亚利桑那州立大學(xué)（ASU）网络安(ān)全和可(kě)信基金会中(zhōng)心主任亚当·杜佩（Adam Doupé）的问答(dá)采访。

 

亚当•杜佩的网络安(ān)全之旅始于一次恶作(zuò)剧。在他(tā)得知自己可(kě)以连接到電(diàn)子邮件服務(wù)器并伪造发件人地址后，高中(zhōng)时代的杜佩从santa@northpole.com 上给朋友们发送恶搞邮件来取乐。

 

在玩乐之余，他(tā)意识到了一个问题：在線(xiàn)系统的设计并不总是安(ān)全的——这些安(ān)全漏洞让人有(yǒu)机可(kě)乘。

 

如今，杜佩仍在寻找在線(xiàn)系统中(zhōng)的不安(ān)全因素，但不是為(wèi)了恶作(zuò)剧他(tā)的朋友们。他(tā)领导着ASU全球安(ān)全倡议的网络安(ān)全和可(kě)信基础中(zhōng)心（CTF），该中(zhōng)心负责寻找漏洞并创造保护人们上网的方法。他(tā)还是Ira A. 富尔顿工(gōng)程學(xué)院，计算与增强智能(néng)學(xué)院的副教授。

 

在网络安(ān)全意识月的问答(dá)中(zhōng)，杜佩讨论了网络安(ān)全防范意识的重要性，分(fēn)享了他(tā)曾经遭受网络钓鱼攻击的经历，和他(tā)最喜欢同时也是最可(kě)怕的网络安(ān)全“怪物(wù)”。

 

Q：当您刚刚踏足网络安(ān)全领域时，您是否遇到过一些您认為(wèi)非常有(yǒu)挑战性的网络安(ān)全威胁，但最终却相对容易地解决了？

 

A：是的，我刚进入这个领域时，主要的安(ān)全问题之一是“偷渡式下载”。也就是，当你访问一个可(kě)疑网站时，这些攻击病毒会利用(yòng)你的浏览器或计算机系统中(zhōng)的漏洞，将恶意软件下载到你的本地设备上。

 

如果你也遇到过这类情况，你可(kě)能(néng)还记得在一个并不精(jīng)通计算机技(jì )术的亲戚的電(diàn)脑上看到过很(hěn)多(duō)弹窗，而且这个亲戚的電(diàn)脑运行速度很(hěn)慢，这很(hěn)可(kě)能(néng)是因為(wèi)他(tā)的電(diàn)脑上被装(zhuāng)满了恶意软件。

 

不过，现在几乎已经解决了偷渡式下载的问题。浏览器的安(ān)全性已经大大提高，主要浏览器的漏洞已经非常罕见。虽然在黑市上价值数百万的网络威胁依然存在，但攻击者可(kě)能(néng)不会再花(huā)费数百万美元针对普通消费者进行偷渡式下载攻击了。

 

Q：从大部分(fēn)已解决的问题来看，未来的网络安(ān)全威胁会是怎样的呢(ne)？您认為(wèi)人们应该注意哪些新(xīn)出现的威胁？

 

A：我们看到的是最近诈骗网站的转变——这些网站不再试图窃取你的用(yòng)户名(míng)和密码，而是假装(zhuāng)出售不存在的东西。他(tā)们不是真正的企业，但他(tā)们会从你的信用(yòng)卡上扣款，然后永遠(yuǎn)不给你发货。这是我们现在看到的一个新(xīn)出现的大威胁。

 

Q：ASU的CTF正在采取哪些措施来应对此类威胁？

 

A：在网络安(ān)全和可(kě)信基金会中(zhōng)心，我们的工(gōng)作(zuò)重点是确保人们上网时的安(ān)全，因為(wèi)计算机是我们生活中(zhōng)如此重要的一部分(fēn)。我们正试图通过多(duō)种不同的方式来实现这一目标。

 

其中(zhōng)一种方法是通过抢在坏人之前找到那些有(yǒu)影响的漏洞，从而解决超高价值的漏洞市场问题。

 

我们通过与DARPA和其他(tā)政府机构合作(zuò)开展研究，开发工(gōng)具(jù)和技(jì )术，帮助人们和公(gōng)司分(fēn)析软件，识别安(ān)全漏洞并自动修复它们。

 

自动完成这些工(gōng)作(zuò)最令人兴奋的地方在于，我们试图主动预防这些安(ān)全漏洞。通过创建自动化系统，我们可(kě)以确保公(gōng)司每次修改代码时，都能(néng)对其进行分(fēn)析，以确定是否会引入安(ān)全漏洞。

 

我们还非常关注网络犯罪，以及如何在各个不同层面打击网络犯罪。我们做的一件大事就是仔细研究网络安(ān)全社區(qū)创建的反钓鱼生态系统。

 

