質(zhì)量為本、客戶為根、勇于拼搏、務(wù)實創(chuàng)新
這次勒索病毒爆發(fā),原本默默無聞的各大安全廠商瞬間沖在了抗病毒的最前線,用自己的技術(shù)和專業(yè)性實力圈粉。
不過,作為中國網(wǎng)絡(luò)安全的“代言人”,360 公司的老大周鴻祎卻一直沒有公開發(fā)言。今天,紅衣教主在媒體見面會上,對雷鋒網(wǎng)宅客頻道和其他媒體吐露了心聲。
我們第一時間把問答整理成為文稿,和各位網(wǎng)絡(luò)安全愛好者分享。
口述 | 周鴻祎360 公司創(chuàng)始人、董事長兼CEO
整理 | 史中(微信:Fungungun),雷鋒網(wǎng)主筆。
這次的勒索,第一次把網(wǎng)絡(luò)武器從攻擊組織到攻擊個人。有人問勒索病毒有沒有可能蔓延到手機(jī)上,我們覺得一定會蔓延到手機(jī)上。最近孫正義豪擲多少億投資ARM,未來說全球要有一萬億的設(shè)備連到物聯(lián)網(wǎng)上,我預(yù)言,物聯(lián)網(wǎng)、智能硬件、智能家居、工業(yè)互聯(lián)網(wǎng)都會在未來幾年發(fā)生,中國有 300 萬、 500 萬的設(shè)備連接物聯(lián)網(wǎng),這會帶來很大的問題。物聯(lián)網(wǎng)和虛擬生活聯(lián)結(jié)在一起,意味著所有的網(wǎng)絡(luò)攻擊都會造成物理傷害。如果從廣義上去設(shè)想,這是很可怕的事情。 未來勒索會誕生很多新的模式:
現(xiàn)在你們各位離開手機(jī)就不能工作,不,是不能活了。如果有一天你手機(jī)里面攢了很多年的孩子的照片被加密了,說給錢才能解鎖手機(jī),你是不是要瘋了。
也許某一天你的各種智能設(shè)備、家用電器都能可能被黑客鎖定,你只有交錢才能看電視。
也許某一天,你出門需要交錢才能開車。這還沒關(guān)系,最要命的是如果你交錢才能停車呢?我在看《速八》的時候突然腦洞大開,這樣的電影正是告訴人們:在憧憬自動駕駛美好的時候,也不要忘記 360 這樣的安全公司的價值。如果不注重網(wǎng)絡(luò)安全,自動駕駛汽車也可能變成人肉炸彈。
未來這種網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義不會局限于面對個人。
首先,有可能更多面向工業(yè)企業(yè)。
現(xiàn)在大家談工業(yè)制造2025,德國人談工業(yè)4.0。工業(yè)互聯(lián)網(wǎng)也可能被勒索。當(dāng)像富士康的iPhone生產(chǎn)線都連上互聯(lián)網(wǎng)以后,如果他被攻擊了,會發(fā)生什么情況,別人還不得敲詐郭臺銘先生多少億美金,否則 iPhone 無法交貨可是很大的問題。
其次,網(wǎng)絡(luò)黑產(chǎn)的潘多拉盒子可能被打開。
過去網(wǎng)絡(luò)黑產(chǎn)還是比較懂互聯(lián)網(wǎng)的一批人在做,做木馬、黑色產(chǎn)業(yè)鏈和勒索病毒的。這些做黑產(chǎn)的和我們網(wǎng)絡(luò)安全行業(yè)不斷的纏斗。
這次的網(wǎng)絡(luò)攻擊效果應(yīng)該說是給很多犯罪分子、恐怖分子帶來啟發(fā)。原來傳統(tǒng)的黑色產(chǎn)業(yè)鏈,他們可能會利用網(wǎng)絡(luò)漏洞武器做更多的敲詐勒索,變成一種商業(yè)模式。
再次,很多傳統(tǒng)的恐怖分子會受到啟發(fā)。
9. 11 之后,包括在歐洲發(fā)生的幾次大規(guī)模的恐怖襲擊之后,各國政府加強(qiáng)了傳統(tǒng)安防力量,比如地鐵和機(jī)場的安檢。
