新浪科技讯 6月29日消息,在2017软博会手长全球软件产业发展高峰论坛上,奇虎360CEO周鸿祎谈到了频繁出现的勒索病毒事件。在他看来,勒索病毒猖獗最重要的原因就是今天人们依赖的软件里充满了漏洞。
“360有一个收集漏洞的平台,去年一年我们就收集到了八万个漏洞。但是按照美国的统计,平均一千行到一千五百行代码,人类编程的程序员就会在软件当中留下一个漏洞。今天你用的智能手行数也有几千万行,你就可以想像在这些里面会有多少漏洞。”周鸿祎表示,看起来连Bug都算不上的一个很小的软件漏洞,一旦被犯罪分子和黑客利用,都可能会带来毁灭性的结果。
2017年5月,全球范围内有近百个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。英国多家医院的网络系统甚至瘫痪,部分医院要求病人除非是紧急情况,不要上医院。中国的部分高校校园网也已被攻击,且传播迅速。周鸿祎笑称,比特币勒索病毒实际上是几个小毛贼写的勒索软件,勒索软件本身写的并不高明,但也对世界很多国家带来了巨大的危害。原因都是因为美国国家武器库泄露了所谓的网络武器。网络武器这个词听起来特别高大上,但本质上漏洞就是网络武器,每一个未知的或者大多数人不知道的漏洞被发掘出来,它就可以被变成一个能够引发国家级网络战的网络武器。
在周鸿祎看来,软件是个双刃剑,今天我们谈到的所有的都是软件如何给我们的生活带来改进,但是软件除了造福社会也可以成为不法分子的犯罪工具。“随着万物皆可互联,我们身边的每一个物品都可以编程,都有智能系统,带来便利的同时就意味着每个硬件里面都有可能存在着漏洞,这些漏洞防不胜防,一旦被网络犯罪分子利用,带来的攻击力量将会是非常巨大的。”周鸿祎说。
“我们在畅想软件给我们带来美好的自动化生活的同时,也要关注软件有这么多的漏洞,有漏洞就意味着有问题。”周鸿祎表示,很多人都在谈人工智能自动驾驶,正如《速度与激情8》描绘的,满大街都是自动驾驶汽车,一旦被黑客组织劫持,所有的自动驾驶汽车都会变成僵尸汽车,脱离主人的控制满大街横行直撞,在周鸿祎看来,这样的场景未来几年恐怕会变成现实。
对此,周鸿祎提出了几点建议,以下是周鸿祎演讲节选——
首先是重视漏洞,积极发现和挖掘漏洞,及时地打补丁。挖掘漏洞不能靠360或者某几家安全公司自己来做,我们已经借鉴国外的方法,利用众包的力量,发动全社会的白帽子黑客一起来挖掘漏洞。而且当我们挖掘出漏洞的时候就应该迅速地推出补丁,能够让大家提前打上补丁。因为再厉害的网络攻击,只要这个漏洞被堵上了,这个攻击就形同虚设。但是我们也有很多组织和政府部门对漏洞和补丁的认识不足,大家老是觉得我不打补丁,这个系统也没啥问题,也能正常运行。这一次勒索软件事件当中让深觉得最可笑的事实是,有几个亿的360用户因为都提前打了补丁,所以个人受到的影响反而是最小的,而一些采用内网隔离防护的机构却因为相信用隔离的方法可以阻断病毒,安全可以一隔了之,最后竟然成了这次勒索病毒的重灾区,这是因为有些机构隔离了,反而不能及时地修补、打补丁。我们也借着这个机会呼吁很多部门的安全网络管理的负责人,在新的漏洞时代我们整个思想要发生变化。
漏洞是今天网络攻击的罪魁祸首,有了漏洞之后使得传统对病毒的认知也应该发生新的变化。过去我们总是认为病毒是要运行才能够感染我的电脑,才能感染我的机器,只要我把我的电脑不运行乱七八糟的软件,保持隔离就能够有效地保证安全。在漏洞时代这个思想已经过时了,因为借助漏洞今天不需要你运行程序,只要发给你一个Excel,告诉你这是贵公司的工资表,发给你一个PPT说这是今天大会的主旨演讲,只要你看到了这个文件可能就中招了。这次勒索病毒利用的漏洞我们高度怀疑是被有关国家或者有关公司预置在里面的,不需要做任何事情,只要给你的电脑发一个网络包就能够把你的电脑接管,不需要运行任何软件。最新打补丁的漏洞也是这样,只要把一个U盘插到电脑里面,都不需要你看这个U盘里面是什么,更不需要你运行软件,通过U盘的插拔就能够控制和接管你的电脑。漏洞时代大家对安全的认知也要发生变化,你觉得过去很安全的行为就会因此变得不安全,正因为漏洞的存在才使得今天的网络攻击防不胜防。
我们还有一个非常现实的观点,因为有大量的漏洞依然不能被我们提前发现,也不能提前预防,每个系统又肯定拥有漏洞,所以网络攻击不可避免,甚至没有一个系统是不会被攻破的。未来网络安全因为有漏洞的存在可能会长期处在一个不停的攻防、猫捉老鼠的游戏当中。在这种情况下,我觉得我们唯一能做的就是通过大数据的采集加快这种快速的检测和响应,我们做不到根除漏洞的时候,我们所能做的就是当系统被攻击的时候每个单位都能够培养专业的合作伙伴、专业的网络安全团队,包括自己的网络安全人员能够快速地发现被攻击,能够快速地溯源、快速地定位、快速地封堵。
因为有了漏洞的存在,所以导致网络攻击特别是某个单位被攻击不应该再是一件丢人的事情。美国所有的单位遭受网络攻击之后都会把它曝出来,大声地呼唤,同时可以让更多的安全公司从攻击当中取得更多的经验、更多的数据,发现更多的漏洞,避免下次的攻击。但是我们很多单位被攻击了之后可能是两种情况,一种是被攻击了却不知道自己被攻击,还有一种是被攻击了但是盖上盖子,因为害怕上级发现了怪罪或者遭到批评。有的时候你的单位被攻击了不是你的错,确实有无数未知的漏洞,全世界所有网络公司也无法预防让你的单位不遭到攻击。我们知道漏洞的存在之后,要能够改变一个理念,很多单位遭受攻击之后希望能够更多地上报,更多地讲出来,安全公司可以得到越来越多的数据和证据,能够越快地帮助这些单位发现和修补漏洞,也能够对网络攻击积极分析和溯源,为国家网络空间的博弈提供证据,进而提升国家整体的网络安全能力。(肖鹏)