Re: [問題] 為何頂尖駭客都是年輕人沒有老頭大叔?

※ 引述《howtotell (貓在鋼琴上昏倒了)》之銘言：
: → yshinri: 是這麼說他的: 「如果你還沒讀過很多計算機歷史， 10/18 11:02
: → yshinri: 這裡破個梗：你會一直看到 Ken Thompson」 10/18 11:02
: → yshinri: 話說這篇提到 Unix 系統, 他跟 C 語言之父 Dennis Richie 10/18 11:04
: → yshinri: 在 1983 因為 Unix 跟作業系統相關貢獻獲得圖靈獎 10/18 11:04
: → yshinri: 他的受講講稿非常有趣, 讀完會讓你對資安有進一步的思考 10/18 11:05
: → yshinri: 標題叫《Reflections on Trusting Trust》 10/18 11:06
: → yshinri: *受獎講稿 10/18 11:06
: 好奇看了一下
: 這在現代完全不可能做到啊 是真的完全不可能
: 你身為一個廚師
: 你能做的只有料理食物
: 你是不可能養牛種菜全部都自己來的
: 種菜有沒有用農藥 ?
: 牛有沒有吃激素藥物 ?
: 就算是有機 附近水源有沒有被汙染 ?
: 無論是多頂尖的廚師都沒辦法做到控管所有的環節
: 資訊系統也是一樣
: 現在都有針對主機板韌體的攻擊了
: 一個寫軟體的大神可以去做韌體甚至自己搞板子 ? 怎麼可能...
: 大神很神是沒錯 但不可能神到這種程度
: 這番話就跟我說如果一個人能跑贏光 他就能拿跑步冠軍是一樣的
: 說的沒錯啊 但前提就不可能做到
: 資安不是無限上綱販賣恐懼
: 每個賣資安設備的都說沒有我家的設備你出事了會缺東缺西
: 對啊 但是我公司的預算就是這麼多啊
: 光是大家最瞧不起的收log就要花一堆錢 log跟垃圾沒甚麼差別
: 只有真的要查事件的時候log才有價值
: 平常的log就肥的跟豬一樣 然後躺在那邊 毫無用處 還會有各種莫名其妙的問題
: 很多東西就是理想很美好
: 但不好意思 做不到 而且是完全不可能做到 再厲害的公司也是做不到
: 做不到...就是說爽的
: 資安不是美好的漂亮話 資安是個妥協啊
: 《Reflections on Trusting Trust》（〈信任信任的反思〉）是電腦科學家 Ken
: Thompson（肯・湯普森） 在 1984 年獲得圖靈獎時發表的經典演講與論文。這篇文章探
: 討了軟體信任與編譯器安全的根本問題，被視為電腦安全領域的里程碑之一。
: 以下是重點摘要：
: 一、主題概述
: Thompson 談論「信任」在軟體世界中的意義——尤其是：
: 我們為什麼相信一個程式能如我們所見那樣運作？
: 他指出，即使我們能檢視程式碼，也無法完全確定它沒有被惡意修改，因為問題可能存在
: 於更底層的工具（例如編譯器或作業系統）中。
: 二、核心實驗與概念
: Thompson 描述了一個著名的「自我複製後門」實驗：
: 他在 C 編譯器（cc） 的原始碼中加入一個後門，使得每當編譯 login 程式 時，會偷偷
: 插入能讓他以任意帳號登入的惡意程式碼。
: 接著，他又修改了 編譯器本身的原始碼，讓它在重新編譯自己時自動加入該後門，即使
: 之後刪掉惡意程式碼的原始碼也沒用。
: 結果是：任何用這個被污染的編譯器編譯出來的系統，都會有後門，而程式碼本身看不出
: 任何異狀。
: 這實驗證明：
: 「你不能信任你自己沒有完全從頭建造的任何軟體。」
: 三、深層意涵
: Thompson 的論文揭示出：
: 開放原始碼也不代表安全，因為編譯工具鏈本身可能已被污染。
: 信任的鏈條（trust chain）無限下延——我們信任的基礎永遠有一層更底層的假設。
: 安全最終是社會問題，不是純技術問題；我們必須建立透明與驗證機制來確保信任。
: 四、後續影響
: 啟發了可重現編譯（Reproducible Build）、雙編譯驗證（Diverse Double-Compiling）
: 等現代安全方法。
: 成為軟體供應鏈安全、信任根（Root of Trust）等概念的理論基礎。
: 總結一句話
: Ken Thompson 用一個簡單的編譯器實驗，提醒世人：
: 真正的安全，不只是防駭客，更是防「信任」。

補充一下，所謂資安的妥協，不只是現實與成本的妥協，更是與使用者之間感受的妥協
以網路安全為例，有可能做到完美的病毒與木馬隔離嗎？
有可能。
但前提是，你能接受光打開個網頁就要等上數分鐘。
所以在資安的世界裡，有一個最廣泛的安全目標，就是在多少時間內防止對手攻擊成功。只要能夠做到，那麼基本上你的安全防護就算有完成。

不過在現今的資安世界裡，比起單純的軟硬體攻擊，社交工程反而更讓人防不勝防。

--