我相信,未来我们会生活在一个数据被时时监控的时代,被企业出于商业目的监控,被黑客出于牟利目的监控。这就像我们每个人都赤身露体行走在光天化日之下一样,想想就会让人不舒服。如果没有合理的法律和有效的技术保护手段,这将是最糟糕的时代。
但这个时代终将到来,不管我们是否喜欢它,只能做好迎接它的准备,不适者将被淘汰。我们能做的,是尽自己的微薄之力,按照我们的想法,将这个即将到来的时代塑造得更加美好。
这是阿里云首席安全研究员吴翰清(道哥)曾在一份公司内部报告里写下的话。
4 年前,他曾怀着”达则兼济天下”的心态离开阿里开始创业,此后公司被阿里和百度以不低的价格收购,但他却说只要没完成创业的使命和初心,就远远谈不上成功。
回到阿里巴巴,他带着初心继续上路,用另一种形式来完成内心中的使命。两年来,他带领团队在云安全领域开疆辟土,引领整个云安全的方向,让阿里云云盾几乎一度成为了云安全的代名词。
今天,2017 年 3 月 24 日,在阿里云云盾举办的先知白帽大会上,吴翰清对在场的白帽子们说:“如今的我们既是生活在现实社会中,也是生活在互联网中。网络安全将一直影响整个互联网的秩序,它也必定要承担起属于它的那份社会责任。”
在雷锋网看来,道哥还是那个道哥,他的“道”还是那个“道”。或许在他的眼中,虽然安全从业者做的事情,用的方法不尽不同,但他们却共同在改变,甚至定义着世界的未来。
以下是吴翰清在阿里云云盾举办的首届白帽子大会上进行的题为“谈互联网的安全发展”的演讲全文,雷锋网经授权编辑发布:
大家下午好!今天非常高兴能参加先知白帽子大会,因为这承载着我们的梦想。这是一个平等的大会。
大家可以观察到,先知的白帽大会没有设嘉宾席,也没有桌子,这是阿里云的传统。今天,这里没有明星贵客,大家都是白帽子。
这也是一个开放的大会,今天的大会不是为阿里巴巴举办的,也不是为阿里云举办的,而是为所有的白帽子举办的,所以我们心态很开放。今天,到场的既有包括竞争对手在内的各行各业的朋友,也包括来自政府、投资圈的朋友。这样一来,大会能够为大家搭建沟通的桥梁。这是非常平等、开放的大会。
同时,先知白帽大会还是一个实现梦想的大会,我们希望通过先知这样的平台,能够实现所有白帽子的梦想。其实这也在先知女王笑然(阿里云云盾先知平台负责人)身上得到了明显的体现。笑然 2016 年 1 月加入先知,从一个不懂安全的产品经理,通过一年的时间打造出如今这样一个平台,非常的了不起,这就是对创业精神最大的实践。我希望所有的白帽子能够看到先知是怎样成长的,最艰苦的时候一个专门的研发都没有,做了两个月这样把先知做起来了,非常了不起。
我也希望大家可以一如既往的支持先知,我们希望帮助所有的白帽子在这个平台上实现自己的梦想。明年,先知计划要发出去的奖金,是一个亿。我们希望这一个亿的奖金,能够帮助更多白帽子从个人成为小微企业,最后成为大企业,这是先知希望去做的事情。
此外,先知大会还是负责任的大会,我们希望给予社会更多的责任。对于白帽子这个群体,社会上有一些很不同的看法,有的人怀疑这个群体都是些为非作歹、心术不正的人,其实并不是这样的。白帽子群体对整个中国互联网安全的发展做出了不可磨灭的贡献。
我希望通过先知平台向这个社会传递正能量,传递社会责任感,告诉社会白帽子是一群什么样的人,传递安全研究者对社会的责任心,这是先知平台所承载的使命。
这些年的互联网安全
简单的回顾整个互联网安全的发展。十多年前还没有互联网,当时安全问题更多的是 PC 单机时代的病毒,当时的人们会研究各种各样有关病毒的问题。有了互联网之后,大量原本孤立的系统连接在了一起,这时候开始爆发木马,出现了更多的系统问题。
那个时代是对互联网安全非常重要的启蒙阶段。这期间,软件漏洞是最重要的。既诞生了 CVE(通用漏洞信息库)这样的组织,也诞生了企业安全联盟的方式去采集漏洞、收集漏洞,最终给安全研究者发奖金的做法,这些都是早期非常好的实践经验。
从互联网 1.0 时代开始,软件一旦分发,就很难再收回来,因此在这个时代需要做到漏洞信息尽早披露,这是对所有软件开发商提出的要求,因为需要让这些软件的客户知道软件漏洞对业务产生怎样的危害。漏洞披露也就是从那时开始的。
