打車軟件存在高危漏洞,用戶信息危險;網易郵箱漏洞可能導致過億數據泄露;安卓手機報警!多款百度系APP漏洞......烏云網,這個平臺好像總是跟壞消息有關,也常常出現在鈦媒體壞消息榜單上。但同樣是這個烏云網,對網絡安全問題最敏感。
總是扮演「救火」角色的烏云網怎么解釋ta的價值觀?2015鈦媒體T-EDGE峰會的第一位演講嘉賓——劍心,即黑客圈的知名人士、烏云創始人方小頓闡釋了“開放世界的生存法則”,即個人、企業面臨著什么樣的安全局面?又該做些什么?方小頓的核心觀點包括:
一、中國互聯網遇到的兩個最大的挑戰:
1,用戶基數大且對安全重視不夠;2,創新先考慮生存后考慮安全。
方小頓說,在中國之外的很多地區,對互聯網的依賴遠遠沒有中國這么高,在互聯網應用創新方面,中國是走在世界上最前面的,但這個過程是有風險的,好像我們“在把一堵墻打破”。那么,天天報告漏洞的烏云網本質是什么?“烏云網是把真正對安全問題非常敏感的人組織起來打造一個社區,就像一個「免疫系統」一樣”。
二、“安全問題有它的原罪”。
方小頓認為,任何一個企業的安全都是整個互聯網的安全,整個互聯網的安全也是整個企業的信息安全;如果你的企業在這樣的一個世界里面沒有做好,可能影響的就是不只是你企業,而且是整個的互聯網。
所以安全問題有它的原罪:我們所有人、所有企業,對待安全問題和對待健康的態度很像,當我生病了,我才會去看醫生,所有人都關注健康,但是沒有一個人說,今天晚上我就去鍛煉,就去運動。
就像身體的健康不是由一個細胞決定的,安全問題需要所有人參與,從關心安全事件、了解安全問題開始做起,所有人都能參與進來,我們的世界才可能會更安全。
以下為劍心在2015鈦媒體T-EDGE峰會上的演講全文,經鈦媒體編輯:
今天我的主題是講開放世界的生存法則。
大家都在談論未來,讓我印象很深刻的圖片是這樣,教皇誕生現場的兩張照片,2005年時現場的人都在靜靜觀看,2013年時現場的人都舉著手機在錄影或拍照。對于2005年來說,2013年就是未來。現在我們已經跨越了2013年,我們看到的現在就是2013年的未來。
同樣,在2013年的時候,發布了一款游戲名字叫“看門狗”。這是很有意思的一款游戲,其他游戲可能用刀有劍,用傳統的內容作為一個核心的元素,但是這個游戲里面最核心、最讓人不可思議的一點,就是把他想到的未來——整個城市、整個世界,抽象出來的、完全可以用計算機控制的、萬物互聯的世界。游戲主人公的技能就是黑客技能。游戲很簡單,作為主人公,你可以隨意掃描任何一個人的身份信息、銀行卡里面還有多少錢、最近的健康狀況怎么樣、在社交網絡上有什么事情,這樣就可以了解他的弱點,甚至可以控制這個人;甚至你可以控制一個城市的一個電力,讓整個城市斷電,在斷電的時候你可以做很多很多的事情,這就是這個游戲的一個比較獨特的地方。
在2013年,游戲里想的一種未來的世界就是這樣。但是對于我們來說,黑客技術控制真的那么遙遠嗎?
在烏云網的漏洞報告平臺上有一個已經在浙江杭州的漏洞,通過這個漏洞可以控制整個城市的路燈,這個漏洞已經報告修復了。這說明一個事情:一個游戲里面暢想未來的世界,其實離我們是很近的。
剛才的漏洞是我們嘗試的依靠「智慧城市」、通過萬物互聯去更高效率提高城市運作出現的。同時,現在大家很提倡的智能汽車、云汽車的概念,通過一些漏洞是可以控制車的密碼的,也就是說你可以遠程的去操作這個車(鈦媒體延伸閱讀《小心,黑客帝國瞄向了你的汽車,你卻必須擁抱他們!》)。
所有的這些,我覺得說明一點:在整個互聯網,在萬物互聯的時候,我們的生活其實一切都是被改變的。而改變的時候,其實最核心的就是這幾個因素:用戶互聯網化、行業互聯網化、數據互聯網化。
用戶是互聯網化的。不管是作為一個企業還是作為一個在這個社會中生活的人,這是不可逆轉的事情。你的朋友,你的親人,甚至你所在的行業,你所面向的最終的用戶,都是在不斷聯網的一個過程。當你的用戶聯網之后,你自己作為一個行業來說的話,他也是一個互聯網化的過程,這是不可逆轉的。而當行業都進行互聯網化之后,我們所有的數據、我們進行很多的生活行為,其實都是一個聯網化的,就是一個數據化的過程。
而數據化發生的時候,我們觀察到一個有意思的現象:任何一個網站、任何一個企業出現安全問題,最后都是互聯網的安全問題。
我不知道大家有沒有印象,前段時間,很多人iCloud帳號被鎖,被人勒索,讓人給錢才能解封賬號。我們就調查為什么會出現這種問題,和蘋果官方溝通之后發現,這個問題出現的原因并不是iCloud而是郵箱。
同樣的事情在以前也發生過,對電商網站來說,影響最大安全性的并不是自己,而是另外一些社區網站(比如說技術社區)網站或是其他行業的一些數據發生泄露帶來的。
