音樂劇《致埃文·漢森》中有幾句話:
當(dāng)你在森林里跌落
周圍空無一人
你是轟然倒地了
還是默默無聲
如果將這十幾年來涌動(dòng)的AI、物聯(lián)網(wǎng)、云計(jì)算等諸多浪潮比作森林的話,頻發(fā)的危機(jī)漏洞就是這片森林中的業(yè)障迷霧,試圖征戰(zhàn)的大小創(chuàng)業(yè)公司是闖進(jìn)森林的勇士。
這些人抑或是公司可能乘上了風(fēng)口平步青云,也可能暗淡消失。而其中的巨頭們,試圖走在最前面撥開云霧。京東作為其中的巨頭之一,這些年,也正在悄然改變。
京東安全首席信息安全專家 Tony Lee 認(rèn)為:“過去的20年,安全博弈是不成功的,來到京東,我想是不是可以做點(diǎn)事情,能夠真正解決一些問題?!痹?0月的京東HITB安全峰會(huì)上,Tony又一次強(qiáng)調(diào)了這個(gè)觀點(diǎn)。
為什么這么說?這與Tony這些年的經(jīng)歷和他加入京東安全后的改變不無關(guān)系。這也是Tony接受雷鋒網(wǎng)宅客頻道采訪時(shí)主要探討的話題。
雷鋒網(wǎng):據(jù)說京東安全的安全研究都是服務(wù)于京東自身的業(yè)務(wù)?
Tony:服務(wù)于京東自身,是京東安全技術(shù)研究的出發(fā)點(diǎn)和立足點(diǎn)。但這并不是全部。
安全需要未雨綢繆。我們不僅要研究各種新型威脅,掌握最新的安全技術(shù),最大程度預(yù)估威脅。不能等到攻事件發(fā)生后才去彌補(bǔ)。所以現(xiàn)在京東安全一方面做基于業(yè)務(wù)的安全,另一方面也要做最新的安全研究。目前京東有一個(gè)硅谷安全研發(fā)中心,主要是AI安全、黑產(chǎn)對(duì)抗、IoT安全研究;國內(nèi)有一個(gè)京東牧者安全實(shí)驗(yàn)室,主要是做IoT安全、區(qū)塊鏈安全、等研究項(xiàng)目。
另外,我不想把安全研究限制在一個(gè)很窄的范圍,因?yàn)榘踩强撮L(zhǎng)遠(yuǎn)的,想要獲得短期效益不太現(xiàn)實(shí),但安全是有深遠(yuǎn)價(jià)值的。真正的價(jià)值顯現(xiàn)或許會(huì)在未來的五年、甚至十年。我們現(xiàn)在改變自己,或許未來就能改變世界。
舉個(gè)例子,前不久Facebook 宣布成立區(qū)塊鏈技術(shù)部門,想要用區(qū)塊鏈來保護(hù)用戶隱私。Facebook 此舉當(dāng)然是服務(wù)于業(yè)務(wù)和用戶,但是假設(shè)區(qū)塊鏈安全得以落地,其帶來的影響將會(huì)產(chǎn)生多米諾效應(yīng),推動(dòng)整個(gè)社會(huì)隱私保護(hù)的步伐。同樣的,這也是京東一直努力的方向。
雷鋒網(wǎng):京東研究物聯(lián)網(wǎng)安全的初衷是?
Tony:京東有海量用戶數(shù)據(jù)、有系統(tǒng)架構(gòu),有智能終端,保護(hù)用戶隱私是我們義不容辭的責(zé)任,立足安全,IoT安全也是京東安全正在進(jìn)行的事情。
最近幾年,很多物聯(lián)網(wǎng)設(shè)備泄露用戶隱私事件被曝光,比如家庭攝像頭被惡意攻擊導(dǎo)致互聯(lián)網(wǎng)大面積癱瘓。這些事件得出的教訓(xùn)是,物聯(lián)網(wǎng)產(chǎn)品一開始就應(yīng)該把安全考慮進(jìn)去。
設(shè)想一下,如果IoT廠商在制造音箱、攝像頭等智能硬件之初就將安全問題前置,從產(chǎn)品設(shè)計(jì)階段就充分考慮了安全構(gòu)造,那么,產(chǎn)品上市之后出現(xiàn)出現(xiàn)安全問題可能性就會(huì)大大降低。但現(xiàn)實(shí)問題是,大多產(chǎn)品都是優(yōu)先考慮用戶體驗(yàn)和盈利,安全問題只好讓步。在現(xiàn)實(shí)面前,安全有些蒼白無力。
另外,IoT 安全不能僅靠IoT 廠商重視,需要整個(gè)生態(tài)系統(tǒng)的安全。比如,蘋果的安全就是建立在生態(tài)系統(tǒng)的安全性之上。而AppStore中有各種各樣的APP,這些APP的出品人未必都是安全專家!
