周鴻祎:未來勒索病毒會變成什么樣?這個世界會好嗎?
這次勒索病毒爆發,原本默默無聞的各大安全廠商瞬間沖在了抗病毒的最前線,用自己的技術和專業性實力圈粉。
不過,作為中國網絡安全的“代言人”,360 公司的老大周鴻祎卻一直沒有公開發言。今天,紅衣教主在媒體見面會上,對雷鋒網宅客頻道和其他媒體吐露了心聲。
我們第一時間把問答整理成為文稿,和各位網絡安全愛好者分享。
口述周鴻祎 360 公司創始人、董事長兼 CEO
整理史中(微信:Fungungun),雷鋒網主筆。
一、未來勒索病毒會變成什么樣?
這次的勒索,第一次把網絡武器從攻擊組織到攻擊個人。有人問勒索病毒有沒有可能蔓延到手機上,我們覺得一定會蔓延到手機上。最近孫正義豪擲多少億投資 ARM,未來說全球要有一萬億的設備連到物聯網上,我預言,物聯網、智能硬件、智能家居、工業互聯網都會在未來幾年發生,中國有 300 萬、500 萬的設備連接物聯網,這會帶來很大的問題。物聯網和虛擬生活聯結在一起,意味著所有的網絡攻擊都會造成物理傷害。如果從廣義上去設想,這是很可怕的事情。 未來勒索會誕生很多新的模式:
現在你們各位離開手機就不能工作,不,是不能活了。如果有一天你手機里面攢了很多年的孩子的照片被加密了,說給錢才能解鎖手機,你是不是要瘋了。
也許某一天你的各種智能設備、家用電器都能可能被黑客鎖定,你只有交錢才能看電視。
也許某一天,你出門需要交錢才能開車。這還沒關系,最要命的是如果你交錢才能停車呢?我在看《速八》的時候突然腦洞大開,這樣的電影正是告訴人們:在憧憬自動駕駛美好的時候,也不要忘記 360 這樣的安全公司的價值。如果不注重網絡安全,自動駕駛汽車也可能變成人肉炸彈。
未來這種網絡犯罪和網絡恐怖主義不會局限于面對個人。
首先,有可能更多面向工業企業。
現在大家談工業制造 2025,德國人談工業 4.0。工業互聯網也可能被勒索。當像富士康的 iPhone 生產線都連上互聯網以后,如果他被攻擊了,會發生什么情況,別人還不得敲詐郭臺銘先生多少億美金,否則 iPhone 無法交貨可是很大的問題。
其次,網絡黑產的潘多拉盒子可能被打開。
過去網絡黑產還是比較懂互聯網的一批人在做,做木馬、黑色產業鏈和勒索病毒的。這些做黑產的和我們網絡安全行業不斷的纏斗。
這次的網絡攻擊效果應該說是給很多犯罪分子、恐怖分子帶來啟發。原來傳統的黑色產業鏈,他們可能會利用網絡漏洞武器做更多的敲詐勒索,變成一種商業模式。
再次,很多傳統的恐怖分子會受到啟發。
9. 11 之后,包括在歐洲發生的幾次大規模的恐怖襲擊之后,各國政府加強了傳統安防力量,比如地鐵和機場的安檢。
但網絡攻擊其實是成本很低,但很容易造成大規模恐慌和造成社會不穩定的方向,網絡恐怖分子收到啟發,很可能會出現一個新的名詞——網絡恐怖主義。我覺得未來幾年可能網絡恐怖主義會興起。互聯網到了一個新的時代,當網絡和人類緊密交織在一起時,對網絡的破壞就意味著是對整個社會秩序、對整個國家管理的破壞。所以未來反恐很重要的領域,要和網絡安全結合在一起。
二、漏洞不是 Bug,是核武器
1、漏洞是核威懾
說到這次勒索病毒攻擊,360 已經提前做過預警。但是我們發現一個特別有意思的現象,安全公司有點像老在說狼來了,狼來了,大家也聽習慣了,也都不當回事。這次攻擊,其實可以借此機會把壞事變好事,相當于給大家上了一課。大家突然意識到一個問題,網絡世界的攻擊的威力不亞于核武器。
你們有沒有發現,過去安理會有五大常任理事國都有核武器,它就能形成平衡,形成相互的核威懾,你有 100 枚核彈,我有 10 枚核彈,這種能力可以平衡住。但網絡攻擊不一樣,這次 NSA 不小心泄露的舊武器“永恒之藍”就造成巨大影響,可以想像沒有泄露的武器是什么量級的。所以這種情況下,我相信全世界其他政府、國家政府的網絡武器庫里可能就壓根兒沒有與美國匹敵的網絡武器。
至于微軟的總裁呼吁,讓全世界簽署條約,大家都不要研發網絡武器,我認為這個呼吁已經晚了。因為美國政府已經有了,而且很厲害,它就形成了一種對其他國家的非對稱作戰、不平衡作戰、單方面優勢。除非美國政府放棄,但這不可能。
我認為各國會非常重視以后這種網絡攻擊平臺和網絡攻擊武器的研發,在網絡世界會形成新一輪的軍備競賽。
2、美國早已用這些漏洞打造了一批“核武器”
美國政府過去經常說俄羅斯、中國攻擊它的網絡,把自己扮演成一個受害者。這次武器暴露出來后,大家看到美國哪里是受害者,美國是屬于悶聲發大財的典型,從來不聲張,但實際上它已經在系統化、平臺化的打造它的網絡武器。
