所以，我与阿汤哥的差距，是背后还缺个这样的男人？

鲁迅说过：人在江湖，总得挨刀。

而在互联网的赛博江湖中，没有刀光剑影的厮杀，只有让你防不胜防的漏洞。

科幻电影里，黑客一直是神助攻一样的存在。《碟中谍》系列中，纵然阿汤哥有9条命外加黑科技防身，但如果没有背后黑客班吉的BUFF加持，恐怕也撑不到第6集。

在电影中，黑客们似乎都是拯救世界的好帮手；而现实中遇上黑客，好像并不是一件多么浪漫的事情。

还记得2017年那个夏天，WannaCry的勒索病毒肆虐了诸多高校，不少毕业生的论文被锁，只能眼睁睁地看着一年来的心血转眼间付之东流，留下撕心裂肺的哀嚎。

然而一年过去了，这款曾席卷150个国家的30多万用户，造成损失超过80亿美元的特索病毒还在祸害人间。就在上个月，台积电还惨遭其毒手，数家工厂被迫停产，要不是处理得迅速，恐怕诸位心心念念的iPhoneXS就要“凉凉”。

比起祸从天降的WannaCry，年初Facebook的数据泄露案更是“灭人于无形”，那些本以为社交网络的大数据能带来便利的网民，却被人玩弄于股掌之间。

国际网络安全专家Bruce Schneier曾在他的《隐形帝国》一书里写道： “Facebook只是根据按赞的动作，就可以推测一个人的种族、个性、性向、政治意识形态、感情状态和药物使用情形……” 尽管小扎同学一脸无辜，恐怕也难掩平台背后日益严重的信息安全隐患。

数字化算法给我们布局了“楚门的世界”，然后在全民畅游的互联网大浪中缺德地扯泳裤，只有潮退了，你才发现有这么多人在裸泳。

根据CNNIC中国互联网络发展状况统计报告统计，2018 年上半年，国家信息安全漏洞共享平台收集整理的信息系统安全漏洞累计 7748 个，较 2017 年同期的 6653 个增长16.5%，可以证明我们的顾虑并不多余。

8月27日，在腾讯大学直播的第四届互联网安全领袖峰会（Cyber Security Summit 2018，简称CSS 2018）上，一直关注网络安全领域的大师Bruce Schneier，通过视频给大家带来了一场诚意满满的演讲，告诉我们 万物互联的时代，该如何保障自己的信息安全？

小腾老师已经帮大家整理好了演讲干货，一起来看看吧！

今天，我想谈论的是计算机安全的未来。我们跟计算机的关系正在发生变化，现在计算机已经深入了我们生活中的方方面面，所有的东西都变成了计算机，你的智能手机是可以打电话的计算机，你的冰箱是可以让东西保鲜、制冷的计算机，你的微波炉是可以加热食物的计算机，这就是互联网的世界。

由于计算机已经被嵌入到各种设备，计算机的安全已经成为牵一发而动全身的东西，这意味着我一切有关计算机的知识，都有了用武之地。

我将会从以下四个方面谈谈我的看法：

第一，目前很多软件漏洞百出，存在很大安全隐患。我们会看到每周、每个月都有安全软件的升级。这背后的原因，是我们不知道怎样在一个大家能接受或者愿意支付的价格基础上，写一个安全的软件。因此，一般的软件上可能会有成百上千个BUG，而这些漏洞会被利用，现在如此，以后依然如此。

第二，我们设计因特网的时候，本就没有安全的概念，因特网本来就有接触的障碍，你必须是专门研究结构的成员，或者是某公司的成员才能接触到因特网。这意味着设计者刚开始根本不需要担心安全，但这造成了巨大隐患。因为我们现在用的很多协议，它本身是不安全的，因为这个决定是来自于二三十年前。

第三，关于可扩展性。可扩展性意味着你无法限定一个计算机化的设备的功能，比如说在我小的时候，家里墙上挂着一个黑的东西，它就是电话，没有其他的功能，现在的电话除了通话，还可以实现很多你想要的功能，因为它是可扩展的，它可以运行很多软件，但是，这些软件的安全性又由谁来保证呢？

第四，计算机系统的复杂性就意味它易攻难守，这是一个非常重要的特征。你攻击一个复杂的系统远比防御它要简单得多，你只要找一个方式攻击就可以了。但如果你要是防御的话，你得想出无数的方法，来应对五花八门的攻击。

这同时也意味着测试漏洞是困难的，因为要测试的东西太多了，这就是计算机安全的现状。

现在，计算机安全的环境正在改变，我们除了要面对技术问题，还要面临管理问题，因为新的计算设备正在做不同的事情。可以想想大部分计算机的安全，我们关注的就是保密的事情，数据窃取，有人偷你的数据，比如说用这个数据威胁我，这并不算是什么新闻。

如果它造成的是有关生命安全的损失，这个威胁就严重很多：我的确会担心如果有人攻击了医院，窃取患者的信息，甚至修改我的血型；我也会担心，有人会攻击我的车，打开蓝牙窃听我的对话，甚至让我的刹车失灵。这些威胁之所以更严重，是因为它真正会对生命财产造成威胁。

请试想一下，它也可能是同一个CPU，或者同一个操作系统、应用软件，又或是一个相同的漏洞、攻击工具，因为计算机的使用方式不同，它的攻击效果和损害程度是不一样的，这些都是我们需要思考的内容。比如说医疗设备、汽车、飞机、无人机，所有的这些都是会影响到人员财产生命安全的系统。

计算机的失效可能是不一样的形式，比如说一系列的设备可能会集体失效。我们不仅仅说的是一辆车，所有车的刹车都失灵了，所有现在生产的车都是采用同样的模式，一个漏洞，就会造成巨大的混乱。

与此同时，现在的计算机也被运用到更加复杂的领域。我们的计算机和电话是安全的，主要有两个原因：首先，像微软、苹果、谷歌这些公司的工程师，他们在设计之初就十分关注安全；其次，这些公司会不断发现漏洞，然后会打补丁。

但其他生产低成本智能设备的公司呢？比如说玩具，它们的设计经常委托第三方，因此有很多安全问题，我们依赖于打补丁来保持它的安全，但是有的补丁确实是不能打了，因为现在在互联网上加入的设备越来越多。

试想一下要启动一台1976年的电脑，并且保证它的安全，你估计会对这台老古董手足无措吧？如果你要是不打补丁，就不能保证它的安全。而我们不知道怎么打补丁，并且还有很多认证也失效了。

认证本身就很细琐，我们再看一下这些设备或者服务器的认证，我们要做的认证会是爆炸性的增长，有很多东西也需要认证。比如说自动驾驶的汽车它会需要跟交通信号或者道路科学，这里面涉及到的认证是成千上万，几百万，这是一个规模级的认证。

目前来说， 即便我不在， 我的电话跟我的车也可以自动认证，因为在最初设置的时候是我参与的。我有1000多个IOT的设备，它们会有相互之间的认证，总的认证可能是几百万，几千万。现在如果要有其他的IOT的设备，你说对你的苹果的设备，这个东西也是不能升级的。

所以这就是一场安全的风暴，我们的安全现在失效了，因为太多的东西连到了一起；我们也愿意生活在这样的一个技术空间，因为这里不需要监管。而这种环境是不可持续的，所以我想这里面存在政策的问题，我们的政策得正确，这个非常重要。