亞利桑那州立大學(xué)（ASU）網絡安(ān)全和可(kě)信基金會中(zhōng)心主任亞當·杜佩（Adam Doupé）的問答(dá)采訪。

 

亞當•杜佩的網絡安(ān)全之旅始于一次惡作(zuò)劇。在他(tā)得知自己可(kě)以連接到電(diàn)子郵件服務(wù)器并僞造發件人地址後，高中(zhōng)時代的杜佩從santa@northpole.com 上給朋友們發送惡搞郵件來取樂。

 

在玩樂之餘，他(tā)意識到了一個問題：在線(xiàn)系統的設計并不總是安(ān)全的——這些安(ān)全漏洞讓人有(yǒu)機可(kě)乘。

 

如今，杜佩仍在尋找在線(xiàn)系統中(zhōng)的不安(ān)全因素，但不是為(wèi)了惡作(zuò)劇他(tā)的朋友們。他(tā)領導着ASU全球安(ān)全倡議的網絡安(ān)全和可(kě)信基礎中(zhōng)心（CTF），該中(zhōng)心負責尋找漏洞并創造保護人們上網的方法。他(tā)還是Ira A. 富爾頓工(gōng)程學(xué)院，計算與增強智能(néng)學(xué)院的副教授。

 

在網絡安(ān)全意識月的問答(dá)中(zhōng)，杜佩讨論了網絡安(ān)全防範意識的重要性，分(fēn)享了他(tā)曾經遭受網絡釣魚攻擊的經曆，和他(tā)最喜歡同時也是最可(kě)怕的網絡安(ān)全“怪物(wù)”。

 

Q：當您剛剛踏足網絡安(ān)全領域時，您是否遇到過一些您認為(wèi)非常有(yǒu)挑戰性的網絡安(ān)全威脅，但最終卻相對容易地解決了？

 

A：是的，我剛進入這個領域時，主要的安(ān)全問題之一是“偷渡式下載”。也就是，當你訪問一個可(kě)疑網站時，這些攻擊病毒會利用(yòng)你的浏覽器或計算機系統中(zhōng)的漏洞，将惡意軟件下載到你的本地設備上。

 

如果你也遇到過這類情況，你可(kě)能(néng)還記得在一個并不精(jīng)通計算機技(jì )術的親戚的電(diàn)腦上看到過很(hěn)多(duō)彈窗，而且這個親戚的電(diàn)腦運行速度很(hěn)慢，這很(hěn)可(kě)能(néng)是因為(wèi)他(tā)的電(diàn)腦上被裝(zhuāng)滿了惡意軟件。

 

不過，現在幾乎已經解決了偷渡式下載的問題。浏覽器的安(ān)全性已經大大提高，主要浏覽器的漏洞已經非常罕見。雖然在黑市上價值數百萬的網絡威脅依然存在，但攻擊者可(kě)能(néng)不會再花(huā)費數百萬美元針對普通消費者進行偷渡式下載攻擊了。

 

Q：從大部分(fēn)已解決的問題來看，未來的網絡安(ān)全威脅會是怎樣的呢(ne)？您認為(wèi)人們應該注意哪些新(xīn)出現的威脅？

 

A：我們看到的是最近詐騙網站的轉變——這些網站不再試圖竊取你的用(yòng)戶名(míng)和密碼，而是假裝(zhuāng)出售不存在的東西。他(tā)們不是真正的企業，但他(tā)們會從你的信用(yòng)卡上扣款，然後永遠(yuǎn)不給你發貨。這是我們現在看到的一個新(xīn)出現的大威脅。

 

Q：ASU的CTF正在采取哪些措施來應對此類威脅？

 

A：在網絡安(ān)全和可(kě)信基金會中(zhōng)心，我們的工(gōng)作(zuò)重點是确保人們上網時的安(ān)全，因為(wèi)計算機是我們生活中(zhōng)如此重要的一部分(fēn)。我們正試圖通過多(duō)種不同的方式來實現這一目标。

 

其中(zhōng)一種方法是通過搶在壞人之前找到那些有(yǒu)影響的漏洞，從而解決超高價值的漏洞市場問題。

 

我們通過與DARPA和其他(tā)政府機構合作(zuò)開展研究，開發工(gōng)具(jù)和技(jì )術，幫助人們和公(gōng)司分(fēn)析軟件，識别安(ān)全漏洞并自動修複它們。

 

自動完成這些工(gōng)作(zuò)最令人興奮的地方在于，我們試圖主動預防這些安(ān)全漏洞。通過創建自動化系統，我們可(kě)以确保公(gōng)司每次修改代碼時，都能(néng)對其進行分(fēn)析，以确定是否會引入安(ān)全漏洞。

 

我們還非常關注網絡犯罪，以及如何在各個不同層面打擊網絡犯罪。我們做的一件大事就是仔細研究網絡安(ān)全社區(qū)創建的反釣魚生态系統。

 

