姓名不重要，我是維基解密成員。我們今天聊一聊信息安全。

2016年7月22日，我們公開了民主黨全國委員會（以下簡稱DNC）內部時間跨度長達16個月的19252封郵件，里面的內容足以讓世界上所有的電視頻道在當天只能播報這一件事。

這些郵件清楚地顯示了：民主黨內部是如何暗箱操作初選結果，并且排擠桑德斯那個可憐老頭；希拉里團隊又是如何控制媒體，通過捏造歧視性招聘廣告等方式抹黑特朗普的。甚至，希拉里的競選團隊準備把聯邦政府機構的職位做為捐贈者的“報答”。

同時，希拉里團隊號稱為民主黨募集的6100萬美金中，只有1%留在了黨內金庫，剩下的絕大部分流向了希拉里團隊——主要用途是用來打擊桑德斯。

我們在民主黨內放了一顆原子彈。如果這些事情能夠在法律層面上坐實，有些大人物就要坐上聯邦法院的被告席。

第二天，一路高歌的希拉里女士遭遇滑鐵盧，民調指數被特朗普以3%的優勢反超。隨后，民主黨高層地震，主席黛比·沃瑟曼·舒爾茲（Debbie Wasserman Schultz）,聯絡主管路易斯·米蘭達（Luis Miranda）和首席財務官布拉德·馬修（Brad Marshall）引咎辭職。

之后的27號，我們又公布了29段民主黨內部的錄音文件。Google, Facebook，所有叫得出來叫不出來的名字，都將我們列為危險網站。媒體們則說我們可能受雇于普京——這實在是太好笑了。

然而，這一切，并不是一個意外事件。接下來的篇幅，我想從信息安全的角度說明兩個問題：

第一，為什么DNC高層郵箱地址百分之百會被攻破。

第二，DNC應該怎樣加強他們的信息安全防御體系。

為什么DNC高層的郵箱100%會被攻破？

我們先說幾個前提設定：

信息安全的戰場上，永遠是兩撥人在對抗：進攻方不停嘗試新的攻擊手段，防守方對應采取新的防護措施。

　　信息系統中的安全攻防戰：一守一盜。

防守方想要保證信息資源只被經授權的合法用戶使用。而進攻方則要繞開防守方設置的重重障礙，不經授權就獲取信息資源。

雖然這聽上去都是一些顯而易見的“廢話”，但這正是為什么DNC高層的郵箱一定會被我們攻破。我用如下四點來說清楚：

第一，信息安全的本質是“驗證”。而驗證需要在每一個環節中進行。

　　▲圖片說明：驗證信息使用者是否可信任的四大環節（深藍制圖）

驗證中的每一個環節都會成為是黑客的攻擊點。而愚蠢的防御方一般都會忽略 “每一個環節” 這五個字。

比如一個最常見的錯誤，就是防御方往往設定只要信息使用者是值得信任的，那其他元素就不用再去判斷。

其實最大的安全謬誤就是假定在系統內部一切都是安全的。

就好像機場的安檢一樣，安檢之前的水是無法通過檢查的，但過了閘機后，每個人都可以隨意喝水買水，至于水是不是偷帶的、水有沒有問題，都沒有人再檢查。因為機場安檢這套系統認定——能通過安檢的人都是安全的。這顯然存在安全漏洞。

再比如，黑客也可以從使用者行動中盜取信息。舉個例子，大家常見的無線鍵盤就是一個安全隱患。使用者用鍵盤擊鍵這一行為，是可以被攻破的環節。

無線鍵盤會定期發送無線信號。用戶擊鍵時，黑客可以從250英尺的范圍內監聽鍵入的內容，從而可以盜取口令、銀行卡信息或其他敏感數據。

一些硬件大廠商都忽略了這些漏洞。2016年7月，一家叫Bastille的無線安全廠商就爆出包括惠普、東芝在內的至少8個品牌的無線鍵盤都存在安全漏洞，非常可能已被監聽。

