很多人以為安全軟件與病毒的仗已經(jīng)打完,事實上,遠非如此。
近年來,國內(nèi)外各大網(wǎng)站頻遭攻擊。去年5月份,國務(wù)院app中的H5網(wǎng)頁疑似被劫持,頁面上出現(xiàn)掛彈窗廣告;今年八月份,浙江紹興警方偵破了“史上最大規(guī)模數(shù)據(jù)竊取案”,其起因是沒有全站部署HTTPS加密,從而被黑客鉆了空子,導(dǎo)致全國96家互聯(lián)網(wǎng)公司,約30億條用戶數(shù)據(jù)被非法竊取;而不久前,Google又因為一個BUG,使得約5200萬用戶的個人私人數(shù)據(jù)被泄露。
有別于以往熊貓燒香這種病毒明目張膽的廣泛傳播方式,上述勒索病毒的攻擊行為變得更為隱蔽。很多時候,他們會鎖定更高價值的目標,通過http或dns網(wǎng)絡(luò)劫持進行中間人攻擊,甚至在攻擊完關(guān)鍵系統(tǒng)、偷取數(shù)據(jù)之后,還能全身而退不被發(fā)現(xiàn)。
顯然,以個人隱私數(shù)據(jù)泄露等事件為代表的網(wǎng)絡(luò)安全,仍然面臨嚴峻的挑戰(zhàn)。不久前, 在2018網(wǎng)絡(luò)空間可信峰會上,360瀏覽器遂公開宣稱將創(chuàng)建自有根證書計劃,這引起業(yè)界廣泛的關(guān)注。
但自建根證書是一件龐大且系統(tǒng)的工作,且這一行為本身是沒有太多的商業(yè)價值,因而其更需要諸如360瀏覽器等老牌互聯(lián)網(wǎng)科技企業(yè),擁有更強的社會擔(dān)當(dāng)。
一、不被重視的根證書,成黑客入侵的重要通道
以前,人們對CA公司產(chǎn)生了過度信任,認為帶有https的網(wǎng)站就是可信的。因為其身份校驗體系是基于PKI體系,而在這體系中,CA往往一開始就被假定是可信的。然而,CA也是一個商業(yè)化機構(gòu),在不受監(jiān)管的條件下,CA公司管理上出現(xiàn)問題也往往造成證書濫發(fā),從而使得證書信用鏈背上信用債。
早在2013年,斯諾登泄漏的文件曾指出,美國NSA利用一些CA頒發(fā)的偽造證書截取并破解大量加密https流量,這使得CA的權(quán)威性開始遭受質(zhì)疑。
直到2017年,以Ryan Sleevi為首的Google Chrome調(diào)查小組,發(fā)現(xiàn)賽門鐵克收購Verisign后的證書部門,錯誤簽發(fā)3萬張https證書。賽門鐵克證書門使得瀏覽器廠商對CA機構(gòu)的不信任達到了頂峰,當(dāng)時國際五大瀏覽器同時發(fā)布不信任計劃。最后,全球市場份額第二的賽門鐵克證書部門整體出售給Digicert,而全球30%的網(wǎng)站需要更換CA供應(yīng)商。
CA機構(gòu)的不靠譜行為,使得人們依靠CA證書辨別網(wǎng)站安全性,也成為了泡影。更何況當(dāng)前的互聯(lián)網(wǎng),不再只是滿足人們查詢信息、瀏覽新聞網(wǎng)站門戶的需要,還提供了社交、電商等與財務(wù)、個人隱私高度相關(guān)的服務(wù),那么,打開的網(wǎng)頁一旦被黑客入侵,其對用戶的危害性也將加倍放大。
然而,和這種安全威脅緊迫性截然相反,國內(nèi)很多網(wǎng)站對根證書大多不太重視??傮w來看,主要呈現(xiàn)以下幾大問題:
第一,網(wǎng)站使用者不重視“http”與“https”的區(qū)別。相較而言,https多是通過CA認證的網(wǎng)站,安全性較“http”根的要高些。2015年開始,國內(nèi)大型互聯(lián)網(wǎng)公司開發(fā)的網(wǎng)站都陸續(xù)遷移到強制https進行訪問。但是,仍然有很多行業(yè)的網(wǎng)站并沒有使用“https”,譬如酒旅航空領(lǐng)域的藝龍、窮游、中國航空公司等企業(yè)網(wǎng)站,并且很多瀏覽器對這些網(wǎng)站也并沒有限制性、或提示性的標記。
