传的，推出Windows XP的时候是这么宣传的，推出Windows 2003的时候也是这么宣传的。

当然，实事求是地说，从我们最近一段时间对Vista Beta版的研究来看，这个新系统的确采取了很多新的安全特性，大大增加了传统漏洞的利用难度；新的开发过程和开发工具也的确降低了漏洞发生的几率，比起之前的产品在安全上可以说有一个大飞跃。

但关键问题是：人们真的会接受这样一个用大量确认窗口和限制措施来虐待用户的操作系统么？更别提可怕的资源占用和乌龟般的速度了。至少我是绝对不会用这个 东西的。估计在Vista正式上市后，各种Windows优化软件肯定会立即提供关闭这些安全特性的功能。

信息安全，信息为肉，安全为骨。肉无骨则不立，骨无肉则不活。蚯蚓之类，只有肉没有骨，尚可以慢慢蠕动，可以不太精彩地活下去；但是没有肉，光剩骨头，什 么动物也活不了。安全措施对用户的扰动越小，就越容易被接受。时刻发挥作用，却几乎感觉不到它的存在，这就是安全工作的至善境界，也是最难达到的目标。要 不然为什么杜雷斯的超薄型卖得贵还那么受欢迎。

在我看来，Vista就是个至少一厘米厚的杜雷斯。

任何企业的目标都是挣钱，只有当维护用户安全和挣钱这个目标恰好吻合时，它就会设法增强用户安全，如果维护用户安全影响了挣钱这个目标，它一定会考虑重新调整两边的砝码。

今天我在这里关起门来做个大胆的预言：Vista终将成为一个类似Windows ME那样没什么人愿意用的失败产品。微软甚至可能会在Vista后续的Service Pack或者下一代操作系统中取消或者减弱一些影响用户体验的强制安全特性。

另外，这个一厘米厚的杜雷斯是否真的就比0.03mm的超薄型安全333.33倍？值得怀疑。Windows 95只有1500万行代码，Windows 98有1800万行代码，Windows XP 有3500万行。Vista 则有5000万行，比XP多出了40%。新代码带来新功能，同样，新代码也必然会引入新漏洞。

毛主席说过，“一切反动派都是纸老虎。看起来，反动派的样子是可怕的，但是实际上并没有什么了不起的力量。从长远的观点看问题，真正强大的力量不是属于反 动派，而是属于人民。”在我看来，Vista也很可能是个纸老虎。假以时日，纸老虎的软裆必然会被一一发现。

退一步讲，即便Vista、Fedora Core等为代表的新一拨操作系统真的是一个漏洞都没有了，从整体上看，信息安全态势仍然不乐观。