音樂劇《致埃文·漢森》中有幾句話:
當你在森林裡跌落
周圍空無一人
你是轟然倒地了
還是默默無聲
如果將這十幾年來湧動的AI、物聯網、雲計算等諸多浪潮比作森林的話,頻發的危機漏洞就是這片森林中的業障迷霧,試圖征戰的大小創業公司是闖進森林的勇士。
這些人抑或是公司可能乘上了風口平步青雲,也可能暗淡消失。而其中的巨頭們,試圖走在最前面撥開雲霧。京東作為其中的巨頭之一,這些年,也正在悄然改變。
京東安全首席信息安全專家 Tony Lee 認為:“過去的20年,安全博弈是不成功的,來到京東,我想是不是可以做點事情,能夠真正解決一些問題。”在10月的京東HITB安全峰會上,Tony又一次強調了這個觀點。
為什麼這麼說?這與Tony這些年的經歷和他加入京東安全後的改變不無關係。這也是Tony接受雷鋒網宅客頻道採訪時主要探討的話題。
雷鋒網:據說京東安全的安全研究都是服務於京東自身的業務?
Tony:服務於京東自身,是京東安全技術研究的出發點和立足點。但這並不是全部。
安全需要未雨綢繆。我們不僅要研究各種新型威脅,掌握最新的安全技術,最大程度預估威脅。不能等到攻事件發生後才去彌補。所以現在京東安全一方面做基於業務的安全,另一方面也要做最新的安全研究。目前京東有一個硅谷安全研發中心,主要是AI安全、黑產對抗、IoT安全研究;國內有一個京東牧者安全實驗室,主要是做IoT安全、區塊鏈安全、等研究項目。
另外,我不想把安全研究限制在一個很窄的範圍,因為安全是看長遠的,想要獲得短期效益不太現實,但安全是有深遠價值的。真正的價值顯現或許會在未來的五年、甚至十年。我們現在改變自己,或許未來就能改變世界。
舉個例子,前不久Facebook 宣佈成立區塊鏈技術部門,想要用區塊鏈來保護用戶隱私。Facebook 此舉當然是服務於業務和用戶,但是假設區塊鏈安全得以落地,其帶來的影響將會產生多米諾效應,推動整個社會隱私保護的步伐。同樣的,這也是京東一直努力的方向。
雷鋒網:京東研究物聯網安全的初衷是?
Tony:京東有海量用戶數據、有系統架構,有智能終端,保護用戶隱私是我們義不容辭的責任,立足安全,IoT安全也是京東安全正在進行的事情。
最近幾年,很多物聯網設備洩露用戶隱私事件被曝光,比如家庭攝像頭被惡意攻擊導致互聯網大面積癱瘓。這些事件得出的教訓是,物聯網產品一開始就應該把安全考慮進去。
設想一下,如果IoT廠商在製造音箱、攝像頭等智能硬件之初就將安全問題前置,從產品設計階段就充分考慮了安全構造,那麼,產品上市之後出現出現安全問題可能性就會大大降低。但現實問題是,大多產品都是優先考慮用戶體驗和盈利,安全問題只好讓步。在現實面前,安全有些蒼白無力。
另外,IoT 安全不能僅靠IoT 廠商重視,需要整個生態系統的安全。比如,蘋果的安全就是建立在生態系統的安全性之上。而AppStore中有各種各樣的APP,這些APP的出品人未必都是安全專家!
就IoT生態來說,IoT成就了萬物互聯,其中最關鍵的要素是雲和終端,要保證雲端和終端數據的安全、數據傳輸的安全和數據處理的安全。這就是IoT基礎設施的安全生態。而參與者在設計之初就必須考慮完整的安全機制,包括雲端的安全機制、系統的安全等等,而不是僅依靠終端廠商的重視。
雷鋒網:京東還開拓了車聯網安全研究方向?