第二，信息安全的本質——“驗證”，注定是不完善的。

信息系統非常復雜，內部有很多分支，每個用戶行動都不只用到一個分支的資源。如此復合的步驟中，總有系統漏洞可以供黑客去攻擊。

美國花費數十年和數十億美元打造的愛國者導彈防御系統理論上可以攔截絕大多數導彈。然而在海灣戰爭中，飛毛腿導彈輕易地突破了它的防線，它的造價僅為愛國者導彈的1/100。

驗證系統只能無限接近完善，但世界上沒有最完善的系統可以信任。

第三，攻防雙方在成本和效率上是不對稱的，防守方處于絕對劣勢。

一個悲催的真理：信息防守方在效率和成本上處于絕對劣勢，就像病毒感染的成本永遠低于疫苗研發成本。

　　在黑客與防御方的攻防戰役中，攻擊的成本遠低于防守的支出。

破壞總是比建設容易，感染一定比免疫輕松。沒有戰無不勝的系統，只有防不勝防的黑客。

所謂木桶定律，即一只水桶能裝多少水取決于它最短的那塊木板。一個信息系統的安全程度也取決于它最薄弱的環節。

2014年索尼公司的PS網絡系統被黑客攻擊，大量個人資料被竊，損失達到1.7億美元。而對黑客來說，成本只是一臺電腦和一根網線。在網上，一些用來盜取別人賬戶的軟件只需要幾十美元就可獲得。

第四，在信息安全的戰場上，人是最大的不確定因素，而傻子總是比較多。

除了系統原因之外，人是最大的不確定因素。由人的疏忽、被欺詐所導致的信息安全事故約占到了總數的85%。

全球首屈一指的網絡安全解決方案供應商Check Point曾就700多名IT專業人士進行調查。結果顯示：87%的受訪者認為，最大的威脅來自公司內部粗心員工；近三分之二的受訪者認為，客戶數據頻繁泄漏極有可能是由于內部員工的疏忽。

其實早在2015年秋，DNC內部的信息安全專家就其脆弱的內部網絡警告過黨內高層，而這些建議均被置之不理。這批專家們經過兩個月的調查，在一份報告中建議：DNC應該雇傭專業人士，升級系統，并設置可追蹤侵入者的防御機制。

FBI同樣也多次對DNC的網絡安全系統發出警告：“可能存在問題”。2015年，FBI曾敦促一些DNC的人員檢查內部系統是否有不尋常活動的跡象，但DNC什么都沒能發現。

直到2016年4月DNC高層才開始重視這些警告，雇傭了私人安全公司CrowdStrike對系統進行整頓。然而，我們在內網中已經潛伏了近一年。

正如我們的一位同僚，羅馬尼亞黑客Guccifer 2.0形容的——希拉里的郵件服務器像“一朵開放的蘭花，對于任何人而言都很容易攻破。”

你們可能要問我：為什么選擇攻擊DNC高層？

當然不必再說我們的立場就是反對DNC。DNC代表了硅谷大財團的利益，而我們是海盜。我們會盡力破壞希拉里當選的機會——“選擇她就是選擇無休止的戰爭”。但我們今天不談政治。

信息安全如同安保服務一樣，保鏢的價格取決于被保護的人/財產的價值。信息安全也一樣。

黑客們最喜歡攻擊的行業是價值密集的領域，比如金融、比如政府。當然這些領域也最愿意為信息安全買單——只有大家伙最愿意為恐懼買單。

　　與早年的單純破壞性行為不同，如今的黑客攻擊更多帶有牟利色彩。

2016年6月IBM聯合Ponemon Institute發布報告《2016年數據泄露成本研究：全球分析》，對383家遭遇過數據泄露事件的企業進行了調研。報告顯示：從行業的角度來看，公共部門和教育機構的信息安全問題信息非正常流失率最少，而金融和醫療機構則是信息安全的重災區。

價值越高，我們就更愿意去鋌而走險。DNC高層的郵箱，關系到整個國家的政治格局，尤其在大選關頭，于是成為我們一直以來的目標。

DNC實在太蠢了，如果是我......我們能輕易攻破DNC高層的郵箱，與其說我們厲害，不如說他們太蠢了。

DNC的IT系統安全防護手段極其落后。2016年5月，我們曾經多次成功入侵DNC的網絡系統，曝出了DNC主要捐款人信息等一系列文件（包括捐款人姓名、職業、地理位置與金額）。然而他們的系統仍然沒有更新加密方式。

