我觉得这个问题可能是指,为什么几十年前各种xx系统被黑,账号被盗很常见,但是如今似乎越来越少见了,确实是这样的。
回想起十年前,被盗号,网站被黑,简直是家常便饭,那时 https 还没普及,大部分网站还是 http 协议,几乎所有网站都自己搞一套登陆系统 (可能还是明文存在数据库里),也不绑定手机号,甚至不绑定邮箱,密码忘了打客服电话,那时候也还没有前后端分离,大部分网站用 php 写的,SQL 注入,js 跨域攻击的问题数不胜数,基本处于野蛮生长的状态,各种网络安全基建都没起来,云服务也没起来,什么都要自己做。
那个时候的开发往往是这种画风:
数据库 ip 暴露在公网,账号密码是 admin 123456,账密写在源代码里,没有生产环境和测试环境,自己实现登陆系统,自己维护防火墙,基本从硬件到运维到业务逻辑需要自己全权负责,那个时候经常有一些网站处于 ”维护升级“中,连 24 小时可访问也做不到,更没有监控一说,什么报警就更不存在了。
而过了十年,目前基本可以做到,硬件,运维,验证都不需要自己做,只需要关心业务逻辑就好,硬件由云服务提供商统一提供,运维有各种成熟的容器调度工具,CI/CD, 监控系统,验证交给第三方微信,QQ 登陆,自己只做业务逻辑即可,门槛大幅降低,程序员有更多的时间关心业务逻辑,做出来的应用的质量和复杂度也得到了提升,于是我们看到了很多应用的可用性,安全性都得到了提升,并不是程序员的安全水平变高了,只是可用性和安全性,交给了更专业的人和工具来进行保证。
市场经济始终会把社会引向 让每个人或单位都只做自己最擅长的事情,让自力更生变成一个互相依赖的体系。
就登陆验证这个层面,发展趋势也是从 自力更生 到 责任向第三方转移,从而用更容易的方式获得更高的安全性。
网络安全里面有个概念叫信任链,它有点像存储介质,对于现存的验证手段来说,安全性越高,验证的成本就越高,反之亦然,所以当一个安全性更高,且验证成本更低的验证手段出现的时候,就会把之前存在的一些验证手段淘汰掉。
就像对于手机来说,人脸解锁的安全性很高,因为它直指你的生物 ID,按理来说是最靠谱的,所以它就会一定程度淘汰掉密码解锁,因为密码解锁的安全性更低,而且验证成本更高。
而信任链就是,为了方便,我们使用安全性更低的验证方式,但是又能够保证当这种验证方式出了问题的时候,验证的责任能够向上传递,信任链的最高点就是你的信任根,也就是能够说明你一定是你的信息,一般来讲就是你的生物 ID,比如人脸,指纹等。
我们在 PC 端登陆的时候,仍然有大量的账号密码登陆,看起来似乎和十年前差不多,可以安全性仍然增强了,因为现在我们把信任链更好的构建起来了。
今天的账密登陆和十年前的相比,最大的区别就是加入了一些风险检测,系统能够发现账密登陆的异常情况,比如跨设备登陆,异地登陆,机器人登陆等,通过这种方式,你会发现即便你的账密泄露,账号也很难被别人登陆成功,而出现异常时,责任就向上转移,改用手机验证码,人脸扫描等方式进行认证,而在十年前,这种链条并没有很好的构建起来,导致账密泄露了,就等于账号丢失。
不知道大家有没有觉得,十年前你有很多账号,你经常记不清账号的用户名和密码,搞得你很头大,但现在你几乎不怎么记密码了,似乎一切的安全验证都已经无感了,但安全性反而提高了,这一切都归功于三点:
盗取数据,攻击网站这些,也变得越来越难,现代软件存储与逻辑分离,外网 IP 和内网的容器并没有什么对应关系,数据库的访问权限也被收敛的很好,很多显然的 security vulnerability 都可以很容易的被避免,所以和其它很多领域一样,并不是没有黑客了,只是黑客的门槛变高了。
我觉得以后除了大公司和专业的安全公司外,中小企业基本不再会需要雇佣网络安全工程师,而大公司会把这些漏洞挖掘的高手雇佣过来,构建更好的安全基础设施,待这种设施成熟后,再包装成服务卖出去,让中小企业接入这些安全设施,从而得到和大厂一样级别的安全防护能力,这是今天,以及未来几年的发展趋势,所以网络安全工程师也一样遵循我在之前回答中阐述的规律:对高端人才的需求量维持不变或者升高,中低端人才的需求量会下降。
事实上今天来看,还有非常大规模的企业并未能够很好的使用云服务,云服务本身的使用也还是需要一定的专业门槛,很多小微企业仍然需要雇佣有足够经验的工程师才能够把软件保质的开发出来,也就是说上文提到的这些趋势,2021 年还处于这个趋势的中期,甚至是早期。
目前来说,想做出好的应用,仍然需要具备大量的预备知识,而我相信在未来这个门槛会进一步降低,到时候做常规应用的门槛,可能和做 Excel 报表的门槛差不多,只需要三到五天的学习,即可做出完整的应用,不需要去纠结使用什么后端框架,使用什么前端框架,使用什么构建工具等,可以在一个很统一的平台上去完成一个软件的开发和交付。