但網(wǎng)絡(luò)攻擊其實是成本很低,但很容易造成大規(guī)模恐慌和造成社會不穩(wěn)定的方向,網(wǎng)絡(luò)恐怖分子收到啟發(fā),很可能會出現(xiàn)一個新的名詞——網(wǎng)絡(luò)恐怖主義。我覺得未來幾年可能網(wǎng)絡(luò)恐怖主義會興起?;ヂ?lián)網(wǎng)到了一個新的時代,當(dāng)網(wǎng)絡(luò)和人類緊密交織在一起時,對網(wǎng)絡(luò)的破壞就意味著是對整個社會秩序、對整個國家管理的破壞。所以未來反恐很重要的領(lǐng)域,要和網(wǎng)絡(luò)安全結(jié)合在一起。
1、漏洞是核威懾
說到這次勒索病毒攻擊, 360 已經(jīng)提前做過預(yù)警。但是我們發(fā)現(xiàn)一個特別有意思的現(xiàn)象,安全公司有點像老在說狼來了,狼來了,大家也聽習(xí)慣了,也都不當(dāng)回事。這次攻擊,其實可以借此機(jī)會把壞事變好事,相當(dāng)于給大家上了一課。大家突然意識到一個問題,網(wǎng)絡(luò)世界的攻擊的威力不亞于核武器。
你們有沒有發(fā)現(xiàn),過去安理會有五大常任理事國都有核武器,它就能形成平衡,形成相互的核威懾,你有 100 枚核彈,我有 10 枚核彈,這種能力可以平衡住。但網(wǎng)絡(luò)攻擊不一樣,這次 NSA 不小心泄露的舊武器“永恒之藍(lán)”就造成巨大影響,可以想像沒有泄露的武器是什么量級的。所以這種情況下,我相信全世界其他政府、國家政府的網(wǎng)絡(luò)武器庫里可能就壓根兒沒有與美國匹敵的網(wǎng)絡(luò)武器。
至于微軟的總裁呼吁,讓全世界簽署條約,大家都不要研發(fā)網(wǎng)絡(luò)武器,我認(rèn)為這個呼吁已經(jīng)晚了。因為美國政府已經(jīng)有了,而且很厲害,它就形成了一種對其他國家的非對稱作戰(zhàn)、不平衡作戰(zhàn)、單方面優(yōu)勢。除非美國政府放棄,但這不可能。
我認(rèn)為各國會非常重視以后這種網(wǎng)絡(luò)攻擊平臺和網(wǎng)絡(luò)攻擊武器的研發(fā),在網(wǎng)絡(luò)世界會形成新一輪的軍備競賽。
2、美國早已用這些漏洞打造了一批“核武器”
美國政府過去經(jīng)常說俄羅斯、中國攻擊它的網(wǎng)絡(luò),把自己扮演成一個受害者。這次武器暴露出來后,大家看到美國哪里是受害者,美國是屬于悶聲發(fā)大財?shù)牡湫?,從來不聲張,但實際上它已經(jīng)在系統(tǒng)化、平臺化的打造它的網(wǎng)絡(luò)武器。
在網(wǎng)絡(luò)攻擊方面,各國和美國處在了一種非常不均衡的狀態(tài)下。與美國相比,我們了解到世界各國國家級的網(wǎng)絡(luò)武器都是非常零碎、不成系統(tǒng)的。往往是發(fā)現(xiàn)一個漏洞,就利用這個漏洞構(gòu)造一次攻擊。而美國已經(jīng)用這些隱秘的漏洞,進(jìn)而打造了一批武器。
在座的各位,今天真正弄來一枚核彈,也不知道怎么操作,怎么引爆,所以核彈還是很專業(yè)的。但這次攻擊事件證明了運(yùn)用這些網(wǎng)絡(luò)武器的人不需要是專家,因為武器打造的足夠精良。即使網(wǎng)絡(luò)敲詐和網(wǎng)絡(luò)勒索這種過去認(rèn)為是毛賊水平的人,拿到武器后簡單改一改都可能造成對全球帶來威脅的犯罪。
我可以告訴大家。這次勒索病毒發(fā)生前,我們就已經(jīng)基于 360 的數(shù)據(jù)和監(jiān)測掃描出國內(nèi)很多重要機(jī)構(gòu)已經(jīng)被永恒之藍(lán)漏洞光顧過和滲透過了。只不過他們并沒有鎖機(jī)、勒索,而很可能盜取了很多機(jī)密的信息。
我覺得這次事件這對各國政府會形成很大的觸動,網(wǎng)絡(luò)世界要形成新的平衡,就像核武器一樣,你有,我也有,我們就不輕易的發(fā)動攻擊。如果我沒有武器,我的武器對你發(fā)起攻擊你都能承受,你的武器我都擋不住,在非均衡狀態(tài)下你想消除網(wǎng)絡(luò)攻擊是不可能的。
1、什么是漏洞呢?
