没有约束的科技是危险的　　科学发展到今天，已经具备了很强大的自主性，如果任其无约束地发展，它的潜在成果既有可能造福人类，也有可能摧毁人类的生存与社会秩序。如何让科学的发展始终朝向善的道路，就是今天人类亟须解决的问题，科技伦理的兴起也正是基于这个时代背景出现的，从中不难发现科技伦理出现的被动性。在经历一系列惨痛教训后，人们终于认识到不加约束的科学是非常危险的，任何国家或个人都无法承担其可怕的后果。从这个意义上说，科技伦理的水平直接标度了科技发展的成熟度。　　科技伦理的出现是科学建制化带来的必然结果，这是社会分工与专业化发展的内在要求。科技伦理的目标很明确，即通过有效的规范，保证研究的所有环节都处于伦理的规训空间内，使研究的整个链条都指向追求善的目的。为了清晰展示科技伦理的作用空间与复杂性．我们可以简单勾勒出科技伦理发生作用的空间结构：政策环境、研究主体、手段、研究对象与研究结果，在这个研究链条的每个环节内都存在伦理缝隙，如果处理不当，就会引发严重的社会问题。伦理学中诸多理论流派的分歧，大多与对伦理行为的空间结构侧重点的选择有关。关注行为主体动机的学者，侧重于强调道义论，即行动者的动机是否是善的；后果论者倾向于根据行为结果来判断行为是否是善的；注重过程的流派倾向于采取功利主义模式，认为一个行为如果能取得综合收益最大化，那就是善的。从中不难看出，提炼出具有普遍实践操作性的伦理规范并不是一个简单的问题。对科技伦理而言，如何使这个研究链条的运转既满足研究的目的，又不违反伦理的要求，实在是很复杂的事情。在这条研究链条上存在诸多值得探讨与约束的地方，否则，科学就会从人类的福祉变***类的噩梦。科技成果引发的恶不仅仅包括那些基于前沿知识而来的新奇危险，还包括更多的基于普通知识的平庸的罪恶。　　由于近代科学是西方的产品，在其发展过程中，西方人提出了一些相应的伦理规范，而对于中国人来讲，科学在很大程度上是舶来品，我们没有与此相对应的传统与经验，因而在科技伦理上存在先天的不足。　　由于西方具有悠久的宗教传统，即便科技领域是一个全新的未知领域，并无相应规范，其工作还是会受到宗教伦理的约束。而中国传统的儒家伦理是基于农业社会建构出来的，仅仅解决了人伦与社会秩序问题，而建制化的科技是近代工业化的产物，因此，根本不可能从儒家伦理中分化出符合科技发展的现代科技伦理观念，就此而论，其可资借用的理论资源并不多。同时，我们的文化也缺少对于至善的一种普遍的形而上思考，故而，在面对社会结构整体变迁之时，我们原有的伦理规范大多处于失灵状态。再加上中国的社会变迁大多处于低水平重复状态，故而很难涌现出新的生产方式与制度安排，这就导致很难出现伦理规范的革命性变迁，致使我们的伦理规范总体上处于退化阶段，甚至在一些领域我们根本就没有比较成型的伦理规范。在社会分工进程加快的现实的倒逼之下，伦理空白之处随处可见，伦理领域是一片亟待开拓的处女地。　　另外，我国的教育体制中也缺少这方面的系统训练，从而导致我国科技人员对于科技伦理的认识与知识储备严重不足。这就意味着，随着中国科技的迅猛发展，科技投入的增加与从业人员的大幅增长，以及功利主义评价模式的形成，完全可能导致一部分科研人员在利益的驱使下，没有约束地从事后果高度不确定的研究。没有规则的市场是混乱的，没有伦理约束的科技则是危险的。　　所有的优秀与卓越都是规训的结果，因此，践行负责任的研究，恰恰是中国科技界应该展现给世界的一种风格与品相。　　1．下列理解和分析，不符合原文意思的一项是 ( )　　A．科学的发展已具备很强的自主性之后需要一定的约束，科技伦理为此而被动地出现，它的目的是更好地规范科学的发展。　　B．仅仅解决了人伦与社会秩序问题的儒家伦理不适应T业化时代的科技伦理要求，因此，我们急需构建科技伦理规范。　　C．政策环境、研究主体、手段、研究对象与研究结果，是科技伦理链条的几个环节，每个环节内都存在伦理缝隙。　　D．近代工业社会出现了科学的建制化，社会分工与专业化的发展要求建制化的科学接受科技伦理的规训。　　