今天老周參加了第二十一屆中國國際軟件博覽會,老周在博覽會“軟件的本質與變革”高峰論壇上發表了演講,鑑於最近兩個月勒索病毒事件接連爆發,老周在演講中談了一點負能量的話題,看看老周講了什麼了吧!
以下內容根據老周演講內容整理而成:
在大家都在熱烈地討論軟件如何改變世界、軟件如何改變我們每個人的工作和生活方式的時候,作為一個安全公司的創始人,我可能要跟大家談一點負能量的話題,就是未來的世界可能沒有我們想像的那麼好,我們會面對一個充滿了漏洞的軟件世界。
剛才梅宏院士講到一句話:“一切皆可編程,萬物均要互聯”。我很喜歡這句話,這確實代表了我們對未來世界的看法。如果今天沒有了軟件,或者軟件工作不正常,可能國家都無法運轉,社會都會不安定,更不要說日常工作生活會受到巨大影響。
隨著科技越來越發達,人們對科技要求也越來越複雜。目前,很多軟件的複雜度已經超過了過去十年的總和。但是,所有的軟件都是人編寫的,只要是人就一定會犯錯誤,人在編軟件的時候也一定會犯錯誤,不管是主觀還是客觀上的錯誤,都會留在軟件裡。我們曾經用一個很不起眼的詞彙描述這些錯誤,叫做軟件漏洞。
恰恰就是這些軟件漏洞,給我們的世界帶來了極大的不安全。
現在我們在網上會看的各種不安全信息、各種網絡攻擊,包括5月份和這兩天席捲歐洲的勒索病毒。很多人就問,為什麼今天科技這麼發達,軟件這麼先進,世界反而越來越不安全了呢?其實最重要的答案就是,我們越來越依賴的軟件裡面充滿了很多漏洞。
舉個例子,360補天漏洞響應平臺,累計發現了20多萬個漏洞。但是按照統計,軟件中,平均一千行到一千五百行代碼,就會存在一個漏洞。而現在,智能手機中代碼行數多達幾千萬,自動駕駛汽車更是高達幾億行,可以想像這些產品裡面會有多少漏洞。
有一些小Bug,看起來非常無害,甚至不影響軟件的正常操作運行,但這些漏洞一旦被犯罪分子和黑客利用,可能就會帶來毀滅性的結果。
每一個未知的或者大多數人不知道的漏洞被髮掘出來,就可能會變成一個能夠引發國家級網絡戰的網絡武器。漏洞這個詞可能讓很多人覺得它是一個不起眼的東西,但是可以變成國家網絡戰的武器。
2016年10月21號美國東海岸發生了斷網事件,黑客利用漏洞控制全球大量的智能攝像頭,操縱幾十萬臺攝像頭攻擊了美國東部的域名系統,直接導致美國多個知名網站的服務中斷,幾乎美國半個國家的互聯網都陷入了癱瘓。我們作為中國唯一一家參與調查的公司,其實我們提前發出了大量預警,溯源也發現,背後的原因就是攝像頭硬件裡面的漏洞。
可以想像,隨著萬物皆可互聯,我們身邊的每一個物品都可以編程,都有智能系統,帶來便利的同時意味著每個智能硬件裡面都有可能存在著漏洞,這些漏洞防不勝防,一旦被網絡犯罪分子利用,帶來的攻擊力量將會是非常巨大的。
前天席捲歐洲的新勒索病毒,每十分鐘就可以感染五千多臺電腦,烏克蘭、俄羅斯、西班牙、法國和英國等國家遭受攻擊後,石油、銀行、電力和通信系統都受到了很大影響,這種影響是物理世界裡切實存在的,已經不僅僅是電腦裡的文件損失那麼初級了。
這是因為物聯網把虛擬世界和物理真實世界聯繫在一起,利用漏洞發起的攻擊可以從虛擬世界影響到物理世界。航班不能正常運轉、水電不能正常供應這種破壞力,我們已經切實的感受到了。今天的展會上,我向馬凱副總理彙報了我們自主研發的一套工業互聯網的安全監控系統,可以看到幾乎許多工控系統設備在網絡上的情況。
其中就可以看到一些工控協議,比如其中有一種工控協議,通常用在軌道交通上,簡單來說是控制地鐵門開啟關閉的,如果這些協議存在軟件漏洞,遭到了攻擊,帶來的危害可想而知。
再比如,大家都在談人工智能自動駕駛,《速度與激情8》電影裡生動地描繪瞭如果滿大街都是自動駕駛汽車,一旦被黑客組織劫持,所有自動駕駛汽車都會變成殭屍汽車,脫離主人的控制滿大街橫行直撞。我覺得這都不是科學幻想,未來幾年可能就會變成現實。
最後我想說,因為有大量的漏洞依然未被我們發現,也不能提前預防,所以未來世界裡,網絡攻擊不可避免。甚至可以說,沒有一個系統是不會被攻破的。所以,未來網絡安全因為有漏洞的存在,可能會長期處在一個不停的攻防、貓捉老鼠的遊戲當中。但是我們不能因為漏洞就放棄了軟件,也放棄我們的進步。
那應該怎麼應對呢?
首先是重視漏洞,積極發現和挖掘漏洞,及時地打補丁。
挖掘漏洞不能靠360或者某幾家安全公司自己來做,我們已經借鑑國外的方法,利用眾包的力量,發動全社會的白帽子黑客一起挖掘漏洞。當挖掘出漏洞時,應該迅速地推出補丁,能夠讓大家迅速打上補丁。再厲害的網絡攻擊,只要漏洞被堵上了,就沒法攻擊了。
但是有很多機構企業對漏洞和補丁的認識不足,覺得不打補丁,系統也沒問題,也能正常運行。但我呼籲這些安全網絡管理的負責人,在新的漏洞時代,整個思想要發生變化。
所以這就是我想講的第二點,要勇於承認有漏洞甚至被攻擊。
很多時候,我們國內的機構企業,被攻擊了都不太願意聲張,甚至都掩瞞不報。原因有的確實是自己被攻擊了還不知道,有的是怕上級發現了怪罪批評。但我們要有一個意識,就是被攻擊了,不是你們的錯,漏洞的是客觀存在的。
我希望國內的機構企業要改變理念,以後在遭遇攻擊之後要積極上報,講出來,這樣安全公司可以得到越來越多的數據和證據,能夠更快的幫助大家修補漏洞,同時也能夠對網絡攻擊進行分析和溯源,打擊犯罪分子的同時,為國家網絡空間的博弈提供證據,進而提升國家整體的網絡安全能力。
閱讀更多 周鴻禕 的文章
