這次勒索病毒爆發(fā)�,原本默默無聞的各大安全廠商瞬間沖在了抗病毒的最前線,用自己的技術(shù)和專業(yè)性實(shí)力圈粉�����。
不過�����,作為中國網(wǎng)絡(luò)安全的“代言人”���,360 公司的老大周鴻祎卻一直沒有公開發(fā)言�。今天,紅衣教主在媒體見面會上����,對雷鋒網(wǎng)宅客頻道和其他媒體吐露了心聲。
我們第一時間把問答整理成為文稿��,和各位網(wǎng)絡(luò)安全愛好者分享����。
口述 | 周鴻祎360 公司創(chuàng)始人�����、董事長兼CEO
整理 | 史中(微信:Fungungun)�,雷鋒網(wǎng)主筆��。
一���、未來勒索病毒會變成什么樣?
這次的勒索����,第一次把網(wǎng)絡(luò)武器從攻擊組織到攻擊個人。有人問勒索病毒有沒有可能蔓延到手機(jī)上����,我們覺得一定會蔓延到手機(jī)上。最近孫正義豪擲多少億投資ARM����,未來說全球要有一萬億的設(shè)備連到物聯(lián)網(wǎng)上,我預(yù)言�,物聯(lián)網(wǎng)、智能硬件��、智能家居�����、工業(yè)互聯(lián)網(wǎng)都會在未來幾年發(fā)生�����,中國有 300 萬���、 500 萬的設(shè)備連接物聯(lián)網(wǎng)����,這會帶來很大的問題。物聯(lián)網(wǎng)和虛擬生活聯(lián)結(jié)在一起�����,意味著所有的網(wǎng)絡(luò)攻擊都會造成物理傷害�����。如果從廣義上去設(shè)想��,這是很可怕的事情����。 未來勒索會誕生很多新的模式:
現(xiàn)在你們各位離開手機(jī)就不能工作,不�,是不能活了。如果有一天你手機(jī)里面攢了很多年的孩子的照片被加密了��,說給錢才能解鎖手機(jī)��,你是不是要瘋了��。
也許某一天你的各種智能設(shè)備�����、家用電器都能可能被黑客鎖定��,你只有交錢才能看電視��。
也許某一天����,你出門需要交錢才能開車。這還沒關(guān)系���,最要命的是如果你交錢才能停車呢?我在看《速八》的時候突然腦洞大開���,這樣的電影正是告訴人們:在憧憬自動駕駛美好的時候,也不要忘記 360 這樣的安全公司的價值�����。如果不注重網(wǎng)絡(luò)安全���,自動駕駛汽車也可能變成人肉炸彈��。
未來這種網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義不會局限于面對個人��。
首先���,有可能更多面向工業(yè)企業(yè)���。
現(xiàn)在大家談工業(yè)制造2025,德國人談工業(yè)4.0���。工業(yè)互聯(lián)網(wǎng)也可能被勒索��。當(dāng)像富士康的iPhone生產(chǎn)線都連上互聯(lián)網(wǎng)以后��,如果他被攻擊了����,會發(fā)生什么情況�����,別人還不得敲詐郭臺銘先生多少億美金��,否則 iPhone 無法交貨可是很大的問題���。
其次���,網(wǎng)絡(luò)黑產(chǎn)的潘多拉盒子可能被打開。
過去網(wǎng)絡(luò)黑產(chǎn)還是比較懂互聯(lián)網(wǎng)的一批人在做�,做木馬、黑色產(chǎn)業(yè)鏈和勒索病毒的���。這些做黑產(chǎn)的和我們網(wǎng)絡(luò)安全行業(yè)不斷的纏斗����。
這次的網(wǎng)絡(luò)攻擊效果應(yīng)該說是給很多犯罪分子����、恐怖分子帶來啟發(fā)。原來傳統(tǒng)的黑色產(chǎn)業(yè)鏈�,他們可能會利用網(wǎng)絡(luò)漏洞武器做更多的敲詐勒索,變成一種商業(yè)模式�����。
再次����,很多傳統(tǒng)的恐怖分子會受到啟發(fā)。
9. 11 之后�,包括在歐洲發(fā)生的幾次大規(guī)模的恐怖襲擊之后���,各國政府加強(qiáng)了傳統(tǒng)安防力量�,比如地鐵和機(jī)場的安檢����。
但網(wǎng)絡(luò)攻擊其實(shí)是成本很低��,但很容易造成大規(guī)模恐慌和造成社會不穩(wěn)定的方向�,網(wǎng)絡(luò)恐怖分子收到啟發(fā),很可能會出現(xiàn)一個新的名詞——網(wǎng)絡(luò)恐怖主義���。我覺得未來幾年可能網(wǎng)絡(luò)恐怖主義會興起���。互聯(lián)網(wǎng)到了一個新的時代��,當(dāng)網(wǎng)絡(luò)和人類緊密交織在一起時���,對網(wǎng)絡(luò)的破壞就意味著是對整個社會秩序�����、對整個國家管理的破壞�����。所以未來反恐很重要的領(lǐng)域���,要和網(wǎng)絡(luò)安全結(jié)合在一起。