從2018年左右開始，我們發現防禦措施并沒有(yǒu)想象的那麽好。一旦浏覽器檢測到釣魚網站，你就會收到一個吓人的大警告：“不要再往前走了”。

 

但我們注意到，從向谷歌或微軟提交釣魚網站到被阻止之間的延遲時間可(kě)能(néng)會被網絡犯罪分(fēn)子延長(cháng)數小(xiǎo)時或數天。

 

因此，我們一直在與這些公(gōng)司合作(zuò)，改進他(tā)們的系統，以縮短這個時間框架，這樣一旦生态系統察覺到了問題，它就會被阻止。

 

Q：您提到了如何在攻擊者發現漏洞之前查找漏洞。這聽起來有(yǒu)點像萬聖節：你扮演成攻擊者的角色，并試圖像他(tā)們一樣思考。

 

A：這正是網絡安(ān)全，特别是網絡安(ān)全教育的關鍵概念之一。如果你不了解進攻，就無法進行防禦。

 

從根本上說，如果你不知道攻擊者的能(néng)力和他(tā)們使用(yòng)的伎倆，你就永遠(yuǎn)無法阻止他(tā)們。這其實與體(tǐ)育運動非常相似。分(fēn)析和了解防守的最佳人選是進攻方，反之亦然。

 

因此，這也是CTF和我們教育使命的核心所在：我們希望培訓ASU學(xué)生真正的精(jīng)通網絡防禦技(jì )術，同時也精(jīng)通進攻技(jì )術，因為(wèi)它們之間有(yǒu)很(hěn)多(duō)重疊之處，如果不了解進攻，就無法正确地進行防禦。

 

Q：說到萬聖節，你小(xiǎo)時候最難忘的服裝(zhuāng)是什麽，它是否最終将你引向了網絡安(ān)全領域？

 

A：我小(xiǎo)時候最難忘的萬聖節裝(zhuāng)扮之一是“謎語人”。很(hěn)明顯，吉姆•凱瑞（Jim Carrey）很(hěn)搞笑，他(tā)是一個很(hěn)棒的謎語人，所以我也想扮成他(tā)。

 

但回顧那個萬聖節，你會發現網絡安(ān)全和謎語人之間有(yǒu)很(hěn)多(duō)相似之處。當你試圖解決網絡安(ān)全問題時，會遇到很(hěn)多(duō)謎語和問題。

 

邏輯思維是解決謎題的方法。這也是我們試圖教給學(xué)習網絡安(ān)全的學(xué)生的。給他(tā)們提供技(jì )能(néng)、技(jì )巧和工(gōng)具(jù)，讓他(tā)們能(néng)夠解決這些謎題。

 

Q：能(néng)談談你最害怕的一次網絡安(ān)全事件嗎？

 

A：有(yǒu)一次，我差點被網絡釣魚攻擊所迷惑。當時我在機場等着登機，我收到了一封看起來像是凱爾•斯凱爾斯（Kyle Squires）院長(cháng)發來的電(diàn)子郵件。他(tā)們使用(yòng)了他(tā)的姓名(míng)和電(diàn)子郵件頁(yè)腳，但我在手機上使用(yòng)的電(diàn)子郵件客戶端隐藏了确切的地址。所以它看起來是合法的。這封電(diàn)子郵件說：“嘿，我需要和你談點事情，但不是通過電(diàn)子郵件。”

 

現在，有(yǒu)些情況下你不想把事情寫進電(diàn)子郵件，所以我回複說：“哦，我現在正要登機。請打我的電(diàn)話。這是我的電(diàn)話号碼。” 我等着電(diàn)話，兩分(fēn)鍾後，我收到了一封回信：“我正在開會，但我需要你幫我去買10張iTunes禮品卡，然後把代碼發給我就好了。”這時我才意識到自己上當受騙了：我把我的電(diàn)話号碼給了騙子！

 

首先，我想，“我怎麽能(néng)這麽傻？但我接下來就想，“哦，這就是人們成為(wèi)受害者的方式。在這種情況下，我有(yǒu)時間壓力，科(kē)技(jì )也幫不上忙，攻擊者冒充可(kě)以掌控我職業生涯的人。因此，所有(yǒu)這些因素都聚集在一起，我就成為(wèi)了這次網絡釣魚攻擊的完美受害者。

 

這整個故事就是一個很(hěn)好的例子，說明為(wèi)什麽網絡安(ān)全意識月如此重要。歸根結底，我們都是人，我們都會犯錯。

 

但是，了解這些事情，了解常見的騙局是什麽樣子的，了解需要注意什麽，将有(yǒu)助于确保您的安(ān)全。同樣重要的是你在被騙後，要采取什麽樣的行動。

 

