作者 史中
本文转自雷锋网(leiphone-sz),转载需授权
这次勒索病毒爆发,原本默默无闻的各大安全厂商瞬间冲在了抗病毒的最前线,用自己的技术和专业性实力圈粉。
不过,作为中国网络安全的“代言人”,360 公司的老大周鸿祎却一直没有公开发言。今天,红衣教主在媒体见面会上,对雷锋网宅客频道和其他媒体吐露了心声。
雷锋网宅客频道第一时间把问答整理成为文稿,和各位网络安全爱好者分享。
一、未来勒索病毒会变成什么样?
这次的勒索,第一次把网络武器从攻击组织到攻击个人。有人问勒索病毒有没有可能蔓延到手机上,我们觉得一定会蔓延到手机上。最近孙正义豪掷多少亿投资ARM,未来说全球要有一万亿的设备连到物联网上,我预言,物联网、智能硬件、智能家居、工业互联网都会在未来几年发生,中国有300万、500万的设备连接物联网,这会带来很大的问题。物联网和虚拟生活联结在一起,意味着所有的网络攻击都会造成物理伤害。如果从广义上去设想,这是很可怕的事情。 未来勒索会诞生很多新的模式:
现在你们各位离开手机就不能工作,不,是不能活了。如果有一天你手机里面攒了很多年的孩子的照片被加密了,说给钱才能解锁手机,你是不是要疯了。
也许某一天你的各种智能设备、家用电器都能可能被黑客锁定,你只有交钱才能看电视。
也许某一天,你出门需要交钱才能开车。这还没关系,最要命的是如果你交钱才能停车呢?我在看《速八》的时候突然脑洞大开,这样的电影正是告诉人们:在憧憬自动驾驶美好的时候,也不要忘记 360 这样的安全公司的价值。如果不注重网络安全,自动驾驶汽车也可能变成人肉炸弹。
未来这种网络犯罪和网络恐怖主义不会局限于面对个人。
首先,有可能更多面向工业企业。
现在大家谈工业制造2025,德国人谈工业4.0。工业互联网也可能被勒索。当像富士康的iPhone生产线都连上互联网以后,如果他被攻击了,会发生什么情况,别人还不得敲诈郭台铭先生多少亿美金,否则 iPhone 无法交货可是很大的问题。
其次,网络黑产的潘多拉盒子可能被打开。
过去网络黑产还是比较懂互联网的一批人在做,做木马、黑色产业链和勒索病毒的。这些做黑产的和我们网络安全行业不断的缠斗。
这次的网络攻击效果应该说是给很多犯罪分子、恐怖分子带来启发。原来传统的黑色产业链,他们可能会利用网络漏洞武器做更多的敲诈勒索,变成一种商业模式。
再次,很多传统的恐怖分子会受到启发。
9.11之后,包括在欧洲发生的几次大规模的恐怖袭击之后,各国政府加强了传统安防力量,比如地铁和机场的安检。
但网络攻击其实是成本很低,但很容易造成大规模恐慌和造成社会不稳定的方向,网络恐怖分子收到启发,很可能会出现一个新的名词——网络恐怖主义。我觉得未来几年可能网络恐怖主义会兴起。互联网到了一个新的时代,当网络和人类紧密交织在一起时,对网络的破坏就意味着是对整个社会秩序、对整个国家管理的破坏。所以未来反恐很重要的领域,要和网络安全结合在一起。
二、漏洞不是 Bug,是核武器
1、漏洞是核威慑
说到这次勒索病毒攻击,360已经提前做过预警。但是我们发现一个特别有意思的现象,安全公司有点像老在说狼来了,狼来了,大家也听习惯了,也都不当回事。这次攻击,其实可以借此机会把坏事变好事,相当于给大家上了一课。大家突然意识到一个问题,网络世界的攻击的威力不亚于核武器。
你们有没有发现,过去安理会有五大常任理事国都有核武器,它就能形成平衡,形成相互的核威慑,你有100枚核弹,我有10枚核弹,这种能力可以平衡住。但网络攻击不一样,这次 NSA 不小心泄露的旧武器“永恒之蓝”就造成巨大影响,可以想像没有泄露的武器是什么量级的。所以这种情况下,我相信全世界其他政府、国家政府的网络武器库里可能就压根儿没有与美国匹敌的网络武器。
至于微软的总裁呼吁,让全世界签署条约,大家都不要研发网络武器,我认为这个呼吁已经晚了。因为美国政府已经有了,而且很厉害,它就形成了一种对其他国家的非对称作战、不平衡作战、单方面优势。除非美国政府放弃,但这不可能。
我认为各国会非常重视以后这种网络攻击平台和网络攻击武器的研发,在网络世界会形成新一轮的军备竞赛。
2、美国早已用这些漏洞打造了一批“核武器”
美国政府过去经常说俄罗斯、中国攻击它的网络,把自己扮演成一个受害者。这次武器暴露出来后,大家看到美国哪里是受害者,美国是属于闷声发大财的典型,从来不声张,但实际上它已经在系统化、平台化的打造它的网络武器。
