周鸿祎:面对深度数字化的世界,你不能太天真

极客公园 | 赵子潇 · 2020-06-22 09:50

随着社会进入深度数字化时代,网络安全需要被重新定义。

1.jpg

还是一件标志性的红色 T 恤,周鸿祎毫不费力地创造了 Rebuild 2020 大会上用「哔——」音盖住敏感词最多的记录。

尽管近几年低调了许多,成为了人民一直想念的周鸿祎,但连续两年来到极客公园 Rebuild 大会上,我们还是能从与周鸿祎的对谈中梳理出 360 这些年在做的事情。

网络安全问题一直是互联网「暗面」。在几十年的发展当中,网络安全时代也经历了从恶作剧到黑产犯罪,再上升到地区与地区、国与国的网络安全较量,各个国家之间的网络渗透就是典型的案例。

当 5G、物联网等科技产业深入到社会每一个角落,如果没有更高级的网络防御,那么每一个角落都不再安全。

此外,在网络安全的背后,可能还有很多人不知道,中国有 100 万名白帽黑客为了守护企业和机构的网络,进行着网络攻防拉练,以试图发现其中存在的漏洞。但即便如此,中国在网络安全上人才的缺口依旧巨大。随着社会越来越深度地进入「数字化」世界,未来网络安全的挑战并没有随着我们技术的进步而减小,而以 360 为代表的安全公司,有责任也有必要将整个人才生态带动起来。

在极客公园和 B 站共同举办的 Rebuild 2020 Move on 活动上,周鸿祎就围绕网络安全向大家做了详细科普,并与 B 站知名 UP 主所长林超一起聊到了网络安全时代转变,360 这些年在做的事,以及网络安全背后的那群「神秘人」。

2.jpg

以下为周鸿祎、极客公园创始人张鹏和 B 站 UP 主所长林超在 Rebuild 2020 大会对谈的精选实录:

「新基建」与「漏洞」

林超:这次我们中国疫情之后肯定线上化的程度确实提高很多,包括新基建。老周你刚开完两会,我们怎么理解新基建这个事?

周鸿祎:我在两会里倒是围绕新基建做了很多发言,我的理解,老基建可能是很多水泥、物理的基础设施、高铁、高速公路,已经给中国带来很大进步;我理解新基建的核心是叫数字化基建,用今天比较成熟的物联网、传感器技术把整个城市、政府的治理、工厂的运转,整个世界任何产业的过程全部数字化,把所有的数字化传到云端,在云端形成中央大数据中台,所以大数据会成为新基建的核心。

所以目前还是消费者互联网,但你想想五年以后,可能在中国是有几百亿甚至上千亿个智能设备把这个世界充分地联网。没有网络安全的保驾,搞这些数字化就是在裸奔,所以只有先解决了网络安全的设计,来保证我用这些新技术的同时我的安全是有保障的。

我给你举个例子,这是一个真实的故事。我们有个理念,一个再安全的系统,无论它设计得多安全,我们都认为不安全,安不安全是骡子是马拉出来遛遛,我们应该想办法组成攻击队,我们称为叫蓝队,对方叫红队。

张鹏:就是蓝军的意思?

周鸿祎:对,用网络蓝军来试一下。去年年底,我们通过这种方式发现奔驰公司在汽车硬件终端和网络上有十九个漏洞,我们就可以渗透到它的服务器里面。现在所有的网联汽车都是被服务器控制的,通过服务器漏洞就能够把它 2017 年以后出厂的高档车远程叫停、远程启动、远程开车门。

张鹏:后来这个漏洞怎么样了?

周鸿祎:我们就报给奔驰公司,我们还是很有责任感的。我们也犹豫了一下应不应该做一个新闻报出来,但是后来想还是不能被坏人利用。所以我们按照国际惯例,首先跟奔驰公司取得联系,奔驰听完之后马上就在我们的配合下把这漏洞做了检查修补。

张鹏:我们怎么理解所谓的漏洞这件事?