在網絡攻擊方面,各國和美國處在了一種非常不均衡的狀態下。與美國相比,我們了解到世界各國國家級的網絡武器都是非常零碎、不成系統的。往往是發現一個漏洞,就利用這個漏洞構造一次攻擊。而美國已經用這些隱秘的漏洞,進而打造了一批武器。
在座的各位,今天真正弄來一枚核彈,也不知道怎么操作,怎么引爆,所以核彈還是很專業的。但這次攻擊事件證明了運用這些網絡武器的人不需要是專家,因為武器打造的足夠精良。即使網絡敲詐和網絡勒索這種過去認為是毛賊水平的人,拿到武器后簡單改一改都可能造成對全球帶來威脅的犯罪。
我可以告訴大家。這次勒索病毒發生前,我們就已經基于 360 的數據和監測掃描出國內很多重要機構已經被永恒之藍漏洞光顧過和滲透過了。只不過他們并沒有鎖機、勒索,而很可能盜取了很多機密的信息。
我覺得這次事件這對各國政府會形成很大的觸動,網絡世界要形成新的平衡,就像核武器一樣,你有,我也有,我們就不輕易的發動攻擊。如果我沒有武器,我的武器對你發起攻擊你都能承受,你的武器我都擋不住,在非均衡狀態下你想消除網絡攻擊是不可能的。
三、沒有漏洞的系統,不符合“熱力學第二定律”
1、什么是漏洞呢?
既然漏洞這么可怕,那我們有沒有可能避免使用帶漏洞的系統呢?要回答這個問題,我想說說漏洞被利用的原理。
過去如果要利用一個漏洞,需要誘騙你運行一個程序。比如去某某網站下載一個客戶端運行一下,它可能是個木馬,這是 1.0 時代。
但是現在到了 2.0 時代。由于大家都警惕,不隨便運行程序了,這時候黑客利用漏洞的方法就變了。誘使你看一張圖片,打開一個網頁,或者收一份 excel、PPT,你感覺它就是文檔和數據,又不是運行 exe,但因為你的看圖軟件或者 Office 軟件有漏洞,黑客通過圖片和文檔精心構造的數據,簡而言之把數據變成代碼,相當于這個圖片也可以執行,這個 PPT 也能執行。在你的機器里就能運行起來,就能干壞事了。
這次這個“永恒之藍”武器的漏洞最可怕的是利用了 445 端口,你什么操作都不用做,你只要電腦開著機,電腦連著網,這個病毒在另外一臺設備上,就相當于給你的 445 端口發包就能控制你的電腦。要沒有高級漏洞的配合,這在正常邏輯下是不可想象的。
2、反過來說,什么情況下會有漏洞?
漏洞是程序員的編碼錯誤,但是人就會犯錯。總有人攻擊微軟,說微軟故意留后門。但其實微軟不用留后門,Windows 的復雜度之高,到了每 1500 行,必然伴隨一個漏洞。這個漏洞可以認為是程序的錯誤,但這個錯誤又不足以讓程序崩潰,也可以正常運行,但你在輸入某種奇特的數據組合情況下,可能讓你的數據崩潰,可能會引發一些非法代碼的執行和非法權限的獲取。
所以,你無論是 Linux、Android、iOS、Windows,只要用戶多了以后,代碼越來越多,功能越來越復雜,就必然有漏洞。這些漏洞開發者本人也未必意識到。
Windows 代碼源碼應該是千萬行級別了,所以,很多國家政府老說,微軟你到我的國家來,你必須把源碼備份和對我開放。微軟說好啊,源碼給你,給你刻多少光盤。任何國家有能力看嗎?微軟的很多老工程師都退休了,我相信新的微軟工程師也沒有能力把浩如煙海的老代碼過一遍。
Linux 也一樣,今天 Android 手機的底層是 Linux,iOS 的底層是 Unix,Unix 是 Linux 的一個變種。他們都有漏洞,要不然蘋果就沒法越獄,Android 就沒法 Root。
所以國產操作系統哪怕用的是 Linux,哪怕你不用 Linux,只要你自己寫的,只要你達到了一個 OS 該有的都有,你的代碼復雜度也至少是幾十萬行代碼,你可以算算你有多少漏洞。
你只要有漏洞,唯一的方法就是祈禱不被人發現。如果你的用戶量小可能還沒有人發現,你的用戶量大了就有人研究這些來發現它。所以,沒有任何系統是安全的,這是由人性決定的,人就會犯錯。
今天如果有專家說我們發明了一種方法,可以保證系統永無漏洞,永遠不會被攻擊,我覺得這是不可能的,因為它違背了物理定律。有很多民間科學家經常講永動機,永動機違反了“熱力學第二定律”,我們以后在安全里也定義一些類似的“第二定律”:
沒有攻不破的系統,沒有沒有漏洞的系統。
四、隔離是最落后的安全理念
既然有這么多漏洞,那么我們是不是不和互聯網連接就好了呢?恰恰相反。
這次勒索時間暴露出來的一些非常嚴重的問題:所謂的內網的理念被證明徹底落后了。
這幾年我們一直在講內網其實并不安全。在互聯網早期,內網把一些企業網和互聯網隔離開,被認為是一種非常有效的簡單的手段,就認為只要隔離了病毒就進不來。但這次病毒恰恰中,恰恰內網這次反而成為了重災區,這是為什么?