二����、漏洞不是 Bug,是核武器
1�����、漏洞是核威懾
說到這次勒索病毒攻擊��, 360 已經(jīng)提前做過預(yù)警����。但是我們發(fā)現(xiàn)一個特別有意思的現(xiàn)象,安全公司有點(diǎn)像老在說狼來了�,狼來了,大家也聽習(xí)慣了����,也都不當(dāng)回事��。這次攻擊�����,其實(shí)可以借此機(jī)會把壞事變好事����,相當(dāng)于給大家上了一課�����。大家突然意識到一個問題��,網(wǎng)絡(luò)世界的攻擊的威力不亞于核武器�����。
你們有沒有發(fā)現(xiàn)�,過去安理會有五大常任理事國都有核武器,它就能形成平衡����,形成相互的核威懾���,你有 100 枚核彈,我有 10 枚核彈����,這種能力可以平衡住。但網(wǎng)絡(luò)攻擊不一樣����,這次 NSA 不小心泄露的舊武器“永恒之藍(lán)”就造成巨大影響,可以想像沒有泄露的武器是什么量級的���。所以這種情況下,我相信全世界其他政府��、國家政府的網(wǎng)絡(luò)武器庫里可能就壓根兒沒有與美國匹敵的網(wǎng)絡(luò)武器����。
至于微軟的總裁呼吁,讓全世界簽署條約����,大家都不要研發(fā)網(wǎng)絡(luò)武器,我認(rèn)為這個呼吁已經(jīng)晚了�����。因?yàn)槊绹呀?jīng)有了,而且很厲害���,它就形成了一種對其他國家的非對稱作戰(zhàn)�、不平衡作戰(zhàn)����、單方面優(yōu)勢。除非美國政府放棄���,但這不可能��。
我認(rèn)為各國會非常重視以后這種網(wǎng)絡(luò)攻擊平臺和網(wǎng)絡(luò)攻擊武器的研發(fā)����,在網(wǎng)絡(luò)世界會形成新一輪的軍備競賽�����。
2����、美國早已用這些漏洞打造了一批“核武器”
美國政府過去經(jīng)常說俄羅斯��、中國攻擊它的網(wǎng)絡(luò)���,把自己扮演成一個受害者。這次武器暴露出來后����,大家看到美國哪里是受害者,美國是屬于悶聲發(fā)大財?shù)牡湫?���,從來不聲張,但?shí)際上它已經(jīng)在系統(tǒng)化��、平臺化的打造它的網(wǎng)絡(luò)武器����。
在網(wǎng)絡(luò)攻擊方面���,各國和美國處在了一種非常不均衡的狀態(tài)下�����。與美國相比�����,我們了解到世界各國國家級的網(wǎng)絡(luò)武器都是非常零碎�����、不成系統(tǒng)的�。往往是發(fā)現(xiàn)一個漏洞,就利用這個漏洞構(gòu)造一次攻擊����。而美國已經(jīng)用這些隱秘的漏洞,進(jìn)而打造了一批武器����。
在座的各位,今天真正弄來一枚核彈���,也不知道怎么操作���,怎么引爆,所以核彈還是很專業(yè)的���。但這次攻擊事件證明了運(yùn)用這些網(wǎng)絡(luò)武器的人不需要是專家����,因?yàn)槲淦鞔蛟斓淖銐蚓肌<词咕W(wǎng)絡(luò)敲詐和網(wǎng)絡(luò)勒索這種過去認(rèn)為是毛賊水平的人��,拿到武器后簡單改一改都可能造成對全球帶來威脅的犯罪�。
我可以告訴大家。這次勒索病毒發(fā)生前��,我們就已經(jīng)基于 360 的數(shù)據(jù)和監(jiān)測掃描出國內(nèi)很多重要機(jī)構(gòu)已經(jīng)被永恒之藍(lán)漏洞光顧過和滲透過了�����。只不過他們并沒有鎖機(jī)�、勒索,而很可能盜取了很多機(jī)密的信息��。
我覺得這次事件這對各國政府會形成很大的觸動�,網(wǎng)絡(luò)世界要形成新的平衡,就像核武器一樣�,你有��,我也有�,我們就不輕易的發(fā)動攻擊。如果我沒有武器��,我的武器對你發(fā)起攻擊你都能承受,你的武器我都擋不住����,在非均衡狀態(tài)下你想消除網(wǎng)絡(luò)攻擊是不可能的。
三����、沒有漏洞的系統(tǒng),不符合“熱力學(xué)第二定律”
1�、什么是漏洞呢?