IT系統與技術的演變導致了對安全需求的變化：邊界消失、滲透成為常態。

　　▲圖片說明：過去只要把守住“城門”，就能確保系統萬無一失。

過去IT系統像是古老的城堡，系統和外界只能通過有限的“城門”交流。而現在系統向外聯通度越來越高，城堡的“城墻”消失，發展成向外不斷擴張、內部四通八達的現代化城市。人們無法在不影響信息系統正常工作的情況下，繼續用建高墻的方式處理信息安全問題。

邊界的消失讓攻擊模式發生變化。之前對信息系統的破壞像軍隊攻城，直接從外部擊破，講究一擊斃命。當邊界消失后，攻擊手段演化成了間諜慣用的“滲透”手段，長期潛伏在信息系統內部，伺機而動。

如果我來負責DNC的信息安全，如下四件事情是我會在第一時間做的：

第一，建議搭設零信任網絡模型，淡化安全假設。

DNC的安全系統是非常傳統的。訪問DNC成員們的郵箱，系統會區分內、外網絡，如果地址是從內網訪問，使用者將被賦予更高的信任級別，有更多權限讀取系統信息。

這種區分內外網的做法默認存在“守門人”，而“城內一定安全”。就像我們剛才提到的機場安檢的例子——機場安檢系統默認安檢門內的候機廳絕對安全。對于這種傳統的邊界安全模型，黑客們只要能混入系統內部，就很容易訪問到內部應用。

只有搭建一套“零信任”架構，才能打破內外網之別。

對于系統而言，不應該存在絕對安全的區域或元素。實際上，現在越來越多的訪問發生在移動端和云端，邊界愈發模糊，所以不妨一視同仁。

無論希拉里以及其他DNC高層身在何方，在競選辦公室、集會現場，還是在家，都必須用一樣的訪問方式：所有到郵箱的連接都要進行加密；所有聯網設備，包括筆記本電腦和手機，都要保留信任信息和設備號在服務器中。

“零信任”的模式下，過去那些能夠滲透進內部的攻擊，不可能再進入內網如入無人之境。Google在五年前就開始應用這一思路，改進安全模型，他們稱其為BeyondCorp。

　　▲圖片說明：BeyondCorp的安全架構示意圖。（深藍制圖）

2014年開始，谷歌逐步將自己的全部應用組件遷移至BeyondCorp，并公布了文檔《BeyondCorp:谷歌的設計到部署》，其他有計劃部署“零信任”架構的公司可以根據文檔跟進部署。目前可口可樂、威瑞森通信、馬自達汽車公司都在做類似的改造。

經過實證，“零信任”系統在取消內網的“信任特權”后，并不會影響用戶的使用便捷性。唯一的壞處是，信息安全團隊的工作量可能會大大增加。

第二，引入機器學習和人工智能工具。

不要老想著只用機器學習和人工智能干點下象棋的事情。它們更是抵擋黑客攻擊的利器，能夠搭建更為智能的“免疫系統”。

計算機最能做的事情是什么？是做重復的事情。簡單來說，機器學習能通過分析海量的數據，比人類能更快、更精準地監測出系統風險。我在前面說過了，不要忘了，在信息安全的戰場上，人是最大的不確定因素，而傻子總是比較多。計算機有時候比人類靠譜。

Cylance是值得一提的信息安全初創公司，它由全球最大的專業安全技術公司邁克菲（McAfee）的前CTO創立。他們開發了一套基于機器學習的檢測系統危險的方法，宣稱能檢測出99%的入侵惡意軟件，而傳統方法的識別率只有40%。

