像Apple一样,拒绝安全后门?还是来一发“蜜罐”吧!

看到题目能猜到火箭君要讲什么的,估计都是资深IT理工男。

苹果手机有“后门”吗?

话说,最近苹果公司CEO库克公开拒绝FBI要求其为苹果手机解锁信息的请求,库克还拒绝在手机上安装供政府使用的“后门”(即通过特殊手段可以绕过密码而访问手机内容的方式)。库克义正言辞,口口声声为苹果用户的隐私权着想,可是仍旧有美国群众不买账,他们认为恐怖主义横行的当下,每部手机都应该有方式可供国家安全部门审查(其中,包括美国总统候选人大热门“特朗普”,又名“主要不看气质而看发型的川普”)。

要是真的有“后门”可以审核手机内容,大家是不是有一种奥威尔笔下《1984》的既视感?反正,火箭君觉得太恐怖了!

和蜜罐有毛线关系?

火箭君今天要介绍的恰恰是一种在信息安全行业里新兴的“反后门”方式。这种方式被称之为“蜜罐加密”(Honey Encryption),该方式以创新的手段,极其有效率的阻止黑客或者“自诩正义”的某些部门窥探别人的信息。非常值得“效率火箭”向大家介绍一下这种效率手段。

总的来说,火箭君觉得,虽然这是行业效率手段,可以提高整体信息安全水平,也是可以启发我们日常生活中对各种安全问题的看法的,文末会有介绍。

首先,“蜜罐”就是 “Honey Pot”。俗话说,no money,no honey,无论是是蜂蜜还是甜心,都不是那么轻松可以得到的。在信息安全术语里,“蜜罐”是指一个诱饵,一个让黑客感兴趣的,而且故意暴露出来的系统。

你要是不能理解的话,就想象一下你在路边留下一个皮夹,里面没有现金,但是有几张银行卡,每张银行卡背面都清晰的写着提款密码,如果你真的这样做了,猜猜一个小时后你的银行账户里余额是多少?

对,这就是“蜜罐”,就是故意敞开大门随便你来搞。说到这里,小伙伴肯定已经惊讶的合不拢腿了吧,这个叫哪门子信息安全啊?

事实上,“蜜罐”最早被用于信息行业中的IDS(Intrusion Detection System),用来检测入侵程度。换言之,在路边扔个皮夹的目的就是为了看看这个社会风气如何,到底有多少人会拾金不昧,什么人会用什么手段去冒领钱款,最极端的就是“钓鱼执法”,公安局和银行说好,要是有个傻瓜拿着这张特殊的银行卡来取款就把他立刻拿下。

2014年下半年MIT的科研人员提出了基于“蜜罐”思路的一种新型加密方法,这种方法的神奇之处在于,故意设置“蜜罐”,让非法访问者获得预先留下的伪造信息。

这样做有什么好处呢?

就拿这次FBI要求苹果解锁手机来说,如果苹果不提供“后门”,FBI可能就要一遍又一遍尝试各种密码组合,直到破解手机,很多互联网上的黑客也是这样的,一遍又一遍尝试用常见的密码以及常见的系统漏洞来攻破系统,例如你的个人邮箱,社交账号等等(可以参见火箭君以前刊登的文章“十大弱智登录密码”)。

“蜜罐”的逻辑就是:既然要信息的话,就给你信息,但是这些信息都是伪造的,火箭君以前文章有提及一款自制的“Dummy Data”生成器,就可以派这个用处。还是以苹果手机为例,FBI输入密码时,尝试输入“911911”时,突然发现手机解锁了,(解锁担当 一定热泪盈眶),可是仔细看了一边手机内容,发现这个小子根本就是boring透顶,普普通通的邮件,中规中矩的风景照,没有任何敏感或者有价值的信息。最后只能放弃手机这个线索,转向其他途径。可是,手机其实根本没有解锁,只不过是提供了一个伪造信息的“入口”。

对于互联网数据库来说,这种“蜜罐”的好处不言而喻,一般自动攻击程序一旦得到结果就会停止攻击,而即使明白“蜜罐”逻辑的黑客,也很难反击,因为,只要精心构造“蜜罐”,黑客也不知道哪次返回的信息是真实的,当信息被隐藏于这个谎言森林中时,即使真实信息被泄漏,也很难被利用。

打个比方,你问同一个女生年龄十次,得到的答案却从“你猜”,“18”一直到“40”不等,即使当中有真实年龄,你还是不知道她的实际年龄以及女人心是什么做的。

重点在于启发

行文至此,火箭君要说的是,这种前沿的,有效率的信息安全手段看似离我们很远,但是受这种启发的应用例子却有好多好多,随便去应用商店搜一搜,看上去是一个带锁的时钟,或者是个计算器的App,事实上是个私密照片文件夹,这种例子比比皆是。

另外,各位有男票的女生,下次打开男票手机看看时留个心眼,满是风景照什么的显然不正常,别中了“蜜罐”,还不知道。

当然,即使知道了,装个糊涂,情商也是很重要的,况且让男票以为你不知道,继续使用这种手段,也算是另一种“蜜罐”吧?