周鸿祎:聊点负能量,直面这个充满漏洞的世界
今天老周参加了第二十一届中国国际软件博览会,博览会上老周向马凯副总理介绍了360自主研发的“工业互联网安全态势感知与监测预警平台”,汇报了360在安全方面的一些工作,马凯副总理觉得安全很重要,肯定了360在安全领域的工作。
不仅如此,马凯副总理还非常关心最近再次爆发的勒索病毒事件,特别向老周询问了勒索病毒事件的相关情况。
在向马凯副总理汇报完工作之后,老周在博览会“软件的本质与变革”高峰论坛上发表了演讲,鉴于最近两个月勒索病毒事件接连爆发,老周在演讲中谈了一点负能量的话题,看看老周讲了什么了吧!
以下内容根据老周演讲内容整理而成:
在大家都在热烈地讨论软件如何改变世界、软件如何改变我们每个人的工作和生活方式的时候,作为一个安全公司的创始人,我可能要跟大家谈一点负能量的话题,就是未来的世界可能没有我们想像的那么好,我们会面对一个充满了漏洞的软件世界。
刚才梅宏院士讲到一句话:“一切皆可编程,万物均要互联”。我很喜欢这句话,这确实代表了我们对未来世界的看法。如果今天没有了软件,或者软件工作不正常,可能国家都无法运转,社会都会不安定,更不要说日常工作生活会受到巨大影响。
随着科技越来越发达,人们对科技要求也越来越复杂。目前,很多软件的复杂度已经超过了过去十年的总和。但是,所有的软件都是人编写的,只要是人就一定会犯错误,人在编软件的时候也一定会犯错误,不管是主观还是客观上的错误,都会留在软件里。我们曾经用一个很不起眼的词汇描述这些错误,叫做软件漏洞。
恰恰就是这些软件漏洞,给我们的世界带来了极大的不安全。
现在我们在网上会看的各种不安全信息、各种网络攻击,包括5月份和这两天席卷欧洲的勒索病毒。很多人就问,为什么今天科技这么发达,软件这么先进,世界反而越来越不安全了呢?其实最重要的答案就是,我们越来越依赖的软件里面充满了很多漏洞。
举个例子,360补天漏洞响应平台,累计发现了20多万个漏洞。但是按照统计,软件中,平均一千行到一千五百行代码,就会存在一个漏洞。而现在,智能手机中代码行数多达几千万,自动驾驶汽车更是高达几亿行,可以想像这些产品里面会有多少漏洞。
有一些小Bug,看起来非常无害,甚至不影响软件的正常操作运行,但这些漏洞一旦被犯罪分子和黑客利用,可能就会带来毁灭性的结果。
5月份的肆虐全球的勒索病毒,实际上是几个小毛贼写的。勒索软件本身写的并不高明,但也给世界很多国家带来了巨大危害:医院病人无法正常手术、加油站无法加油、车牌照不能登记……归根结底,是因为美国国家武器库泄露了所谓的网络武器,网络武器这个词听起来特别高大上,但本质上就是个Windows 操作系统的漏洞。
每一个未知的或者大多数人不知道的漏洞被发掘出来,就可能会变成一个能够引发国家级网络战的网络武器。漏洞这个词可能让很多人觉得它是一个不起眼的东西,但是可以变成国家网络战的武器。
2016年10月21号美国东海岸发生了断网事件,黑客利用漏洞控制全球大量的智能摄像头,操纵几十万台摄像头攻击了美国东部的域名系统,直接导致美国多个知名网站的服务中断,几乎美国半个国家的互联网都陷入了瘫痪。我们作为中国唯一一家参与调查的公司,其实我们提前发出了大量预警,溯源也发现,背后的原因就是摄像头硬件里面的漏洞。
可以想像,随着万物皆可互联,我们身边的每一个物品都可以编程,都有智能系统,带来便利的同时意味着每个智能硬件里面都有可能存在着漏洞,这些漏洞防不胜防,一旦被网络犯罪分子利用,带来的攻击力量将会是非常巨大的。前天席卷欧洲的新勒索病毒,每十分钟就可以感染五千多台电脑,乌克兰、俄罗斯、西班牙、法国和英国等国家遭受攻击后,石油、银行、电力和通信系统都受到了很大影响,这种影响是物理世界里切实存在的,已经不仅仅是电脑里的文件损失那么初级了。
这是因为物联网把虚拟世界和物理真实世界联系在一起,利用漏洞发起的攻击可以从虚拟世界影响到物理世界。航班不能正常运转、水电不能正常供应这种破坏力,我们已经切实的感受到了。今天的展会上,我向马凯副总理汇报了我们自主研发的一套工业互联网的安全监控系统,可以看到几乎许多工控系统设备在网络上的情况。
其中就可以看到一些工控协议,比如其中有一种工控协议,通常用在轨道交通上,简单来说是控制地铁门开启关闭的,如果这些协议存在软件漏洞,遭到了攻击,带来的危害可想而知。
再比如,大家都在谈人工智能自动驾驶,《速度与激情8》电影里生动地描绘了如果满大街都是自动驾驶汽车,一旦被黑客组织劫持,所有自动驾驶汽车都会变成僵尸汽车,脱离主人的控制满大街横行直撞。我觉得这都不是科学幻想,未来几年可能就会变成现实。
最后我想说,因为有大量的漏洞依然未被我们发现,也不能提前预防,所以未来世界里,网络攻击不可避免。甚至可以说,没有一个系统是不会被攻破的。所以,未来网络安全因为有漏洞的存在,可能会长期处在一个不停的攻防、猫捉老鼠的游戏当中。但是我们不能因为漏洞就放弃了软件,也放弃我们的进步。
那应该怎么应对呢?