从2018年左右开始，我们发现防御措施并没有(yǒu)想象的那么好。一旦浏览器检测到钓鱼网站，你就会收到一个吓人的大警告：“不要再往前走了”。

 

但我们注意到，从向谷歌或微软提交钓鱼网站到被阻止之间的延迟时间可(kě)能(néng)会被网络犯罪分(fēn)子延長(cháng)数小(xiǎo)时或数天。

 

因此，我们一直在与这些公(gōng)司合作(zuò)，改进他(tā)们的系统，以缩短这个时间框架，这样一旦生态系统察觉到了问题，它就会被阻止。

 

Q：您提到了如何在攻击者发现漏洞之前查找漏洞。这听起来有(yǒu)点像万圣节：你扮演成攻击者的角色，并试图像他(tā)们一样思考。

 

A：这正是网络安(ān)全，特别是网络安(ān)全教育的关键概念之一。如果你不了解进攻，就无法进行防御。

 

从根本上说，如果你不知道攻击者的能(néng)力和他(tā)们使用(yòng)的伎俩，你就永遠(yuǎn)无法阻止他(tā)们。这其实与體(tǐ)育运动非常相似。分(fēn)析和了解防守的最佳人选是进攻方，反之亦然。

 

因此，这也是CTF和我们教育使命的核心所在：我们希望培训ASU學(xué)生真正的精(jīng)通网络防御技(jì )术，同时也精(jīng)通进攻技(jì )术，因為(wèi)它们之间有(yǒu)很(hěn)多(duō)重叠之处，如果不了解进攻，就无法正确地进行防御。

 

Q：说到万圣节，你小(xiǎo)时候最难忘的服装(zhuāng)是什么，它是否最终将你引向了网络安(ān)全领域？

 

A：我小(xiǎo)时候最难忘的万圣节装(zhuāng)扮之一是“谜语人”。很(hěn)明显，吉姆•凯瑞（Jim Carrey）很(hěn)搞笑，他(tā)是一个很(hěn)棒的谜语人，所以我也想扮成他(tā)。

 

但回顾那个万圣节，你会发现网络安(ān)全和谜语人之间有(yǒu)很(hěn)多(duō)相似之处。当你试图解决网络安(ān)全问题时，会遇到很(hěn)多(duō)谜语和问题。

 

逻辑思维是解决谜题的方法。这也是我们试图教给學(xué)习网络安(ān)全的學(xué)生的。给他(tā)们提供技(jì )能(néng)、技(jì )巧和工(gōng)具(jù)，让他(tā)们能(néng)够解决这些谜题。

 

Q：能(néng)谈谈你最害怕的一次网络安(ān)全事件吗？

 

A：有(yǒu)一次，我差点被网络钓鱼攻击所迷惑。当时我在机场等着登机，我收到了一封看起来像是凯尔•斯凯尔斯（Kyle Squires）院長(cháng)发来的電(diàn)子邮件。他(tā)们使用(yòng)了他(tā)的姓名(míng)和電(diàn)子邮件页(yè)脚，但我在手机上使用(yòng)的電(diàn)子邮件客户端隐藏了确切的地址。所以它看起来是合法的。这封電(diàn)子邮件说：“嘿，我需要和你谈点事情，但不是通过電(diàn)子邮件。”

 

现在，有(yǒu)些情况下你不想把事情写进電(diàn)子邮件，所以我回复说：“哦，我现在正要登机。请打我的電(diàn)话。这是我的電(diàn)话号码。” 我等着電(diàn)话，两分(fēn)钟后，我收到了一封回信：“我正在开会，但我需要你帮我去买10张iTunes礼品卡，然后把代码发给我就好了。”这时我才意识到自己上当受骗了：我把我的電(diàn)话号码给了骗子！

 

首先，我想，“我怎么能(néng)这么傻？但我接下来就想，“哦，这就是人们成為(wèi)受害者的方式。在这种情况下，我有(yǒu)时间压力，科(kē)技(jì )也帮不上忙，攻击者冒充可(kě)以掌控我职业生涯的人。因此，所有(yǒu)这些因素都聚集在一起，我就成為(wèi)了这次网络钓鱼攻击的完美受害者。

 

这整个故事就是一个很(hěn)好的例子，说明為(wèi)什么网络安(ān)全意识月如此重要。归根结底，我们都是人，我们都会犯错。

 

但是，了解这些事情，了解常见的骗局是什么样子的，了解需要注意什么，将有(yǒu)助于确保您的安(ān)全。同样重要的是你在被骗后，要采取什么样的行动。

 

