马化腾这些程序员的初心,原来是「网络安全」
The Only Winning Move Is Not to Play.
取得胜利的唯一方法就是不要玩。 这句话出自 1983 年的美国电影《战争游戏》。世界上第一部鼓吹人工智能威胁论的电影。
35 年前,这个世界还没有 Google,没有 Windows,更没有苹果电脑。然而那时候的大银幕上,却已经有了单枪匹马拯救世界的黑客,也有了天赋过人的电脑怪才。
全球极客和他们的「最强大脑」
「取得胜利的唯一方法就是不要玩。」这是电影里的一句经典台词,这句话的矛盾之处就像那时候的美国人对于新技术既忐忑不安又欲罢不能的摇摆。
而网络安全也是如此,网络安全中的错误和漏洞几乎都是被人所制造出来的,但现在的人们却无论如何也不能失去网络。
在当今纷繁复杂的网络社会,如何保证用户的网络安全,避免更多恶意的网络攻击发生,已经成为全球信息安全人才的共同目标。6 月 6 日,AsiaSecWest 国际安全技术峰会在香港召开,全球顶尖极客在此共同探讨开拓网络安全守护的新视角。
在会议上,腾讯安全联合实验室玄武实验室负责人于旸向记者表示「在安全技术上,我们很少说颠覆,因为安全上如果说出现颠覆性的东西那就太可怕了。在网络安全领域,大部分的技术研究也都是渐进的,一般来说一个技术能够提出一些新的观点,发现一些新的问题,或者是帮助我们解决一些新的问题,这样的演讲我们就认为是非常有价值的。」
左为玄武实验室负责人于旸
事实上,峰会确实出现了很多干货满满的技术分享。
来自安全研究实验室(Security Research Labs)的首席科学家 Karsten Nohl 在会上的演讲议题是「注意间隙:剖析 Android 系统的不完整补丁」。
Karsten Nohl 认为,尽管 Android 是基于开源软件开发的操作系统,但是对于大多数用户来说,Android 系统的安全性仍是一个黑匣子。用户对安全补丁了解甚少,不得不盲目信任手机厂商的补丁,然而在大多数情况下,许多 Android 厂商的补丁能力并不值得信任。
除去 Karsten Nohl 这样干货满满的数据分析,还有清华大学网络科学与网络空间研究院的段海新教授、腾讯安全玄武实验室的安全研究员宋凯与秦策、Adobe 首席安全策略师 Peleus Uhley 等,他们分享的议题包括「中间盒子」的可用性及其潜在隐患、安全领域的技艺演进等。
AsiaSecWest 国际安全技术峰会的意义在于,你不仅能听到一种声音。
固定的区域或许会使人在某一阶段听到相似的、受限的声音,而云集了全球顶尖信息安全技术人员的 AsiaSecWest 国际安全技术峰会则不同,它有很多国内不会涉足的话题讨论,让你从不同的角度,看看那些被你忽视的问题。
就像 NATO 法律顾问提出的网络安全与军事防御话题,它所提及的计算机安全、电子安全,应该也能启发不少同会的技术人员。
两天的 AsiaSecWest 峰会,或许更像一个极客「最强大脑」的展示舞台。
扫雷:不同的「雷」,同样的「扫」
大家都玩过 Windows 的「扫雷」游戏,但是不是所有人都知道 Windows 在有些国家的版本里面没有「扫雷」。在一些国家的「扫雷」版本中,扫出来的不是「雷」,而是一朵花。
为什么?在有的国家,他们认为「扫雷」这个游戏会冒犯到那些在战争中被地雷伤害的英灵。
「扫雷」这个游戏就有点像网络安全,虽然每一个国家有不同的法律法规,但是排查安全漏洞,保证健康的网络环境,是每一个国家都在追求的。
也许每个国家对于网络安全的判断并不一致,但网络安全是一个全球性的话题,这是每一个人都需要承认的。今天破坏了这个国家的病毒,可能几分钟之内就会肆虐到另一个国家。在网络安全这个问题上,不应该关注国家,而应该关注流行度。
国家之间的话题,不存在间隔,只存在影响的大小。Facebook 的用户隐私数据泄露,给各国信息社交软件都敲响了警钟,其产生的连锁反应不仅限于一个国家。
欧盟数据保护通用条例辐射开来,微信公众平台也需要遵守其相关要求,对产品做出改变。
如果现在全世界有一万台设备,我们用一百个安全人员处理这一万台设备,就能保证设备的安全问题。
但是在未来「万物互联」的世界里,一万台设备可能变成一亿台、十亿台。设备翻倍、翻十倍是很简单的事情,但地球上的人口不可能这样翻,那时候这些设备的安全问题怎么处理?到时需要的是全球各国信息安全人员的共同协作,抑或借助于人类之外的智慧的力量。
网络安全,隐藏着互联网人的初心
自网络诞生到普及,安全问题始终是从业人员与用户关注的问题。漏洞、补丁、利用链……这都是网络犯罪者与网络安全从业者在斗志斗勇中不断完善的网络问题。当然,其背后,也少不了各个公司的合作与配合。
2017 年 7 月,苹果公司在官方网站发布的安全更新上表示,苹果已经修复了由腾讯安全玄武实验室提交的两大安全漏洞(漏洞编号为 CVE-2017-2517 和 CVE-2017-7011),并表示感谢。
微软的安全研究团队在谷歌的 Chrome 浏览器中发现了允许远程执行代码的漏洞。而谷歌在收到来自微软的关于 Chrome 安全漏洞的报告后,承认该漏洞确实存在,并向微软支付了一笔 15000 美元的感谢金。
在国内,阿里安全猎户座实验室和潘多拉实验室发现微信漏洞后也及时上报微信团队,由微信团队及时修复。
听说多年前,马化腾在办公室搬迁的时候,还给自己的电脑留下了一串代码,只有成功破解代码后,才能正常的使用电脑。这件事通常被认为是我国程序员充满创造力和好胜心的代表。
用技术作为网络的门槛和前提,用技术创造价值,用技术解谜。
这不由得让人想起安全技术人员和网络犯罪者斗智斗勇的过程,犯罪者则始终在寻找漏洞,而安全技术人员总是努力在漏洞被发现之前完成修复。就像是用技术改变世界一样,用技术保护世界,也是互联网人的初心之一。
网络之上,犯罪者们是始终活跃的,他们会持续关注一些内容。如果没有安全研究者的共同关注和支持,帮助每一个企业提升自己的安全性,那么这些安全问题会最终被犯罪者所利用。
网络之中,很多东西的危险性都超乎你的想象。而从业者们为了用户网络安全做出的研究和努力,恐怕也超乎你的想象。
关注「 知晓程序 」公众号 ,在微信后台回复「 微观 」 , 查看更多行业资讯观点。