麻省理工学院的课程“计算机系统安全”。 讲座23：安全经济学，第3部分

麻省理工学院。 讲座课程＃6.858。 “计算机系统的安全性。” Nikolai Zeldovich，James Mickens。 2014年

计算机系统安全是一门有关开发和实施安全计算机系统的课程。 讲座涵盖了威胁模型，危害安全性的攻击以及基于最新科学研究的安全技术。 主题包括操作系统（OS）安全性，功能，信息流管理，语言安全性，网络协议，硬件安全性和Web应用程序安全性。

第1课：“简介：威胁模型” 第1 部分 / 第2 部分 / 第3部分
第2课：“控制黑客攻击”， 第1 部分 / 第2 部分 / 第3部分
第3讲：“缓冲区溢出：漏洞利用和保护” 第1 部分 / 第2 部分 / 第3部分
讲座4：“特权分离”， 第1 部分 / 第2 部分 / 第3部分
讲座5：“安全系统从何而来？” 第1 部分 / 第2部分
讲座6：“机会” 第1 部分 / 第2 部分 / 第3部分
讲座7：“本地客户端沙箱” 第1 部分 / 第2 部分 / 第3部分
讲座8：“网络安全模型” 第1 部分 / 第2 部分 / 第3部分
讲座9：“ Web应用程序安全性” 第1 部分 / 第2 部分 / 第3部分
讲座10：“符号执行” 第1 部分 / 第2 部分 / 第3部分
第11课：“ Ur / Web编程语言” 第1 部分 / 第2 部分 / 第3部分
讲座12：网络安全性第1 部分 / 第2 部分 / 第3部分
讲座13：“网络协议” 第1 部分 / 第2 部分 / 第3部分
第14课：“ SSL和HTTPS” 第1 部分 / 第2 部分 / 第3部分
第15课：“医疗软件” 第1 部分 / 第2 部分 / 第3部分
第16课：“侧面通道攻击” 第1 部分 / 第2 部分 / 第3部分
讲座17：“用户身份验证” 第1 部分 / 第2 部分 / 第3部分
第18课：“私人浏览Internet” 第1 部分 / 第2 部分 / 第3部分
讲座19：“匿名网络” 第1 部分 / 第2 部分 / 第3部分
讲座20：“手机安全性” 第1 部分 / 第2 部分 / 第3部分
第21课：“跟踪数据” 第1 部分 / 第2 部分 / 第3部分
第22课：“信息安全MIT” 第1 部分 / 第2 部分 / 第3部分
第23课：“安全经济学” 第1 部分 / 第2部分

演讲文章讨论了可以阻止垃圾邮件发送者的各种报复策略。 作者指出，联盟计划的域名注册商数量有限。 这意味着大多数关联的合作伙伴都分别与处理其域名和基础结构的注册商相关联。 单个域名注册商与许多不同的联属营销计划相关联的情况非常罕见。



这意味着没有共同的中心，共同的注册商，这可能会破坏整个垃圾邮件基础设施。 类似的模式适用于Web服务器之类的东西。 很少有ISP提供商拥有一堆带有一系列会员程序的Web服务器。 该业务具有分布式性质，因此很难说，如果我们“采用”这3个提供商，那么整个垃圾邮件生态系统将被破坏。

因此，遗憾的是没有单个服务器可以阻止垃圾邮件。 稍后，我们将看到这可能与某些影子银行计划有关，因此，也许我们仍然设法向垃圾邮件发送者施加压力。

让我们回到垃圾邮件实施阶段，看看用户（您）决定购买东西后会发生什么。 实施阶段包括两个部分。
用户为自己购买或想要购买的任何商品付款，然后，我希望他可以通过邮寄方式（例如购买假药）接收这些商品，或者如果他想接收盗版的Photoshop或类似的东西则可以从Internet下载。



现金流看起来像这样。 客户联系卖家，并告诉他他想购买东西。 他发送信用卡信息，之后卖方与付款处理器付款处理器通信。 这是一个重要的中介，可以帮助垃圾邮件发送者和卖方了解与信用卡系统进行交互的一些复杂情况。 支付处理器联系服务银行。

服务银行执行所有与银行卡结算和付款有关的操作。 他在文章中提到了所谓的“关联网络”，但我们将其简单地视为Visa或MasterCard付款系统，因此它只是一个信用卡网络。

最后，这些协会网络或卡网络与买方的开证行进行通信。 实际上，他们要求提供此交易是否合法的信息，即在持卡人的同意下。 如果是这样，钱将通过整个系统，并流向卖方。 这就是端到端运营的财务状况。 这个工作流程可以处理很多钱。 演讲材料中提到的一篇文章说，通过这样的交易，一个合伙人可以获得超过1000万美元。 随之而来的问题是，为什么收单行或发卡行不会在此处报告有问题？ 事实证明，在许多情况下，他们实际上什么都不报告。



