信息安全

索尼影业被黑,电子邮件未来值得深思

索尼影业被黑,电子邮件未来值得深思,即时聊天兴起,电子邮件何去何从

自称GOP的黑客组织在 GitHub 上匿名发表声明,要求索尼取消上映新片《刺杀金正恩》(The Interview,中国大陆译名《采访》,台湾译名《名嘴出任务》)。本周三,索尼影业(Sony Pictures Entertainment)宣布取消《刺杀金正恩》原定的首映式。这是继数周前该公司被黑客入侵电脑系统后,发生的又一起戏剧性事件。不久前,该公司内部电子邮件遭到故意泄露,之后几家全美最大的影院遭到威胁,决定撤出放映计划。The Interview

此事开启了一个危险的先例。过去几年,好莱坞为了避免得罪天朝而越来越多的将朝鲜作为电影中美帝个人英雄主义的主要政治敌人,如今朝鲜已经不能用了,以后还能让谁来当这个“坏人”。

值得今天人们反思的是1940年在美国加入第二次世界大战之前,当时仍和纳粹德国保持良好的关系。由查理·卓别林自导自演的《大独裁者》上映,它尖锐讽刺了纳粹主义和阿道夫·希特勒。卓别林在片末说道:“机器人只有机械的思想和机械的心灵!”

作为技术男,我想索尼影业遭受攻击事件最引人注目的不是索尼总裁Amy Pascal因邮件泄露而引发的个人危机也不是联邦调查局介入调查,而是网络系统在黑客攻击下的不堪一击,面对威胁只好坐以待毙束手就擒。

如今,Email 已经延伸到我们生活的方方面面,简讯、专业合作,乃至与亲朋好友的玩笑。电子邮件并不是在黑客肆意的年代被设计的,是时候因安全问题而考虑下一个很少使用电子邮件的未来了,使用一些安全性更好的聊天软件来进行线上交流,除非不得已需要保留书面记录的时候采用电子邮件。

电子邮件的困境

今天人们所熟悉的电子邮件和控制它的协议设计于上世纪70年代早期,科学家与工程师正沉浸在 ARPANET(早期互联网)的欢乐时光中,ARPANET 被设计用于连接几个国家之间的大学和实验室,其规模在今天看来相当小,并且当时的科研人员并没有考虑到自己的网络会被政府间谍或是黑客攻击。

换言之,创造者们并没有把安全性融入电子邮件与生俱来的DNA中。

“电子邮件及网络所面临的问题就是其增长速度远远超越了起初人们的预测。” 牛津互联网研究所的Joss Wright说“因为设计时没能把安全性放在首要位置,导致今天关于网络的协议在基础上存在一大堆安全隐患。”

直到人们意识到其他人能够读取、复制他们的私人文件并且网络中真的有恶意用户在这么做的时候,一些通过数字密钥形式加密端对端通信的安全特性逐渐被开发出来,例如 Pretty Good Privacy ( PGP ) 程序。pretty good privacy

PGP 通过生成一个公钥和一个私钥来进行加密,私钥由你保存在自己的电脑上,公钥保存在其他人手里,当有人给你发邮件的时候,邮件通过公钥进行加密,你收到邮件后通过自己唯一的私钥才可以对信息解密。pgp

当然,要是丢失密钥或忘记密码就没人能帮得了你了。

这种加密方式在易用性上存在很大的问题,首先你得看一大堆文档来生成自己的公钥和私钥,学习成本太大造成一般用户敬而远之。其次,当你有了自己的公钥和私钥后还需要参加一个诸如“交换密钥沙龙”之类的活动来和你的通信人交换彼此的公钥,我想,能参加这种活动的大多是技术宅,能坚持使用的更是少之又少。呃,想要通过PGP加密的方式给萌妹子发送信息似乎不太现实。

那么我们是否可以在网络上为 PGP 用户建立一个公共服务器以交换、认证公钥呢?