首先是重视漏洞,积极发现和挖掘漏洞,及时地打补丁。
挖掘漏洞不能靠360或者某几家安全公司自己来做,我们已经借鉴国外的方法,利用众包的力量,发动全社会的白帽子黑客一起挖掘漏洞。当挖掘出漏洞时,应该迅速地推出补丁,能够让大家迅速打上补丁。再厉害的网络攻击,只要漏洞被堵上了,就没法攻击了。
但是有很多机构企业对漏洞和补丁的认识不足,觉得不打补丁,系统也没问题,也能正常运行。但我呼吁这些安全网络管理的负责人,在新的漏洞时代,整个思想要发生变化。
所以这就是我想讲的第二点,要勇于承认有漏洞甚至被攻击。
很多时候,我们国内的机构企业,被攻击了都不太愿意声张,甚至都掩瞒不报。原因有的确实是自己被攻击了还不知道,有的是怕上级发现了怪罪批评。但我们要有一个意识,就是被攻击了,不是你们的错,漏洞的是客观存在的。
我希望国内的机构企业要改变理念,以后在遭遇攻击之后要积极上报,讲出来,这样安全公司可以得到越来越多的数据和证据,能够更快的帮助大家修补漏洞,同时也能够对网络攻击进行分析和溯源,打击犯罪分子的同时,为国家网络空间的博弈提供证据,进而提升国家整体的网络安全能力。 支持老周!给360点赞! 支持老周!给360点赞! 进而提升国家整体的网络安全能力。 提升国家整体的网络安全能力 {:4_90:} {:4_90:} 有正能量,必有负能量!有矛才有盾!缺一不可。支持360 咱能不能先聊聊 把这手机系统优化好啊. 适者生存,强者制定规则。 恩恩,一副看得懂的样子! 游戏玩家要当心了 “灵隐”外挂木马出现大规模传播 支持老周!给360点赞! 如何解释乌云网被k? {:4_106:}{:4_106:}{:4_106:} 剿灭勒索病毒!360重磅上线勒索病毒防护网站 支持下 {:4_90:}{:4_90:}{:4_90:} 用AI打开後,就可以开始删除了,如下:
一、如果还是文字,则用工具栏中的 T 工具(快捷键 T),点击并选中要删除的文字,再按删除键。
二、如果文字已经转成了曲线,则用工具栏上的空心箭头工具,(快捷键是 A)来选中相应字,再按删除键。
三、可以先选中文字,在标题栏中找到选择——相同——填色和描边,通过这种方法可以全部选中,然后再按下Delete键就可以全部删除了 支持周总,纯粹的侠者 这得支持。 其他的我什么都不关注,我只想问一下360 N5何时能root? 值得思考 {:4_106:}{:4_106:} 电脑系统漏洞都可以补得上,360手机系统却漏洞百出,BUG遍地。呵呵哒。 我好像发现了一点问题,说得对您看能不能用上,说错了也请您高抬贵手。
小米手机的系统MIUI,每次都是先出一个大版本,然后再根据旗下不同的机型做适配。这样做系统的团队可以先全力做好系统,后期再分别适配,省人工省力也更快。
那么在用户眼里360手机是怎么做的呢?每一个型号的手机系统都不一样,甚至同型号手机双4G版和全网通版的系统都是不一样的,更不要说跨系列的大神/奇酷/360了,简直是一个型号需要分配一个团队!!!岂不是手机发布越多压力越大?
而用户感受到的是什么呢?老版本使用不爽,新版本BUG频出,之前发布的手机更新缓慢,反馈问题无法解决。而且团队为了“赶工期”,升级方式竟然是而且仅仅只有“线刷升级”。用户毕竟只是用户,不是刷机专家。原本为了“轻快安全省电(不省心)”而来,结果只剩下安全了(但不能及时升级的手机真的安全吗?)。这样用户不会流失?
综上,各个手机系统团队不要再各自为战,孤军奋斗了,团结起来拿出一个优秀的大版本出来,集合你们所有的黑科技,干掉MIUI吧!有了统一的版本,是不是就有时间做出自动升级包了?是不是大家就不用刷机了?是不是不用再费心教那群小白刷机了?是不是就不用备份数据了?是不是之前的360云盘压力也会小了不至于最后关闭了?是不是就没有数据丢失了?是不是就不用挨骂了?(鉴于360手机更换了合作伙伴,驱动不统一的情况,对于这个大一统我还是表示担心的)
最后,彻夜未眠找方法挽救手机的我,看着键盘旁边、从昨晚开始一直在重启--黑屏--重启--黑屏的、烫的不行而又无法关机抠电池的极客版手机,衷心的说一句:软件做不好,硬件的质量也这么差,妈了个B的!
赞赞赞{:4_90:}{:4_90:}{:4_90:} 你们的软件怎么样,不知道,一直在用,还没出事,继续用吧,你们的软件使用人工网上咨询,建议还是关了吧,本来就没人,资讯没反应,完全是出来忽悠人,拉仇恨的 360能真心认识到产品品质问题吗,n5s手机屏幕返回键失灵不能给消费者一个官方真诚的回复吗周教主知道客服中心的客服有多么没有职业操守吗。手机寄修回来竟是不能使用的。找得到人处理吗 周教主知道现在360手机屏幕返回键失灵的问题吗,能了解西安客服中心是如何和消费者沟通的吗,曾经的360铁粉,从软件到硬件的信任,客服中心的欺骗回复与处理让我无所适从。失望 我们国家需要你 有国家支持,有钱途。顶。 消灭漏洞。