我想知道为什么金融系统能容忍这样的过程。 例如，为什么垃圾邮件发送者正确地对他们的交易进行分类？ 当您想通过该系统发送商品时，您必须正确地指出正在执行的交易类型，表明您出售的是药品，软件，无论如何都没关系。 可以假定，销售假维生素的垃圾邮件发送者不希望表明他从事制药业务。 但是，有趣的是，在大多数情况下，垃圾邮件发送者可以正确地对交易进行分类。 原因是对不正确的分类可能会判处高额罚款。

因此，诸如Visa或Mastercard之类的关联网络相信，通过此类交易，一切看起来都是井井有条的，即使它们看起来有些可疑。 但是他们不想被指控洗钱或企图欺骗当局。 只要您正确地对自己的工作进行分类，那么从某种意义上说您就是在捍卫自己。 因为您总是可以告诉当局您对法律一点也不了解，但是至少您没有试图隐藏这项交易的目的。 因此，垃圾邮件发送者经常正确地对他们的交易进行分类，也就是说，他们在系统中使用某种措施。

我前面提到的另一个问题是，垃圾邮件发送者为什么会向客户发送任何内容？ 如果您是垃圾邮件发送者，那么您是罪犯吧？ 那么，为什么不从人民那里收钱却不与他们逃跑呢？ 事实证明，他们实际上是向顾客发送东西，因为他们不想遭受高额罚款。 这是一个非常有趣的系统，垃圾邮件发送者想要合法地做某事，尽管他们仍然不能使用比特币，但实际上，它们必须在现有系统的限制内工作。

如果垃圾邮件发送者有很多拒付，也会被判高额罚款。 退款是指客户告诉金融公司他尚未收到已付款的商品，或者收到的商品质量不适合他。 因此，如果垃圾邮件发送者有太多需要退款的客户，将向他收取非常非常高的罚款。 因此，垃圾邮件交易中拒付的比例很小。 事实是，他们的利润转换率极低，因此即使罚款一两次也可能破坏整个月度利润。 因此，垃圾邮件发送者对于在上述两种情况下都避免罚款都非常感兴趣。



受众：使用PayPal是否有助于与银行建立更隐秘的关系？

教授：是的，不是。 PayPal在许多方面与Visa或MasterCard非常相似。 它的活动受类似规则的约束，因为这些支付系统具有相同类型的风险。 我认为Visa在某些方面有更严格的限制，我们将在稍后讨论。 但是作为支付系统，Paypal具有类似的目标。

听众：有什么想法可以组织一个小组，在其中创建一个帐户，然后有意前往垃圾邮件发送者的网站，购买一堆东西，然后安排退款以向他追讨罚款？ 还是您报告垃圾邮件发送者错误地将交易分类为罚款？

教授：有趣的主意，就像治安警察一样！

受众：是的，垃圾邮件发送者是垃圾邮件。

教授：是的，没错，但我从未听说过。 我知道垃圾邮件发送者正在试图寻找诱骗他们的人。 该文章阐述了作者如何识别垃圾邮件发送者。 他们收到了一堆垃圾邮件，通过一系列链接，发行了一张特殊的Visa卡，用来购买这些东西，等等。 他们称其为“测试购买”。 但是，垃圾邮件发送者试图阻止试图弄清楚正在发生什么的人购买测试产品。 因此，某些垃圾邮件发送者要求您在出售商品之前验证身份。 他们可能会要求您发送身份证照片或类似的照片。 Visa收紧垃圾邮件规则后，有人开始这样做。 现在，垃圾邮件发送者遇到了问题，因为单击垃圾邮件链接的人不希望将其ID扫描发送给某个随机的人。 这篇文章包含论坛中垃圾邮件发送者的摘录，他们在其中抱怨说Visa获得了它们-他们被迫要求人们向他们发送身份确认，但他们不想这样做。 奇怪的是，人们不怕将文档扫描发送给垃圾邮件发送者，但不怕给他们信用卡号。 无论如何，垃圾邮件发送者都希望找到及时的人试图将他们带到干净的水中。

受众：关于退款-如果人们不希望银行知道他们购买的是非法物品，那么即使他们没有收到货，他们也会为要求退款而感到羞耻吗？

教授：好问题。 我不知道有多少人对购买各种膳食补充剂感到失望，并向银行报告了这一情况。 有趣的是，银行首先应该知道钱的汇出地，但是我认为您无需向其披露有关交易的任何其他信息即可发出退款。

受众：拒付者中大约有多少百分比会导致垃圾邮件发送者担心？

教授：他们称所有交易的数字约为1％。 换句话说，如果您是垃圾邮件发送者，并且您有超过1％的交易需要退款，那么这就是令人担忧的原因。 较低的数量我不会感到惊讶，但是我听到了大约百分之一的声音。

正如我所说，对我来说，这是文章中最有趣的部分之一，因为我一直认为垃圾邮件的强制性属性是公开欺诈。 也就是说，人们跟随链接，汇款，却一无所获。 但是事实证明，垃圾邮件发送者必须遍历整个网络，该网络具有防止欺诈的机制，最终他们被迫向用户发送邮件。