就IoT生態(tài)來說,IoT成就了萬物互聯(lián),其中最關(guān)鍵的要素是云和終端,要保證云端和終端數(shù)據(jù)的安全、數(shù)據(jù)傳輸?shù)陌踩蛿?shù)據(jù)處理的安全。這就是IoT基礎(chǔ)設(shè)施的安全生態(tài)。而參與者在設(shè)計(jì)之初就必須考慮完整的安全機(jī)制,包括云端的安全機(jī)制、系統(tǒng)的安全等等,而不是僅依靠終端廠商的重視。
雷鋒網(wǎng):京東還開拓了車聯(lián)網(wǎng)安全研究方向?
Tony:今年年初幣圈發(fā)生了一起震驚四座的事件。一個(gè)黑客團(tuán)伙攻擊了幣安Binance 交易所,制造了歷史上第一個(gè)不靠竊取物品,而是打擊其信用,從交易市場(chǎng)上面做空盈利的黑客攻擊事件。有分析稱整個(gè)事情背后可能不只有技術(shù)性黑客,更可能有金融人士的助推。
所以未來的黑暗勢(shì)力怎樣工作?他們也會(huì)有不同領(lǐng)域?qū)<遥部梢钥珙I(lǐng)域運(yùn)作。起碼以后會(huì)有越來越多跨界隱蔽作案手法。我們目前正在研究的車聯(lián)網(wǎng)項(xiàng)目也屬于這種類型,并非直接竊取用戶的車聯(lián)網(wǎng)數(shù)據(jù),而是通過黑客破解和經(jīng)濟(jì)運(yùn)作手段獲利。
比如,大家都知道美國的汽車保險(xiǎn)走在世界前沿。保險(xiǎn)公司通過一個(gè)車聯(lián)網(wǎng)設(shè)備,采集駕駛員的行為數(shù)據(jù),比如是否超速,轉(zhuǎn)彎有沒有打燈,有沒有疲勞駕駛等。如果駕駛習(xí)慣差,保險(xiǎn)公司就會(huì)提升保險(xiǎn)費(fèi),相反則可以降低保費(fèi)。京東硅谷研發(fā)中心的研究員發(fā)現(xiàn)了其中的漏洞,可以惡意篡改這些數(shù)據(jù),就像我們?cè)贕eekPwn大賽上演示的那樣,把一個(gè)成熟的老司機(jī)改成馬路殺手。如果有人想騙保圈錢,就可以用這個(gè)套路虛擬各種場(chǎng)景,騙取保費(fèi)。
事實(shí)上,這些車聯(lián)網(wǎng)研究只是京東安全關(guān)注的一個(gè)側(cè)面,更重要的是我們想讓公眾了解未來的威脅會(huì)越來越錯(cuò)綜復(fù)雜,需要防患于未然。
雷鋒網(wǎng):研究這些是否擔(dān)心被說是追求熱詞?
Tony:區(qū)塊鏈、IoT還有AI是未來的基礎(chǔ)設(shè)施。我們研究這些不是要追求熱詞,技術(shù)順利發(fā)展的前提一定是打好安全基礎(chǔ)。
現(xiàn)實(shí)發(fā)生的許多安全事件其實(shí)已經(jīng)真實(shí)的反應(yīng)出之前的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全沒有做好。甚至直到今天,99%的工程師設(shè)計(jì)程序還依照原來的套路,寫程序的首要目的是實(shí)現(xiàn)某種功能,能實(shí)現(xiàn)功能就是成功。很少有人會(huì)研究寫出的程序是不是有問題,編譯它的程序是不是也可能有問題,驅(qū)動(dòng)組件會(huì)不會(huì)有問題……工程師本人沒有安全意識(shí),開發(fā)出來的產(chǎn)品又怎么確保安全呢?
就像《黑客帝國》,所有的表象似乎很安全、很真實(shí),遭遇黑客后才明白,我們所處的環(huán)境、我的代碼、運(yùn)營的環(huán)境都是不可靠的。做安全要有這種不相信感,沒有安全感才能有安全意識(shí)。
雷鋒網(wǎng):期間是否有研究困境?
