二戰早期,英國人首先發明瞭雷達。這直接幫助英國在不列顛空戰中打退了德國。雷達的功能是“看見”,防止敵機偷襲。如果沒有雷達,就要派出戰鬥機前進到至少二百公里以外的地方巡邏。
雷達的缺點在於難以輻射地面。敵方戰鬥機可以貼地飛行而不被發現。二戰後期美國人造出了預警機,彌補了雷達這個缺點。預警機升空,可以無死角把幾百公里內的空域監視住。一旦敵機來襲,可以為後方提供反應時間。
90年代海灣戰爭,中國開始意識到預警機的關鍵作用。把預警機的研發提到登月和核武同等重要的位置。現在,全球最先進的預警機技術掌握在美、俄、中手裡。
近一年的周鴻禕,孜孜不倦的推廣一個理念,“網絡戰爭已經悄無聲息發生在我們身邊”。前天在烏鎮推介了“全視之眼”。這就是網戰中的“預警機”,可以“看見”網絡攻擊,並啟動應對。
周鴻禕一直說。網戰中,看見是1,其他都是0。看不見,堆再多武器都是白瞎。
09年,伊朗納坦茲核燃料濃縮工廠的科學家們苦思冥想幾個月,仍然束手無措。他們用試驗排除了由機電故障引發的可能性,還將工廠的離心機數量翻倍。但濃縮鈾的產量仍然停滯不前,甚至每況愈下。
最後,他們在一臺裝有控制軟件的電腦上發現了帶有惡意軟件的U盤。這包括了兩個事實。一是有內部人被買通,插上了這個U盤。一是外來的攻擊癱瘓了系統。病毒最終導致1000臺鈾濃縮離心機廢棄,直接摧毀了伊朗“核計劃”。
一國的興衰強弱,竟然就係在這一個U盤上了。
後來伊朗人知道了,一個名為震網的秘密軟件一直在暗中干擾。震網的出現,標誌著具有“超級破壞性”的網絡武器登上人類的歷史舞臺。人們驚惶地發現,虛擬世界的網絡攻擊可以摧毀現實中的鋼鐵機器。
攻擊之所以能得逞,與“0day漏洞”息息相關。0day漏洞,就是還沒有發現的漏洞,還沒有補丁可以升級以封殺的漏洞。相當於你的盔甲上有一塊破洞,你自己不知道,但對手知道。
震網設計者精心構置了微軟操作系統中4個在野0day漏洞,並和工控系統的在野0day漏洞進行組合,實現了精準打擊、定向破壞。
震網之後,APT(高級持續性攻擊)組織開始浮出水面。他們利用最先進的攻擊手段對特定目標進行長期持續性網絡攻擊,其背後往往是國家級的“網軍”。這幾年360累計發現40個APT組織,其攻擊涉及能源、通信、金融、交通、製造、教育、醫療等關鍵基礎設施行業。
0day漏洞頗受APT組織青睞。因為它不可預知,所以極難防禦。2018年11月25日,烏俄兩國突發“刻赤海峽”事件。4天后,360安全大腦第一時間發現了一起針對俄羅斯的APT攻擊。其相關樣本來源於烏克蘭,攻擊目標指向俄羅斯聯邦總統事務管理局所屬的醫療機構。攻擊者利用了常用軟件Flash的 0day漏洞。
可怕在於,0day漏洞“無處不在”。它可能隱藏在任何一個稍有規模的軟件系統中。一般平均每一千行代碼中就存在著4-6個漏洞。當下萬物互聯時代,各類基礎設施聯網後,漏洞的危害也隨之闖入“物理世界”。
2015年聖誕節期間,烏克蘭國家電力部門受到APT組織的猛烈攻擊。烏克蘭西部140萬居民在嚴寒中遭遇了大停電,城市陷入恐慌,損失慘重。2019年委內瑞拉遭遇全球最大規模的“斷電襲擊”,停水停電、地鐵停擺、電信服務、網絡接入服務中斷。
“看不見的才是最可怕的”。這就是0day的真正威脅。
鋪墊完了。現在來介紹360的預警機,“全視之眼”。就是它來負責“看見”。
思路一。0day漏洞無處不在,那要“看見”所有0day漏洞幾乎不可能,也無必要。既然如此,那要看見什麼呢。是的,看見攻擊。“凡走過,必留下痕跡。”任何攻擊都會留下痕跡。
思路二。攻擊分為三個階段。漏洞的觸發、利用、掃尾。比如,因為某種原因而發生越界訪問的這一刻,或者釋放內存後再次去使用這個已釋放內存的時刻,就是觸發時刻。接下來,通過精心設計的數據,比如利用漏洞改變了控制流過,或者修改了系統關鍵數據,這就是利用階段。最後,植入並持久化的工作。在這三個階段都難免伴隨著一系列的異常行為。要看見的就是這些異常行為。
思路三。要看見所有的異常行為,必須有最底層的權力。要一望無遺。360的解決方案是造全網安裝的虛擬機系統。可以理解為,虛擬機是更高層特權的管理軟件,比操作系統更高,所以才能監控操作系統內的一舉一動。360的虛擬機監視器運行後,原本的windows操作系統就變成了一個guest系統,受到控制。
思路四。虛擬機有了,它是被裝在PC和服務器上。具體的渠道,比如安全衛士裡的核晶引擎就是其組成部分。目前還不支持手機,需要與手機廠商合作才行。
思路五。既然虛擬機有最高的權力,那麼有監督才能被信任。政府和行業都可以監管,有興趣的技術人員都可以分析研究。周鴻禕最近佈道,要行業協同,而不是相互競爭。有意思的是,今年烏鎮周鴻禕跟360分拆出去的奇安信老大齊向東合了個影,發到了朋友圈。
思路六。在國家安全層面,本質上虛擬機打破了蘋果、微軟、谷歌等美國公司對操作系統的壟斷控制。
這一套東西,說起來輕鬆,具體做出來卻是難。比如具有最高權限的虛擬機,諸多企業都想做但還沒做出來。這需要長期的專注和投入。
周鴻禕五六年前在江湖裡就很得意,說中國頂級的黑客至少一半在360。現在看來確實。前一段微軟發佈最具價值黑客排行榜,360佔前兩位,前50裡有7個,世界第一。
現在“全視之眼”已經應用於數億個人用戶和大量政企單位,每天感知異常行為超過5億次,阻止了幾十起APT。
閱讀更多 苓峰 的文章
