周鴻祎:安全最終是人和人的較量

2 評論 4564 瀏覽 5 收藏 18 分鐘

這次勒索病毒爆發(fā),原本默默無聞的各大安全廠商瞬間沖在了抗病毒的最前線,用自己的技術和專業(yè)性實力圈粉。

一、未來勒索病毒會變成什么樣?

這次的勒索,第一次把網(wǎng)絡武器從攻擊組織到攻擊個人。有人問勒索病毒有沒有可能蔓延到手機上,我們覺得一定會蔓延到手機上。最近孫正義豪擲多少億投資ARM,未來說全球要有一萬億的設備連到物聯(lián)網(wǎng)上,我預言,物聯(lián)網(wǎng)、智能硬件、智能家居、工業(yè)互聯(lián)網(wǎng)都會在未來幾年發(fā)生,中國有300萬、500萬的設備連接物聯(lián)網(wǎng),這會帶來很大的問題。物聯(lián)網(wǎng)和虛擬生活聯(lián)結在一起,意味著所有的網(wǎng)絡攻擊都會造成物理傷害。如果從廣義上去設想,這是很可怕的事情。 未來勒索會誕生很多新的模式:

  • 現(xiàn)在你們各位離開手機就不能工作,不,是不能活了。如果有一天你手機里面攢了很多年的孩子的照片被加密了,說給錢才能解鎖手機,你是不是要瘋了。
  • 也許某一天你的各種智能設備、家用電器都能可能被黑客鎖定,你只有交錢才能看電視。
  • 也許某一天,你出門需要交錢才能開車。這還沒關系,最要命的是如果你交錢才能停車呢?我在看《速八》的時候突然腦洞大開,這樣的電影正是告訴人們:在憧憬自動駕駛美好的時候,也不要忘記 360 這樣的安全公司的價值。如果不注重網(wǎng)絡安全,自動駕駛汽車也可能變成人肉炸彈。

未來這種網(wǎng)絡犯罪和網(wǎng)絡恐怖主義不會局限于面對個人。

首先,有可能更多面向工業(yè)企業(yè)。

現(xiàn)在大家談工業(yè)制造2025,德國人談工業(yè)4.0。工業(yè)互聯(lián)網(wǎng)也可能被勒索。當像富士康的iPhone生產(chǎn)線都連上互聯(lián)網(wǎng)以后,如果他被攻擊了,會發(fā)生什么情況,別人還不得敲詐郭臺銘先生多少億美金,否則 iPhone 無法交貨可是很大的問題。

其次,網(wǎng)絡黑產(chǎn)的潘多拉盒子可能被打開。

過去網(wǎng)絡黑產(chǎn)還是比較懂互聯(lián)網(wǎng)的一批人在做,做木馬、黑色產(chǎn)業(yè)鏈和勒索病毒的。這些做黑產(chǎn)的和我們網(wǎng)絡安全行業(yè)不斷的纏斗。

這次的網(wǎng)絡攻擊效果應該說是給很多犯罪分子、恐怖分子帶來啟發(fā)。原來傳統(tǒng)的黑色產(chǎn)業(yè)鏈,他們可能會利用網(wǎng)絡漏洞武器做更多的敲詐勒索,變成一種商業(yè)模式。

再次,很多傳統(tǒng)的恐怖分子會受到啟發(fā)。

9.11之后,包括在歐洲發(fā)生的幾次大規(guī)模的恐怖襲擊之后,各國政府加強了傳統(tǒng)安防力量,比如地鐵和機場的安檢。

但網(wǎng)絡攻擊其實是成本很低,但很容易造成大規(guī)??只藕驮斐缮鐣环€(wěn)定的方向,網(wǎng)絡恐怖分子收到啟發(fā),很可能會出現(xiàn)一個新的名詞——網(wǎng)絡恐怖主義。我覺得未來幾年可能網(wǎng)絡恐怖主義會興起?;ヂ?lián)網(wǎng)到了一個新的時代,當網(wǎng)絡和人類緊密交織在一起時,對網(wǎng)絡的破壞就意味著是對整個社會秩序、對整個國家管理的破壞。所以未來反恐很重要的領域,要和網(wǎng)絡安全結合在一起。

二、漏洞不是 Bug,是核武器

1、漏洞是核威懾

說到這次勒索病毒攻擊,360已經(jīng)提前做過預警。但是我們發(fā)現(xiàn)一個特別有意思的現(xiàn)象,安全公司有點像老在說狼來了,狼來了,大家也聽習慣了,也都不當回事。這次攻擊,其實可以借此機會把壞事變好事,相當于給大家上了一課。大家突然意識到一個問題,網(wǎng)絡世界的攻擊的威力不亞于核武器。

