当年有人去阿里巴巴安全事业部面试,拿了offer之后,有个洗脑大会,专门介绍了这个部门的老大,据说是前公安系统的,如果你敢造次,我就能抓你,这就是最好的办法。
这也就是说:小打小闹,我技术防御,直接无视;大规模的,我技术定位,直接抓你。
而且黑客如果攻击淘宝,不会让你知道。
绝大多数情况下,黑客不会让你知道他做了什么,除非满足下面的一些情况,才有可能让你知道他攻击了:
1.被攻击的网站本身无利可图,宣告对其攻击不会给自己带来安全风险。
2.向外宣告,本身是这个攻击行为的一部分。潜伏不会带来利益。
3.可能未知的其它个性化原因。
如果攻击淘宝,显然这是有利可图的,即便仅仅是读数据也可以卖钱,这种有利可图的攻击,黑客绝对不会分享或者宣告出来,攻击完一定是闷声发大财。闷声发大财更能够长期的获利,更多的获利。所以你绝对不会看到黑客宣称攻击了淘宝。
如果一个网站虽然没有经济价值但能当肉鸡跳板用,黑客也会留着它,保护好现场,不会让任何人知道这已经是自己的肉鸡了。这种情况黑客也不会让你知道。
如果攻击某些完全不赚钱的小网站,攻击完之后发现完全无利可图,甚至连当肉鸡的价值都没有,这时唯一剩下的价值可能只有向世人宣告自己黑了一个网站,所以你才会知道这个网站被攻击了。
你看,只有最后一种情况你才会知道黑客做出了攻击,而实际上黑客攻击的主体你根本就不知道。
再来阐明几个概念,攻击不等于直接修改账户里的数字,有很多方法通过攻击来实现利益。比如:1.修改数据库信息(金额,装备);2.获取用户信息倒卖(批量卖公众信息);3.拒绝服务攻击(勒索或者受雇于竞争对手);4.渗透获取特定目标信息(商业机密,数据,产品图纸代码)。
最重要的一点,淘宝在一个完善的安全保护机制下(非安全技术,还有审计,管理,法律法规等),通过上述方法来获利,虽然是最直接的,但是风险也是最大的(很难变现,容易被发现,引起很大的关注度,领导会特殊重视等等)。其次,淘宝(或者支付宝)的安全技术在国内甲方来说,算的上是最好的之一,或许没有之一。
打个比方。你是情愿开飞机大炮去抢银行,还是就拿把枪去抢一些住着贪官的别墅区?前者又难成功,风险又大。后者被抢了,说不定都不敢去报警……
当然淘宝也不是无懈可击的,2345的攻击在某些层面也是能成功的,不过总的来说,淘宝的防护做的还是不错的,攻击淘宝的性价比太低。
黑客、病毒木马作者、钓鱼网站经营者,没有一天不在尝试攻击淘宝。
至于为什么没听过类似消息,就是因为不造成损失的,一般不会计较,造成损失,就会报警。而且黑客这行本来就只崇尚动手,不崇尚逼逼。再说攻击淘宝这事儿本身,性质和抢银行差不多。要么搞成了闷声发大财,要么搞不成丢脸不乱说,要么技术太菜被追踪给送进去,所以你才看不到张嘴的。
对了,很多优秀的黑客都在淘宝上班。
评论列表(1条)