威胁建模案例研究：自行车

如何避免每6-12个月再买一次自行车，以及如何将同样的推理应用于其他东西的技巧，比如电脑。

买一把好的[自行车价值的10%]锁，最好是一把SoldSecure；评级很高的锁，然后把你的自行车锁在后三角和后轮的某个地方。

我在自行车杂志、高质量的报纸上，有时甚至是警察，当然还有网络论坛上，都看到过这样的建议。

以上将意味着，如果你拥有一辆400 GB的自行车(英国的典型价格)，你会买一把40 GB的锁，然后把它放在合适的地方。

然而，这是一个冷酷的事实，一个无绳角度磨床可以击败任何自行车锁，无论多么昂贵(请参阅此视频的演示)。你可以在易趣上买到一台二手无绳角磨床，价格低于100 GB。即使是U型锁-传统上被认为是最坚固的锁-也可以用一台低于GB 100的角度磨床在几秒钟内打开。

但自行车雷达设法让自行车与车主团聚的情况似乎是例外，而不是规则。这可能是因为，就像对待汽车一样，你处理偷来的自行车的第一件事就是把它带到不同的地方。

这可以防止机会主义的盗窃，但如果这个空间与其他人(公寓楼和办公室)共享，那么对于深夜开着面包车闯入你的储藏区的有备而来的小偷来说，这实际上是增加了规模经济。办公自行车商店(里面有许多花哨、昂贵的自行车)一夜之间被专业小偷清空的情况并不少见。

我认为上面的建议很糟糕，因为它没有从小偷的角度系统地考虑这个问题。

要想提出更好的建议，需要一个威胁模型，这是一个用来全面看待攻击者构成的危险的行话。我认为进行威胁建模的最简单、最直接的方法之一是通过用户角色，您可以轮流考虑每种类型的攻击者，对他们的动机和方法水平做出一些合理的假设。

奈杰尔只有两只手，他只是想搭个便车回家，或者找个可以卖给朋友的东西，换取一些快速的现金。

奈杰尔还可以拿走任何不需要工具就可以拆卸的自行车部件。这意味着任何快速释放的轮子或指旋螺钉鞍座。在市区，你停放的自行车每小时可能会被一个奈杰尔人路过几次，所以任何没有锁住的东西都不会持续很长时间。

鲁珀特有一把小剪刀；4毫米、5毫米和6毫米的艾伦键和一把15毫米的车轮螺母扳手。

鲁珀特将用他的剪刀穿过电缆锁。如果有什么贵重的部件可以用手工工具移走，他就会拿走。他特别热衷于高档马鞍和名牌车轮。

珀西有一小批电动和气动工具，包括一台角磨机、螺栓切割器和一个空气千斤顶。他可以接触到犯罪围栏，他可以用来快速出售偷来的自行车。珀西经常开着他的面包车到达，这使得他可以一次偷多辆自行车。

没有一辆自行车能躲过珀西。任何锁都挡不住他的角度研磨机。他经常发现，如果他穿着高空夹克，他甚至可以在光天化日之下使用他的电动工具。如果自行车看起来足够值钱，他愿意冒险。

为了保证你自行车的安全，你需要采取措施对付所有三个级别的假想窃贼。

确保不能用手动工具从自行车上移走任何好东西，将车轮和车架锁在自行车支架上--不要依赖螺栓。

什么都不做，除了确保你的自行车看起来不够值钱，不值得他花时间。

贵重自行车(>；GB1000)在城市地区的半衰期极短。可悲的事实是，世界上的珀西人足够普遍，足智多谋，一辆价值超过1000英镑的自行车在大城镇的任何地方都不是真正安全的。这包括大多数电动自行车。你可能会注意到，拥有电动自行车的自行车快递员倾向于一边吃午饭，一边直接看着他们锁着的电动自行车，这样它就永远不会离开他们的视线。从事其他工作的人很少有人能做到这一点。

如果轮胎是充气的，我自己的通勤自行车很可能值30英镑给合适的买家。我的自行车太低端了，以至于骑自行车的势利者都把它说成仅仅是自行车形状的东西。相当自私的是，我很高兴有这样的势利小人存在，因为周围有很多更有价值的自行车为我提供了良好的环境安全。当下一个行李架上有一辆坎帕诺洛时，没有小偷会费心撬开我的锁。

我认识的一位父亲让他上小学的女儿用小女孩的贴纸和粉色闪光灯装饰他的通勤自行车。如果有人仔细检查他的自行车，他看起来就像一个彻头彻尾的笨蛋，但我认为他的动机是正确的：当自行车上覆盖着模糊的贴纸时，偷窃的吸引力就会大大降低。

那自行车保险呢？在英国，这是相当昂贵的，通常是每年自行车价值的10%-15%，保险公司通常只在整辆自行车被拿走时才赔付(所以如果你的前轮被划伤了，你就只能靠自己了)，当你能证明它是按照他们的标准锁住的时候。通常，这些标准要求它被锁在室内，这意味着每当你把车停在远离家或办公室的地方时，你都要重新碰碰车。