現在所謂內網隔離,因為有了各種無線互聯網設備而變異了。比如隨身 Wi-Fi,隨便插到電腦上就能把電腦變成一臺路由器。雖然有內網了,但要移動辦公,所以也會提供無線接入。有了這些無線接入都使得你的內網的邊界被打破了,等于暴露了很多的攻擊面。
你有再多的規定,一定有很多人不遵守你的規定。很多人為了省事。比如我們知道某大型國有企業規定“內網連接外網次數不要超過幾次”。其實不需要幾次,連接一次就有可能中招。還有很多人帶了U盤、手機,通過 USB 和電腦相連,這些東西都會成為傳播介質。
內網最大的問題,大家意識上覺得內網是隔離和安全的,反而內網上和很多連接互聯網的設備相比,內網往往完全不設防。很多正規的安全軟件沒有裝,要么很多功能是被閹割的。還有更重要的問題,很多內網恰恰不能連接互聯網,導致它裝的軟件系統不能升級,從操作系統到各種軟件都是不能正常升級。所以一旦有失,內網的安全防護能力可能比連接互聯網的電腦還差。你們的電腦經常連接互聯網,最不濟 360 每個月還打一次補丁給你打全了,至少已經發現的漏洞在你的電腦上不會泛濫。但很多內網因為從未升級,他的上面沒準裝的就是 XP+IE6。一個五年前甚至八年前的老的漏洞拿來做攻擊武器,可能在互聯網上都流行不起來,反而會在內網里會暢通無阻,這造成了現在最大的一個笑話。
五、安全最終是人和人的較量
那么,我們究竟有什么辦法來對抗這些越來越強大的安全威脅呢?
今天的網絡安全已經變成了高智力勞動密集型的服務業,事實上因為攻擊者越來越專業。一個單位真正要保障安全,不僅要用好的安全軟件和好的安全硬件,還需要最專業的安全團隊為這些單位和企業提供實時的貼身服務。打個不恰當的比喻,這次網絡攻擊可以認為是一次網絡恐怖主義:
對方武裝到牙齒;我們很多單位雖然裝了安全軟件(好比你買了盔甲和盾牌),但畢竟我們這些客戶并沒有最專業的安全隊伍,他們并不是軍隊,他們面對這種網絡恐怖主義襲擊時光靠盾牌沒有用,還需要依賴像 360 這種專業的安全團隊,我們就像專業的保鏢、專業的安全部隊來為你在盾牌之上,提供真正的防護。甚至很多時候我們有必要幫我們的客戶去擋子彈。
曾經有一次我到部隊講課,很多將軍問我一個問題,你認為網絡安全最關鍵的因素是什么?我想了想,我說就是人。
毛主席曾經有一段話講武器論,最先進的武器還是要看掌握在什么人手里。
最近 AI 很喧囂,讓大家感覺大家要失去工作了,這個觀點我不認同。人是最大的漏洞,最大的漏洞是人,什么人?不遵守安全規定,沒有安全意識的人,單位有再好的安全軟件、再好的防火墻和再好的安全系統,架不住希拉里在自己的地下室里架一臺不受控制的服務器,架不住再牛的女強人胡瑪的老公是喜歡看色情圖片的人,還和她共用一臺電腦。所以,人是最重要的因素。
最有利的武器還是安全專家。未來的網絡之戰,看起來是技術的較量,背后其實是人和人的較量。我們安全人員就要用自己的專業性,來做那個保衛大家的人。
來自: 雷鋒網