开锁与网络安全的5个相通之处
本文讲的是开锁与网络安全的5个相通之处,安全是个复杂互联的网络。这个包罗万象的领域中有很多细分门类,但有些经验是跨界适用的。物理安全很大程度上可被视为网络安全超然元素的代表。无论数字安全还是物理安全世界,都依赖相同的基本原则。虽然可能需要不同的工具和技术才能真正理解,开锁匠确实有些经验是可以教给网络安全从业者的。
- 行为准则
开锁匠首先要学的,就是开锁的两大基本原则。首先,别碰未经主人允许的锁。这是开锁的行规,是好奇与法律之间差异的备忘。大多数地方都有对开锁职业的法律监管,所以道德开锁匠必须时刻记得自己那点小爱好可能招致的残酷后果。相同的原则适用于网络安全从业者。都必须遵从法律行事。
第二条准则相对不那么直接易懂。别撬正在使用中的锁。开锁匠需要认识到,自己是在破坏手头那把锁的安全。挑战设备核心本质的时候,总是带有毁坏设备的风险。职业锁匠会遇到需要撬在用的锁,这条原则作为破坏安全危险的提醒而存在。
白帽黑客知道,如果非必要测试网络安全,网络可被破坏,文件会被侵染,公司会遭遇宕机……安全测试自带固有风险。你在做的一切所产生的后果,必须总是正面的。
- 兴趣即能力
锁匠总在找新方法开锁。厂商总在推出产品修复新漏洞。最终结果就是一个动态研究的领域。锁匠必须保持知识和技术总是处在最前沿,只要不能解析新设备,就会被时代无情抛弃,只要学不会避开锁头的最新方法,下一波演进会把你抛得更远。要搏击不断变化的浪潮,锁匠必须对工作兴趣满满。
兴趣是最好的老师,往往还能激发你去学习更多东西。没有兴趣,就没有了让锁匠学习必要知识以保住地位的动力。电子和软件安全飞速变化,不保证兴趣,太容易被时代甩下,甚至仅仅是脱离实践一段时间,技能也会萎缩衰退。
开锁是门很容易过时的技术,啥都不干,你的能力就作废了。锁匠自己清楚,失去兴趣不仅意味着落后,还意味着之前所有都蒸发了。兴趣越浓厚,技术越安全。
- 啥都能被打开
锁就是用来开的。它也能关,但不能永远关着。让正确的人进入的锁才是锁。谁都不让进,那必然是把坏掉的锁。锁匠知道这是所有安全领域的固有缺陷。锁的意义,不在于让所有人都进不来,而是让正确的人能进来。你要做的,就是让锁为你开启——即便在不应该开启的时候。但是,锁头未必要按既定方式打开。锁匠知道锁头终会被打开,没什么东西是完全安全的。
这就是保持锁匠不断研磨自身的教义,但有时也会引发沮丧。你不能再因为自己做不到,或者当前还没人能做到,就说“做不到”。网络安全专家必须清楚,自己做的或者尝试绕过的任何东西,从一开始就是有漏洞的。
每把锁都有钥匙,钥匙工作方式能告诉你精炼绕过方式所需的所有知识。
- 每个敌人的进攻方法都想到
开锁方法多种多样。你可以拆了它,把每个部件弄下来,用梳镐、撞匙等工具。如果真的想进去,直接切了,或者用锤子砸烂都行。重点是,最复杂的方法往往不是进门的方法。作为锁匠,就是尝试哪种办法能行。对付以前从未见过的锁头时,像新人一样不断测试。锁孔里转动无碍了吗?那就可以开始更准确的实验了。
太多人告诉你换位思考,但极少有人跟你说要把每一个可能进攻你系统的人都考虑到。这能防止你局限在自己的思维中。像看过YouTube视频教程的罪犯一样思考能扩展思路,帮助料敌机先,防范真正的威胁。有人可能就是很走运,你的部分工作就是找出他们需要多走运才能登堂入室。
作为专家,就是要能够以专业领域内各个层次的人的思考角度出发想问题。这才是专家优势所在。锁匠能像每一种偷儿一样对锁下手,网络安全人员也需要能够理解黑帽子的思路想法。
- 耐心
开锁必须十分专注且耐心。太急躁容易导致弄坏工具,甚至直接把锁废了。不过,最好情况下,不耐烦仅仅是让开锁过程大幅延长而已。越急躁,越容易忽略某些东西。越耐心,失误越少。
锁头会隐晦地透露给锁匠一些信息,所谓的反馈。轻微的滴答声,内部机制的运转等等,都会出卖装置隐藏的秘密。耐心让你可以注意到这些微小的信号。
可以快,但不能是赶工那种快。在网络安全上,向时间投降只会让事情更麻烦,而这是失败的一大诱因。时间框架不是问题,思想态度才是。越是时间紧,越不能匆忙行事。缺乏耐心的锁匠,成功只能靠运气。事情总会花去它该花费的时间。即便要用到六种不同方法,你也必须一种种冷静运用。
精明管理时间,要知道:失去冷静是全盘皆输的捷径。
结论
不同安全领域能相互学习的经验很多。锁匠看待自身道德责任的态度,对深入理解安全漏洞查找的意义也有帮助。它还能提供对自身领域固有缺陷的认知,赋予你像每一个试图侵害系统的人一样思考的能力,让你能够清醒耐心地搞定自身责任。有了这些深入了解,你就能成为更全面发展的安全专家了。
原文发布时间为:四月 8, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/learn/24106.html
开锁与网络安全的5个相通之处相关推荐
- JavaScript|拖拽|仿Android手机九点连线开锁
最简单的JavaScript拖动代码 <script> var xx=0,yy=0; function a(v) { xx=event.x-v.offsetLeft; yy=event.y ...