周鸿祎:漏洞是说你这个屋子里面修得很好,门口也有密码锁、门禁、摄像头,但是你有一个窗户的插销没有关,我就从别人意想不到的地方进来了。

大家问怎么避免漏洞?告诉大家一个很悲惨的事实,漏洞不可避免。漏洞分为两个种类,第一个是技术漏洞。软件是人写的,连潘石屹都学 python 了,他写的程序我估计一百行代码里都有十个漏洞。(笑)

张鹏:所以我们学完程序反而是在造漏洞。

周鸿祎:对,即使像我们这种高水平工程师,代码写多了,也会不自觉写了漏洞。还有一种漏洞就是人性的漏洞,单位有再好的规定说大家要遵守不要乱下载软件,不要乱连外网,但是人都图方便,有时违背安全规定,大家会利用人性的弱点进行攻击。

有一次黑客给美国某知名政治家的一个竞选助理发邮件,是模仿谷歌 Gmail 的页面,说你的口令现在有问题,赶快输入口令确认一下,他就傻呵呵赶快把自己的 Gmail 口令打进去。一回车,口令就送给网页后面的黑客了。黑客迅速地用他的口令登录进去,把密码一改,他的 Gmail 帐号就拿不回来了。

这位政治家为什么竞选不上总统?她的邮件都暴露了,我们发现全部都是人的漏洞。身为美国国家高级官员,她不遵守美国政府的网络安全规定,违背各种网络安全原则。为了收发邮件方便,她在他们家立了一个服务器,收发竞选邮件。

美国政府邮件体系做的还是很牛的,使得一般钓鱼邮件很容易被过滤掉。她等于是在美国政府安防体系里打开了一个缺口,自己立了一个服务器,我猜测他们家那个服务器难度很低,估计全世界的黑客都到他们家转过一圈,就跟公共汽车似的。所以,她的邮件最后就被黑客在网上披露出来,对她竞选带来了巨大的负面影响。

3.jpg

网络安全已经换代了

林超:B 站在四月份就出了一个 UP 主叫机智的党妹,中了 Buran 病毒。

周鸿祎:你说勒索软件对吧?其实以后就没有什么小病毒了,因为做病毒的兄弟都要有商业模式。你想要是把 B 站的数据库不小心给加密了,所有 UP 主的资料都拿不出来了,如果陈睿同志又忘了备份,我想勒索你们 B 站一个亿两个亿,而且要比特币,没准 B 站也都老老实实交赎金。

林超:这个问题没法解决是吧?就是说一旦中了这个病毒被加密了?

周鸿祎:我们能解决 80%,他加密做的不好,我们能破解。但如果碰上水平很高的,他把加密做得特别好,比如用的是对称加密,没有口令真的是解不开,那时候我们也只能帮助你去买比特币,帮助你去给黑客交赎金。

林超:像我们这种普通 UP 主应该怎么样去保护自己安全?

周鸿祎:你们 UP 主现在应该还不是他们的目标。

张鹏:但未来他们很有可能会成为这个社会上主流的人,你有什么建议吗?

周鸿祎:因为个人网络比较简单,我觉得有机会到我们的网络大学来听听课,作为个人别乱上不该上的网站,别乱下载软件,别乱装 APP,电脑上最好装上一套 360。

还有人不直接做攻击。国际上有漏洞黑市,把漏洞卖给需要做攻击的人,现在还是有很多人在挖漏洞做交易。上次我讲过一个故事,某阿拉伯大国为了对付一个记者,全世界找漏洞,以色列有一家公司正好手里有一个漏洞,他们一看特别著名。

林超:就开了一个很高的价格?