你們有沒有發(fā)現(xiàn),過去安理會有五大常任理事國都有核武器,它就能形成平衡,形成相互的核威懾,你有100枚核彈,我有10枚核彈,這種能力可以平衡住。但網(wǎng)絡攻擊不一樣,這次 NSA 不小心泄露的舊武器“永恒之藍”就造成巨大影響,可以想像沒有泄露的武器是什么量級的。所以這種情況下,我相信全世界其他政府、國家政府的網(wǎng)絡武器庫里可能就壓根兒沒有與美國匹敵的網(wǎng)絡武器。

至于微軟的總裁呼吁,讓全世界簽署條約,大家都不要研發(fā)網(wǎng)絡武器,我認為這個呼吁已經(jīng)晚了。因為美國政府已經(jīng)有了,而且很厲害,它就形成了一種對其他國家的非對稱作戰(zhàn)、不平衡作戰(zhàn)、單方面優(yōu)勢。除非美國政府放棄,但這不可能。

我認為各國會非常重視以后這種網(wǎng)絡攻擊平臺和網(wǎng)絡攻擊武器的研發(fā),在網(wǎng)絡世界會形成新一輪的軍備競賽。

2、美國早已用這些漏洞打造了一批“核武器”

美國政府過去經(jīng)常說俄羅斯、中國攻擊它的網(wǎng)絡,把自己扮演成一個受害者。這次武器暴露出來后,大家看到美國哪里是受害者,美國是屬于悶聲發(fā)大財?shù)牡湫停瑥膩聿宦晱?,但實際上它已經(jīng)在系統(tǒng)化、平臺化的打造它的網(wǎng)絡武器。

在網(wǎng)絡攻擊方面,各國和美國處在了一種非常不均衡的狀態(tài)下。與美國相比,我們了解到世界各國國家級的網(wǎng)絡武器都是非常零碎、不成系統(tǒng)的。往往是發(fā)現(xiàn)一個漏洞,就利用這個漏洞構造一次攻擊。而美國已經(jīng)用這些隱秘的漏洞,進而打造了一批武器。

在座的各位,今天真正弄來一枚核彈,也不知道怎么操作,怎么引爆,所以核彈還是很專業(yè)的。但這次攻擊事件證明了運用這些網(wǎng)絡武器的人不需要是專家,因為武器打造的足夠精良。即使網(wǎng)絡敲詐和網(wǎng)絡勒索這種過去認為是毛賊水平的人,拿到武器后簡單改一改都可能造成對全球帶來威脅的犯罪。

我可以告訴大家。這次勒索病毒發(fā)生前,我們就已經(jīng)基于 360 的數(shù)據(jù)和監(jiān)測掃描出國內(nèi)很多重要機構已經(jīng)被永恒之藍漏洞光顧過和滲透過了。只不過他們并沒有鎖機、勒索,而很可能盜取了很多機密的信息。

我覺得這次事件這對各國政府會形成很大的觸動,網(wǎng)絡世界要形成新的平衡,就像核武器一樣,你有,我也有,我們就不輕易的發(fā)動攻擊。如果我沒有武器,我的武器對你發(fā)起攻擊你都能承受,你的武器我都擋不住,在非均衡狀態(tài)下你想消除網(wǎng)絡攻擊是不可能的。

三、沒有漏洞的系統(tǒng),不符合“熱力學第二定律”

1、什么是漏洞呢?

既然漏洞這么可怕,那我們有沒有可能避免使用帶漏洞的系統(tǒng)呢?要回答這個問題,我想說說漏洞被利用的原理。

過去如果要利用一個漏洞,需要誘騙你運行一個程序。比如去某某網(wǎng)站下載一個客戶端運行一下,它可能是個木馬,這是 1.0 時代。

但是現(xiàn)在到了 2.0 時代。由于大家都警惕,不隨便運行程序了,這時候黑客利用漏洞的方法就變了。誘使你看一張圖片,打開一個網(wǎng)頁,或者收一份excel、PPT,你感覺它就是文檔和數(shù)據(jù),又不是運行exe,但因為你的看圖軟件或者 Office 軟件有漏洞,黑客通過圖片和文檔精心構造的數(shù)據(jù),簡而言之把數(shù)據(jù)變成代碼,相當于這個圖片也可以執(zhí)行,這個PPT也能執(zhí)行。在你的機器里就能運行起來,就能干壞事了。

這次這個“永恒之藍”武器的漏洞最可怕的是利用了445端口,你什么操作都不用做,你只要電腦開著機,電腦連著網(wǎng),這個病毒在另外一臺設備上,就相當于給你的445端口發(fā)包就能控制你的電腦。要沒有高級漏洞的配合,這在正常邏輯下是不可想象的。

2、反過來說,什么情況下會有漏洞?