2．关于中国为什么要推进科技伦理研究，下列表述正确的一项是 ( )　　A．中国没有自己的科学，科学是舶来品，没有与此相对应的传统与经验，在科技伦理上存在先天的不足，因此要加强科技伦理研究。　　B．在社会分工进程加快的现实的倒逼之下，推进科技伦理研究将引发新的生产方式与制度安排，从而引发伦理规范的革命性变迁。　　C．从儒家伦理中不可能分化出符合科技发展的现代科技伦理观念，因为儒家伦理是基于农业社会建构出来的，而建制化的科技是近代T业化的产物。　　D．我国的教育体制中缺少科技伦理的系统训练，导致一部分科研人员在利益的驱使下，没有约束地从事后果高度不确定的研究。　　3．根据全文内容，以下分析推断不正确的一项是 ( )　　A．科技成果引发的恶不仅仅包括那些基于前沿知识而来的新奇危险，还包括更多的基于普通知识的平庸的罪恶，因此规范后者更为重要。　　B．近代科学是西方的产品，在其发展过程中，西方人提出了一些相应的伦理规范，从这个意义上说西方的科技发展比中国的科技发展成熟度更高。　　C．学者们往往对伦理行为的空间结构侧重点有不同的选择，选择不同的侧重点有不同的伦理倾向，因而较难提炼出具有普遍实践操作性的伦理规范。　　D．人们在经历一系列惨痛教训后，终于认识到不加约束的科学是非常危险的，用伦理约束科学应该是中国科技界展现给世界的风格。　　***：　　1．C(政策环境、研究主体、手段、研究对象与研究结果是科学研究的环节，而不是科技伦理链条的环节。)　　2．C（A．以偏概全。“对于中国人来讲，科学在很大程度上是舶来品”，并不是“没有自己的科学”。B．“推进科技伦理研究”不一定会“引发新的生产方式与制度安排，从而引发伦理规范的革命性变迁”。D．是“可能导致”，并不等同于“一定会导致”。）　　3．A(因果关系不成立。)
上一篇：：
相关的阅读***
最热现代文阅读及***
最新现代文阅读及***1、保险业的本质就是保险公司和客户之间对赌，而保险公司押的是大概率，用户永远押的都是小概率事件。从整体上分析，客户的总体收益永远是亏损的，对不对？
2、有没有什么法律或者规定来限制保险公司用拆东墙补西墙的方法来兑现用户承诺的呢？3、保险这个东西，在人民生活中普及才不过几年，那遥远的多少年以后的利益怎么去保证？是不是如果有严重通胀、战争等情况，这些都化为乌有？
前面的大咖们分析的很全面了，不过针对普通消费者，我还是想就一个很基本的问题提醒大家一下。如果一个产品，你无法理解，或者看不懂，就不要买。买了之后无外乎两种结果：不知道能派上什么用场。 在使用的时候发现和自己的预期有巨大的差距。国内的保险公司和销售人员大多利用信息不对称的优势来达成销售，长达几十页的保险合同，即使是业内人士恐怕也难以看懂，就不用说普通消费者了。保险公司逐渐发现了这样一个空间，竭尽全力将一些保险产品设计得越来越复杂，这样就可以有更多的空间对受众进行销售误导，也更容易将更多不合理的费用强加到消费者身上而用户却难以察觉。举例来说，下面是一款国内保险产品的一项责任条款：大家如果想要弄清楚你在理赔时应该可以拿到多少钱，恐怕真的不是一件容易的事情。更何况，在这份保险合同中，这只是诸多责任中的一个而已。即使这间公司已经大家如果想要弄清楚你在理赔时应该可以拿到多少钱，恐怕真的不是一件容易的事情。更何况，在这份保险合同中，这只是诸多责任中的一个而已。即使这间公司已经很有良心的给了2个例子，并且附上的计算公式....同时，大家还需要注意的是，保险条款是由保险公司起草，而消费者是没有让保险公司修改条款的权利的，那么多数时候，保险公司出于对自身利益的保护，会无所不用其极的使用各种限定性条款控制赔付。如果大家不留意那些冗长的”免责条款“，恐怕理赔时发生纠纷也是板上钉钉的事情了。总结一句话，看不懂，就千万别买。这一点也适用其他的金融产品，比如P2P贷款，股票和某些理财产品等。相比之下，保险更加恐怖，因为消费者往往和保险公司签署了长期缴费协议，有的长达几十年...
