中国的整体防御能力和国足不相上下,你信吗?
“中国整体防御能力的国际排名和国足不相上下。”赵伟不无悲情地说。
他如此评价,是根据知道创宇追踪去年席卷全球的“心脏出血”漏洞在各个国家修复的速度,得出的结论:在漏洞爆出一年之后,中国仍有三分之一的网站没有进行任何修补工作,这其中包括重要的政企网站和民用网站。这样的成绩让中国位列世界102名,光荣垫底。
知道创宇创始人,CEO,赵伟
作为国内一线的安全公司知道创宇的掌门人,赵伟吐槽中国黑客整体实力的落后,无异于自己打脸。不过,这种爱“说实话”的习惯也让他被诸多圈内人奉为黑客精神的旗手。说到国内安全现状,赵伟一脸踌躇。这不禁让人好奇,这个“敢于正视淋漓鲜血”的黑客,究竟想要一个怎样的知道创宇呢?
美国开挂?上帝模式是什么鬼?
你是一个捕鱼高手,鱼叉就像是你身体的一部分,你每天可以轻松叉到十条鱼,老婆孩子热炕头。你整日被村民艳羡的目光包围,独孤求败,茫然四顾。有一天,你突然看到远处驶来万吨巨轮,声纳锁定鱼群,自动撒网,把这片海域所有鱼群收入囊中,把没有价值的小鱼小虾抛回海中,扬长而去。
在赵伟描述的这个故事里,中国黑客就是那个捕鱼高手,万吨巨轮就是美国黑客。
棱镜计划曝光后,知道创宇曾经协助有关部门对中国的网络安全进行普查。赵伟表示,由于美国握有大量的0Day漏洞和数据优势,其出入世界的网络空间基本如入无人之境。具体的技术细节由于涉密无法透露,但是:
如果他们想,可以定位到一个具体的人一天之中打了哪些电话,去了哪些场所,和哪些人谈话,他的人际关系图谱,他的消费记录,他的生活习惯、个人癖好。
赵伟称之为“上帝模式”。
“低维度抵抗高维度的打击,我们是很难有胜算的。这个差距大概是用F-22轰炸。。。”他沉思一下,“轰炸石器时代的人。”他甚至没有选用大刀长矛这类冷兵器做比较。
“这个差距在缩小吗?”
“在扩大。”
“我们没有机会了吗?”
“机会很少,有一线希望。”
在这一线希望里奋斗,或许就是他眼中知道创宇存在的意义。
美国安全公司Palantir提供的索马里海域海盗热点图
集齐什么才能开启上帝模式?
一家神秘的美国公司,Palantir,总挂在赵伟的嘴边。Palantir,就是指环王中那个可以看穿一切的水晶球。这家公司没有市场、公关、销售人员,它的客户是CIA(美国中央情报局)、FBI(美国联邦调查局)、NSA(美国国家安全局)。自从成功定位并且协助美国军方干掉本·拉登之后,声名鹊起。这家公司正是帮助美国开启“上帝模式”的主要力量。
Palantir的独门绝技在于从浩如烟海的数据里提炼出可操作的行为指导。赵伟把这些能够指导行动的宝贵结论叫做——知识。他认为,获得这些知识统共分三步:
1、通过不同的渠道获取不同维度的足够数量的大数据。
2、用交叉关联的方式进行分析,对未来做出精准预测,并且掌握更高维度的知识。
3、用得到的知识来有针对性地获取尚未掌握的数据,如此循环往复。
在赵伟眼中,知道创宇和Palantir承担着相似的任务——国家特种兵。他说:“安全工作有很多种类,有可能做家庭保安很赚钱,时不时还能有些灰色收入。但我的理想就是想做特种兵,为国家效力。”林林总总的安全公司中,这种“挣钱在后,为国家平事儿为先”的热血气质,似乎是知道创宇独有的。
创宇星图界面
中国版的上帝模式
创宇星图就是给政府看的,一般的大爷大妈不需要特种兵保护,一般的人也不需要作战地图。
赵伟如此评价知道创宇最新推出的这个产品。
根据国外媒体报道,Palantir的每个新员工都要被安排阅读一部有关9.11的记录作品,用以警示政府对所掌握信息的分析能力的重要性。“创宇星图”的主要目的,就是给政府提供网络威胁的分析。在这张图纸中,可以展示出中国各个省份的网站安全状况,进而可以展示特定网站的漏洞威胁情况,精确到具体的网站受攻击的类型、时间、黑客活动轨迹、已经采取的防护措施等等。
“像熊猫烧香那样被热炒的黑客都是水平最差的。因为真正的高手根本不会让普通人意识到他的存在。”赵伟指着星图上闪烁的攻击点。
根据知道创宇的工作人员介绍,每探测到一次攻击,都会定位到进攻发起IP和背后的黑客指纹。(有关黑客指纹,请参考我雷另一篇文章 『 如何围猎一名黑客——虚拟空间里的“指纹采集”』 ) 根据不同的IP的行为,加上帐号识别、社工手段等等交叉分析,最终可以定位一个黑客的目标、组织关系网络、进攻手段等等,只要看清这些,防御者就已经对进攻者开启了“上帝模式”。
知道创宇产品经理吴昊展示特定黑客的攻击行为时间轴
产品经理吴昊为雷锋网描述了一个案例:
曾经有一个黑客对某网站实施了工具攻击,由于创宇的拦截,造成对方获取信息失败,在两个小时之内的时间,黑客尝试了多种攻击工具,均告失败之后选择手动寻找漏洞,并且成功找到注入点,被再次拦截之后选择使用了自制的工具攻击,由于他的攻击已经被重点关注,最终失败选择放弃。
这个黑客由于“技艺高超”,从此被标注为高危人物,被禁止访问诸多网站。这样的黑客,在知道创宇的数据库中, 有33万人。这些攻击者当中,不乏一些来自国际IP的进攻,知道创宇会追溯这些有“特殊目的”的黑客,建立一个“历史罪证库”,进而横向关联这些罪证,查出背后的人,组织。追查这些人的下落,从某种程度上来说是赵伟的个人追求。说到这里,赵伟有些激动。
我记得以前我在国外演讲的时候,台下有人骂我们,说我们中国的黑客是贼,是窃取他们信息的“红客”。那一刻我觉得非常无力,万分委屈。因为中国受到的恶意攻击数不胜数,我们却没有能力抓到他们的证据。我建立他们的罪证库,并不是要现在公布,而是将来和他们算总账,我要让他们知道,犯我强汉者,虽远必诛!
据说,Palantir是全美国付给实习生工资最高的公司,没有之一。立志为中国开启“上帝模式”的赵伟却感叹“做安全不赚钱”。有人从中听出了自甘清贫的洒脱情怀,有人听出了壮志难酬的一丝哀怨。
在不久前召开的ISC(中国互联网安全大会)上,周鸿祎亲自为360站台,强调了“看见”的重要性,而 各个安全厂商推出的产品,都把态势感知作为最新的一招棋。其中颠扑不破的逻辑是:“只有先看见,才能采取行动。”至于谁看得更清,恐怕要交给市场来衡量。
从人们在黑暗的山洞里点燃第一盏火把开始,就已经走在看清的路上,然而多年过去,我们不仅探索了山洞,还建造了钢筋楼宇,甚至营建了虚拟的赛博空间。在看见了越来越多的同时,似乎看清的难度越来越大了。
从这个角度来讲,赵伟和中国男足都只迈出了万里长征的第一步。