Tony:今年年初幣圈發生了一起震驚四座的事件。一個黑客團伙攻擊了幣安Binance 交易所,製造了歷史上第一個不靠竊取物品,而是打擊其信用,從交易市場上面做空盈利的黑客攻擊事件。有分析稱整個事情背後可能不只有技術性黑客,更可能有金融人士的助推。
所以未來的黑暗勢力怎樣工作?他們也會有不同領域專家,也可以跨領域運作。起碼以後會有越來越多跨界隱蔽作案手法。我們目前正在研究的車聯網項目也屬於這種類型,並非直接竊取用戶的車聯網數據,而是通過黑客破解和經濟運作手段獲利。
比如,大家都知道美國的汽車保險走在世界前沿。保險公司通過一個車聯網設備,採集駕駛員的行為數據,比如是否超速,轉彎有沒有打燈,有沒有疲勞駕駛等。如果駕駛習慣差,保險公司就會提升保險費,相反則可以降低保費。京東硅谷研發中心的研究員發現了其中的漏洞,可以惡意篡改這些數據,就像我們在GeekPwn大賽上演示的那樣,把一個成熟的老司機改成馬路殺手。如果有人想騙保圈錢,就可以用這個套路虛擬各種場景,騙取保費。
事實上,這些車聯網研究只是京東安全關注的一個側面,更重要的是我們想讓公眾瞭解未來的威脅會越來越錯綜複雜,需要防患於未然。
雷鋒網:研究這些是否擔心被說是追求熱詞?
Tony:區塊鏈、IoT還有AI是未來的基礎設施。我們研究這些不是要追求熱詞,技術順利發展的前提一定是打好安全基礎。
現實發生的許多安全事件其實已經真實的反應出之前的互聯網基礎設施安全沒有做好。甚至直到今天,99%的工程師設計程序還依照原來的套路,寫程序的首要目的是實現某種功能,能實現功能就是成功。很少有人會研究寫出的程序是不是有問題,編譯它的程序是不是也可能有問題,驅動組件會不會有問題……工程師本人沒有安全意識,開發出來的產品又怎麼確保安全呢?
就像《黑客帝國》,所有的表象似乎很安全、很真實,遭遇黑客後才明白,我們所處的環境、我的代碼、運營的環境都是不可靠的。做安全要有這種不相信感,沒有安全感才能有安全意識。
雷鋒網:期間是否有研究困境?
Tony:最難的應該就是人才非常稀缺。
安全行業在經歷蛻變,但總體上網絡安全人才一直處於稀缺狀態,現在更稀缺。最初安全人員都是研究Web,移動互聯網興起後開始轉而研究移動安全,IoT概念出來後,部分人開始轉向IoT。風口不斷變化,技術不斷飆新,高校安全專業起步較晚,最近幾年才慢慢開展。
而安全人才的培養,有點像學徒制,很多能力是實踐中師父帶出來的。以前沒有師父,很多專業技術都要靠自學,非常辛苦。我自己是學數據挖掘出身,後來偶然做了殺毒,當時完全不懂,糊里糊塗開始讀二進制代碼,因為沒有源代碼只能反編譯,用人眼讀代碼。當年同期的很多人都投身去了其他熱門行業,能夠堅持下來做安全的少之又少。
另一個殘酷的現實是,並不是人才數量少,而是由於基礎設施沒做好,導致問題源源不斷暴露,需要更多人去修補,而安全防護也一直處在被動應急狀態,難以掌握主動。
那怎麼解決問題?
在下一代的互聯網來臨之際,從基礎架構上就把安全考慮進去,把安全機制建立起來,這樣我們就能佔據安全的主動權。這就需要有更多的安全人才,甚至是跨行業人才。比如AI方面,或者大數據人才,以及網絡通信人才,聯合跨行業思維的人一起搞安全,會有更多新思路。
這樣做的好處是,最開始的搭建就已經足夠安全,接下來也就沒有戰場了,更不需要再打安全的仗了。就像你使用蘋果手機不會再裝殺毒軟件一樣。
據說黑市現在微軟的漏洞是最貴的,因為微軟系統非常難突破。而這並非只有安全人士做到的,而是打造操作系統的工程師從一開始就做到了足夠安全。所以我們需要更多跨界的人,這也是京東安全與全球知名安全會議HITB聯合舉辦2018京東HITB安全峰會的初衷,與來自不同行業頂級極客一起,迴歸技術本源。
誠如 Tony Lee 在不久前舉辦的HITB上所說的,
也許我們今天做的還不夠多,因為互聯網的競爭非常激烈,曾經做過創業者的我知道,真正能拿出精力幫助互聯網升級做安全的人才是很少的,這就是現實,因此我們有擔憂和緊迫感。但是相信如果我們堅持,會有更多人加入我們,一起建設出一個安全的未來網絡世界。
時代賦予了我們將極客精神無限延伸的可能性,這是科技的進步,也是極客精神的進步,也讓如Tony這樣的安全老兵能夠繼續堅持純粹做事。我們現在改變自己,或許未來就能改變世界。
道阻且長,行則將至,以夢為馬,不負韶華。
雷鋒網宅客頻道(微信公眾號:letshome),專注先鋒科技,講述黑客背後的故事,歡迎關注。
閱讀更多 雷鋒網 的文章