垃圾邮件发送者喜欢谨慎行事，正确分类交易并实际将事物发送给客户的另一个原因是，只有少数几家银行愿意与垃圾邮件发送者合作。 这意味着，如果垃圾邮件发送者收到大量退款，或者在银行业务和信用卡方面造成问题，那么某些银行可能会中断与他的关系。 同时，很少有其他银行同意与垃圾邮件发送者见面，以便他继续处理自己的“恶作剧”。

关于该主题的研究表明，只有大约30家收款银行的垃圾邮件发送者使用了两年以上的服务。 实际上，这是很少的银行。 因此，银行的短缺是一个诱因，因为他们不会破坏金融体系，因为如果垃圾邮件发送者破坏了已建立的合作伙伴关系，那么他根本就不会与任何人联系。
因此，似乎要求严格遵守财务规则可以减少垃圾邮件。 我们讨论过，诸如僵尸网络之类的东西为垃圾邮件发送者提供了很多IP地址，有足够的提供商准备为其运行Web服务器，等等，但是服务银行的数量实际上似乎很少。 因此，也许我们可以在这里真正打击垃圾邮件。

但是，正如我已经说过的那样，由于很难证明垃圾邮件发送活动为非法这一事实，很难做到这一点。 例如，如果您使用垃圾邮件来出售糖，则没有非法行为，因为出售糖不违反任何法律。 您可以在销售过程中以某种方式欺骗买方，但出售糖本身并不是非法活动。



事实证明，很多垃圾邮件都落入了这个“灰色区域”，在该区域垃圾邮件发送者的行为可能令人不快，但不必违反法律。 对于盗版软件之类的法律，立法更明确地概述了法治。 但是，您不能只是指向其中一家银行并说“您好，您的客户是罪犯！”，因为并非总是如此，特别是如果没有明确的书面证据将金融交易链接到垃圾邮件发送者的网址，是此交易来源的来源。 通常很难证明垃圾邮件分发链中这些链接的连接。

自从我们正在考虑的文章发表以来，信用卡行业已采取了一些报复行动，因为该文章在发布时引起了轰动。 此后，Visa和MasterCard付款系统协会想知道如何才能阻止某些垃圾邮件。 有趣的是，文章发表后，一些制药公司和软件供应商向Visa提出了投诉。

如果您还记得这篇文章，Visa是一个相关联的网络，垃圾邮件研究人员可以通过该网络进行测试或虚拟购买，因此一些公司认为Visa被用作为垃圾邮件发送者提供资金的系统，并决定对此进行投诉。

针对这些投诉，Visa对其付款政策进行了一些更改。 例如，现在所有与Visa产品进行交易的交易都被标记为高风险销售。 这意味着，如果银行充当这些交易的收单方，则Visa将为其建立更严格的交易条件，例如，要求银行参与风险管理计划或对其进行更频繁的检查。

Visa还修改了内部规定。 现在，他们明确定义了清单，并禁止非法销售受注册商标保护的药品。



这有助于对银行和商人实行更严厉的罚款，根据这种付款系统，它们涉及非法销售药品，假冒品牌手表等。 我再重复一遍-“灰色区域”中仍然存在大量垃圾邮件，这不一定是非法的。 只是要求客户使用某些技巧。 但是现在，签证可以对人们产生更大的影响。

为了避免不仅由垃圾邮件研究人员而且由相关网络进行的虚假购买，垃圾邮件制造者开始要求买家进行身份扫描，这通常不是很好。

付款系统至少更改了交易规则至少几年后，就产生了影响。 很高兴看到本文对现实生活产生了重大影响。

本文提到的另一件有趣的事情是进行安全性研究（特别是垃圾邮件链研究）的道德方面。 为了了解某些银行业务机制是如何工作的，研究人员实际上必须进行购买。 他们必须为这些商品支付垃圾邮件。 作者写道，他们在不使用任何东西的情况下销毁了所购买的所有产品，并与开发公司讨论了在购买软件之前购买其盗版版本的问题。



实际上，这种事物的起源非常重要，尤其是在大学环境中。 因为如果您想做一些涉及人格研究的事情，任何可能涉及道德方面的事情，都需要获得IRB研究项目道德评估委员会等机构的律师的许可。 对于研究人员而言，确保其行为不会支持世界某个偏远地区的攻击者非常重要。 这也是讲课材料中一个有趣的部分，因为我们已经讨论了如果您知道零日漏洞无法由某人解决，那么开发零日漏洞是多么道德。 因此，这是安全研究的一个非常有趣的方面。

观众：是否有对安全伦理的监督？ 因为文章说IRB对此不感兴趣。

教授：是的，这很有趣。 , IRB , , . , , - -. , . , . , IRB , , , .

: , 350 -, 28 , , 28 , ?

: , , , . , , 5 , , .
, , , . , , , . , - , , , , – , , .

, , 35 , , , 35 2 — . .



: 350 ? , 350 -.

: . , . , , - . , , , , -.

: , , , .

: , , . , , , , hackback, « ». , - , .



, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .

, . , Microsoft , Microsoft.

, Windows , Windows, , , Microsoft . , . .
, . , , .

, , , , , .

, , .


.

感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps至1月，直到 6个月的付款期免费 ，您可以在此处订购。

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？