周鸿祎:开了两亿美金。当然还是不如做勒索的人赚钱。最后阿拉伯人还价还到了五千万美金,就成交了。这是有史以来最贵的漏洞,他们利用这个漏洞入侵了记者的手机,拿到他全部的邮件、短信、日程表,知道他哪一天去大使馆,那天就提前等着他,后来的故事我就不讲了。

张鹏:听完这个大家都有点背后发凉,感觉他们已经形成了一套商业模式。

周鸿祎:还好,现在黑产的目标还不太针对个人,基本上还是针对公司,高级别的网络攻击也是针对国家。个人往往会成为他们整个漫长攻击链条中的一个环节,比如说黑客要攻占 B 站的服务器,第一步也许是很难做到的,他就会先看有没有 B 站的员工,比如说看上你(林超)了,你可能很有防范能力。但是你有女朋友,你女朋友在安全方面可能很小白,通过研究她的使用习惯发了钓鱼邮件给她,比如说是林所长给她的断交信、情书,她肯定要看,她一看,word 文档、pdf 一打开把电脑攻占了。

现在很多人的概念还停留在反病毒时代,网络安全这个时代已经变了,过去产品技术都不好使了,现在得用新的方法。

林超:从什么时间开始发生了这样大的变化?

周鸿祎:我打个不恰当的比喻,如果过去街头小流氓横行,你只要学好防身术就能应对;后来都是专业的土匪下来抢劫,就像黑产,你就得请保镖;但是现在你面临攻击的玩家都是国际网络犯罪集团,或者是其他国家网络特种部队,这时候你再说让各单位自己雇一点保安或者是个人自己加强防范,其实已经不解决问题了。

所以 360 这几年一直默默无闻,一直在跟各个产业、行业、很多合作伙伴在合作,打造一套分布式反导系统,我们叫 360 安全大脑。有了这个安全大脑,大规模的网络攻击还没有攻击到你或者你所在的公司,我们可能已经感知到了,并发出警报,通过一些情报来协同联防,把它制止掉。

这十年来,360 在安全上一直没赚钱,我也没有卖什么产品,反而使得我无意中干成了一件事:积累了东半球最大白帽子黑客的安全专家团队。我们从最早对付国内的流氓软件,到后面对付木马、病毒、黑产、有组织犯罪,到现在发展到对抗其他国家网络攻击部队,我们还积累了大量攻防的知识和样本。我说一个数字,我们采集到网络攻击样本有 280 个亿。

这是做了十多年的积累,数据、知识、还有人员,把这三个要素合在一起,我们今天才能推出网络安全大脑。

张鹏:听起来这十几年,这事也没怎么赚钱。

周鸿祎:到现在还没赚过钱。我们当年做免费杀毒的时候觉得互联网崇尚免费精神,一不小心就做成了,因为中国用户电脑上都是 360,我就被推到了斗争第一线。

我本人通过网络安全虽然没赚钱,但网络安全替我创造了很好的品牌,带来了很多用户。我通过互联网每年也会有上百亿的收入,所以我觉得安全这件事公司还应该做,你总是应该去做一些对其他人、社会,对国家有价值的事情。

我们经常说大家都想做伟大的公司,什么叫伟大的公司?我的信念就是,如果我做一个保护网民、保护社会,我才能够有可能成为一家伟大的公司。

如果有机会能够通过民间公司一己之力,能够打造一个国之重器,我觉得还是很有成就感的。一个公司最后还是要追求价值感和成就感。

白帽黑客——数字化社会的「侠客」们

张鹏:刚才你提到白帽黑客,我们应该怎么理解?我们对黑客大概会有一些印象。

周鸿祎:本来我很喜欢黑客这个词,在上世纪 70 年代,最早像乔布斯、比尔盖茨这些技术的极客们,往往被称为黑客。

黑客精神表示一种叛逆,他们技术高超,不拘一格,或者很善于找到系统的漏洞。但是后来黑客这个词出现分化,因为很多人做攻击、造病毒,包括刚才说的网络黑产,他们也都被称为黑客。其实黑客里面还有很多崇尚最早期的黑客精神,有点像侠客一样,我们称他们是白帽子黑客。