既然漏洞這么可怕,那我們有沒有可能避免使用帶漏洞的系統(tǒng)呢?要回答這個問題����,我想說說漏洞被利用的原理。
過去如果要利用一個漏洞���,需要誘騙你運(yùn)行一個程序����。比如去某某網(wǎng)站下載一個客戶端運(yùn)行一下�,它可能是個木馬,這是 1.0 時代�。
但是現(xiàn)在到了 2.0 時代。由于大家都警惕,不隨便運(yùn)行程序了���,這時候黑客利用漏洞的方法就變了����。誘使你看一張圖片���,打開一個網(wǎng)頁����,或者收一份excel����、PPT,你感覺它就是文檔和數(shù)據(jù)���,又不是運(yùn)行exe�,但因?yàn)槟愕目磮D軟件或者 Office 軟件有漏洞�����,黑客通過圖片和文檔精心構(gòu)造的數(shù)據(jù)���,簡而言之把數(shù)據(jù)變成代碼��,相當(dāng)于這個圖片也可以執(zhí)行���,這個PPT也能執(zhí)行。在你的機(jī)器里就能運(yùn)行起來����,就能干壞事了。
這次這個“永恒之藍(lán)”武器的漏洞最可怕的是利用了 445 端口�����,你什么操作都不用做�����,你只要電腦開著機(jī)����,電腦連著網(wǎng),這個病毒在另外一臺設(shè)備上��,就相當(dāng)于給你的 445 端口發(fā)包就能控制你的電腦��。要沒有高級漏洞的配合,這在正常邏輯下是不可想象的�。
2、反過來說�,什么情況下會有漏洞?
漏洞是程序員的編碼錯誤,但是人就會犯錯����。總有人攻擊微軟����,說微軟故意留后門。但其實(shí)微軟不用留后門����,Windows 的復(fù)雜度之高,到了每 1500 行���,必然伴隨一個漏洞�。這個漏洞可以認(rèn)為是程序的錯誤���,但這個錯誤又不足以讓程序崩潰�����,也可以正常運(yùn)行����,但你在輸入某種奇特的數(shù)據(jù)組合情況下�����,可能讓你的數(shù)據(jù)崩潰���,可能會引發(fā)一些非法代碼的執(zhí)行和非法權(quán)限的獲取����。
所以�����,你無論是Linux�、Android、iOS����、Windows,只要用戶多了以后��,代碼越來越多,功能越來越復(fù)雜�,就必然有漏洞。這些漏洞開發(fā)者本人也未必意識到�。
Windows 代碼源碼應(yīng)該是千萬行級別了,所以�����,很多國家政府老說����,微軟你到我的國家來,你必須把源碼備份和對我開放�。微軟說好啊,源碼給你��,給你刻多少光盤��。任何國家有能力看嗎?微軟的很多老工程師都退休了�,我相信新的微軟工程師也沒有能力把浩如煙海的老代碼過一遍。
Linux 也一樣��,今天 Android 手機(jī)的底層是 Linux�����,iOS 的底層是 Unix,Unix 是Linux 的一個變種��。他們都有漏洞�����,要不然蘋果就沒法越獄����,Android 就沒法 Root��。
所以國產(chǎn)操作系統(tǒng)哪怕用的是Linux�����,哪怕你不用Linux���,只要你自己寫的�����,只要你達(dá)到了一個 OS 該有的都有�����,你的代碼復(fù)雜度也至少是幾十萬行代碼��,你可以算算你有多少漏洞��。
你只要有漏洞���,唯一的方法就是祈禱不被人發(fā)現(xiàn)�����。如果你的用戶量小可能還沒有人發(fā)現(xiàn)�����,你的用戶量大了就有人研究這些來發(fā)現(xiàn)它���。所以,沒有任何系統(tǒng)是安全的�����,這是由人性決定的�,人就會犯錯。