漏洞是程序員的編碼錯誤,但是人就會犯錯??傆腥斯粑④?,說微軟故意留后門。但其實微軟不用留后門,Windows 的復雜度之高,到了每1500行,必然伴隨一個漏洞。這個漏洞可以認為是程序的錯誤,但這個錯誤又不足以讓程序崩潰,也可以正常運行,但你在輸入某種奇特的數(shù)據(jù)組合情況下,可能讓你的數(shù)據(jù)崩潰,可能會引發(fā)一些非法代碼的執(zhí)行和非法權限的獲取。

所以,你無論是Linux、Android、iOS、Windows,只要用戶多了以后,代碼越來越多,功能越來越復雜,就必然有漏洞。這些漏洞開發(fā)者本人也未必意識到。

Windows 代碼源碼應該是千萬行級別了,所以,很多國家政府老說,微軟你到我的國家來,你必須把源碼備份和對我開放。微軟說好啊,源碼給你,給你刻多少光盤。任何國家有能力看嗎?微軟的很多老工程師都退休了,我相信新的微軟工程師也沒有能力把浩如煙海的老代碼過一遍。

Linux 也一樣,今天 Android 手機的底層是 Linux,iOS 的底層是 Unix,Unix 是Linux 的一個變種。他們都有漏洞,要不然蘋果就沒法越獄,Android 就沒法 Root。

所以國產(chǎn)操作系統(tǒng)哪怕用的是Linux,哪怕你不用Linux,只要你自己寫的,只要你達到了一個 OS 該有的都有,你的代碼復雜度也至少是幾十萬行代碼,你可以算算你有多少漏洞。

你只要有漏洞,唯一的方法就是祈禱不被人發(fā)現(xiàn)。如果你的用戶量小可能還沒有人發(fā)現(xiàn),你的用戶量大了就有人研究這些來發(fā)現(xiàn)它。所以,沒有任何系統(tǒng)是安全的,這是由人性決定的,人就會犯錯。

今天如果有專家說我們發(fā)明了一種方法,可以保證系統(tǒng)永無漏洞,永遠不會被攻擊,我覺得這是不可能的,因為它違背了物理定律。有很多民間科學家經(jīng)常講永動機,永動機違反了“熱力學第二定律”,我們以后在安全里也定義一些類似的“第二定律”:

沒有攻不破的系統(tǒng),沒有沒有漏洞的系統(tǒng)。

四、隔離是最落后的安全理念

既然有這么多漏洞,那么我們是不是不和互聯(lián)網(wǎng)連接就好了呢?恰恰相反。

這次勒索時間暴露出來的一些非常嚴重的問題:所謂的內(nèi)網(wǎng)的理念被證明徹底落后了。

這幾年我們一直在講內(nèi)網(wǎng)其實并不安全。在互聯(lián)網(wǎng)早期,內(nèi)網(wǎng)把一些企業(yè)網(wǎng)和互聯(lián)網(wǎng)隔離開,被認為是一種非常有效的簡單的手段,就認為只要隔離了病毒就進不來。但這次病毒恰恰中,恰恰內(nèi)網(wǎng)這次反而成為了重災區(qū),這是為什么?

現(xiàn)在所謂內(nèi)網(wǎng)隔離,因為有了各種無線互聯(lián)網(wǎng)設備而變異了。比如隨身Wi-Fi,隨便插到電腦上就能把電腦變成一臺路由器。雖然有內(nèi)網(wǎng)了,但要移動辦公,所以也會提供無線接入。有了這些無線接入都使得你的內(nèi)網(wǎng)的邊界被打破了,等于暴露了很多的攻擊面。

你有再多的規(guī)定,一定有很多人不遵守你的規(guī)定。很多人為了省事。比如我們知道某大型國有企業(yè)規(guī)定“內(nèi)網(wǎng)連接外網(wǎng)次數(shù)不要超過幾次”。其實不需要幾次,連接一次就有可能中招。還有很多人帶了U盤、手機,通過USB和電腦相連,這些東西都會成為傳播介質。

