你会怎么向孩子解释信息安全的概念?你可能根本不做这件事。有的家长仅仅只告诉孩子不能在网上做某些行为,或干脆禁止孩子使用互联网,并不会把信息安全的概念互相联系起来为孩子建立相关的知识框架。但没有任何缘由的禁令只会适得其反,反而更有可能刺激孩子们去尝试不该做的事。
面对 “为什么不跟你的孩子谈谈网络威胁以及信息安全?”这个问题时,很多家长会因不知从何谈起而直接放弃这件事。但实际上,解释这些概念所需要的一切材料都已经在那儿了,早在几百年前就有大量和网络安全概念相关的书籍,只是你还没有意识到罢了。在你的知识框架内,它们被称为童话故事。你只需要重新捡起这些故事就行了。
小红帽
在欧洲,《小红帽》是家喻户晓的童话故事,格林兄弟、夏尔·佩罗等”网络安全专家”已经无数次讲过这个故事。尽管各个版本的故事细节可能有些不同,但基本情节是一致的。让我们一步一步看看到底发生了些什么。
- 妈妈让小红帽去给外婆送食物。
- 小红帽在林间遇到了老狼,老狼问她,”你这是要去哪儿呀?”
- 小红帽回答道:”我要去见外婆,给她送好吃的。”
- 故事发展到这里,根据
“固件”的不同版本,老狼要么是让小红帽绕了些远路,要不然就是建议她去采一些花送给奶奶。 - 总之,老狼是第一个达到奶奶家并正确回答”谁在哪儿?”查询的角色,奶奶准许它进入房屋。
- 老狼吞食了奶奶,穿上她的睡衣戴上睡帽,躺在床上,盖了一条毯子。
- 小红帽终于到达了奶奶家,并收到”谁在哪儿?”查询。她给出了与带来食物相关的通行口令。
- 她进入房间后大声询问为什么奶奶的耳朵、眼睛、牙齿都这么大。尽管她灵敏地感受到了可疑之处,并提出了这些问题,但最后还是被老狼的解释糊弄了过去。她登录入屋之后,就被吃掉了。
- 幸运的是,有一群伐木工人(某些版本中为猎人)正巧出现,把老狼切开。小红帽和奶奶从狼肚子里逃脱出来,奇迹般地没有受到任何伤害。
网络安全的比喻从一开始就很明显。在这里可以引入”握手”(计算机术语)的概念,即两方建立通信并共同观察相关威胁的过程。
现在,小红帽被编入以下程序:敲奶奶家的门;收到”谁在哪儿?”查询;并回复”是妈妈让我来给送吃的”通行口令,以便奶奶可以继续进行授权并准许她进入房屋。但由于某些原因,她没有收到”谁在哪儿?”查询,将通行口令发给了一个随机请求。这就为入侵者提供了可利用的契机。
不论是哪一种情节发展,都属于拒绝服务攻击(DOS攻击)。在小红帽到达奶奶家之后,老狼是无法获取进入权限的,因为预计的来访者已经抵达。因此,它需要让小红帽在外面停留一段时间,使她无法按计划完成她的任务。
这几乎就是教科书版使用重放攻击的中间人攻击(MitM)。老狼利用双方之间的通信通道,从客户端掌握握手流程和通行口令,并复制它们来非法访问服务器。
用现代的话术来说,它正在搭建一个钓鱼网站。从门口的角度看屋里一切正常,奶奶的床就在那儿,有一个像是奶奶的人躺在床上。
这是中间人攻击的延续。现在老狼已经了解了信息交换过程的第二部分,便模仿了奶奶服务器的正常行为。小红帽没有发现任何异常,就登录进了屋子。
现实生活就和故事一样,很少有钓鱼网站能令人完全信服,它总是会包含像可疑超链接之类的元素。为了避免更多问题,在遇到这种情况时应该多加注意,比方说访问奶奶家(域名)后发现她的睡眠时间与一般情况不符,就应该立刻离开该站点。
实际上小红帽发现了这些不一致的地方,但可惜的是她无视了它们。在这里请记得告诉您的孩子,小红帽的这个行为非常的粗心,并告诉他们正确的应对方式。
我们必须承认,这个故事情节与信息安全没法完美融合。现实中不会发生将网络犯罪分子剖开就能追回所有损失的金钱、名誉或安全的事。更准确地说,是我们没有试过,任何试图进行这种尝试的人都与我们无关。
其他网络安全童话故事
童话故事里包含了很多人生的智慧。只要正确的进行阐述,任何故事里都有一些与信息安全相关的隐喻。例如,在《三只小猪》里,有想通过吹气的方式暴力破解攻击房子的小孩;在《冰雪女王》里,青梅竹马中的凯被安装了恶意软件魔镜,失去了对自己的掌控,整个过程就和网络犯罪分子使用远程访问工具操控内部系统一样。
反过来,《穿靴子的猫》这个故事基本上就是一篇针对复杂APT攻击的详细报告。报告中,Puss首先劫持了食人魔的基础设施,在建立了自己的势力后,设计了与声誉服务相关的复杂骗局,与当地政府达成了一项欺诈交易。