信息安全

索尼影業被黑,電子郵件未來值得深思

索尼影業被黑,電子郵件未來值得深思,即時聊天興起,電子郵件何去何從

自稱GOP的黑客組織在 GitHub 上匿名發表聲明,要求索尼取消上映新片《刺殺金正恩》(The Interview,中國大陸譯名《採訪》,台灣譯名《名嘴出任務》)。本周三,索尼影業(Sony Pictures Entertainment)宣布取消《刺殺金正恩》原定的首映式。這是繼數周前該公司被黑客入侵電腦系統後,發生的又一起戲劇性事件。不久前,該公司內部電子郵件遭到故意泄露,之後幾家全美最大的影院遭到威脅,決定撤出放映計劃。The Interview

此事開啟了一個危險的先例。過去幾年,好萊塢為了避免得罪天朝而越來越多的將朝鮮作為電影中美帝個人英雄主義的主要政治敵人,如今朝鮮已經不能用了,以後還能讓誰來當這個「壞人」。

值得今天人們反思的是1940年在美國加入第二次世界大戰之前,當時仍和納粹德國保持良好的關係。由查理·卓別林自導自演的《大獨裁者》上映,它尖銳諷刺了納粹主義和阿道夫·希特勒。卓別林在片末說道:「機器人只有機械的思想和機械的心靈!」

作為技術男,我想索尼影業遭受攻擊事件最引人注目的不是索尼總裁Amy Pascal因郵件泄露而引發的個人危機也不是聯邦調查局介入調查,而是網路系統在黑客攻擊下的不堪一擊,面對威脅只好坐以待斃束手就擒。

如今,Email 已經延伸到我們生活的方方面面,簡訊、專業合作,乃至與親朋好友的玩笑。電子郵件並不是在黑客肆意的年代被設計的,是時候因安全問題而考慮下一個很少使用電子郵件的未來了,使用一些安全性更好的聊天軟體來進行線上交流,除非不得已需要保留書面記錄的時候採用電子郵件。

電子郵件的困境

今天人們所熟悉的電子郵件和控制它的協議設計於上世紀70年代早期,科學家與工程師正沉浸在 ARPANET(早期互聯網)的歡樂時光中,ARPANET 被設計用於連接幾個國家之間的大學和實驗室,其規模在今天看來相當小,並且當時的科研人員並沒有考慮到自己的網路會被政府間諜或是黑客攻擊。

換言之,創造者們並沒有把安全性融入電子郵件與生俱來的DNA中。

「電子郵件及網路所面臨的問題就是其增長速度遠遠超越了起初人們的預測。」 牛津互聯網研究所的Joss Wright說「因為設計時沒能把安全性放在首要位置,導致今天關於網路的協議在基礎上存在一大堆安全隱患。」

直到人們意識到其他人能夠讀取、複製他們的私人文件並且網路中真的有惡意用戶在這麼做的時候,一些通過數字密鑰形式加密端對端通信的安全特性逐漸被開發出來,例如 Pretty Good Privacy ( PGP ) 程序。pretty good privacy

PGP 通過生成一個公鑰和一個私鑰來進行加密,私鑰由你保存在自己的電腦上,公鑰保存在其他人手裡,當有人給你發郵件的時候,郵件通過公鑰進行加密,你收到郵件後通過自己唯一的私鑰才可以對信息解密。pgp

當然,要是丟失密鑰或忘記密碼就沒人能幫得了你了。

這種加密方式在易用性上存在很大的問題,首先你得看一大堆文檔來生成自己的公鑰和私鑰,學習成本太大造成一般用戶敬而遠之。其次,當你有了自己的公鑰和私鑰後還需要參加一個諸如「交換密鑰沙龍」之類的活動來和你的通信人交換彼此的公鑰,我想,能參加這種活動的大多是技術宅,能堅持使用的更是少之又少。呃,想要通過PGP加密的方式給萌妹子發送信息似乎不太現實。

那麼我們是否可以在網路上為 PGP 用戶建立一個公共伺服器以交換、認證公鑰呢?