內(nèi)網(wǎng)最大的問題,大家意識上覺得內(nèi)網(wǎng)是隔離和安全的,反而內(nèi)網(wǎng)上和很多連接互聯(lián)網(wǎng)的設備相比,內(nèi)網(wǎng)往往完全不設防。很多正規(guī)的安全軟件沒有裝,要么很多功能是被閹割的。還有更重要的問題,很多內(nèi)網(wǎng)恰恰不能連接互聯(lián)網(wǎng),導致它裝的軟件系統(tǒng)不能升級,從操作系統(tǒng)到各種軟件都是不能正常升級。所以一旦有失,內(nèi)網(wǎng)的安全防護能力可能比連接互聯(lián)網(wǎng)的電腦還差。你們的電腦經(jīng)常連接互聯(lián)網(wǎng),最不濟 360 每個月還打一次補丁給你打全了,至少已經(jīng)發(fā)現(xiàn)的漏洞在你的電腦上不會泛濫。但很多內(nèi)網(wǎng)因為從未升級,他的上面沒準裝的就是XP+IE6。一個五年前甚至八年前的老的漏洞拿來做攻擊武器,可能在互聯(lián)網(wǎng)上都流行不起來,反而會在內(nèi)網(wǎng)里會暢通無阻,這造成了現(xiàn)在最大的一個笑話。

五、安全最終是人和人的較量

那么,我們究竟有什么辦法來對抗這些越來越強大的安全威脅呢?

今天的網(wǎng)絡安全已經(jīng)變成了高智力勞動密集型的服務業(yè),事實上因為攻擊者越來越專業(yè)。一個單位真正要保障安全,不僅要用好的安全軟件和好的安全硬件,還需要最專業(yè)的安全團隊為這些單位和企業(yè)提供實時的貼身服務。打個不恰當?shù)谋扔?,這次網(wǎng)絡攻擊可以認為是一次網(wǎng)絡恐怖主義:

對方武裝到牙齒;我們很多單位雖然裝了安全軟件(好比你買了盔甲和盾牌),但畢竟我們這些客戶并沒有最專業(yè)的安全隊伍,他們并不是軍隊,他們面對這種網(wǎng)絡恐怖主義襲擊時光靠盾牌沒有用,還需要依賴像 360 這種專業(yè)的安全團隊,我們就像專業(yè)的保鏢、專業(yè)的安全部隊來為你在盾牌之上,提供真正的防護。甚至很多時候我們有必要幫我們的客戶去擋子彈。

曾經(jīng)有一次我到部隊講課,很多將軍問我一個問題,你認為網(wǎng)絡安全最關鍵的因素是什么?我想了想,我說就是人。

最近AI很喧囂,讓大家感覺大家要失去工作了,這個觀點我不認同。人是最大的漏洞,最大的漏洞是人,什么人?不遵守安全規(guī)定,沒有安全意識的人,單位有再好的安全軟件、再好的防火墻和再好的安全系統(tǒng),架不住希拉里在自己的地下室里架一臺不受控制的服務器,架不住再牛的女強人胡瑪?shù)睦瞎窍矚g看色情圖片的人,還和她共用一臺電腦。所以,人是最重要的因素。

最有利的武器還是安全專家。未來的網(wǎng)絡之戰(zhàn),看起來是技術的較量,背后其實是人和人的較量。我們安全人員就要用自己的專業(yè)性,來做那個保衛(wèi)大家的人。

 

作者:周鴻祎

整編:史中

來源:http://www.leiphone.com/news/201705/gpNJdp56WBcGkOZ5.html

本文來源于人人都是產(chǎn)品經(jīng)理合作媒體@雷鋒網(wǎng),作者@周鴻祎

更多精彩內(nèi)容,請關注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
雷峰網(wǎng)
讀懂移動互聯(lián)網(wǎng)&未來
350篇作品 2660235總閱讀量
12-251997 瀏覽
東方甄選:“小作文”事件背后的5條思考
11-072384 瀏覽
客戶體驗的時代變遷:四代人的需求和期待
05-166241 瀏覽
產(chǎn)品經(jīng)理必備:高效需求管理技能全面解析!
09-122578 瀏覽
機器學習零代碼平臺:SageMaker Canvas拆解
09-142236 瀏覽
從李佳琦直播事件,看未來市場營銷該怎么做
評論
評論請登錄

  1. 一個大寫的服

    來自四川 回復

  2. 整理得好,干貨,學習!

    來自廣東 回復