如果白帽子黑客挖到了漏洞,他会把漏洞提供给受害者的单位,帮助被发现漏洞的单位进行修复。技术是双刃剑,无所谓好坏,善恶就在一念之间。就有点像江湖武林里,你拿了一把屠龙刀,拿了一把剑,你变成坏人可能就是武林中的「黑客」;你也可以走白帽子黑客的路,就变成名门正派。

我们鼓励更多人成为白帽子黑客,所谓科技向善,越多的黑客能够进到白帽子领域,将来大众可能会对黑客这个词的看法有所扭转。事实上,网络安全行业也需要很多黑客来参与,安全的本质是人跟人的对抗,攻击方都是高水平的黑客,如果防守方没有高水平的黑客,是无法抗衡的。

林超:我听说全球黑客的收入水平至少是工程师的 6 倍到 20 倍。

张鹏:这群人怎么赚钱?白帽黑客又不做黑产。

周鸿祎:白帽子黑客这几年国内的生存环境有了很大的发展,因为你光跟人谈科技向善,光谈大道理没有用,还是要解决人的温饱和财务自由问题。所以这几年我们一直在推动整个网络安全行业的发展,这个行业慢慢开始挣钱了,很多黑客加入到安全公司,甚至很多安全公司会争抢一些高水平的黑客。

林超:大的互联网公司都很需要这块吧。

周鸿祎:对,因为他们都需要自己组建一支安全团队来「看家护院」。而且我觉得白帽子黑客真正挣钱的好时机,未来五年可能才到,我认为未来五年会有一个颠覆,以后软硬件都没有那么重要,重要的是专家的服务和能力。

以后服务的价值会越来越大,我们国家的网络安全产业就有机会了。这个产业就跟互联网一样,要挣到钱,大家觉得有前途,很多优秀的人才就会进来,产业形成良性的循环。

林超:我之前创业做过一家自由职业者交易平台,平台上就有一个,我不知道他是不是叫白帽黑客,他就是在帮其它的中小型的公司去提供安全咨询。每一次的咨询好像收几千块钱,在我们平台上很受欢迎。我也跟他聊过,他说他不愿意加入任何一家公司。

周鸿祎:所以我们最近在做一件事,我们搭了一个 BugCloud 社区,聚集了几十万白帽子黑客,未来我会用 360 网络安全大脑给他们提供云端的赋能,把我们很多大数据的能力,威胁情报的能力,漏洞的能力对他们开放,这样这些黑客们又有了 360 的比较牛的这种工具,他们个人的能力和组织的能力能提升,再去给中国数以百万计的企业,几十万个政府单位,中国非常重要的基础设施提供安全服务,这样就会形成一个非常健康的生态。

张鹏:中国的白帽黑客群体现在到底有多少人?

周鸿祎:我们现在来看,中国的白帽黑客至少超过 100 万。但是这个人数我觉得依然是不够的,因为你仔细想想,如果中国未来面临一个日益复杂的国际环境,以后网络攻击可能越来越常态化、激烈化的情况下,我们真的不要迷信靠装了一套软件,或者装了一个防火墙就能一劳永逸,自动解决网络攻击的问题,那你也太小瞧其它国家的网军的能力了。所以我们国家在网络安全人才的缺口上是巨大的。

未来网络安全的挑战并没有随着我们技术的进步而减小,随着国家技术的发展,网络安全在里面扮演的角色和发挥的作用只会越来越大,但对我们这个行业的压力和挑战也会越来越大。

文章来源:极客公园

作者:赵子潇

最新直播

热门活动

厦门人才企业榜暨“创道至简”创投领袖高峰论坛

  • 厦门火炬高新区管委会、厦门市高层次人才发展中心、厦门日报社
  • 厦门
  • 2024-11-24

亚洲化妆品创新峰会暨国货百年化妆品陈列展

  • 上海书航文化发展有限公司
  • 上海
  • 2024-11-24