因為(wèi)在我上当受骗并识别出网络钓鱼攻击后，我按照我们在ASU参加的网络安(ān)全培训进行了操作(zuò)。我将邮件转发到ReportPhish@asu.edu，让他(tā)们知道这封诈骗邮件正在四处传播并泄露信息。

 

Q：今天的短信或電(diàn)子邮件感觉很(hěn)像“不给糖就捣蛋”。这是无辜的还是蓄意的？我们如何知道谁在给我们的收件箱发邮件？

 

A：当你收到一条随机号码发来的短信时，我们真的不知道他(tā)们要干什么。它可(kě)能(néng)是我们的朋友用(yòng)一个新(xīn)号码给我们发的短信，也可(kě)能(néng)是一个试图让我们点击链接并诈骗我们的罪犯。对这些短信运用(yòng)一些常识会有(yǒu)很(hěn)大帮助。

 

比如说，这些人会怎么联系我？國(guó)税局会给我发短信说我欠税了，要对我进行审计吗？不会的，國(guó)税局只会给你寄一封证明信。

 

我认為(wèi)另一种有(yǒu)用(yòng)的保护自己安(ān)全的方法就是记住这些攻击不仅仅是针对你的。它们是非常广泛的攻击，试图欺骗很(hěn)多(duō)人，因此互联网上会有(yǒu)关于它的讨论。

 

如果你不确定，请不要点击链接或参与，而是复制一些文(wén)本并在互联网上搜索带有(yǒu)“骗局”一词的内容。通常情况下，你会看到与你收到的相同的文(wén)本，然后你就会知道不要参与。

 

Q：就像树林里的孤立小(xiǎo)屋或黑暗的地下室一样，网上是否应该有(yǒu)某些设置促使人们格外警惕？

 

A：在现实世界中(zhōng)，我们已经对什么是安(ān)全的，什么是不安(ān)全形成了直觉。如果你在一个居民(mín)區(qū)，走在人行道上，汽車(chē)以每小(xiǎo)时25英里的速度行驶，你会感到非常安(ān)全。但是，如果你在高速公(gōng)路边，汽車(chē)以每小(xiǎo)时65到80英里的速度驶过，即使技(jì )术上的情况相同，你也会感到不安(ān)全。

 

但当你使用(yòng)電(diàn)脑或手机时，真的很(hěn)难有(yǒu)类似的直觉。关键是要提高警惕。如果你收到電(diàn)子邮件，内容是关于你意想不到的邮件和消息，那就一定要提高警惕。

 

使用(yòng)我们所说的带外信道总是安(ān)全的——这是另一种通信方式。举个例子，如果你收到老板发来的一封電(diàn)子邮件，上面写着“嘿，我需要你检查我们部门每个人的工(gōng)资报告”，并且那里有(yǒu)一个链接或附件，你的本能(néng)反应是点进去看一下。但也许你应该给老板发一条短信或留个言，确认是他(tā)们发送了这条信息。

 

Q：看看我们的网络安(ān)全“怪物(wù)”——部落、吸血鬼、狼人、网络钓鱼者和抢夺者——你最喜欢战胜谁？

 

A：我最喜欢的可(kě)能(néng)是网络钓鱼者，因為(wèi)这类骗局由来已久。这一直是人类本性的一部分(fēn)：冒充可(kě)信赖的实體(tǐ)来欺骗他(tā)人。

 

例如，有(yǒu)一个故事说，在19世纪末，有(yǒu)一个人冒充一个实體(tǐ)，卖了布鲁克林大桥10或20次，卖给了许多(duō)不同的人。

 

所以我很(hěn)佩服它，因為(wèi)这是一个非常古老的骗局，永遠(yuǎn)不会完全消失。这是一场永无休止的斗争，这让它变得有(yǒu)趣，但也正因為(wèi)它与人性有(yǒu)关，所以让它变得如此难以消除。

 

Q：最可(kě)怕的呢(ne)？对你来说，最可(kě)怕的网络安(ān)全威胁是哪种形式？

 

A：“抢夺者”，也就是勒索软件操作(zuò)员。他(tā)们进入你的系统，加密你的所有(yǒu)数据，让你无法访问。你要么交出所有(yǒu)数据，要么付钱给他(tā)们。这就是网民(mín)的遭遇。

 

因為(wèi)他(tā)们已经非常成功地将这种类型的攻击货币化，这意味着他(tā)们有(yǒu)更大的动力继续下去。金钱的诱惑让他(tā)们变得更有(yǒu)组织、更有(yǒu)效率。

 

因此，他(tā)们已经能(néng)够从诈骗普通人一到两个比特币，到利用(yòng)组织获得数百万美元。现在，对我来说，这很(hěn)可(kě)怕，因為(wèi)它似乎不是一个马上就能(néng)解决的问题。