在网络攻击方面,各国和美国处在了一种非常不均衡的状态下。与美国相比,我们了解到世界各国国家级的网络武器都是非常零碎、不成系统的。往往是发现一个漏洞,就利用这个漏洞构造一次攻击。而美国已经用这些隐秘的漏洞,进而打造了一批武器。
在座的各位,今天真正弄来一枚核弹,也不知道怎么操作,怎么引爆,所以核弹还是很专业的。但这次攻击事件证明了运用这些网络武器的人不需要是专家,因为武器打造的足够精良。即使网络敲诈和网络勒索这种过去认为是毛贼水平的人,拿到武器后简单改一改都可能造成对全球带来威胁的犯罪。
我可以告诉大家。这次勒索病毒发生前,我们就已经基于 360 的数据和监测扫描出国内很多重要机构已经被永恒之蓝漏洞光顾过和渗透过了。只不过他们并没有锁机、勒索,而很可能盗取了很多机密的信息。
我觉得这次事件这对各国政府会形成很大的触动,网络世界要形成新的平衡,就像核武器一样,你有,我也有,我们就不轻易的发动攻击。如果我没有武器,我的武器对你发起攻击你都能承受,你的武器我都挡不住,在非均衡状态下你想消除网络攻击是不可能的。
三、没有漏洞的系统,不符合“热力学第二定律”
1、什么是漏洞呢?
既然漏洞这么可怕,那我们有没有可能避免使用带漏洞的系统呢?要回答这个问题,我想说说漏洞被利用的原理。
过去如果要利用一个漏洞,需要诱骗你运行一个程序。比如去某某网站下载一个客户端运行一下,它可能是个木马,这是 1.0 时代。
但是现在到了 2.0 时代。由于大家都警惕,不随便运行程序了,这时候黑客利用漏洞的方法就变了。诱使你看一张图片,打开一个网页,或者收一份excel、PPT,你感觉它就是文档和数据,又不是运行exe,但因为你的看图软件或者 Office 软件有漏洞,黑客通过图片和文档精心构造的数据,简而言之把数据变成代码,相当于这个图片也可以执行,这个PPT也能执行。在你的机器里就能运行起来,就能干坏事了。
这次这个“永恒之蓝”武器的漏洞最可怕的是利用了445端口,你什么操作都不用做,你只要电脑开着机,电脑连着网,这个病毒在另外一台设备上,就相当于给你的445端口发包就能控制你的电脑。要没有高级漏洞的配合,这在正常逻辑下是不可想象的。
2、反过来说,什么情况下会有漏洞?
漏洞是程序员的编码错误,但是人就会犯错。总有人攻击微软,说微软故意留后门。但其实微软不用留后门,Windows 的复杂度之高,到了每1500行,必然伴随一个漏洞。这个漏洞可以认为是程序的错误,但这个错误又不足以让程序崩溃,也可以正常运行,但你在输入某种奇特的数据组合情况下,可能让你的数据崩溃,可能会引发一些非法代码的执行和非法权限的获取。
所以,你无论是Linux、Android、iOS、Windows,只要用户多了以后,代码越来越多,功能越来越复杂,就必然有漏洞。这些漏洞开发者本人也未必意识到。
Windows 代码源码应该是千万行级别了,所以,很多国家政府老说,微软你到我的国家来,你必须把源码备份和对我开放。微软说好啊,源码给你,给你刻多少光盘。任何国家有能力看吗?微软的很多老工程师都退休了,我相信新的微软工程师也没有能力把浩如烟海的老代码过一遍。
Linux 也一样,今天 Android 手机的底层是 Linux,iOS 的底层是 Unix,Unix 是Linux 的一个变种。他们都有漏洞,要不然苹果就没法越狱,Android 就没法 Root。
所以国产操作系统哪怕用的是Linux,哪怕你不用Linux,只要你自己写的,只要你达到了一个 OS 该有的都有,你的代码复杂度也至少是几十万行代码,你可以算算你有多少漏洞。
你只要有漏洞,唯一的方法就是祈祷不被人发现。如果你的用户量小可能还没有人发现,你的用户量大了就有人研究这些来发现它。所以,没有任何系统是安全的,这是由人性决定的,人就会犯错。
今天如果有专家说我们发明了一种方法,可以保证系统永无漏洞,永远不会被攻击,我觉得这是不可能的,因为它违背了物理定律。有很多民间科学家经常讲永动机,永动机违反了“热力学第二定律”,我们以后在安全里也定义一些类似的“第二定律”:
没有攻不破的系统,没有没有漏洞的系统。
四、隔离是最落后的安全理念
既然有这么多漏洞,那么我们是不是不和互联网连接就好了呢?恰恰相反。
这次勒索时间暴露出来的一些非常严重的问题:所谓的内网的理念被证明彻底落后了。
这几年我们一直在讲内网其实并不安全。在互联网早期,内网把一些企业网和互联网隔离开,被认为是一种非常有效的简单的手段,就认为只要隔离了病毒就进不来。但这次病毒恰恰中,恰恰内网这次反而成为了重灾区,这是为什么?
