没有绝对的安全系统

    4个清洁工打扮的人，在德国安全局大楼垃圾堆上，兴奋地翻找着。

    任何带字的纸片都是目标，而一张印有可爱宠物、姓名和邮箱的卡片，成了重大发现。

    第二天，卡片的女主人收到了一封含有“萌猫”照片的邮件，她忍不住轻轻点击链接。这是名副其实的“小猫钓鱼”，德国安全局网络的大门就这样被撬开了一条缝。

    这是德国电影《我是谁：没有绝对安全的系统》中黑客四人组CLAY入侵德国安全局的前期过程。

    5月11日晚，网易总部大楼内也许上演了类似的情节。从晚上9点开始，网易旗下的网易云音乐、易信、有道云笔记等数款产品以及全线游戏出现了无法连接服务器的情况。第二天早上6点左右，受影响的网络基本恢复。

    网易官方随后宣称故障是由“骨干网络遭受攻击”导致的，虽然具体情况目前未知，这一夜“攻防战”之精彩或许胜过电影。

    在不能没有网的当下，网络安全也变成一个突出问题。根据中国互联网应急中心4月30日发布的《2014年我国互联网网络安全态势报告》，2014年中心通报的漏洞事件达9068起，较2013年增长3倍。

    互联网的每一个普通用户都面临着个人信息安全问题。电影中，黑客组织CLAY入侵只为传奇，不为钱财。但现实中，某些黑客常使用的“钓鱼手法”，却多以金融机构和社交网络为攻击对象，以盗取资产或信息为目标，是让普通用户头疼的安全问题。

    其一般流程是先冒充官方机构，向受害者发送邮件，当受害者点击了邮件中的链接后，就会进入一个和官方页面十分相似的“仿冒网站”，登录后，其账号、密码就会被发给网络中的“垂钓者”。

    而除钓鱼等面向普通用户的简单攻击外，以组织机构为目标的攻击更复杂，更具破坏性。这是目前信息安全产业的热点概念：APT攻击——高级持续性威胁。

    网易很有可能就是中了它的招。

    CLAY最钟爱这种攻击方式。它并不包含颠覆性新技术，但有一套新的组织：把破解、钓鱼、木马等多种黑客常用手段相结合，同时通过在线下对实体目标踩点，与目标机构工作人员周旋，找到突破口。攻击周期一般较长，有周密的阶段安排。

    CLAY用ATP玩得不亦乐乎：控制医药公司大楼，用电灯在楼体上拼出“我们杀害动物”；潜入德国安全局，让整个机构的打印机里充满“CLAY到此一游”。

    但也正是APT攻击，使CLAY一步步走入了危险。因为APT攻击潜伏期长，隐秘性高，可持续进行破坏和信息盗取——它因此成为国际间谍、黑帮和恐怖分子喜爱的攻击方式。

    现实中的ATP攻击，也已成为现代“网络战争”的重要手段：美国、俄罗斯、中国是APT攻击的热点地区，政府机构是APT攻击最集中的对象。

    APT级别的网络攻防，又回到了人类“争斗”的基本形式：不管你手中的武器是石刃，是铁剑，是火枪还是键盘，最后，都是人与人的较量。

    你以为“黑客”的天地只有虚拟网络吗？其实在ATP攻击里已经结合了线下的挖掘信息的技巧。程序只是人类语言的一种特殊形式，“黑客攻击”也只是“挖掘信息”的一种特殊方式。贯穿《我是谁》全片的“社会工程学”讲的就是这个道理：处处都可“编程”。

    创造这一概念的世界头号黑客凯文·米特尼克把它定义为一种高级的“行骗”：“通过蒙敝、影响、劝导来达到获取信息的目的，这就是社会工程师。”

    但这位善于引诱他人的传奇黑客，也败给了自己的好奇心：1994年，米特尼克在攻击圣迭戈超级计算机中心后，被安全技术专家，著名“白帽黑客”下村努用“蜜罐”——伪装成有用数据和故障的诱饵抓住，使其第二次被捕。

    没有绝对安全的系统，因为人心是最大的漏洞。