乌云网创始人方小顿
钛媒体注:打车软件存在高危漏洞,用户信息危险;网易邮箱漏洞可能导致过亿数据泄露;安卓手机报警!多款百度系APP漏洞......乌云网,这个平台好像总是跟坏消息有关,也常常出现在钛媒体坏消息榜单上。但同样是这个乌云网,对网络安全问题最敏感。
总是扮演「救火」角色的乌云网怎么解释ta的价值观?2015钛媒体T-EDGE峰会的第一位演讲嘉宾——剑心,即黑客圈的知名人士、乌云创始人方小顿阐释了“开放世界的生存法则”,即个人、企业面临着什么样的安全局面?又该做些什么?方小顿的核心观点包括:
一、中国互联网遇到的两个最大的挑战:
1,用户基数大且对安全重视不够;2,创新先考虑生存后考虑安全。
方小顿说,在中国之外的很多地区,对互联网的依赖远远没有中国这么高,在互联网应用创新方面,中国是走在世界上最前面的,但这个过程是有风险的,好像我们“在把一堵墙打破”。那么,天天报告漏洞的乌云网本质是什么?“乌云网是把真正对安全问题非常敏感的人组织起来打造一个社区,就像一个「免疫系统」一样”。
二、“安全问题有它的原罪”。
方小顿认为,任何一个企业的安全都是整个互联网的安全,整个互联网的安全也是整个企业的信息安全;如果你的企业在这样的一个世界里面没有做好,可能影响的就是不只是你企业,而且是整个的互联网。
所以安全问题有它的原罪:我们所有人、所有企业,对待安全问题和对待健康的态度很像,当我生病了,我才会去看医生,所有人都关注健康,但是没有一个人说,今天晚上我就去锻炼,就去运动。
就像身体的健康不是由一个细胞决定的,安全问题需要所有人参与,从关心安全事件、了解安全问题开始做起,所有人都能参与进来,我们的世界才可能会更安全。
以下为剑心在2015钛媒体T-EDGE峰会上的演讲全文,经钛媒体编辑:
今天我的主题是讲开放世界的生存法则。
大家都在谈论未来,让我印象很深刻的图片是这样,教皇诞生现场的两张照片,2005年时现场的人都在静静观看,2013年时现场的人都举着手机在录影或拍照。对于2005年来说,2013年就是未来。现在我们已经跨越了2013年,我们看到的现在就是2013年的未来。
同样,在2013年的时候,发布了一款游戏名字叫“看门狗”。这是很有意思的一款游戏,其他游戏可能用刀有剑,用传统的内容作为一个核心的元素,但是这个游戏里面最核心、最让人不可思议的一点,就是把他想到的未来——整个城市、整个世界,抽象出来的、完全可以用计算机控制的、万物互联的世界。游戏主人公的技能就是黑客技能。游戏很简单,作为主人公,你可以随意扫描任何一个人的身份信息、银行卡里面还有多少钱、最近的健康状况怎么样、在社交网络上有什么事情,这样就可以了解他的弱点,甚至可以控制这个人;甚至你可以控制一个城市的一个电力,让整个城市断电,在断电的时候你可以做很多很多的事情,这就是这个游戏的一个比较独特的地方。
在2013年,游戏里想的一种未来的世界就是这样。但是对于我们来说,黑客技术控制真的那么遥远吗?
在乌云网的漏洞报告平台上有一个已经在浙江杭州的漏洞,通过这个漏洞可以控制整个城市的路灯,这个漏洞已经报告修复了。这说明一个事情:一个游戏里面畅想未来的世界,其实离我们是很近的。
刚才的漏洞是我们尝试的依靠「智慧城市」、通过万物互联去更高效率提高城市运作出现的。同时,现在大家很提倡的智能汽车、云汽车的概念,通过一些漏洞是可以控制车的密码的,也就是说你可以远程的去操作这个车(钛媒体延伸阅读《小心,黑客帝国瞄向了你的汽车,你却必须拥抱他们!》)。
所有的这些,我觉得说明一点:在整个互联网,在万物互联的时候,我们的生活其实一切都是被改变的。而改变的时候,其实最核心的就是这几个因素:用户互联网化、行业互联网化、数据互联网化。
用户是互联网化的。不管是作为一个企业还是作为一个在这个社会中生活的人,这是不可逆转的事情。你的朋友,你的亲人,甚至你所在的行业,你所面向的最终的用户,都是在不断联网的一个过程。当你的用户联网之后,你自己作为一个行业来说的话,他也是一个互联网化的过程,这是不可逆转的。而当行业都进行互联网化之后,我们所有的数据、我们进行很多的生活行为,其实都是一个联网化的,就是一个数据化的过程。
而数据化发生的时候,我们观察到一个有意思的现象:任何一个网站、任何一个企业出现安全问题,最后都是互联网的安全问题。
我不知道大家有没有印象,前段时间,很多人iCloud帐号被锁,被人勒索,让人给钱才能解封账号。我们就调查为什么会出现这种问题,和苹果官方沟通之后发现,这个问题出现的原因并不是iCloud而是邮箱。
同样的事情在以前也发生过,对电商网站来说,影响最大安全性的并不是自己,而是另外一些社区网站(比如说技术社区)网站或是其他行业的一些数据发生泄露带来的。