既然漏洞這么可怕,那我們有沒有可能避免使用帶漏洞的系統(tǒng)呢?要回答這個問題,我想說說漏洞被利用的原理。
過去如果要利用一個漏洞,需要誘騙你運(yùn)行一個程序。比如去某某網(wǎng)站下載一個客戶端運(yùn)行一下,它可能是個木馬,這是 1.0 時代。
但是現(xiàn)在到了 2.0 時代。由于大家都警惕,不隨便運(yùn)行程序了,這時候黑客利用漏洞的方法就變了。誘使你看一張圖片,打開一個網(wǎng)頁,或者收一份excel、PPT,你感覺它就是文檔和數(shù)據(jù),又不是運(yùn)行exe,但因為你的看圖軟件或者 Office 軟件有漏洞,黑客通過圖片和文檔精心構(gòu)造的數(shù)據(jù),簡而言之把數(shù)據(jù)變成代碼,相當(dāng)于這個圖片也可以執(zhí)行,這個PPT也能執(zhí)行。在你的機(jī)器里就能運(yùn)行起來,就能干壞事了。
這次這個“永恒之藍(lán)”武器的漏洞最可怕的是利用了 445 端口,你什么操作都不用做,你只要電腦開著機(jī),電腦連著網(wǎng),這個病毒在另外一臺設(shè)備上,就相當(dāng)于給你的 445 端口發(fā)包就能控制你的電腦。要沒有高級漏洞的配合,這在正常邏輯下是不可想象的。
2、反過來說,什么情況下會有漏洞?
漏洞是程序員的編碼錯誤,但是人就會犯錯。總有人攻擊微軟,說微軟故意留后門。但其實微軟不用留后門,Windows 的復(fù)雜度之高,到了每 1500 行,必然伴隨一個漏洞。這個漏洞可以認(rèn)為是程序的錯誤,但這個錯誤又不足以讓程序崩潰,也可以正常運(yùn)行,但你在輸入某種奇特的數(shù)據(jù)組合情況下,可能讓你的數(shù)據(jù)崩潰,可能會引發(fā)一些非法代碼的執(zhí)行和非法權(quán)限的獲取。
所以,你無論是Linux、Android、iOS、Windows,只要用戶多了以后,代碼越來越多,功能越來越復(fù)雜,就必然有漏洞。這些漏洞開發(fā)者本人也未必意識到。
Windows 代碼源碼應(yīng)該是千萬行級別了,所以,很多國家政府老說,微軟你到我的國家來,你必須把源碼備份和對我開放。微軟說好啊,源碼給你,給你刻多少光盤。任何國家有能力看嗎?微軟的很多老工程師都退休了,我相信新的微軟工程師也沒有能力把浩如煙海的老代碼過一遍。
Linux 也一樣,今天 Android 手機(jī)的底層是 Linux,iOS 的底層是 Unix,Unix 是Linux 的一個變種。他們都有漏洞,要不然蘋果就沒法越獄,Android 就沒法 Root。
所以國產(chǎn)操作系統(tǒng)哪怕用的是Linux,哪怕你不用Linux,只要你自己寫的,只要你達(dá)到了一個 OS 該有的都有,你的代碼復(fù)雜度也至少是幾十萬行代碼,你可以算算你有多少漏洞。
你只要有漏洞,唯一的方法就是祈禱不被人發(fā)現(xiàn)。如果你的用戶量小可能還沒有人發(fā)現(xiàn),你的用戶量大了就有人研究這些來發(fā)現(xiàn)它。所以,沒有任何系統(tǒng)是安全的,這是由人性決定的,人就會犯錯。
今天如果有專家說我們發(fā)明了一種方法,可以保證系統(tǒng)永無漏洞,永遠(yuǎn)不會被攻擊,我覺得這是不可能的,因為它違背了物理定律。有很多民間科學(xué)家經(jīng)常講永動機(jī),永動機(jī)違反了“熱力學(xué)第二定律”,我們以后在安全里也定義一些類似的“第二定律”:
沒有攻不破的系統(tǒng),沒有沒有漏洞的系統(tǒng)。
既然有這么多漏洞,那么我們是不是不和互聯(lián)網(wǎng)連接就好了呢?恰恰相反。
這次勒索時間暴露出來的一些非常嚴(yán)重的問題:所謂的內(nèi)網(wǎng)的理念被證明徹底落后了。
這幾年我們一直在講內(nèi)網(wǎng)其實并不安全。在互聯(lián)網(wǎng)早期,內(nèi)網(wǎng)把一些企業(yè)網(wǎng)和互聯(lián)網(wǎng)隔離開,被認(rèn)為是一種非常有效的簡單的手段,就認(rèn)為只要隔離了病毒就進(jìn)不來。但這次病毒恰恰中,恰恰內(nèi)網(wǎng)這次反而成為了重災(zāi)區(qū),這是為什么?
現(xiàn)在所謂內(nèi)網(wǎng)隔離,因為有了各種無線互聯(lián)網(wǎng)設(shè)備而變異了。比如隨身Wi-Fi,隨便插到電腦上就能把電腦變成一臺路由器。雖然有內(nèi)網(wǎng)了,但要移動辦公,所以也會提供無線接入。有了這些無線接入都使得你的內(nèi)網(wǎng)的邊界被打破了,等于暴露了很多的攻擊面。
你有再多的規(guī)定,一定有很多人不遵守你的規(guī)定。很多人為了省事。比如我們知道某大型國有企業(yè)規(guī)定“內(nèi)網(wǎng)連接外網(wǎng)次數(shù)不要超過幾次”。其實不需要幾次,連接一次就有可能中招。還有很多人帶了U盤、手機(jī),通過USB和電腦相連,這些東西都會成為傳播介質(zhì)。
內(nèi)網(wǎng)最大的問題,大家意識上覺得內(nèi)網(wǎng)是隔離和安全的,反而內(nèi)網(wǎng)上和很多連接互聯(lián)網(wǎng)的設(shè)備相比,內(nèi)網(wǎng)往往完全不設(shè)防。很多正規(guī)的安全軟件沒有裝,要么很多功能是被閹割的。還有更重要的問題,很多內(nèi)網(wǎng)恰恰不能連接互聯(lián)網(wǎng),導(dǎo)致它裝的軟件系統(tǒng)不能升級,從操作系統(tǒng)到各種軟件都是不能正常升級。所以一旦有失,內(nèi)網(wǎng)的安全防護(hù)能力可能比連接互聯(lián)網(wǎng)的電腦還差。你們的電腦經(jīng)常連接互聯(lián)網(wǎng),最不濟(jì) 360 每個月還打一次補(bǔ)丁給你打全了,至少已經(jīng)發(fā)現(xiàn)的漏洞在你的電腦上不會泛濫。但很多內(nèi)網(wǎng)因為從未升級,他的上面沒準(zhǔn)裝的就是XP+IE6。一個五年前甚至八年前的老的漏洞拿來做攻擊武器,可能在互聯(lián)網(wǎng)上都流行不起來,反而會在內(nèi)網(wǎng)里會暢通無阻,這造成了現(xiàn)在最大的一個笑話
Copyright ? 2007-2016 0756idc.com. All Rights Reserved. 藍(lán)冰互聯(lián) 版權(quán)所有 郴州市藍(lán)冰計算機(jī)服務(wù)有限公司 湘公安網(wǎng)備43100202000081號
《中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證》IDC證:湘B1- 20194434