Google 确实在 Gmail 中采用了端对端公钥加密的方式,Google 的目标是让普通用户不必学习太多的背景知识就可以受益于强大的加密,GoogleGmail 用户建立了公钥服务器,这样 Gmail 就可以为用户自动使用公钥加密信息。不过这种解决方案带来了另一个让人头疼的问题——集权。

如果你的所有信息全部都存储在某家公司的服务器上,一旦有人获得该服务器的访问权限,你就彻底暴露了,正如索尼高管所遇到的窘境。

所以将邮件服务分散到不同服务提供商似乎会安全些,在电子邮件诞生的早期,Gmail 尚未称霸。互联网上同时存在着很多可以选择的电子邮箱服务。Aol, Hotmail,Yahoo等等。

电子邮件可以在不同公司的邮箱之间无障碍的互传消息得益于一个通用的协议 Simple Mail Transfer Protocol (SMTP)。例如 Gmail 用户之间发送邮件采用 Google 自定义的协议,如果是发送邮件给Yahoo或者其他用户则采用 SMTP 协议。可以说是这个通用协议成就了电子邮件在今天的普及程度。今天还没有其他的聊天、消息程序采用如此开放的方式。所以时至今日,电子邮件虽然在安全性上存在问题,但人们对它的依赖已经根深蒂固。SMTP

电子邮件的未来——阅后即焚(Snapchat)?

涉及到安全问题,如果从核心技术就存在问题那么就真的无力回天了。最好 的办法似乎就是一切重新设计了。我们可以重头设计一个如 Snapchat 这样具有端对端加密以及自动删除聊天记录等特性的聊天应用。snapchat

如今我们已经有太多的即时聊天软件平台可供选择,像 WhatsApp, iMessage, Google Hangouts等。每一个都有自己的特性。特别像是 WhatsApp 和 iMessage已经采用了端对端的加密形式来确保安全,而且一切都打包在成品之中,用户不必像在电子邮件中使用 PGP 那样费心去安装插件,查阅文档。在即使聊天软件这么猛的攻势下电子邮件或许会在一些相对正式的情况下存活下来。

不过我们也不应该忘记电子邮件的一大优势——通用协议,可以确保多家服务无障碍的通信。但时至今日,即时聊天领域还停留在一个分化的阶段,不同软件之间无法实现彼此通信。不过,或许还有人记得 JabberJabber 是一个开放源代码组织产生的网络实时通信协议,Jabber 最有优势的就是其通信协议,可以和多种即时通讯对接。第三方插件能让 Jabber 用户和 MSN、Yahoo Messager、ICQ等IM用户相互通讯。由此可见Jabber是类似SMTP的东西。但在即时聊天的市场,Jabber 终究没能流行起来,而且业界似乎并无心思采用一个通用的协议。1000px-Jabber_logo.svg

在索尼被黑事件后,短暂保存聊天记录的聊天应用不知道会不会逐步替代电子邮件。

没有绝对意义的安全,即使存在绝对安全的技术,只要有人参与的环节对别有用心的人来说还是会有机可趁的。

了解安全知识,以一个相对安全的姿势进入互联网吧。

Linux Story 编译自:http://motherboard.vice.com/read/the-sony-hack-proves-we-need-to-replace-email
Linux Story 本文地址:http://www.linuxstory.org/the-sony-hack-proves-we-need-to-replace-email/

对这篇文章感觉如何?

太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0

You may also like

Leave a reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

More in:信息安全

信息安全

安全能力交换协同应对DDoS

安全形势的急剧恶化也催生出了海量的安全需求,大量安全厂商及网络运营商都投身到这场全球性的安全对抗战役中,但是随着网络攻击在规模、复杂性及量级方面的不断扩大,越来越多的网络安全厂商及运营商感觉到“力不从心”,大家都意识到应对现今的网络攻击已不是一家公司或单一组织可以解决的。协作,必将成为未来网络安全领域最重要的发展方向。
信息安全

跳过开机密码!修改 Windows 10 登录密码 :-)

设置密码来保护自己的电脑数据安全是非常必要的,开机密码能有效防止未经允许的人窥探自己的电脑。本文将介绍一种简单的在CMD模式(无需密码可进入)下简单的重置开机密码,并且保证数据原封不动,且安全有效,并提供防被破解方案。
信息安全

修复正向保密

对于 TLS(保障网络通信提供安全及数据完整性的一种安全协议),可能最大的抱怨是, TLS 握手动作缓慢,传输加密会造成很多 CPU 开销。当然,如果配置正确这些都不是问题。最重要的通过 TLS 提高访客访问你网站的用户体验的一个特征是会话恢复。会话恢复是指当再一次连接到那些主机时,通过存储和重用以前的秘密信息。这大大减少了网络延迟和 CPU 的使用量。我们可以在网络服务器和代理中启用会话恢复,但是很容易违背正向保密。为了找出为什么有实际标准的 TLS 库(即 OpenSSL )会是一件坏事和如何避免搞砸 PFS ...