如果說機器學習可以更精準地發現風險，人工智能工具則可以更智能地提出解決方案：代替人類，對系統發現的漏洞進行研究，發開補丁程序，最后完成部署，實現系統安全自動化。

在這方面走得比較前沿的是美國初創企業PatternEX，他們推出了一個“虛擬安全分析師”的智能平臺，能夠實時追查并理解系統運行數據，最終模擬人類分析師的直覺，形成威脅預測模型。另外，美國國防部也已建立了專門的研究部門DARPA，著手打造“自動檢測—自主修復”一體的人工智能系統。

第三，搭建安全感知預測系統。

面對安全威脅，報警系統和修復工具還遠遠不夠。因此除了升級防護工具，還需要搭建一個并行的安全風險提前感知系統。

簡而言之，安全風險提前感知系統就像精準的天氣預報系統。氣象專家通過讀取雷達、衛星等收集的數據，了解當前的大氣狀況，并在此基礎上給出天氣預測。

在安全感知系統中，防火墻、防病毒軟件和入侵檢測系統（IDS）等安全工具就是雷達，它們檢測到的數據能反映當前系統狀態，也是感知系統做短期預測的基礎。

安全感知系統的工作原理和人腦理解外界信息的認知過程是類似的，包括“獲取信息—理解—未來預測”三部分，如下圖顯示：

　　一套安全感知系統的構成：

數據來源：防火墻、防病毒軟件和入侵檢測系統（IDS）等安全工具檢測到的數據；

現狀理解：形成分析報告，包括各種網絡設備運行狀況、網絡行為以及用戶行為等，提供輔助 決策信息；

短期預測：將當前態勢映射到未來，預測使用者行為，并對結果進行評估。

安全感知系統和人腦一樣，復雜而耗費資源眾多。在數據端需要強大的數據挖掘和處理能力。系統運行產生的海量數據中，僅有20%是可以直接利用的。而能否將剩下80%數據結構化并加以利用，決定了信息安全團隊在面對安全威脅時的響應速度。

提升系統的理解能力和推理能力，則需要依賴機器學習、人工智能等來模仿人腦的工作方式，理解當前系統狀態，并推演出短期內系統運行情況變化。

大廠商已經在嘗試了。2016年5月，IBM推出了“認知安全”工具（IBM Watson for Cyber Security），能夠對檢測到某個異常數據做快速關聯分析——比如異常行為發生次數，涉及的文件、和資產等，同時生成自己的“判斷觀點”以及支撐細節信息。這款“認知安全”工具在數據結構化上有很大優勢，每天能處理20萬條安全事件數據。

▲圖片說明：IBM推出了“認知安全”工具（IBM Watson for Cyber Security）工作流程。（深藍制圖）

第四，覆蓋物聯網設備。

如前面所說，黑客可以從使用者行動中盜取信息，比如大家常見的無線鍵盤就是一個安全隱患。

除了常用的電腦手機，DNC團隊使用的各種聯網設備必須納入到搭建的安全系統中來。比如競選總部的智能電視機，工作人員和志愿者的iWatch和各種手環，就連希拉里家里的可以上傳運動數據的跑步機等等，都可能是隱患點。

最安全的地方就是最危險的地方。百密一疏，容易釀成大禍。

黑客可以輕易地從智能設備入手，作為收集信息、捕獲安全信任憑證的跳板，發起后續攻擊。然而大多數人，不論是生產商還是使用者，完全沒有意識到這些聯網設備正是IT系統的薄弱環節。

云服務可以解決這些智能設備的問題——將多種聯網設備都托管到云，并對設備和云端的所有數據傳輸進行加密。

比如美國的一家提供物聯網云安全基礎設施的初創公司 Afero，智能設備可以通過他們提供的嵌入式藍牙模塊（ASR-1），實現所有設備間的安全連接。

　　▲圖片說明：Afero的云平臺是整套系統的核心所在。（深藍制圖）

以上便是我作為一個良心黑客從信息安全角度對DNC做的一點良心建議。

人們愿意花越來越多的錢在信息安全這件事上——人們為恐懼買單。2015年，全球信息安全的開支750億美元，美國政府花銷86億美元。摩根大通（JP Morgan）每年的信息安全開支是5億美元，美國銀行（Bank of Ameirca）的信息安全預算則是“沒有上限”。

希望大家都能覺得物有所值。