因為(wèi)在我上當受騙并識别出網絡釣魚攻擊後，我按照我們在ASU參加的網絡安(ān)全培訓進行了操作(zuò)。我将郵件轉發到ReportPhish@asu.edu，讓他(tā)們知道這封詐騙郵件正在四處傳播并洩露信息。

 

Q：今天的短信或電(diàn)子郵件感覺很(hěn)像“不給糖就搗蛋”。這是無辜的還是蓄意的？我們如何知道誰在給我們的收件箱發郵件？

 

A：當你收到一條随機号碼發來的短信時，我們真的不知道他(tā)們要幹什麽。它可(kě)能(néng)是我們的朋友用(yòng)一個新(xīn)号碼給我們發的短信，也可(kě)能(néng)是一個試圖讓我們點擊鏈接并詐騙我們的罪犯。對這些短信運用(yòng)一些常識會有(yǒu)很(hěn)大幫助。

 

比如說，這些人會怎麽聯系我？國(guó)稅局會給我發短信說我欠稅了，要對我進行審計嗎？不會的，國(guó)稅局隻會給你寄一封證明信。

 

我認為(wèi)另一種有(yǒu)用(yòng)的保護自己安(ān)全的方法就是記住這些攻擊不僅僅是針對你的。它們是非常廣泛的攻擊，試圖欺騙很(hěn)多(duō)人，因此互聯網上會有(yǒu)關于它的讨論。

 

如果你不确定，請不要點擊鏈接或參與，而是複制一些文(wén)本并在互聯網上搜索帶有(yǒu)“騙局”一詞的内容。通常情況下，你會看到與你收到的相同的文(wén)本，然後你就會知道不要參與。

 

Q：就像樹林裏的孤立小(xiǎo)屋或黑暗的地下室一樣，網上是否應該有(yǒu)某些設置促使人們格外警惕？

 

A：在現實世界中(zhōng)，我們已經對什麽是安(ān)全的，什麽是不安(ān)全形成了直覺。如果你在一個居民(mín)區(qū)，走在人行道上，汽車(chē)以每小(xiǎo)時25英裏的速度行駛，你會感到非常安(ān)全。但是，如果你在高速公(gōng)路邊，汽車(chē)以每小(xiǎo)時65到80英裏的速度駛過，即使技(jì )術上的情況相同，你也會感到不安(ān)全。

 

但當你使用(yòng)電(diàn)腦或手機時，真的很(hěn)難有(yǒu)類似的直覺。關鍵是要提高警惕。如果你收到電(diàn)子郵件，内容是關于你意想不到的郵件和消息，那就一定要提高警惕。

 

使用(yòng)我們所說的帶外信道總是安(ān)全的——這是另一種通信方式。舉個例子，如果你收到老闆發來的一封電(diàn)子郵件，上面寫着“嘿，我需要你檢查我們部門每個人的工(gōng)資報告”，并且那裏有(yǒu)一個鏈接或附件，你的本能(néng)反應是點進去看一下。但也許你應該給老闆發一條短信或留個言，确認是他(tā)們發送了這條信息。

 

Q：看看我們的網絡安(ān)全“怪物(wù)”——部落、吸血鬼、狼人、網絡釣魚者和搶奪者——你最喜歡戰勝誰？

 

A：我最喜歡的可(kě)能(néng)是網絡釣魚者，因為(wèi)這類騙局由來已久。這一直是人類本性的一部分(fēn)：冒充可(kě)信賴的實體(tǐ)來欺騙他(tā)人。

 

例如，有(yǒu)一個故事說，在19世紀末，有(yǒu)一個人冒充一個實體(tǐ)，賣了布魯克林大橋10或20次，賣給了許多(duō)不同的人。

 

所以我很(hěn)佩服它，因為(wèi)這是一個非常古老的騙局，永遠(yuǎn)不會完全消失。這是一場永無休止的鬥争，這讓它變得有(yǒu)趣，但也正因為(wèi)它與人性有(yǒu)關，所以讓它變得如此難以消除。

 

Q：最可(kě)怕的呢(ne)？對你來說，最可(kě)怕的網絡安(ān)全威脅是哪種形式？

 

A：“搶奪者”，也就是勒索軟件操作(zuò)員。他(tā)們進入你的系統，加密你的所有(yǒu)數據，讓你無法訪問。你要麽交出所有(yǒu)數據，要麽付錢給他(tā)們。這就是網民(mín)的遭遇。

 

因為(wèi)他(tā)們已經非常成功地将這種類型的攻擊貨币化，這意味着他(tā)們有(yǒu)更大的動力繼續下去。金錢的誘惑讓他(tā)們變得更有(yǒu)組織、更有(yǒu)效率。

 

因此，他(tā)們已經能(néng)夠從詐騙普通人一到兩個比特币，到利用(yòng)組織獲得數百萬美元。現在，對我來說，這很(hěn)可(kě)怕，因為(wèi)它似乎不是一個馬上就能(néng)解決的問題。