不知道楼主听没听过盘子的故事，看完下面这个故事，很多关于保险的话题都会明白了：&br&&br&100个学徒工来到一家五星级大酒店学习厨艺，他们要勤勤恳恳学习十年才能出师。学徒们的薪水不高，一年只有几百块，但是五星级酒店的餐具都非常名贵，一 个盘子要1000块钱。如果哪个学徒不小心打坏了一个盘子，那么他不仅要倾家荡产来赔偿这1000元钱，还可能会被开除，不能再继续学习和工作。因此学徒 们都非常小心谨慎，但还是每年都有人打碎盘子。&br&&br&这一年，酒店来了个聪明的财务，他提出了一个方案：如果每个学徒每年愿意交一点点钱，把这些钱集中起来，那么无论谁打碎了盘子，就用这钱来赔偿盘子，而且 学徒们都不再受到处罚。大家都觉得这个方案很好，都愿意花一点点钱买个心安。那么需要交多少钱呢？聪明财务就问大家：“你们一年之内大约会打碎几个盘 子？”大家想了想答到：“大约四个吧”（预定死亡率）。那么假定一年内需要赔偿四个盘子的话，就需要每个人交40元钱。聪明的财务又建议大家聘请一名经纪 人来帮助大家管理这些钱财。按照当时的市场情况，雇佣一名经纪大概一年需要600元，为经纪人租个办公室要400元（预定费用）。这1000元的费用分摊 到每个学徒身上是10元，这样算下来每个学徒一年只交40（保障成本）+10（费用）=50元，就可以打碎盘子不被开除了。（短期消费险诞生了）&br&&br&可是这一年大半年过去了，竟然还没有人打碎盘子，这时候，一个平时做事最谨慎小心的人想了，我是最不可能打碎盘子的，这一年损失50块钱，十年也是500 块啊！不行，我得找财务去谈谈。小心人跟财务这么一说，财务说：那简单，你不想交就不交呗，反正出了事风险自己承担。小心人想想又觉得不踏实：万一我打碎 了盘子还是赔不起的，有没有两全其美的办法啊？聪明财务脑子一转，既然他想要拿回本金，我就要多收他一些钱，用这些多收到的钱去投资，用投资的收益把他的 本金赚回来。那么现在的市场收益率大概是12.4%（预定利率，现在保监委规定预定利率不得大于2.5%）。通过计算10年后要想拿回本金，现在就收取 40（赔盘子）+10（费用）+50（为回本投资）=100元。于是聪明的财务说：我也相信你不会打碎盘子的，但是万一的事情谁也不敢担保，要不你看这样 吧，你每年交100块押金（两全险），如果打碎了盘子这押金就没收了，如果十年都没打碎，到时候1000块钱我原样还你。小心人自己一算，几年内打碎了盘 子，本来要赔1000的，现在如果十年中途打碎只要赔几百，如果十年都没打碎盘子，自己一分钱都没损失，确实两全其美！“但是咱们得有一个约定”财务又 说，“你既然按100交押金了，这十年都得交，中途也不能再把押金取回，否则要算你违约。”小心人想想自己总归不亏，就一口承诺：“没问题！”&br&（两全保险诞生）&br&&br&这一年小心人果然没有打碎盘子，看见其他工友大都损失了50块钱，他不禁得意起来，把自己的方案告诉几个好朋友。很快一传十十传百，大家都觉得自己没那么 倒霉就是那个会打碎盘子的人，于是纷纷要求交押金。财务也很乐意，于是第二年一下子收了10000元押金。财务留下4000元准备赔盘子的钱，1000元 费用，剩下5000元就去投资，这一年市场非常的好，投资回报率升高到了15%（利差益，预定利率12.4%），而且这一年学徒们打碎的盘子也只打碎了3 个（死差益），雇佣的经纪也只花了500（费差益）。到了年底，还赚了不只一个盘子的钱。&br&&br&听说了这个事情，小心人又不平起来，他找到财务说，原来你用我们的钱去赚了那么多钱，却不分给我们，太不公平了。