5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称WCry2.0),在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。
信仰决定架构,架构决定技术,技术决定安全。
从互联网架构设计的角度看,安全问题必然层出不穷,难以根除,并且以后还会发生。
互联网信仰的是“人人参与”的理念,即开放、平等和自由等。根据这一信仰,工程技术人员设计出了“端到端透明”的架构,即将与通信相关的部分(IP网络)与高层应用(端点)分离,最大限度地简化IP网络的设计,将尽可能多的复杂性和控制放在用户终端上。
这一架构的基本假设,就是控制在终端,网络的负责最小化。表现在安全方面,就是安全责任归用户。这就要求,每位网民都必须成为计算机专家,成为安全专家,为自己计算机的升级、维护和安全负责。
在互联网还用于教育科研的阶段,在还没有商用的阶段,用户主要是学者和大学生,这一假设是成立的:用户是专家,用户彼此信任。
但现在,让全球30亿网民都成为计算机专家和安全专家的假设,假设用户彼此信任,明显就不成立。
微软今年3月就发布了补丁,今年4月信息被公开,
如果你不是计算机安全专家,又怎么会注意到呢?
有两种思路来解决这一安全问题。
一是“自己不懂也不动”,
找安全专家帮忙,比如为自己的计算机和智能手机,安装值得信任的360、腾讯等的安全软件。
二是“自己不懂但搬家”,
用户把应用和数据迁移到云端,托管到安全防护能力更强的云端,比如阿里云等。
历史上,我们只有私有的保镖、护卫等“私有安全防护”,几乎没有公共安全服务,现代社会“公安机关”提供了一般型安全服务。在互联网的设计中,也没有公共安全服务的位置,安全只能靠自己,但现在云计算出现了,可以为托管到云端的数据,提供公共安全服务了。
“公安机关”和“云计算的安全”服务,一个虚拟世界,一个物理世界,提供的都是一般性公共安全服务。如果需要更高层级的安全,还需要“云保安”、“云围墙”、“云防盗门”、“云护卫”等。
在现代金融体系的设计中,需要无条件的信任央行。但2008年金融危机后,各国央行开始放水,于是去中心化发行货币的比特币,
2009年诞生了,从信任央行改为信任软件和算法。
比特币已经形成了“币圈”。
2017年以来,比特币价格已累计上涨80%,总市值超过500亿美元。
比特币是商品还是货币,各国政策观点不一。
区块链是比特币的底层技术,目标是发展成一种通用的平台型的分布式数据库技术,也正在形成自己的“链圈”。
比特币和区块链的优势,包括了去中心化、匿名和不可篡改等,这些信念还生活在理想国,只因比特币和区块链还没有长大。
1996年的2月,在瑞士达沃斯,电子前线基金会(ElectronicFrontier Foundation)的创始人之一约翰·佩里·巴洛,发表了“互联网宣言”:
“工业世界的政府们,你们这些令人生厌的铁血巨人们,我来自网络世界——一个崭新的心灵家园。作为未来的代言人,我代表未来,要求过去的你们别管我们。在我们这里,你们并不受欢迎。在我们聚集的地方,你们没有主权……”
而比特币和区块链所标榜的这些理想和信念,几乎与21年前的“互联网宣言”完全一致。去年爆发的theDAO事件,暴露了“不可篡改”与现实世界的冲突;现在爆发的“比特币勒索病毒”,又反映了匿名化带来的新问题。
区块链的理想和宣言,也会像21年前《互联网宣言》一样的结果吗?