整个互联网继续往前发展,到了互联网 2.0 时代,大量的业务是被 B/S 架构所替代,软件不再是单机的软件,而是联结在一起的,这时漏洞披露就受到了很大的挑战,如果用互联网 1.0 的做法适配互联网 2.0 的需求,就会产生矛盾。在互联网的 2.0 时代,其实更多的系统漏洞是可以被快速修补掉的,帮助用户和消费者降低风险和弥补损失,但这个时候漏洞披露就需要受到一个严格的监管。
在往后就来到了移动的时代,以苹果 iOS 的崛起和安卓大生态为代表。苹果自建了封闭的安全系统,安卓没有这样完整的体系,更多是采用大量开源和开放的方式,让厂商自己集成安卓的内核。最终,移动时代大量的安全问题是安卓的大生态产生的,而不是苹果平台产生的。这也间接催生了安卓安全的市场——移动时代的许多公司所研究的移动安全,其实就只是安卓的安全。
移动时代之后,就进入了云计算的时代。云计算时代要做什么事情呢?要把技术服务化,让计算变得有弹性,计算赋能给所有的客户,个人开发者也可能和大企业拥有平等的计算能力,束缚创新的不再是计算能力而是个人的想象力,只要想得到,就一定有机会借助云计算把一件事做出来。
从安全的角度来看,云计算不是由一个一个云组成的,它本身就是一个大的操作系统。软件时代诞生很多牛人,他们在 CVE 通用漏洞、Web 漏洞挖掘上有了非常丰硕的成果,但是在今天还没有一个人说对云计算企业级操作系统的理解非常的深刻,没有看到有人在企业级操作系统层面上做出很好的研究成果,这是在座各位(白帽子)的机会、也是我们的使命。
网络安全的未来会发生什么
互联网再往后发展会发生什么?今天非常热门的一些技术已经在兴起,包括 IOT、VR、AR、人工智能,我个人觉得技术是应该要去不断的拓展商业边界的。技术,特别是基础性技术对整个商业发展,甚至对整个社会促进作用都会带来不可磨灭的影响。
举一个例子,第一次鸦片战争的起因是中国与英国的鸦片贸易发生了问题,当时世界格局是怎样的呢?英国大量向中国倾销鸦片,中国大量向英国行销茶叶。英国上流社会日常生活离不开茶叶了,当时整个茶叶是被中国垄断的,世界上只有中国有茶叶,但是当时东印度公司做了一件很坏的事情,他们成功将技术偷出来最后在印度种植了茶叶。
怎么做到的呢?其中有一项技术至关重要, 一个植物学家发明了“沃德箱”。过去把一个种子从东方运到西方要经过数个月,这个种子往往会开始腐烂,沃德箱让种子的长途运输变成了可能,种子放在密闭的玻璃箱里,可以经历数月的运输到达遥远的别国。这项技术的突破改变了当时世界贸易的格局,这就是基础性技术对社会的推动作用。—— 技术在不断拓展商业的边界。
再往后,技术在发展、互联网在发展,所有的白帽子也应该不断追求技术的进步,追求基础技术的进步。
今天人工智能已经逐渐改变人类生活的各个方面,比如阿尔法狗打败了围棋高手。在可描述规则、可通过经验实现的领域,人类已经在被人工智能逐渐超越。接下来的 20 年,也许是人工智能在各个领域逐渐打败人类的 20 年。20 年后,也许又是人工智能在创造性的领域打败人类的 30 年。接下来波澜壮阔的时代可能会超出大家的想象,同样,人工智能在安全领域也会发生一些事情,而且很可能是由今天在座的各位(白帽子们)做出来的。
互联网再往后发展,线上线下将更加地融为一体。今天在座的各位离开了手机一会儿就觉得不适应,原因就是因为离开了“在线”的状态。如今的我们既是生活在现实社会中,也是生活在互联网中。互联网安全的终局不是赚了多少钱,而是维护整个互联网的秩序,因此安全公司必定要承担起属于它的那份社会责任。
追求安全技术的进步,并主动承担起网络安全的那份社会责任,我认为网络安全的终极目的就在于此。跳出盈利,解决点儿社会问题,这也是先知和阿里云在不断努力做的事情。最后,希望所有的白帽子未来都能实现自己的理想,并共同承担起安全的那份社会责任,谢谢大家!
注:以上为 2017 年 3 月 24 日,“道哥”吴翰清在阿里云云盾举办的先知白帽大会上,题为“谈互联网的安全发展”的演讲全文,雷锋网经授权编辑发布。