如何看待安全圈的一些媒体文——安全不是要贩卖恐惧

这两天有人转给我中科院徐颖教授的一篇文章《北斗被“干掉”了？导航不安全？》，是针对我们去年做的GSP欺骗的，特别是这篇文章《你还敢用导航吗？独角兽“干掉”GPS和北斗导航》。我还奇怪，为什么这么久远的报道，又被翻出来骂呢？

而前几周也有另一场争论是关于LTE伪基站的。《呵呵！美女黑客攻击4G网络！呵呵...呵呵...呵》，针对的是我们在DEFCON24会议上讲的LTE重定向的问题。幸好后来有另一篇《彻底认识4G伪基站》替我们说了几句话。

就这两件事，随意谈一下个人看法，不代表公司和团队的看法哈。

安全研究员，可以看做是高级测试工程师，很多时候干的是在鸡蛋里挑骨头的事。在系统里寻找最隐蔽的错误，或者找到一个特别容易的路径到达一个已知的错误。GPS欺骗和LTE重定向，都属于后者。我们并没有在推动技术进步的道路上产生什么大的创新。漏洞挖掘和利用，往往是在拖技术进步的后腿。技术就在这种“推进”和“拖后腿”的拉扯中，螺旋式的前进着。

前几天看到一篇对@phunter_lau 的访问，他提到说“比如学 术界里面谁能想到新的点子新的方法找到新的发现就是先人一步，所以很多人着重于发现和证明新的idea，而西瓜老师提醒了我们，idea是最便宜的，干好了才是好，事实上后来看到的很多事例都证明了西瓜老师的看法是对的。”这段话让我感到“哇，我们被人理解了”。GPS模拟器确实早就有，一点也不新鲜，我们干得好的地方在于，发现这事可以用特别low-cost的方式实现了。请注意原演讲的标题中的‘low-cost’这个关键字。伪基站的研究也有点类似，我们用开源的软件实现了一种攻击路径，这会使得攻击的门槛大大降低。

这些攻击手段都是普通人很难遇到的，在国家安全的层面可能会遇到这类问题。举个安全圈类似的例子，8月25日苹果升级iOS9.3.5，据说是为了修复一个0day漏洞。这个漏洞曾被用于攻击一位阿联酋的民主活动家，这个攻击的花费（购买间谍软件什么的）据说高达几百万美元。这么昂贵的攻击，一般人也是享受不到的。如果新闻标题写成“苹果0day漏洞，你还敢用苹果吗？”，“赶快升级苹果系统吧，不然你就会被远程控制”，是不是觉得挺吓人的。但实际上你不升级，一般也不会有人拿几百万美元的间谍软件攻击你一个小老百姓，遭遇攻击的概率极小。

我特别赞同谭总@土人谭晓生 在今年ISC大会上的演讲，他在反思攻和防的平衡，他说“安全，贩卖的是恐惧吗？”我觉得，当然不是，我们不应该贩卖恐惧。所以将来，媒体发稿之前，我想我需要仔细评估他们的稿子，再允许他们发出去。

但是，我这人特别中庸，所以话说回来，你知道，如果一篇文章把事情的两面都说透，这篇文章的信息量可能会变得特别小，传播量就更小了。好比天气预报说：明天下雨的概率是90%，但是只有10%的概率会是大暴雨。这样写的话，可能老百姓根本不会紧张。如果天气预报写，明天有大暴雨啊，大家一定小心，注意灵活安排上下班时间。结果呢，大家紧张兮兮的等了一天，只下了毛毛雨。大家就会骂气象台，说好的大暴雨呢。

我的专业不是PR，做PR的人更懂得如何找到一个最佳的切入点。

最后回到我们的这两个研究点上。我想说，导航还是可以继续用的，GPS定位也是可以继续用的；LTE网络也是可以继续用的，甚至GSM网络你也是可以继续用的。只需要在一些高级别的场景时（例如昂贵货物物流车的定位、做移动金融产品设计、基础设施的定时同步和通信模块），心里有这么根弦，想着有这样一种风险存在，就可以了。

感觉这篇小文写得太中庸了，也没有什么网络热词加热图，大家理解多少算多少吧。如果有谁认识徐颖教授，可以帮我把这篇回应转给她。

 扩展阅读 ：

• 黑客帝国里的女神们
  

• 别叫我美女黑客，我是孙小美

• 谁说美女黑客都靠脸？黄源这个丫头不一般

• 美女学神对美女学霸：想破解中国北斗导航？穿越吧！

• 被马云强东双杀，美女黑客再被扒皮！