财务想了想说：我赚钱是靠自己的脑力体 力，也有我的功劳。要不这样吧，你再多交点，每年150元（分红险），十年后我不仅还你1500，还每年把盈利的70%分给你，如何？小心人一听，觉得这 样更划算，于是自己马上交了150，回去还鼓动别的工友也多交一点。&br&&br&这一年恰逢股市大涨，财务赚了很多，到了年终，大家一看自己的帐户，非但没有像去年一样花掉50块，反而还多了几块钱红利。于是财务鼓动大家说，明年行情 还会很好，大家不如把自己不急用的钱都给我吧，除了扣除帮大家赔付打碎盘子的保障成本40元钱，以及扣除管理费用10元。其余多给我的钱我帮你们运作，我 每个月给你们结算利息，而且是利滚利。“可是我们交了那么多钱，万一要急用咋办呢？”有人问。财务说，那没关系，这部分钱急用的时候你们可以随时取出（万 能险）。“那你要投资亏了怎么办？”又有人担心的问道。“放心吧，我给你们承诺每月给大家的利息不会低于0%的。而且年利率一定在2.5%以上”，众人一 盘算，我们哪里懂什么投资运作，财务是个聪明人，交给他放心！于是众人你150，他180的都交了出来。 （万能险）&br&&br&第三年年末，大家帐户上果然又多了若干盈余，有人感觉赚的真不少，但也有人感觉投的钱不少没有赚到心目中所想要得到的钱。他们又找到了聪明的财务，财务 说：收益高的项目当然有，但是风险也大，如果你们不怕风险，我可以帮你们投到这些项目中去，这样吧，我帮大家设置几个投资的帐户，其中有风险高的，有风险 低的，大家可以根据自己的偏好来选择投资的帐户，选择好了，我来帮你们运作，我每年只按帐户价值的百分之几收大家一点管理费，其余赚多少都归你们，但是万 一亏了，请大家也别怪我（投连险）只要存满五年，我连手续费都不扣。大家感觉这样能赚到更多的钱，于是就把所有的钱交给了财务。&br&这时候来了一个新的学徒，众人纷纷向他解释这个项目的吸引力，劝他多拿一点钱出来。新学徒听得一头雾水，最后终于搞清楚来龙去脉，说：不就是交50块钱赔盘子吗？我家庭困难，不把这20%的工资都押进去行么？&br&&br&从故事中，可以看到保费是由三个部分组成的&br&保障成本+费用+投资的钱=保费。&br&其中无论你购买的是消费型险，还是分红、万能、投连险，每年的保障成本和费用都被消费掉了。保险公司之所以能返本、分红、付息，无非是在拿客户的钱去投资，然后把投资收益再分给客户。而且由于保险公司的投资项目不可能太过激进。所以保险公司的投资收益都是比较低的。&br&所以建议客户：尽量购买消费型保障功能的保险，这样可以用非常低的价格购买的很高的保障。然后把省下来的钱投资到其他能带来更高回报的投资项目中去，如债券、基金定投等。这样客户的资金的使用效率会更高。&br&&br&思考：&br&在上面的故事中，随着故事的推进，人们的关注点在改变，开始关注的是保障，随着事情的发展人们的关注点越来越重视收益而忽略了保险的本质。想想现在的保险行业和保险市场是不是这样呢？&br&&br&所以还是建议大家再买保险的时候不要过多考虑资金回报，而应该重点考虑保险保障的本质，个人对于风险的厌恶才应该是购买保险最原始的初衷。
不知道楼主听没听过盘子的故事，看完下面这个故事，很多关于保险的话题都会明白了： 100个学徒工来到一家五星级大酒店学习厨艺，他们要勤勤恳恳学习十年才能出师。学徒们的薪水不高，一年只有几百块，但是五星级酒店的餐具都非常名贵，一 个盘子要1000块钱…