现在所谓内网隔离,因为有了各种无线互联网设备而变异了。比如随身Wi-Fi,随便插到电脑上就能把电脑变成一台路由器。虽然有内网了,但要移动办公,所以也会提供无线接入。有了这些无线接入都使得你的内网的边界被打破了,等于暴露了很多的攻击面。
你有再多的规定,一定有很多人不遵守你的规定。很多人为了省事。比如我们知道某大型国有企业规定“内网连接外网次数不要超过几次”。其实不需要几次,连接一次就有可能中招。还有很多人带了U盘、手机,通过USB和电脑相连,这些东西都会成为传播介质。
内网最大的问题,大家意识上觉得内网是隔离和安全的,反而内网上和很多连接互联网的设备相比,内网往往完全不设防。很多正规的安全软件没有装,要么很多功能是被阉割的。还有更重要的问题,很多内网恰恰不能连接互联网,导致它装的软件系统不能升级,从操作系统到各种软件都是不能正常升级。所以一旦有失,内网的安全防护能力可能比连接互联网的电脑还差。你们的电脑经常连接互联网,最不济 360 每个月还打一次补丁给你打全了,至少已经发现的漏洞在你的电脑上不会泛滥。但很多内网因为从未升级,他的上面没准装的就是XP+IE6。一个五年前甚至八年前的老的漏洞拿来做攻击武器,可能在互联网上都流行不起来,反而会在内网里会畅通无阻,这造成了现在最大的一个笑话。
五、安全最终是人和人的较量
那么,我们究竟有什么办法来对抗这些越来越强大的安全威胁呢?
今天的网络安全已经变成了高智力劳动密集型的服务业,事实上因为攻击者越来越专业。一个单位真正要保障安全,不仅要用好的安全软件和好的安全硬件,还需要最专业的安全团队为这些单位和企业提供实时的贴身服务。打个不恰当的比喻,这次网络攻击可以认为是一次网络恐怖主义:
对方武装到牙齿;我们很多单位虽然装了安全软件(好比你买了盔甲和盾牌),但毕竟我们这些客户并没有最专业的安全队伍,他们并不是军队,他们面对这种网络恐怖主义袭击时光靠盾牌没有用,还需要依赖像 360 这种专业的安全团队,我们就像专业的保镖、专业的安全部队来为你在盾牌之上,提供真正的防护。甚至很多时候我们有必要帮我们的客户去挡子弹。
曾经有一次我到部队讲课,很多将军问我一个问题,你认为网络安全最关键的因素是什么?我想了想,我说就是人。
毛主席曾经有一段话讲武器论,最先进的武器还是要看掌握在什么人手里。
最近AI很喧嚣,让大家感觉大家要失去工作了,这个观点我不认同。人是最大的漏洞,最大的漏洞是人,什么人?不遵守安全规定,没有安全意识的人,单位有再好的安全软件、再好的防火墙和再好的安全系统,架不住希拉里在自己的地下室里架一台不受控制的服务器,架不住再牛的女强人胡玛的老公是喜欢看色情图片的人,还和她共用一台电脑。所以,人是最重要的因素。
最有利的武器还是安全专家。未来的网络之战,看起来是技术的较量,背后其实是人和人的较量。我们安全人员就要用自己的专业性,来做那个保卫大家的人。
推荐阅读
【书单】18本数据科学家必读的R语言和Python相关书籍
如何像数据科学家一样思考
北京VS上海,哪座城市人口更多?
我是如何一不小心阻止了勒索病毒的全球蔓延
用python抓取摩拜单车API数据并做可视化分析(源码)
2017年大数据和数据科学的六大发展趋势
你每天要花多少时间在手机上?
初级数据科学家求职时的 3 大必备能力
不可错过的优质深度学习课程
职场 | 数据库面试常问的一些基本概念
听说你最擅长“拖”,你“拖”得过Excel吗?
数据科学优质课程推荐#2:统计入门课程篇
歌手外科和猴姑,大数据告诉你白百何出轨后谁最惨
想学习数据科学?我们整理了一份优质编程入门课程清单
数据科学家在美国仍然是最热门工作的3大原因
一个优秀数据分析师的准则
Python 实现一个火车票查询的工具
干货 | 携程实时用户行为系统实践
数据分析证明最靠谱的电影评分网站不是 IMDB, 也不是烂番茄,而是...
那些年,写 Python 犯过的错误