Re: [問題] 為何頂尖駭客都是年輕人沒有老頭大叔?
※ 引述《howtotell (貓在鋼琴上昏倒了)》之銘言:
: → yshinri: 是這麼說他的: 「如果你還沒讀過很多計算機歷史, 10/18 11:
02
: → yshinri: 這裡破個梗:你會一直看到 Ken Thompson」 10/18 11:
02
: → yshinri: 話說這篇提到 Unix 系統, 他跟 C 語言之父 Dennis Richie 10/18 11:
04
: → yshinri: 在 1983 因為 Unix 跟作業系統相關貢獻獲得圖靈獎 10/18 11:
04
: → yshinri: 他的受講講稿非常有趣, 讀完會讓你對資安有進一步的思考 10/18 11:
05
: → yshinri: 標題叫《Reflections on Trusting Trust》 10/18 11:
06
: → yshinri: *受獎講稿 10/18 11:
06
: 好奇看了一下
: 這在現代完全不可能做到啊 是真的完全不可能
: 你身為一個廚師
: 你能做的只有料理食物
: 你是不可能養牛種菜全部都自己來的
: 種菜有沒有用農藥 ?
: 牛有沒有吃激素藥物 ?
: 就算是有機 附近水源有沒有被汙染 ?
: 無論是多頂尖的廚師都沒辦法做到控管所有的環節
: 資訊系統也是一樣
: 現在都有針對主機板韌體的攻擊了
: 一個寫軟體的大神可以去做韌體甚至自己搞板子 ? 怎麼可能...
: 大神很神是沒錯 但不可能神到這種程度
: 這番話就跟我說如果一個人能跑贏光 他就能拿跑步冠軍是一樣的
: 說的沒錯啊 但前提就不可能做到
: 資安不是無限上綱販賣恐懼
: 每個賣資安設備的都說沒有我家的設備你出事了會缺東缺西
: 對啊 但是我公司的預算就是這麼多啊
: 光是大家最瞧不起的收log就要花一堆錢 log跟垃圾沒甚麼差別
: 只有真的要查事件的時候log才有價值
: 平常的log就肥的跟豬一樣 然後躺在那邊 毫無用處 還會有各種莫名其妙的問題
: 很多東西就是理想很美好
: 但不好意思 做不到 而且是完全不可能做到 再厲害的公司也是做不到
: 做不到...就是說爽的
: 資安不是美好的漂亮話 資安是個妥協啊
: 《Reflections on Trusting Trust》(〈信任信任的反思〉)是電腦科學家 Ken
: Thompson(肯・湯普森) 在 1984 年獲得圖靈獎時發表的經典演講與論文。這篇文章
探
: 討了軟體信任與編譯器安全的根本問題,被視為電腦安全領域的里程碑之一。
: 以下是重點摘要:
: 一、主題概述
: Thompson 談論「信任」在軟體世界中的意義——尤其是:
: 我們為什麼相信一個程式能如我們所見那樣運作?
: 他指出,即使我們能檢視程式碼,也無法完全確定它沒有被惡意修改,因為問題可能存
在
: 於更底層的工具(例如編譯器或作業系統)中。
: 二、核心實驗與概念
: Thompson 描述了一個著名的「自我複製後門」實驗:
: 他在 C 編譯器(cc) 的原始碼中加入一個後門,使得每當編譯 login 程式 時,會偷
偷
: 插入能讓他以任意帳號登入的惡意程式碼。
: 接著,他又修改了 編譯器本身的原始碼,讓它在重新編譯自己時自動加入該後門,即
使
: 之後刪掉惡意程式碼的原始碼也沒用。
: 結果是:任何用這個被污染的編譯器編譯出來的系統,都會有後門,而程式碼本身看不
出
: 任何異狀。
: 這實驗證明:
: 「你不能信任你自己沒有完全從頭建造的任何軟體。」
: 三、深層意涵
: Thompson 的論文揭示出:
: 開放原始碼也不代表安全,因為編譯工具鏈本身可能已被污染。
: 信任的鏈條(trust chain)無限下延——我們信任的基礎永遠有一層更底層的假設。
: 安全最終是社會問題,不是純技術問題;我們必須建立透明與驗證機制來確保信任。
: 四、後續影響
: 啟發了可重現編譯(Reproducible Build)、雙編譯驗證(Diverse Double-Compiling
)
: 等現代安全方法。
: 成為軟體供應鏈安全、信任根(Root of Trust)等概念的理論基礎。
: 總結一句話
: Ken Thompson 用一個簡單的編譯器實驗,提醒世人:
: 真正的安全,不只是防駭客,更是防「信任」。
補充一下,所謂資安的妥協,不只是現實與成本的妥協,更是與使用者之間感受的妥協
以網路安全為例,有可能做到完美的病毒與木馬隔離嗎?
有可能。
但前提是,你能接受光打開個網頁就要等上數分鐘。
所以在資安的世界裡,有一個最廣泛的安全目標,就是在多少時間內防止對手攻擊成功。
只要能夠做到,那麼基本上你的安全防護就算有完成。
不過在現今的資安世界裡,比起單純的軟硬體攻擊,社交工程反而更讓人防不勝防。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.140.152.138 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1760764480.A.2FF.html
→
10/18 13:17,
13小時前
, 1F
10/18 13:17, 1F
推
10/18 13:18,
13小時前
, 2F
10/18 13:18, 2F
推
10/18 13:28,
12小時前
, 3F
10/18 13:28, 3F
→
10/18 13:29,
12小時前
, 4F
10/18 13:29, 4F
→
10/18 13:29,
12小時前
, 5F
10/18 13:29, 5F
→
10/18 13:58,
12小時前
, 6F
10/18 13:58, 6F
→
10/18 13:58,
12小時前
, 7F
10/18 13:58, 7F
推
10/18 14:30,
11小時前
, 8F
10/18 14:30, 8F
→
10/18 14:30,
11小時前
, 9F
10/18 14:30, 9F
推
10/18 15:51,
10小時前
, 10F
10/18 15:51, 10F
→
10/18 15:51,
10小時前
, 11F
10/18 15:51, 11F
推
10/18 15:51,
10小時前
, 12F
10/18 15:51, 12F
推
10/18 16:33,
9小時前
, 13F
10/18 16:33, 13F
→
10/18 16:33,
9小時前
, 14F
10/18 16:33, 14F
→
10/18 18:54,
7小時前
, 15F
10/18 18:54, 15F
→
10/18 18:54,
7小時前
, 16F
10/18 18:54, 16F
→
10/18 18:54,
7小時前
, 17F
10/18 18:54, 17F
討論串 (同標題文章)
完整討論串 (本文為第 4 之 4 篇):
C_Chat 近期熱門文章
PTT動漫區 即時熱門文章
8
23
12
19