Google 確實在 Gmail 中採用了端對端公鑰加密的方式,Google 的目標是讓普通用戶不必學習太多的背景知識就可以受益於強大的加密,GoogleGmail 用戶建立了公鑰伺服器,這樣 Gmail 就可以為用戶自動使用公鑰加密信息。不過這種解決方案帶來了另一個讓人頭疼的問題——集權。

如果你的所有信息全部都存儲在某家公司的伺服器上,一旦有人獲得該伺服器的訪問許可權,你就徹底暴露了,正如索尼高管所遇到的窘境。

所以將郵件服務分散到不同服務提供商似乎會安全些,在電子郵件誕生的早期,Gmail 尚未稱霸。互聯網上同時存在著很多可以選擇的電子郵箱服務。Aol, Hotmail,Yahoo等等。

電子郵件可以在不同公司的郵箱之間無障礙的互傳消息得益於一個通用的協議 Simple Mail Transfer Protocol (SMTP)。例如 Gmail 用戶之間發送郵件採用 Google 自定義的協議,如果是發送郵件給Yahoo或者其他用戶則採用 SMTP 協議。可以說是這個通用協議成就了電子郵件在今天的普及程度。今天還沒有其他的聊天、消息程序採用如此開放的方式。所以時至今日,電子郵件雖然在安全性上存在問題,但人們對它的依賴已經根深蒂固。SMTP

電子郵件的未來——閱後即焚(Snapchat)?

涉及到安全問題,如果從核心技術就存在問題那麼就真的無力回天了。最好 的辦法似乎就是一切重新設計了。我們可以重頭設計一個如 Snapchat 這樣具有端對端加密以及自動刪除聊天記錄等特性的聊天應用。snapchat

如今我們已經有太多的即時聊天軟體平台可供選擇,像 WhatsApp, iMessage, Google Hangouts等。每一個都有自己的特性。特別像是 WhatsApp 和 iMessage已經採用了端對端的加密形式來確保安全,而且一切都打包在成品之中,用戶不必像在電子郵件中使用 PGP 那樣費心去安裝插件,查閱文檔。在即使聊天軟體這麼猛的攻勢下電子郵件或許會在一些相對正式的情況下存活下來。

不過我們也不應該忘記電子郵件的一大優勢——通用協議,可以確保多家服務無障礙的通信。但時至今日,即時聊天領域還停留在一個分化的階段,不同軟體之間無法實現彼此通信。不過,或許還有人記得 JabberJabber 是一個開放源代碼組織產生的網路實時通信協議,Jabber 最有優勢的就是其通信協議,可以和多種即時通訊對接。第三方插件能讓 Jabber 用戶和 MSN、Yahoo Messager、ICQ等IM用戶相互通訊。由此可見Jabber是類似SMTP的東西。但在即時聊天的市場,Jabber 終究沒能流行起來,而且業界似乎並無心思採用一個通用的協議。1000px-Jabber_logo.svg

在索尼被黑事件後,短暫保存聊天記錄的聊天應用不知道會不會逐步替代電子郵件。

沒有絕對意義的安全,即使存在絕對安全的技術,只要有人參與的環節對別有用心的人來說還是會有機可趁的。

了解安全知識,以一個相對安全的姿勢進入互聯網吧。

Linux Story 編譯自:http://motherboard.vice.com/read/the-sony-hack-proves-we-need-to-replace-email
Linux Story 本文地址:http://www.linuxstory.org/the-sony-hack-proves-we-need-to-replace-email/

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0

You may also like

Leave a reply

您的電子郵箱地址不會被公開。 必填項已用 * 標註

此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

More in:信息安全

信息安全

安全能力交換協同應對DDoS

安全形勢的急劇惡化也催生出了海量的安全需求,大量安全廠商及網路運營商都投身到這場全球性的安全對抗戰役中,但是隨著網路攻擊在規模、複雜性及量級方面的不斷擴大,越來越多的網路安全廠商及運營商感覺到「力不從心」,大家都意識到應對現今的網路攻擊已不是一家公司或單一組織可以解決的。協作,必將成為未來網路安全領域最重要的發展方向。
信息安全

跳過開機密碼!修改 Windows 10 登錄密碼 :-)

設置密碼來保護自己的電腦數據安全是非常必要的,開機密碼能有效防止未經允許的人窺探自己的電腦。本文將介紹一種簡單的在CMD模式(無需密碼可進入)下簡單的重置開機密碼,並且保證數據原封不動,且安全有效,並提供防被破解方案。
信息安全

修復正向保密

對於 TLS(保障網路通信提供安全及數據完整性的一種安全協議),可能最大的抱怨是, TLS 握手動作緩慢,傳輸加密會造成很多 CPU 開銷。當然,如果配置正確這些都不是問題。最重要的通過 TLS 提高訪客訪問你網站的用戶體驗的一個特徵是會話恢復。會話恢復是指當再一次連接到那些主機時,通過存儲和重用以前的秘密信息。這大大減少了網路延遲和 CPU 的使用量。我們可以在網路伺服器和代理中啟用會話恢復,但是很容易違背正向保密。為了找出為什麼有實際標準的 TLS 庫(即 OpenSSL )會是一件壞事和如何避免搞砸 PFS ...