周鸿祎:聊点负能量,直面这个充满漏洞的世界

来源:www.xjctc.net   时间: 2019-09-01

总结:

漏洞一词可能会让很多人认为这是一件不起眼的事,但它可以成为国家网络战的武器。 - 周鸿吨

老周参加了第21届中国国际软件博览会。在世博会上,老周向副总理马凯介绍了由360独立开发的“工业互联网安全态势感知和监测预警平台”,并报告了360安全方面的工作。副总理马凯觉得安全非常重要,并证实了360在安全领域的工作。

不仅如此,马凯副总理也非常关注最近爆发的勒索软件事件,并特别询问了旧有关勒索事件的事件。在向马凯副总理汇报后,老周在世博会“软件的本质与变化”峰会上发表了讲话。鉴于最近两个月爆发的勒索软件事件,老周在演讲中谈到了一点消极的能量。主题,看看老周说的话!

以下内容根据旧周演讲的内容进行组织:

每个人都热情地讨论软件如何改变世界以及软件如何改变我们每个人的工作和生活方式,作为一家安全公司的创始人,我可能想和你讨论一个消极的能源话题,即未来的世界。它可能没有我们想象的那么好,我们将面临一个充满漏洞的软件世界。

梅红院士刚刚说了一句话:“一切都是可编程的,一切都必须相互联系。”我真的很喜欢这句话,它真实地代表了我们对未来世界的看法。如果今天没有软件,或者软件工作不正常,国家可能无法运作,社会将不稳定,更不用说日常工作和生活将受到很大影响。

随着技术的发展,人们对技术的要求也越来越复杂。目前,许多软件的复杂性已经超过了过去十年的总和。但是,所有软件都是由人编写的。只要是一个人,就会犯错误。当人们编译软件时,他们会犯错误。无论是主观的还是客观的,他们都会留在软件中。我们用一个非常简单的词来描述这些错误,称为软件漏洞。

正是这些软件漏洞给我们的世界带来了极大的不安全感。

现在我们正在研究互联网上各种不安全的信息和各种网络攻击,包括5月和这两天席卷欧洲的勒索软件。很多人都在问为什么今天的技术如此发达,软件如此先进,世界变得越来越不安全。事实上,最重要的答案是我们所依赖的软件充满了漏洞。

例如,这个为期360天的漏洞响应平台已经发现了超过200,000个漏洞。但据统计,在软件中,平均有一千行到1500行代码,会有一个漏洞。如今,智能手机中有数千万行代码,自动驾驶汽车中有数亿行代码。想象一下这些产品中有多少漏洞。

有些小错误看起来非常无害,甚至不会影响软件的正常运行,但一旦被犯罪分子和黑客利用,这些漏洞就会产生毁灭性的后果。

5月份蹂躏世界的勒索软件实际上是由几个小偷贼写的。勒索软件本身不是很聪明,但它也给世界上许多国家带来了极大的危害:医院病人无法正常运作,加油站无法加油,汽车牌照无法登记.归根结底,由于美国国家军火库泄露了所谓的网络武器这一术语,网络武器听起来特别高,但实质上是Windows操作系统中的一个漏洞。

每一个未知或最未知的漏洞都会被发现,它可以成为一种网络武器,能够引发一场全国性的网络战争。“漏洞”一词可能会让许多人认为它是一件卑微的事情,但它可以成为国家网络战的武器。

2016年10月21日,美国东海岸发生网络中断。黑客利用该漏洞控制了世界各地大量的智能摄像头,操纵数十万台摄像头攻击美国东部的域名系统,直接导致美国许多知名网站的服务中断。美国一半的互联网已经瘫痪。作为中国唯一一家参与调查的公司,我们实际上提前发布了很多警告,并追踪了来源,发现背后的原因是摄像头硬件的漏洞。

可以想象,有了连接的一切,我们周围的一切都可以被编程,有了智能系统。面对方便意味着每个智能硬件都可能存在漏洞。这些漏洞是不可战胜的。网络罪犯带来的攻击力将是巨大的。前天席卷欧洲的新赎金病毒每10分钟就能感染5000多台电脑。在对乌克兰、俄罗斯、西班牙、法国和英国等国家发动袭击后,石油、银行、电力和通信系统受到了严重影响。这种影响在物理世界中是真实存在的,它不仅仅像在计算机中丢失文件那样原始。

这是因为物联网将虚拟世界与现实世界联系起来。利用漏洞发起的攻击可以从虚拟世界影响物理世界。飞行不正常,水和电不能提供这种破坏力。我们真的感觉到了。在今天的展会上,我向马凯副总理汇报了我们自主开发的一套工业互联网安全监控系统。我们可以看到,几乎许多工业控制系统设备都在网络上。

其中,你可以看到一些工业控制协议。例如,有一种工业控制协议,通常用于轨道交通。它只是控制地铁门的开启和关闭。如果这些协议中存在软件漏洞,它们将受到攻击并带来危害。想象一下。

例如,每个人都在谈论人工智能自动驾驶仪,《速度与激情8》电影生动地描绘了如果街道都是自动驾驶汽车,一旦被黑客劫持,所有自动驾驶汽车将成为僵尸汽车,远离大师的控制。这条街猖獗。我不认为这是一部科幻小说,它可能在未来几年成为现实。

最后,我想说的是,由于我们仍未发现大量漏洞且无法提前预防,因此未来世界不可避免地会发生网络攻击。甚至可以说没有系统不会被打破。因此,在未来,由于存在漏洞,网络安全可能处于不断攻防的游戏中,猫捉老鼠。但是由于漏洞我们不能放弃软件,我们放弃了我们的进步。

我该怎么处理呢?

首先是要关注漏洞,积极发现和利用漏洞,并及时修补漏洞。

360或某些安全公司本身无法完成挖掘漏洞。我们使用外国方法利用众包的力量在全社会发起白帽黑客利用漏洞。在利用漏洞时,应该快速推出补丁,允许每个人快速修补。更强大的网络攻击,只要漏洞被阻止,就没有办法攻击。

但是,有许多组织对漏洞和补丁知之甚少。他们认为他们没有打补丁,系统很好,他们可以正常运作。但我呼吁这些安全网络管理的负责人,整个想法将在新的漏洞时代发生变化。

所以这是我想谈的第二点,我必须勇敢地承认存在漏洞,甚至是攻击。

很多时候,我们的国内机构和企业遭到袭击,不愿意起诉,甚至掩盖。其中一些原因确实是他们受到了攻击,但他们仍然不知道。有些人担心他们的上级会受到批评。但是我们必须有一种受到攻击的意识,而不是你的过错,并且客观地存在漏洞。

我希望国内机构和企业能改变他们的想法。在未来,他们将在攻击后积极报告和发表意见,以便安全公司可以获得越来越多的数据和证据,并可以帮助人们更快地修复漏洞。该攻击分析并追踪来源,打击犯罪分子,为国家网络空间的游戏提供证据,从而提高该国的整体网络安全能力。

  • 日期归档
  • 友情链接:
  • 版权所有© 新疆计算机培训中心 | 新ICP备10201303号-1 | www.xjctc.net . All Rights Reserved | 网站地图