&b&一，&/b&&br&&br&1，&br&在很久以前的意大利，大家都经常出海，那时候船舶技术还不发达，船经常进个水遇个风浪什么的，但是很多船上的货物都是货主的全部身家，所以那时对于跑海洋运输的商人来说，海上风浪和海盗什么的，就是最危险的事情，比做生意亏损严重一万倍。&br&&br&于是一位商人发现了商机，告诉这些货主和船主们，你们出海之前给我一笔钱，如果你们的船和货出事了，我把船和货赔给你，如果没出事，这钱就归我了。船主和货物想，这些船和货都是全部身家，花钱买个平安也好，于是就给钱给这位商人。商人每次都会多收一点，这样商人赚了钱，船主货主们也不至于一遇到风浪海盗就倾家荡产，大家皆大欢喜。&br&&br&2，&br&后来，欧洲开始了罪恶的奴隶贸易，这时船舶保险和货物保险已经很普及了，基本船主货主出海之前都会买。由于奴隶运输条件很差，经常发生奴隶死亡事件，后来奴隶贩子们和船主跟商人商量了一下，我们给奴隶也投保，如果奴隶死了也赔我们钱。&br&这样，商人赚了钱，货主奴隶贩子们也不至于因为奴隶大批死亡导致血本无归。&br&&br&3，&br&之后的英国伦敦，那个年代房子很多都是木头的，因为经常发生火灾，把居民的房子和财产烧毁。大家整天防火，于是后来一个商人也发现了商机，告诉这些居民们，以后我们一起出钱成立个基金，如果谁家的房子烧了，我们就用这个基金赔给这位房主，如果没事，这钱就贡献给别人了。&br&于是伦敦的居民们也纷纷加入了这个保险。&br&&br&4，&br&俾斯麦时期的德国，由于社会不稳定，贫富差距很大，农民很穷，经常因为一点天灾病灾就家破人亡，也经常有人起来造反。俾斯麦想了个办法，农民们你们都出点钱，如果谁因为小病小灾就家破人亡，政府出钱给你们，保障你们平平安安。&br&但是很多人很穷，给他们的钱他们却交不起他们那一部分，俾斯麦想了个办法，有钱的农民就多交，没钱的农民就少交。谁出事了，拿钱都是一样的，而且所有人必须交。&br&于是那时候的德国风调雨顺，国泰民安，一跃成为世界强国。&br&&br&&br&这四个故事就是保险的起源：海上保险、人寿保险、火灾保险、社会保险。&br&&br&海上保险、火灾保险给了很多人启发，之后推广到家庭财产，汽车，合同责任，总之只要有经济利益都可以保。形成了现代的财产保险。&br&人寿保险，后来给了很多人启发，不光是有价值的奴隶，无价的居民生命，疾病，都可以保障。再之后，人们发现，不光可以保死，还可以保活，到了一定时间，如果没死，也能保险，就出现了养老保险。&br&社会保险，后来被很多国家发现有能稳定社会，保障穷苦人民利益的作用，能够促进生产，保障社会稳定，逐渐推广到所有国家，而且之后不光保灾，保老，保死，保病都可以。逐渐成为了现代的社会保险。&br&再之后，人们发现，不光公司个人可以保险，保险公司也能保险，如果接的保险太多赔不过来，可以把多出的部分再保给其他保险公司，也就形成了再保险。&br&&br&这就是保险的四个部门，人寿保险、财产保险、社会保险、再保险。&br&&br&再往后，商人们发现，比如保航空人身险，虽然保的是人身，但是出险是根据飞机是否失事计算。医疗保险，虽然保的是人身，但是赔钱是赔医药费，是财产损失，于是这种介于人身和财产之间的保险就形成了。第三类短期保险形成了。&br&&br&这里就形成了保险的第五个部门，短期意外伤害险。&br&到这里就说完了保险的五个部门：&br&&ul&&li&人寿保险&/li&&li&财产保险&/li&&li&再保险&/li&&li&社会保险&/li&&li&短期意外伤害险&/li&&/ul&&br&到这里，我们知道，保险的作用是&b&「保障」。&/b&&br&&br&&b&二，&/b&&br&&br&那些商人们成了保险公司，他们收了很多保护的钱，拿到了这些钱在手里，就可以进行投资，财产保险一般一年一年保，所以投资空间不大，保险公司需要从保费中收取一部分利润。