Tony:最難的應(yīng)該就是人才非常稀缺。
安全行業(yè)在經(jīng)歷蛻變,但總體上網(wǎng)絡(luò)安全人才一直處于稀缺狀態(tài),現(xiàn)在更稀缺。最初安全人員都是研究Web,移動(dòng)互聯(lián)網(wǎng)興起后開始轉(zhuǎn)而研究移動(dòng)安全,IoT概念出來后,部分人開始轉(zhuǎn)向IoT。風(fēng)口不斷變化,技術(shù)不斷飆新,高校安全專業(yè)起步較晚,最近幾年才慢慢開展。
而安全人才的培養(yǎng),有點(diǎn)像學(xué)徒制,很多能力是實(shí)踐中師父帶出來的。以前沒有師父,很多專業(yè)技術(shù)都要靠自學(xué),非常辛苦。我自己是學(xué)數(shù)據(jù)挖掘出身,后來偶然做了殺毒,當(dāng)時(shí)完全不懂,糊里糊涂開始讀二進(jìn)制代碼,因?yàn)闆]有源代碼只能反編譯,用人眼讀代碼。當(dāng)年同期的很多人都投身去了其他熱門行業(yè),能夠堅(jiān)持下來做安全的少之又少。
另一個(gè)殘酷的現(xiàn)實(shí)是,并不是人才數(shù)量少,而是由于基礎(chǔ)設(shè)施沒做好,導(dǎo)致問題源源不斷暴露,需要更多人去修補(bǔ),而安全防護(hù)也一直處在被動(dòng)應(yīng)急狀態(tài),難以掌握主動(dòng)。
那怎么解決問題?
在下一代的互聯(lián)網(wǎng)來臨之際,從基礎(chǔ)架構(gòu)上就把安全考慮進(jìn)去,把安全機(jī)制建立起來,這樣我們就能占據(jù)安全的主動(dòng)權(quán)。這就需要有更多的安全人才,甚至是跨行業(yè)人才。比如AI方面,或者大數(shù)據(jù)人才,以及網(wǎng)絡(luò)通信人才,聯(lián)合跨行業(yè)思維的人一起搞安全,會(huì)有更多新思路。
這樣做的好處是,最開始的搭建就已經(jīng)足夠安全,接下來也就沒有戰(zhàn)場(chǎng)了,更不需要再打安全的仗了。就像你使用蘋果手機(jī)不會(huì)再裝殺毒軟件一樣。
據(jù)說黑市現(xiàn)在微軟的漏洞是最貴的,因?yàn)槲④浵到y(tǒng)非常難突破。而這并非只有安全人士做到的,而是打造操作系統(tǒng)的工程師從一開始就做到了足夠安全。所以我們需要更多跨界的人,這也是京東安全與全球知名安全會(huì)議HITB聯(lián)合舉辦2018京東HITB安全峰會(huì)的初衷,與來自不同行業(yè)頂級(jí)極客一起,回歸技術(shù)本源。
誠如 Tony Lee 在不久前舉辦的HITB上所說的,
也許我們今天做的還不夠多,因?yàn)榛ヂ?lián)網(wǎng)的競(jìng)爭(zhēng)非常激烈,曾經(jīng)做過創(chuàng)業(yè)者的我知道,真正能拿出精力幫助互聯(lián)網(wǎng)升級(jí)做安全的人才是很少的,這就是現(xiàn)實(shí),因此我們有擔(dān)憂和緊迫感。但是相信如果我們堅(jiān)持,會(huì)有更多人加入我們,一起建設(shè)出一個(gè)安全的未來網(wǎng)絡(luò)世界。
時(shí)代賦予了我們將極客精神無限延伸的可能性,這是科技的進(jìn)步,也是極客精神的進(jìn)步,也讓如Tony這樣的安全老兵能夠繼續(xù)堅(jiān)持純粹做事。我們現(xiàn)在改變自己,或許未來就能改變世界。
道阻且長(zhǎng),行則將至,以夢(mèng)為馬,不負(fù)韶華。
雷鋒網(wǎng)宅客頻道(微信公眾號(hào):letshome),專注先鋒科技,講述黑客背后的故事,歡迎關(guān)注。
掃描二維碼推送至手機(jī)訪問。
版權(quán)聲明:本文由信途科技轉(zhuǎn)載于網(wǎng)絡(luò),如有侵權(quán)聯(lián)系站長(zhǎng)刪除。
轉(zhuǎn)載請(qǐng)注明出處http://macbookprostickers.com/xintu/14729.html