保护你的自行车和保护其他东西是一样的：帕特，具体的安全建议是一些值得怀疑的东西。

在自行车上，常见的口头禅是花10%买一把锁；但在计算口头禅时，口头禅是使用强密码等口号来备份你的重要数据，或者使用加密，但这些都同样乏味。

强密码！"；作为一个口号，它不能解决这样一个事实，即平均每个互联网用户在不同的网站上有数百次登录(我自己的密码管理器记录了700多个网站)。大多数互联网用户决定使用单一的强密码，然后随时随地使用它。它们只需注入一次错误的sysadmin或javascript，就可以访问他们拥有的每个网站上的每个帐户。

如果备份存储得和原始数据一样安全，那么备份重要数据只会对您的安全有所帮助。许多用户数据通过共享文件服务器上安全性较差的备份被窃取或暴露。大量的人在他们的Dropbox中有护照和水电费账单扫描-同样，在他们在任何地方都使用的相同的电子邮件和密码后面。公司在备份方面也可能会出人意料地草率：在大迁移之前，经常会将其转储到云存储中，并且从未删除过。

加密很麻烦，因为它可能会给人带来不必要的信心，可能会产生惊人的适得其反的效果：当一名卫报记者在他的书中包含了一个广泛传播的加密文件的密码时，25万份美国外交电报被无意中以未经编辑的形式公布。显然，他认为文件的密码不知何故是临时的。不是这样的。

与其遵循这样的最佳实践，提出自己的威胁模型在智力上更为稳健--然后，您可以决定自己的具体步骤，而不是仅仅遵循可能不适用甚至是错误的其他人的安全步骤。

为了说明起见，大多数有用的例子都很简单，自行车防盗也是如此。到目前为止，把自行车放在车架上的主要目的只是为了威慑和防止小偷。在其他情况下，您可能还想要发现它们，延迟它们，提醒相关人员，甚至可能以某种方式做出回应。

拥有明确的威胁模型的一个明显优势是，它阻止了安全虚无主义。当讨论具体的防御措施时，有一种倾向是迷失在荒谬的假设中-在冷淡地考虑你的情况时，这些事情需要不成比例的能力和决心。相反，如果你把外国情报机构放在窗帘零售商的威胁模型上，你会理所当然地感觉自己像一个彻头彻尾的太空学员，这让事情更多地植根于看似合理的东西(而不是技术上可能的东西)。

自行车安全与大多数其他事情的一大区别是，在自行车安全方面，没有欺诈因素。没有人会为了自己的利益而试图说服你骑一辆冒名顶替的自行车。然而，欺诈应该是大多数安全思维的重要组成部分，现实世界计算机系统的一组诚实的用户角色可能包括几种不同类型的欺诈者-从每月试图重新开始免费试用的客户到试图使用您的内部账户信用来洗钱的人。在计算机领域，黑客讨论得很多，但欺诈者可能会造成更多的痛苦。

我想尝试的一件事是，把攻击者的用户角色与客户用户的角色同等重要地对待--把它们挂在办公室的墙上，让每个人都熟悉他们的需求。可悲的是，在很多地方，如果有威胁模型，它的流通就会受到很大的限制。当我在一个(否则运行良好的)政府系统上工作时，我花了很长时间才获得查看威胁模型的许可。一旦我看到它，它就有点道理了，但它显然是在与了解该系统的人隔离的情况下创建的。令人沮丧的是，我认为秘密和过时的威胁模型在实践中只比什么都没有少一点。

谢尔登·布朗(Sheldon Brown)的锁定策略页面也在同一主题上，非常有影响力。尽管如此，我认为其中一些建议是错误的：

如果您同时使用U型锁和电缆锁，您的安全性将是单独使用这两种锁的两倍以上。任何一种锁都可以被打败，但每种锁都需要不同的大而笨重的工具，这对另一种锁是毫无用处的。

事实上，两者都可以用角磨机切割，角磨机可以装在背包里。无论如何，电缆锁可以用我们的背包鲁伯特随身携带的一把简单的剪刀来剪断。您很有可能丢失电缆锁保护的任何东西-请参见标题图像以了解这方面的示例。

罗斯·安德森的书“安全工程”。这里的用户角色基于他对物理保护威胁建模的报道(在我的第二版中的11.2.1节，在即将到来的第三版中的13.2.1节。我真的推荐这本书。虽然这是一个绝对的门槛，但它的可读性非常好，我从中学到了很多。

HMG的第一个政府设计原则概括地说，从用户需求开始，从那里开始工作。在进行威胁建模时，一个很好的起点可能是抓住攻击者的需求，然后不是努力让他们感到惊讶和愉悦，而是努力让他们感到厌烦和沮丧。