&br&寿险一般10年20年，由于这些钱存在保险公司这里，保险公司需要承诺每年给保户利息，否则钱会贬值的很厉害。于是利率就出现了。&br&保险公司可以用这笔钱赚取很多利润，于是保险公司渐渐发现，不需要从保费中赚取利润了，只要用这笔钱投资，就有可观的利润，所以保险公司定价是按照每个人平均死亡率和运营成本计算的，利润则来自于收益。&br&后来保险公司发现，运营成本也可以通过提高管理，降低成本来获取利益。这时候保险公司发现，提高管理水平也能获得利益。&br&保险公司最后还发现，如果按照最先算出的死亡率，而最后没有死那么多人，那么这笔钱也就赚来了。&br&&br&所以保险公司的利润来源：&br&&br&寿险公司：死差（实际死亡率和预计死亡率之间的差额）+利差（实际收益率和预计利率之间的差额）+费差（实际运营成本和预计成本之间的差额）&br&财产保险公司：险差（实际出险率和预计出险率之间的差额）+利率（一年内的投资收益率）+费差+保费利润&br&&br&&br&&br&&b&三，&/b&&br&&br&最初的保险公司只是大家一起成立的一个组织，没有股东，所以赚来的利润，都返还给保户，管理者们和工作人员只拿工资和奖金。&br&后来有人发现了这是笔好生意，于是出钱设立保险公司，也就是股份有限公司，赚来的钱不还给保户了，直接分红给公司股东。&br&&br&&br&&b&四，&/b&&br&&br&后来保险公司竞争越来越激烈，保险公司纷纷想着如何能够卖出更多的保险，让更多的人来自己这里投保。&br&&br&1，&br&有的保险公司开始对客户们承诺，我们的利润中，利差部分全部返还给你们，于是这样的保险公司开始吸引到很多人投保。&br&于是就有了分红型保险。&br&&br&2，&br&有的保险公司开始想新点子，你把10000块钱给我，我用你的钱去投资，最后赚了500，这10500里，我用300当做保费，虽然保障额度小了点，但是其他部分我都退给你。&br&如果保险到期了，你没出事，我把10200都退给你，于是就有了返还型保险。&br&&br&保户们发现，分红型保险，虽然有分红，但是很少，返还型保险，不光能保障，还能赚钱。于是这种返还型保险越来越好卖。&br&&br&&br&3，&br&保险公司为了保费收入，开始雇佣营销员去推销保险，原本是个挺好的行为，能让更多人加入保险。&br&但是后来为了业绩，有些营销员也开始动歪脑子。比如对一位老人说，你买我们的保险，能随时连本带利取出，如果出事了还能获得赔偿（然而实际上很多返还型保险需要过多年之后才能连本带利取出，而且保障额度也低的吓人）。&br&有的营销员，开始向身边根本不需要保险的人推销，像家人推销，向朋友推销。&br&&br&于是大家开始厌恶保险。&br&&br&&b&五，&/b&&br&&br&保险公司因为发现这些营销员虽然没什么节操，但是确实能结结实实来带很多收入，于是开始给这些营销员高额的佣金，促使他们卖力推销。&br&当然，这些佣金是计入上面所说的运营成本中的，于是保户们交给保险公司的钱很大一部分不再是保费，而是保险公司的运营成本，那么自然保障额度就变小了。保险渐渐变了味。&br&&br&原本能够利用完善的管理，稳健的投资让保户们获得更大的利益。但是因为营销员实力推销能获得大量收入，因此保险公司渐渐也没了节操，开始不在注重产品质量，反而开始关注营销手段，让原本花1000块就能买到的保障，变成了需要1500才能买到。