第二,瀏覽器本身也存在著技術(shù)及更新升級問題。除了顯性層面的網(wǎng)頁本身存在的安全性,比如像瀏覽器內(nèi)核過時,不及時更新,那么可能存在的高危漏洞就比較多。這一方面,以往360瀏覽器表現(xiàn)相對較好,擁有15層的安全防御體系,并且360安全衛(wèi)士也會按月修補高危漏洞。但是,行業(yè)內(nèi)多數(shù)廠商仍不太重視。
并且,在底層加密算法套件這一塊,也很考驗瀏覽器廠商的安全防護能力。比如很多https網(wǎng)站采用了全站加密,但是由于瀏覽器底層加密算法不過關(guān),被黑客鉆空子的現(xiàn)象也比比皆是。
二、自建根證書信用系統(tǒng),國內(nèi)瀏覽器還有幾場硬仗要打
在賽門鐵克證書門后,瀏覽器行業(yè)巨頭Google開始著手自有CA根證書體系搭建。除中國外,Google在全球其他國家和地區(qū)相對來說還是處于壟斷地位,做這事的阻力比之中國的瀏覽器廠商要小得多。那么,國內(nèi)瀏覽器要創(chuàng)建自有根證書,重新構(gòu)建證書信用鏈,還面臨著哪些挑戰(zhàn)呢?在響鈴看來,有這么幾點:
第一,對不安全的“http”網(wǎng)站,進行普遍性市場教育,有一定挑戰(zhàn)。 Web瀏覽器對用戶來講,大多還停留在“只是使用”的階段。多數(shù)用戶只會關(guān)注頁面的內(nèi)容,很少會去挖掘幕后的事情。在沒被病毒攻擊前,“http”網(wǎng)站和“https”網(wǎng)站并沒有太大的區(qū)別。只有在安全威脅降臨的時候,用戶才會引起重視。因此,要將“http網(wǎng)站是不安全的”這樣一個信息,進行普遍性教育,可能會存在著一定難度。360瀏覽器在著手自有根證書創(chuàng)建時,考慮到這樣的一個大環(huán)境,則是通過對用戶端進行警示的措施,來倒逼“http”網(wǎng)站使用者引起重視。
第二,技術(shù)上,需要瀏覽器廠商有過硬的病毒過濾技術(shù)、AI算法以及足夠多的根證書大數(shù)據(jù)。 百度、360、搜狗等瀏覽器都各有特色,或在內(nèi)容進行發(fā)力,或在安全、AI等技術(shù)層面進行發(fā)力。但是就網(wǎng)絡(luò)安全環(huán)境的建設(shè),防護依然是當(dāng)前擺在首要位置的措施,過硬的病毒過濾技術(shù),仍是網(wǎng)絡(luò)安全的第一道防護線。當(dāng)然,其中加密算法是影響防護能力的重要因素,360本就以安全軟件起家,目前擁有“支持國密算法,支持國密雙向證書校驗”的優(yōu)勢,而且11年的積累,也有著足夠多的根證書大數(shù)據(jù)。
在CA證書信任危機之下,以安全防護起家的360瀏覽器自建根證書系統(tǒng),也是情理之中。一方面,通過操作系統(tǒng)信任的根證書積累數(shù)據(jù),另一方面也積極自建根證書信任數(shù)據(jù)庫。但360瀏覽器的規(guī)則顯得較為強勢,即如果360瀏覽器認為某根證書有威脅,即便是系統(tǒng)默認信任的,360也會對其移除。因而,其具有一套自己的安全判斷邏輯,對自建的根證書信任庫賦予了更大的權(quán)重。
第三,根證書認證過程中,CA的配合度很關(guān)鍵。 互聯(lián)網(wǎng)要有強大的議價權(quán),則其必須具備一定規(guī)模的用戶群。擁有近4億用戶的360瀏覽器,還是具備一定的實力,因而CA有配合的理由。其認證過程,包括CA申請、信息驗證、批準請求、預(yù)置測試、正式信任五個部分。策略上,360瀏覽器先是號召CA主動參與,借助技術(shù)實現(xiàn)聚集CA機構(gòu)以及完成初步審核工作,而具體材料的審核則采用人工審核的方式,以更為審慎嚴謹?shù)膽B(tài)度,來增強360根證書體系的信任度。
顯然,360瀏覽器在做純公益性的安全體系建設(shè),是真正愿意花大人力、物力來解決這件事情,決心也可見一斑。
三、沒有商業(yè)價值也要不遺余力去做,360瀏覽器到底圖啥?