今天如果有專家說我們發(fā)明了一種方法��,可以保證系統(tǒng)永無漏洞,永遠(yuǎn)不會被攻擊�����,我覺得這是不可能的����,因?yàn)樗`背了物理定律。有很多民間科學(xué)家經(jīng)常講永動機(jī)���,永動機(jī)違反了“熱力學(xué)第二定律”��,我們以后在安全里也定義一些類似的“第二定律”:
沒有攻不破的系統(tǒng),沒有沒有漏洞的系統(tǒng)�。
四、隔離是最落后的安全理念
既然有這么多漏洞���,那么我們是不是不和互聯(lián)網(wǎng)連接就好了呢?恰恰相反�。
這次勒索時間暴露出來的一些非常嚴(yán)重的問題:所謂的內(nèi)網(wǎng)的理念被證明徹底落后了���。
這幾年我們一直在講內(nèi)網(wǎng)其實(shí)并不安全�。在互聯(lián)網(wǎng)早期���,內(nèi)網(wǎng)把一些企業(yè)網(wǎng)和互聯(lián)網(wǎng)隔離開����,被認(rèn)為是一種非常有效的簡單的手段,就認(rèn)為只要隔離了病毒就進(jìn)不來����。但這次病毒恰恰中,恰恰內(nèi)網(wǎng)這次反而成為了重災(zāi)區(qū)�,這是為什么?
現(xiàn)在所謂內(nèi)網(wǎng)隔離,因?yàn)橛辛烁鞣N無線互聯(lián)網(wǎng)設(shè)備而變異了�。比如隨身Wi-Fi,隨便插到電腦上就能把電腦變成一臺路由器��。雖然有內(nèi)網(wǎng)了����,但要移動辦公,所以也會提供無線接入�����。有了這些無線接入都使得你的內(nèi)網(wǎng)的邊界被打破了�,等于暴露了很多的攻擊面。
你有再多的規(guī)定,一定有很多人不遵守你的規(guī)定����。很多人為了省事。比如我們知道某大型國有企業(yè)規(guī)定“內(nèi)網(wǎng)連接外網(wǎng)次數(shù)不要超過幾次”����。其實(shí)不需要幾次,連接一次就有可能中招�����。還有很多人帶了U盤���、手機(jī)���,通過USB和電腦相連�,這些東西都會成為傳播介質(zhì)。
內(nèi)網(wǎng)最大的問題�����,大家意識上覺得內(nèi)網(wǎng)是隔離和安全的�����,反而內(nèi)網(wǎng)上和很多連接互聯(lián)網(wǎng)的設(shè)備相比,內(nèi)網(wǎng)往往完全不設(shè)防�����。很多正規(guī)的安全軟件沒有裝�����,要么很多功能是被閹割的�����。還有更重要的問題�,很多內(nèi)網(wǎng)恰恰不能連接互聯(lián)網(wǎng),導(dǎo)致它裝的軟件系統(tǒng)不能升級�,從操作系統(tǒng)到各種軟件都是不能正常升級。所以一旦有失���,內(nèi)網(wǎng)的安全防護(hù)能力可能比連接互聯(lián)網(wǎng)的電腦還差�。你們的電腦經(jīng)常連接互聯(lián)網(wǎng)����,最不濟(jì) 360 每個月還打一次補(bǔ)丁給你打全了�����,至少已經(jīng)發(fā)現(xiàn)的漏洞在你的電腦上不會泛濫�。但很多內(nèi)網(wǎng)因?yàn)閺奈瓷?,他的上面沒準(zhǔn)裝的就是XP+IE6。一個五年前甚至八年前的老的漏洞拿來做攻擊武器�,可能在互聯(lián)網(wǎng)上都流行不起來,反而會在內(nèi)網(wǎng)里會暢通無阻�����,這造成了現(xiàn)在最大的一個笑話