&br&&br&&br&&br&&b&六，&/b&&br&&br&&br&为了向更多不需要保险的人推销保险，保险公司也不再注重保障，开始注重收益，开始大量销售返还型保险，以低额度的保障高额的收益向民众推销保险，这个时候，保障不再重要，反而开始重要的是收益。保险也不再是最初的那个用于保障的东西了，成了很多人用于理财收益的产品，保费中也有很大一部分不再是用于保障，而是用于保险公司的运营成本和给中介的佣金。&br&&br&保险已经和最初的目的相去甚远了。&br&&br&&br&&br&「保险」是保险的，只是很多事情，比如市场，民众的投机性，保险公司的逐利性，让「保险」不再那么保险。
一， 1， 在很久以前的意大利，大家都经常出海，那时候船舶技术还不发达，船经常进个水遇个风浪什么的，但是很多船上的货物都是货主的全部身家，所以那时对于跑海洋运输的商人来说，海上风浪和海盗什么的，就是最危险的事情，比做生意亏损严重一万倍。 于是…
已有帐号？
无法登录？
社交帐号登录
独立精算师2014年最危险的五大软件漏洞
[摘要]今年被发现的几个重大安全漏洞来自已经推出了几年甚至几十年的老软件中。
腾讯科技讯 安全业界的研究员们每天都在寻找新的软件漏洞，但是已经很久没有象2014年这样出现数量如此之多或影响范围如此之广的漏洞了。回顾即将结束的2014年，一个又一个重量级漏洞接踵而至，受到影响的设备竟以百万计，系统管理员和用户简直要抓狂了。今年被发现的几个重大安全漏洞震惊了整个互联网，令安全社区颜面尽失，因为这些漏洞并不是在新软件中被发现的，而是从已经推出了几年甚至几十年的老软件中被挖出来的。有几个漏洞可以说是普通用户的悲剧，因为这么多人使用了这么久的时间，人们一直以为它们是没有漏洞的。SR Labs的柏林安全研究员卡尔斯滕诺尔（Karsten Nohl）称：“人们总是认为，拥有大量安全预算的大公司们都普遍使用的软件肯定已经被检查了很多次了，大家都想偷懒，希望其他人去做检测工作，结果谁都没有认真做完所有的安全检查工作。”他说，今年在最常用的工具中发现的那些重要漏洞说明了一个问题，即黑客们已经开始在老软件中寻找长期被人们忽略掉的漏洞。在很多情况下，这将造成惊人的后果。现在就跟我们来一起历数2014年在研究社区和全球网络上横行无忌的安全漏洞。心脏流血当加密软件失效的时候，最糟糕的结果是某些信息可能会外泄。但是当心脏流血漏洞被黑客利用时，后果要严重得多。心脏流血漏洞在今年4月被首次曝光时，黑客可以通过它向全球三分之二的网络服务器发动攻击。那些服务器使用了开源软件OpenSSL，心脏流血漏洞就存在于该软件中。利用这个漏洞，黑客不仅可以破解加密的信息，而且可以从内存中提取随机数据。换句话说，黑客可以利用这个漏洞直接窃取目标用户的密码、私人密钥和其他敏感用户数据。()工程师尼尔梅赫塔（Neal Mehta）和发现这个漏洞的安全公司Codenomicon一起开发出了对应的补丁，但是即便在系统管理员***好这个补丁之后，用户仍然不能肯定他们的密码是否失窃了。因此，心脏流血漏洞促成了历史上最大规模的修改密码行动。即使到今天，很多设备上的OpenSSL存在的漏洞仍然没有被补上。扫描工具软件Shodan的发明者约翰麦瑟利（John Matherly）通过分析发现，现在仍有30万台服务器没有***心脏流血的补丁，其中有很多设备可能是所谓的“嵌入式设备”，比如网络摄像头、打印机、存储服务器、路由器、防火墙等。ShellshockOpenSSL软件中的漏洞存在了两年多的时间，但是Unix的“进入子程序”功能中的一个漏洞却是存在时间最长的漏洞，它至少存在了25年的时间才被发现。