周鸿祎：网络安全进入大安全时代，未来属于怪咖

昨天开幕的2017 ISC 互联网安全大会上，老周给大家带来了一些分享和思考：

1）网络战已经开始了

此时此刻，世界上的网络战已经开始了。

老周语出惊人。

他的理由很充分：网络战不会像暴力战争一样有个“宣战”的程序，而是在和平时期就开始相互潜伏，对抗，较量，真正等到需要武力对抗的时候，才可以电光火石一招制敌，不战而屈人之兵。

老周站在网络安全战场的最前线，他能看到一些残酷的真相。

今年初爆发的勒索病毒，用到了 NSA（美国国家安全局）被泄露出去的漏洞武器。其实，随着这个网战武器泄露在全世界面前的，还有数十个可怕的入侵工具。在这些漏洞曝光之前，它们完全“不存在”，世界岁月静好。

但是，这些武器浮出水面以后，很多国家，包括中国，都发现一个惊人的事实——我们的诸多重要系统都存在用这些工具入侵过的痕迹，一个个丑陋的“盗洞”，就这样通往我们国家的核心系统。

这些不小心暴露出来的武器，可能只是美国掌握网战军火库的冰山一角。中国面对这样的“上帝威胁”，很多时候甚至没有感知能力，更不用说反击了。

这种情况下，一旦两国发生冲突，我们很可能被扼住喉咙。

当两个国家发生军事冲突的时候，陆战的前提是必须要有制空权，所以陆战之前就要有空战，而现在空战的前提要是网络战。用网络战遏制住对方的电力系统、雷达系统，对方的飞机可能都无法起飞，这个时候拿到制空权就非常容易了。

地面战一般是以年计算；空战一般以天和小时算；而网络战是以分钟和秒计算。

所以失掉网络战，后面的战争就可能失败。

网络安全再也不仅是网络空间，而是整个社会和国家的安全，这就是大安全。

他说。

2）没有攻不破的系统

老周说，所有的网络战武器，核心都是漏洞。

这些 Windows、MacOS、Linux、路由器等等系统的漏洞，我们从物理世界看上去，他们只是程序的bug；但是在网络空间，他们就是毁灭对手的“核武器”。

因为有这些致命的“核武器”，一招制敌在赛博世界是可能发生的。

但悲惨的是，没有漏洞的系统，在理论上都是不存在的。

软件是人写的，但是是人都会犯错误。平均1500行代码就可能会有一个错误，这个错误就是漏洞。

现在的智能手机，里面的代码上千万行；

一个稍微复杂的城市地铁系统里面的代码有上亿行；

所以我们要放弃“做一个攻不破的系统”的想法，而是接受“所有系统都有漏洞”这个事实——世界上只有两种系统，一种是已知被攻破的，一种是被攻破自己还不知道的。

3）人是互联网里最薄弱的。

互联网攻击的过程并不区分军用目标或民用目标，是一种“超限战”，也就是只要能达到目的，什么手段都可以用。

例如要攻击一个政要，一定是先研究他的亲戚朋友，研究他身边的人；要攻击一个军事单位，目标单很可能防守森严，这时就要从它的供应链合作伙伴入手。

在这种玩法之下，一定是防备较弱的民用目标或者个人成为进攻的第一个跳板。这个跳板有可能是你，也可能是我。

说到这里，老周才说出了主题：人是互联网里最薄弱的环节。

尽管美国有国安局、有中情局，有强大的网络安全保护能力，但是希拉里非要在自己家地下室里偷偷架一个服务器，这就给这个严密的系统撕开一道口子。

同样这次爆发的 WannaCry 病毒，之所以会传播到内网之中，一定因为内网中有人没按照规章制度，私自接入了U盘或者连了网。

老周说，如果我去哪个涉密机构参观，临走假装丢一个U盘，上面写着“周鸿祎的艳照”，十个人有九个都会插到电脑上看一看，你只要一插我就可能控制你的电脑。

这就是人性。

因为人性而撕开的口子，再好的安全防护软件和硬件，都没有办法防护。

4）世界属于怪咖

老周的观点至此已经很明了：网络战已经开始，人性使得系统漏洞必然存在，人性又加剧了网络的不安全。

人性断难改变，网络安全形势也许必然如此让人绝望。那么，手握中国第一网络安全公司的老周，又凭什么站在台上？

因为他还是能给出自己的答案。他的答案很简单：对抗人性，只能靠人。

网络战争中，表面上是代码间的对抗，而实际上，背后都是人在对抗。而且，是最聪明的人在对抗。

在冷兵器时代，士兵从来都是螺丝钉，以服从命令为天职；

到了热武器时代，自动化武器成为了主力，背后的人的战术重要性开始显露；

在网络战时代，每一条脑洞的策略，每一个天才的漏洞，都可以成为制敌的武器。

老周感慨，真正天才的黑客，很多都是大学都没上完的，有些甚至看起来很怪异。他们在体制内很难生存，但是却有在关键的时刻拯救民族危亡的能力。

说到这里，我才猛然想起 360 麾下的一众黑客怪杰，他们此刻更像是互联网时代的隐喻，也是老周世界观的一个个明证。

那些和世界格格不入的人，从未像现在一样被世界安全所需要。