近來,社會價值投資聯(lián)盟以滬深300成分股為對象,從社會、經(jīng)濟和環(huán)境綜合效益為評估模型,評選出了“義利99”榜單,中國建筑、萬科、京東方等企業(yè)都囊括其中。他們認為,只有滿足了社會的需求,才能真正創(chuàng)造價值,而收益、收獲也是自然的結(jié)果。
社投盟的這一行徑,某種程度上也說明了在當(dāng)今的企業(yè)家價值體系里,對于企業(yè)所創(chuàng)造的價值評判,或又多了義的維度。企業(yè)家們在掌舵前行方向的同時,可能會更關(guān)注自己的企業(yè)能從哪些角度切入,怎樣賦能用戶或合作伙伴。這或許是360瀏覽器明知創(chuàng)建自有根證書體系,沒什么商業(yè)價值,但是仍樂此不疲的原因所在。響鈴認為,360瀏覽器做這件事,至少能帶來三大正面反饋。
1、可以為行業(yè)凈化網(wǎng)絡(luò)環(huán)境,提供一個新方向。 在互聯(lián)網(wǎng)成為各行各業(yè)標配的同時,互聯(lián)網(wǎng)企業(yè)也隨之壯大,但是網(wǎng)絡(luò)環(huán)境依然存在著諸多威脅。比如黑客可以通過利用瀏覽器和flash的0 day漏洞,加載含有越權(quán)漏洞的代碼控制計算機系統(tǒng);可以通過網(wǎng)頁腳本,訪問惡意網(wǎng)頁的計算機進行挖礦。利用殺毒軟件阻擊黑客攻擊是一方面,但如果換個角度,如360瀏覽器和谷歌所進行的根證書信任庫建設(shè)的浩瀚工程,從病毒通道層面進行阻擊,也不失為一個好方向。
2、可以更深層次引導(dǎo)行業(yè)發(fā)展方向,創(chuàng)建更“干凈”的盈利模式。 從Google、百度等瀏覽器巨頭的盈利模式來看,廣告收入依然占據(jù)大頭。像Google模式中,更是將精準觸達率作為廣告收費的標準,這是站在用戶角度思考問題,因而更看重用戶的體驗感。這也是中國瀏覽器發(fā)展的方向,因此,360瀏覽器重塑根證書認證信任鏈,亦是在為用戶創(chuàng)建一個信任、安全的社區(qū)生態(tài),從而增強用戶對內(nèi)容的信任度。最高級的廣告應(yīng)該是潤物細無聲,未來,廣告的部分理應(yīng)讓渡給內(nèi)容及用戶體驗,并且精準觸達,AI及算法為這種盈利模式更為精細化提供了可能。這樣一來,相較于以前,廣告滲透轉(zhuǎn)化的效率也會因干凈的環(huán)境而變得輕松一些。
3、用戶有了更信任、更安全的上網(wǎng)環(huán)境后,又能反哺瀏覽器。 當(dāng)前,業(yè)內(nèi)主要瀏覽器都將重心鎖定在內(nèi)容和分發(fā)上,實際上對用戶來講,安全也是很重要的一個方面。事實上,大多用戶在這一方面,本就是假定信任瀏覽器廠商的。因而,像百度、360瀏覽器等常用瀏覽器廠商,他們肩上的擔(dān)子也就更重。
誠然,改善內(nèi)容輸出的精準性、豐富性以及獲取信息的便捷性,確實能改善用戶使用體驗。但網(wǎng)絡(luò)安全,則決定著用戶使用該瀏覽器的頻率,畢竟電腦總是被黑客攻擊是一件很鬧心的事情。因而,內(nèi)容與安全應(yīng)該是兩手抓,畢竟由用戶使用的安心度,所帶來的“流量黏性”的指標反哺,更為難得。
從短期來看,360瀏覽器自建根證書體系并不賺錢。但是,長遠來看,卻能夠贏得更多用戶的信任。而且,在主動承擔(dān)行業(yè)責(zé)任的時候,也使得360瀏覽器本身的威信能得以提升。未來,在互聯(lián)網(wǎng)信任體系中,瀏覽器等工具類廠商所能創(chuàng)造的社會價值,將變得更加重要。
【完】曾響鈴
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!