任何***了这个壳工具的Linux或Mac服务器都有被攻击的危险。结果是，美国计算机紧急响应小组在9月公布这个漏洞后，不到几个小时就有上万台机器遭到恶意软件的DoS攻击。然而灾难并没有结束，美国计算机紧急响应小组最开始发布的补丁很快被发现自身也有一个漏洞。第一个扫描互联网来寻找存在漏洞的Shellshock设备的安全研究员罗伯特大卫格拉汉姆（Robert David Graham）称，这个漏洞比心脏流血漏洞还要糟糕。POODLE心脏流血漏洞袭击了全球的加密服务器之后仅过了6个月，谷歌的研究员们又发现了一个加密漏洞。这次漏洞位于安全软件保护的另一端：与那些服务器连接的PC和手机。存在于3.0版SSL中的这个名为POODLE的漏洞允许攻击者劫持用户的会话，窃取在用户电脑与加密在线服务之间传输的所有数据。与心脏流血漏洞不同的是，黑客可以利用POODLE漏洞发起攻击时必须与目标在同一个网络上，这个漏洞威胁的主要是开放WiFi网络的用户，比如星巴克的顾客。Gotofail心脏流血漏洞和Shellshock漏洞给安全社区造成了巨大的震动，以至于人们可能会忘了2014年最先被发现的重要漏洞Gotofail。Gotofail漏洞影响的只是用户。今年2月，苹果宣布用户的加密网络数据可能会被同一本地网络上的其他人截获，这主要是因为管理OSX和iOS如何执行SSL和TLS加密的软件代码中的“转至”命令出错引起的。不幸地是，苹果只发布了一个针对iOS的补丁而没有发布适用于OSX的补丁。也就是说，苹果在公布这个漏洞的消息时完全让其台式机电脑用户陷入了随时被攻击的境地。它的这个失误甚至激起了公司自己以前的一名安全工程师专门发了一篇博客文章来痛斥它。克里斯汀帕吉特（Christin Paget）写道：“你们在向你们其中一个平台发布SSL补丁时难道没有想到其他的平台？我在使用我的Mac电脑时，我随时都会受到攻击，而且我现在还只有眼睁睁地看着，什么也干不了。可爱的苹果，你他妈的在干什么？？！？！！”BadUSB2014年被发现的最阴险的攻击并没有借助于任何软件中的任何安全漏洞，因此它也是无法通过补丁来修复的。这种攻击方式是谷歌研究员卡尔斯滕诺尔（Karsten Nohl）8月份在黑帽子安全大会上最早演示的，它依仗的是USB设备中固有的一种不安全因素。因为USB设备的固件是可以被复写的，黑客可以编写出恶意软件悄悄地侵入USB控制器芯片，而不是安全软件通常在查毒时扫描的闪存。例如，一块U盘可能会包含一个无法被安全软件查出的恶意件，它会破坏U盘上的文件或者模拟键盘动作，悄悄地将各种命令注入用户的机器之中。大约只有一半的USB芯片是可被复写的，因此就有一半的USB设备会受到BadUSB的攻击。但是由于USB设备厂商并没有公布它们使用的是哪家厂商的芯片并且经常更换供应商，因此用户不可能知道哪些设备会受到BadUSB的攻击。据诺尔说，针对这种攻击方式的唯一保护方法是将USB设备当作“一次性注射器”一样使用，永远不要与他人共用或将它们插入不被信任的机器。诺尔认为这种攻击方式会造成很严重的后果，因此他拒绝公开相应的验证概念代码。但是一个月之后，另一群研究员公布了他们自己通过反向推导得出的攻击代码，迫使芯片厂商解决这个问题。很难说是否有人利用那段代码发动过攻击，这意味着全球各地的人们使用的无数USB设备已经不再安全了。（林靖东）‍
[责任编辑：jimmonzang]
您认为这篇文章与"新一网（08008.HK）"相关度高吗？
Copyright & 1998 - 2016 Tencent. All Rights Reserved
还能输入140字