- hihocoder 1075 : 开锁魔法III
描述 一日,崔克茜来到小马镇表演魔法. 其中有一个节目是开锁咒:舞台上有 n 个盒子,每个盒子中有一把钥匙,对于每个盒子而言有且仅有一把钥匙能打开它.初始时,崔克茜将会随机地选择 k 个盒子用魔法将它 ...
- iphone开蓝牙wifi上网慢_为啥我开锁总是比别人慢?
说起手机的蓝牙功能,大家都不陌生,在还没有wifi,网速超级慢,流量也贵得害怕的年代. 蓝牙传送是两台手机之间传输文件最快也最方便的方式,堪称当年手机界的"黑科技"功能.多年过去后 ...
- c语言线程锁的原理开锁原理图,C++多线程之可重入锁
#include #include #include using namespace std; recursive_mutex re; void task1() { re.lock(); cout & ...
- 登陆 manager app显示不是私密链接_小米上线了一款靠指静脉识别开锁的私密箱,打造你的私人存储空间...
印象中的保险箱体积大.价格昂贵.开锁繁琐,一直都认为那是企业老板.成功人士的标配,对于普通家庭来说存在的价值.或实用性方面并不是很高.往常遇到长时间外出旅行,也会担心家里重要的证件.首饰等贵重物品的安 ...
- 哈罗单车打不开锁,显示:“可能卡住了 重新开锁”
点重新开锁,同时亲手去拉单车的锁把子,助它打开 . 转载于:https://www.cnblogs.com/shuangfeike/p/11470945.html
- 基于Arduino的无接触式智能门锁(RFID和蓝牙开锁)
一.简单介绍 本项目基于Arduino开发,支持刷卡(复旦卡)和蓝牙串口密码发送两种方式,支持舵机和继电器(可接电磁锁等)两种开锁方式.详情见代码,代码注释很全的. 文章末尾附源程序.库文件.3D打印 ...
- 实训9——蓝牙修改开锁密码
实训九 : 蓝牙修改开锁密码 一.实验目的 通过ESP32,按键模块和SG90舵机,实现蓝牙发送相应的命令修改按键密码 二.实验内容 1.连接ESP32和按键模块的引脚,以及ESP32和SG90舵机的 ...
- 【文末有福利! 】刷脸开锁:背后的技术绝招
安全君在去年向大家介绍了智能语义安全检测的武林(链接:https://m.aliyun.com/yunqi/articles/66859).今年,有另一大绝招在江湖上兴起:实人认证. 1 且说苦练实人 ...
- 智能锁方案PCBA原理图PCB单片机开发板源码wifi远程开锁。 提供全套技术资料,包括原理图,PCB图,程序源码,bom清单,说明书等
智能锁方案PCBA原理图PCB单片机开发板源码wifi远程开锁. 提供全套技术资料,包括原理图,PCB图,程序源码,bom清单,说明书等. 该指纹密码锁具有如下功能: 一.指纹开门 二.触摸密码开门 ...
最新文章
- 使用docker Hub
- Spring Boot 最流行的 16 条实践解读,值得收藏!
- linux线程同步之互斥锁——linux的关键区域
- 【数据分析R语言系列】R语言函数与函数式编程、作用域和apply 家族
- 作为一名Java开发者应该掌握的基础知识汇总!
- CodeForces - 1348D Phoenix and Science(贪心)
- 初学SpringMVC,使用MVC进行文件上传
- openssl ssl_write 写错误
- vijos 1471 线性DP+贪心
- C语言——ASCII 码表及分类
- 世界你好python_Python基础01之“你好世界”
- ubuntu20.04安装成功SecureCRT 9.0.1,全网首发!!
- java DNS域名解析
- 试图共享文件夹时出现错误,没有启动服务器服务,此时尚未创建共享资源,试图共享时出现错误,没有启动服务器服务,此时尚未创建共享资源...
- 【Response】全面总结并理解response
- 如何在线批量转换图片格式为jpg?
- 如何将腾讯QLV格式转换成MP4普通视频
- contactform7 ajax,Wordpress contact_form_7_v5.0.3 插件 权限提升、任意文件读取漏洞分析...
- wemos学习之串口通信和ESP8266wifi模块的调用
- 第十四届蓝桥杯C++B组题解(不完全对)
热门文章
- openGauss企业级开源数据库获第十届中国电子信息博览会金奖
- STM32串口调试一直打印 00 00
- Amos简介及安装步骤
- 信号与系统公式大全(傅里叶变换、拉普拉斯变换、Z变换、卷积...)
- 微星的测试软件显示教程,msi afterburner怎么使用显示游戏即时帧率教程
- NEWSCTF第二届--官方wp(2021.6.1萌新赛)
- 《Kafka权威指南》读书笔记4 Kafka消费者
- 加密-网络安全之1号皇帝新衣
- oracle 百分位数,Oracle分析函数PERCENTILE_CONT,percentile函数
- windows系统ping包显示时间(绝对好用)