有啊,黑客的正规军、专业化部队都在各个大国的网络战部队里。
一流的硬件人才、专业的训练与对抗、配套的奖励体系、荣誉体系,为国为民还没风险,人家只是保密需要不在公众面前刷存在感。
你感觉的没有是因为针对于传统领域的黑客行动难度越来越高,收益也越来越少。
比如说在加密货币领域,黑客层出不绝,极高利润和极难追踪的双重利好下,很多的黑客都将自己的热血投入到了这里。
针对于存放加密货币的热钱包攻击,在2017年币安就被盗取过7000多个比特币,折合人民币将近200亿。
有时间再列举几个
谢谢小皮豆邀请~
在一开始,黑客这个词被用来指对设计、编程和计算机科学方面具高度理解的人,或者说是指对于计算机及计算机网络内部系统运作特别感兴趣并且有深入理解能力的一群人。
后来,这个词就被媒体专用于指电脑侵入者、攻击者与破坏者了。
近些年以来的黑客攻击事件也很多,例如:
2003年的骤雨计划,一系列专门针对美国政府、军火商、科学研究室的电脑进行攻击的行动;
2009年的极光计划,遭受攻击的包括google在内的一系列公司;
2010年的震网计划,专门针对并破坏伊朗纳坦兹的核设施,这里推荐一部关于震网病毒的纪录片:
2014年,OpenSSL被曝出的“心脏出血”漏洞,导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。
2016年,孟加拉银行遭黑客入侵,其向环球银行金融电信协会网络(SWIFT)发出35条欺诈性指令,计划将纽约联邦储备银行近10亿美元的资金非法转移至隶属于孟加拉央行孟加拉银行的账户。
2017年的WannaCry,利用AES-128和RSA算法恶意加密用户文件以勒索比特币,感染规模极大,你现在去网上搜,还能看到很多同学中招的新闻。
另外,黑客入侵可不全是利用漏洞,前往别小瞧了“社会工程学”,例如,2020年7月15日,多个拥有数百万关注者的知名Twitter帐号遭他人盗用,诱惑用户向特定的密码货币钱包发送比特币,并允诺他们事后将会得到双倍返还。
而且,根据《Vice》和《TechCrunch》指出,诈骗犯很可能不是通过入侵的方式得到大v的账号密码的,很可能是利用社会工程学手段获取到Twitter的管理工具,随后利用工具修改帐号,并直接发布推文。Twitter的管理工具的来源可能是从带薪休假的Twitter员工或是被入侵的员工账户开始的。
根据上述的描述可以看出,黑客现在还是存在的,问题中描述的“现在没有黑客了”只是个错觉。
但是,据我的观察,近些年来的黑客数目确实在减少了,主要是因为安全行业的发展,导致脚本小子在光速消失。
十几年前在一些出版物上读到的黑客攻击手段,实际上就是用一些事先编写好的程序来攻击指定目标,简单的敲击鼠标几次就可以实现,使用这类方式的进行攻击的人被叫做“脚本小子”。例如用灰鸽子生成个server.exe,改个名称和图标给受害者发过去,或者加个壳。还有许多的集成化脚本工具和扫描器,如啊D明小子菜刀等,一键扫描/嗅探,字典暴力破解,失败了没什么事,成功了就可以出去说炫耀了。例如我初中的时候拿个RAT去下马,第一次有人上钩的时候乐了一天。
另外,实际上我觉得很多人在不知不觉中都参与过黑客攻击行为,例如之前共青团发文的“帝吧网友”和“饭圈女孩”,这应该算作是一次正义的DDoS攻击行为了,也叫分布式拒绝服务攻击。
作为一名有着十多年吧龄的老贴吧用户,我想挺多人也参与过爆吧行为,这也算是一次攻击了。从最早的李毅吧和李宇春吧,到后来的6·9圣战,以及随后的一系列事件,想想还挺有趣的。
从传媒的角度来讲,为什么大众认识的黑客和真实的黑客不太一样呢
对着电脑上黑色背景下的白色代码一连翻上翻下看上个几小时,熬夜干咖啡在数据库里找点有用的信息,花空心思想办法搞一份钓鱼邮件来套出密码,这不是媒体想要看到的。
“他们是黑客。在他们看来,攻破网站就好像在打电子游戏。选定目标网站,入侵你的网银账户,定位你的位置,扰乱毫不相干网民们的生活,他们无所不能”——这才是不少媒体笔下的黑客。
事实上,这里展现在读者眼前的其实只是记者脑海中黑客的样子,而这些形象其实都是媒体编造出来的夸张形象。
我眼中的黑客,是那些对技术的崇拜与对创新不断追求的人,是那些乐于编写开源软件、协助test和debug开源软件、热心公布和分享自己所发现的安全问题及有用的资讯,并帮忙维持一些简单的工作,或者协助一起修复,从而缔造完美无暇软硬件的人士。
至于其余那些专干坏事的,应该叫他们黑帽黑客(Black Hat)或者骇客(Cracker)更为合适。
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有