我国是第三层次为主,主要使用已经公布的漏洞或者第二层次中没有公布的漏洞进行攻击牟利。
在核心黑客圈子里通常互相分享他们自己最新发现的成果,一般核心层次的漏洞成果是不公开的,只有核心成员之间分享,但他们一般也不干什么坏事。在核心圈子里,他们拥有各种系统得秘密漏洞,微软的也好、苹果的也好、Linux的也好、甚至大型机的也好、Android的也好、iPhone的也好,都在他们小圈子里分享。
公布出来的基本上都属于过时的漏洞而已。
目前,病毒都可以做到BIOS里的年代,安全已经不能够再用“围追堵截”的方法来实现了。
那么有没有可以实现安全的东西呢?
有的,比如隔离系统。比如ATM取款机,在不破坏机器墙体的情况下,要想让ATM取款机偷出钱来没那么容易,一方面,因为ATM取款机使用的一般都不是Window系统,我看见有不少使用OS/2系统,并不是OS/2系统就没有漏洞,而是因为它是隔离使用,使得OS/2并没有其他连接,只有操作面板这一个I/O入口,如果ATM机也装一个无线网络的话,我相信不需要多久,这个ATM机就会成为免费提款机。
可见,一旦一个机器、一个系统暴露的I/O过多必然就会有大量的漏洞可以使用,它无法实现有效的安全,就如同一个围墙体提供的安全体系,是无法与一个封闭体的碉堡那样的安全。因为围墙是可以从四面八方爬进来的,而封闭的碉堡却只有一个入口,自然安全体系就会不一样。
有人认为网银安全,其实网银安全相当的不安全。尤其是有USB的网银。因为即使有了USB整个网银的线路都是开放的,根本无法与ATM相比,USB只是保证了密码的安全,并不保证电脑的安全,更不保证支付线路的安全。有人认为支付线路是使用SSL的,即使SSL可以安全,但从USB到SSL中间有广阔的空间是不在安全范围里的,今年3月份央视的《经济信息连播》就报道过被穿改支付线路而钱款被盗一空的状况。
如果我们能够实现一个类似ATM机那样的安全体系,那安全就会截然不同。这需要新的安全思维、新的安全体系。
现在已经不是DOS时代,而是四处互联的网络时代,继续依赖DOS时代建立的安全思维,已经过时很久很久了。
新时代需要新的安全体系
本人研究新的安全思维、安全体系已经多年。
自从2007年结束播放器的技术之路后,我一直休息学习,也同时开始正式关注安全问题,到今天已经有好几家安全公司成功上市。有好几个新的号称安全的操作系统发布。开始我也以为可以“万事大吉”,已经不需要关注这个问题,可是很不幸,安全的问题不但没有减轻而是越来越严重,人们的损失也越来越大。