整個互聯網是連通的,使得我們用戶是共用的。像人的一個身體一樣,整個互聯網會變成一個人的身體,身體的任何一部分的消亡喪失都是整個身體會受到影響。我們認為,任何一個企業的安全都是整個互聯網的安全,整個互聯網的安全也是整個企業的信息安全,如果你的企業在這樣的一個世界里面沒有做好,可能影響的就是不只是你企業,而且是整個的互聯網。
去年有一個流行動漫叫《進擊的巨人》,講的是靠一堵高墻的保護維持了百年和平的世界,在那里生活的人眼里高墻是不可逾越的;然后所有的故事發生在一天,就是這個高墻被城墻外的一個巨人給打破了。我覺得這個情況跟我們現在所處的情況很類似:萬眾創新。所有人的創新都在靠互聯網怎么改變這個行業,讓整個行業運作的更有效率,讓我們的生活體驗更好。
但是我認為,這是在打破一堵墻的過程。我也去很多中國之外的地區看了一下,他們對互聯網的依賴遠遠沒有我們中國這么高,真正在互聯網應用創新的中國是走在世界上最前面的,在我看來,這個過程是有風險的,像我們把一堵墻打破。
以前,像銀行這樣金融的網絡,把錢存進去要經過很多很復雜的驗證,錢存進去,再怎么樣取出來,整個過程是有非常嚴格的保護的。但是現在你可以在任何一個P2P網站上把錢存進去,過不久網站消失了,這是打破墻的過程。對于傳統企業來說,他們以前把整個的網絡封閉起來,但是現在所有的企業都在談互聯網,怎么把我們數據開放出去,么與行業共贏,整個過程就是拆掉一堵墻的過程。
我們中國整個的互聯網,包括我們自己在互聯網上遇到兩個最大的挑戰:用戶基數大且對安全重視不夠;創新先考慮生存后考慮安全。
中國有足夠大的用戶基數,足夠放大任何行業,讓這個行業爆發出巨大的利潤。但放大不止是正面的,也可能是負面的。在現實中很多無法去完成的事情,借助互聯網,他可以輕易做到。現實中一個人要騙一千個人,一萬個人很難,在互聯網上是太容易的事情。用戶足夠多,就能滋生足夠大的黑色產業。
有些事情我們覺得很蠢。比如,很多人收到這樣的短信,“小張,你的房租到期了,請打到這個卡上”后面附了一個莫名其妙的銀行卡號。
但是在中國這樣的事情有足夠多的利潤和足夠多的土壤成長,因為用戶足夠多。也有很多人收到釣魚郵件,說你的郵箱密碼出現問題,需要你改一下。這樣的事情我覺得在很多其他國家是不可思議的,和人沒有關系,是人家的用戶基數很少,沒有利益會吸引到這上面來,這是第一個問題。
第二個問題,我們現在鼓勵創新,鼓勵大家去做很多很超前的事情。對于這些短時間爆發出來的應用和企業,所有人都會先考慮自己的生存,然后再考慮安全。這就像跟所有人都說,我先要賺錢,要讓自己的事業做得更好,我不會去鍛煉,我不會關注我的身體的狀況,是完全一樣的。
有這個想法是正常的,這個時候我們該怎么去做呢?如果說把互聯網想象成是一個人體,我們每個企業、每個人都是其中的細胞,都是里面組織的一部分,有沒有可能我們同樣借助互聯網,我們打造一個互聯網的免疫系統。
烏云網把真正對安全問題非常敏感的人組織起來打造一個社區,就像一個免疫系統一樣。我們在日本演講時,有人對我們的模式進行了一個定義:
我們像細胞感知到外界的一些入侵一樣去發現安全問題;把問題報告給這些企業,這些企業就可以進行修復;像我們身體的一個白細胞對一個東西免疫一樣,之后我們會把這個問題向整個的互聯網進行預警,實現一種免疫,當再有新的一些問題出現的時候,我們就可以避免了。
這是我們理想的狀態,我們希望說有一個免疫系統跟整個互聯網一起成長,跟整個互聯網是結合得很緊密的系統,我們可以對所有的安全問題,外來的、自己的,我們所有發生一切的問題進行一個免疫。
我們也陸續使用一些更有效率的方式,就是以產品方式去打造這個系統。我們把中國現在能做到的同時對安全感興趣的人,這些“白帽子”通過我們這樣一個平臺、一個產品,鏈接到所有的企業里去。我們希望通過自己的修復方式、自我免疫的方式來去做這個安全——這是跟其他很多人考慮的不一樣的。
但是做了很多很多之后,我們有一點兒悲觀。因為對于任何一個免疫系統來說,需要所有的人能協助。我們也發現了,安全問題有這樣的原罪:我們所有人、所有企業,對待安全問題和對待健康的態度很像,當我生病了,我才會去看醫生,所有人都關注健康,但是沒有一個人說,今天晚上我就去鍛煉,就去運動。這是一個很可悲的事情,如何解決卻也是處在如此開放的世界,這么一堵墻被拆掉的世界上,怎么生存最重要的一點。
大家手機的WIFI默認是自動鏈接的,我們曾在一個大會的外面放了一臺很小的路由器,一個小時之內有大量設備自動連上來,不需要做任何動作。這些設備連上來之后會做到什么呢?其中有一個企業的董事長或是CEO進入了自己的郵箱,我們就可以看到他所有的包括股東會決議在內的很多敏感的信息。
怎么防止類似的事情,我覺得需要所有人從關心安全事件,了解安全問題開始做起,所有人都能參與進來,我們的世界才可能會更安全。我們身體的健康不是某一個細胞決定的,安全問題也需要所有人參與進來,我覺得這才是唯一可以生存下去的法則。
京公網安備 11010502049343號