整个互联网是连通的,使得我们用户是共用的。像人的一个身体一样,整个互联网会变成一个人的身体,身体的任何一部分的消亡丧失都是整个身体会受到影响。我们认为,任何一个企业的安全都是整个互联网的安全,整个互联网的安全也是整个企业的信息安全,如果你的企业在这样的一个世界里面没有做好,可能影响的就是不只是你企业,而且是整个的互联网。
去年有一个流行动漫叫《进击的巨人》,讲的是靠一堵高墙的保护维持了百年和平的世界,在那里生活的人眼里高墙是不可逾越的;然后所有的故事发生在一天,就是这个高墙被城墙外的一个巨人给打破了。我觉得这个情况跟我们现在所处的情况很类似:万众创新。所有人的创新都在靠互联网怎么改变这个行业,让整个行业运作的更有效率,让我们的生活体验更好。
但是我认为,这是在打破一堵墙的过程。我也去很多中国之外的地区看了一下,他们对互联网的依赖远远没有我们中国这么高,真正在互联网应用创新的中国是走在世界上最前面的,在我看来,这个过程是有风险的,像我们把一堵墙打破。
以前,像银行这样金融的网络,把钱存进去要经过很多很复杂的验证,钱存进去,再怎么样取出来,整个过程是有非常严格的保护的。但是现在你可以在任何一个P2P网站上把钱存进去,过不久网站消失了,这是打破墙的过程。对于传统企业来说,他们以前把整个的网络封闭起来,但是现在所有的企业都在谈互联网,怎么把我们数据开放出去,么与行业共赢,整个过程就是拆掉一堵墙的过程。
我们中国整个的互联网,包括我们自己在互联网上遇到两个最大的挑战:用户基数大且对安全重视不够;创新先考虑生存后考虑安全。
中国有足够大的用户基数,足够放大任何行业,让这个行业爆发出巨大的利润。但放大不止是正面的,也可能是负面的。在现实中很多无法去完成的事情,借助互联网,他可以轻易做到。现实中一个人要骗一千个人,一万个人很难,在互联网上是太容易的事情。用户足够多,就能滋生足够大的黑色产业。
有些事情我们觉得很蠢。比如,很多人收到这样的短信,“小张,你的房租到期了,请打到这个卡上”后面附了一个莫名其妙的银行卡号。
但是在中国这样的事情有足够多的利润和足够多的土壤成长,因为用户足够多。也有很多人收到钓鱼邮件,说你的邮箱密码出现问题,需要你改一下。这样的事情我觉得在很多其他国家是不可思议的,和人没有关系,是人家的用户基数很少,没有利益会吸引到这上面来,这是第一个问题。
第二个问题,我们现在鼓励创新,鼓励大家去做很多很超前的事情。对于这些短时间爆发出来的应用和企业,所有人都会先考虑自己的生存,然后再考虑安全。这就像跟所有人都说,我先要赚钱,要让自己的事业做得更好,我不会去锻炼,我不会关注我的身体的状况,是完全一样的。
有这个想法是正常的,这个时候我们该怎么去做呢?如果说把互联网想象成是一个人体,我们每个企业、每个人都是其中的细胞,都是里面组织的一部分,有没有可能我们同样借助互联网,我们打造一个互联网的免疫系统。
乌云网把真正对安全问题非常敏感的人组织起来打造一个社区,就像一个免疫系统一样。我们在日本演讲时,有人对我们的模式进行了一个定义:
我们像细胞感知到外界的一些入侵一样去发现安全问题;把问题报告给这些企业,这些企业就可以进行修复;像我们身体的一个白细胞对一个东西免疫一样,之后我们会把这个问题向整个的互联网进行预警,实现一种免疫,当再有新的一些问题出现的时候,我们就可以避免了。
这是我们理想的状态,我们希望说有一个免疫系统跟整个互联网一起成长,跟整个互联网是结合得很紧密的系统,我们可以对所有的安全问题,外来的、自己的,我们所有发生一切的问题进行一个免疫。
我们也陆续使用一些更有效率的方式,就是以产品方式去打造这个系统。我们把中国现在能做到的同时对安全感兴趣的人,这些“白帽子”通过我们这样一个平台、一个产品,链接到所有的企业里去。我们希望通过自己的修复方式、自我免疫的方式来去做这个安全——这是跟其他很多人考虑的不一样的。
但是做了很多很多之后,我们有一点儿悲观。因为对于任何一个免疫系统来说,需要所有的人能协助。我们也发现了,安全问题有这样的原罪:我们所有人、所有企业,对待安全问题和对待健康的态度很像,当我生病了,我才会去看医生,所有人都关注健康,但是没有一个人说,今天晚上我就去锻炼,就去运动。这是一个很可悲的事情,如何解决却也是处在如此开放的世界,这么一堵墙被拆掉的世界上,怎么生存最重要的一点。
大家手机的WIFI默认是自动链接的,我们曾在一个大会的外面放了一台很小的路由器,一个小时之内有大量设备自动连上来,不需要做任何动作。这些设备连上来之后会做到什么呢?其中有一个企业的董事长或是CEO进入了自己的邮箱,我们就可以看到他所有的包括股东会决议在内的很多敏感的信息。
怎么防止类似的事情,我觉得需要所有人从关心安全事件,了解安全问题开始做起,所有人都能参与进来,我们的世界才可能会更安全。我们身体的健康不是某一个细胞决定的,安全问题也需要所有人参与进来,我觉得这才是唯一可以生存下去的法则。(本文首发钛媒体,根据方小顿在2015钛媒体T-EDGE峰会上的演讲全文整理)
发表评论