京东安全首席信息安全专家 Tony Lee:纯粹做事,追求极致
音乐剧《致埃文·汉森》中有几句话:
当你在森林里跌落
周围空无一人
你是轰然倒地了
还是默默无声
如果将这十几年来涌动的AI、物联网、云计算等诸多浪潮比作森林的话,频发的危机漏洞就是这片森林中的业障迷雾,试图征战的大小创业公司是闯进森林的勇士。
这些人抑或是公司可能乘上了风口平步青云,也可能暗淡消失。而其中的巨头们,试图走在最前面拨开云雾。京东作为其中的巨头之一,这些年,也正在悄然改变。
京东安全首席信息安全专家 Tony Lee 认为:“过去的20年,安全博弈是不成功的,来到京东,我想是不是可以做点事情,能够真正解决一些问题。”在10月的京东HITB安全峰会上,Tony又一次强调了这个观点。
为什么这么说?这与Tony这些年的经历和他加入京东安全后的改变不无关系。这也是Tony接受雷锋网宅客频道采访时主要探讨的话题。
雷锋网:据说京东安全的安全研究都是服务于京东自身的业务?
Tony: 服务于京东自身,是京东安全技术研究的出发点和立足点。但这并不是全部。
安全需要未雨绸缪。我们不仅要研究各种新型威胁,掌握最新的安全技术,最大程度预估威胁。不能等到攻事件发生后才去弥补。所以现在京东安全一方面做基于业务的安全,另一方面也要做最新的安全研究。目前京东有一个硅谷安全研发中心,主要是AI安全、黑产对抗、IoT安全研究;国内有一个京东牧者安全实验室,主要是做IoT安全、区块链安全、等研究项目。
另外,我不想把安全研究限制在一个很窄的范围,因为安全是看长远的,想要获得短期效益不太现实,但安全是有深远价值的。真正的价值显现或许会在未来的五年、甚至十年。我们现在改变自己,或许未来就能改变世界。
举个例子,前不久Facebook 宣布成立区块链技术部门,想要用区块链来保护用户隐私。Facebook 此举当然是服务于业务和用户,但是假设区块链安全得以落地,其带来的影响将会产生多米诺效应,推动整个社会隐私保护的步伐。同样的,这也是京东一直努力的方向。
雷锋网:京东研究物联网安全的初衷是?
Tony: 京东有海量用户数据、有系统架构,有智能终端,保护用户隐私是我们义不容辞的责任,立足安全,IoT安全也是京东安全正在进行的事情。
最近几年,很多物联网设备泄露用户隐私事件被曝光,比如家庭摄像头被恶意攻击导致互联网大面积瘫痪。这些事件得出的教训是,物联网产品一开始就应该把安全考虑进去。
设想一下,如果IoT厂商在制造音箱、摄像头等智能硬件之初就将安全问题前置,从产品设计阶段就充分考虑了安全构造,那么,产品上市之后出现出现安全问题可能性就会大大降低。但现实问题是,大多产品都是优先考虑用户体验和盈利,安全问题只好让步。在现实面前,安全有些苍白无力。
另外,IoT 安全不能仅靠IoT 厂商重视,需要整个生态系统的安全。比如,苹果的安全就是建立在生态系统的安全性之上。而AppStore中有各种各样的APP,这些APP的出品人未必都是安全专家!
就IoT生态来说,IoT成就了万物互联,其中最关键的要素是云和终端,要保证云端和终端数据的安全、数据传输的安全和数据处理的安全。这就是IoT基础设施的安全生态。而参与者在设计之初就必须考虑完整的安全机制,包括云端的安全机制、系统的安全等等,而不是仅依靠终端厂商的重视。
雷锋网 (公众号:雷锋网) :京东还开拓了车联网安全研究方向?
Tony: 今年年初币圈发生了一起震惊四座的事件。一个黑客团伙攻击了币安Binance 交易所,制造了历史上第一个不靠窃取物品,而是打击其信用,从交易市场上面做空盈利的黑客攻击事件。有分析称整个事情背后可能不只有技术性黑客,更可能有金融人士的助推。
所以未来的黑暗势力怎样工作?他们也会有不同领域专家,也可以跨领域运作。起码以后会有越来越多跨界隐蔽作案手法。我们目前正在研究的车联网项目也属于这种类型,并非直接窃取用户的车联网数据,而是通过黑客破解和经济运作手段获利。
比如,大家都知道美国的汽车保险走在世界前沿。保险公司通过一个车联网设备,采集驾驶员的行为数据,比如是否超速,转弯有没有打灯,有没有疲劳驾驶等。如果驾驶习惯差,保险公司就会提升保险费,相反则可以降低保费。京东硅谷研发中心的研究员发现了其中的漏洞,可以恶意篡改这些数据,就像我们在GeekPwn大赛上演示的那样,把一个成熟的老司机改成马路杀手。如果有人想骗保圈钱,就可以用这个套路虚拟各种场景,骗取保费。
事实上,这些车联网研究只是京东安全关注的一个侧面,更重要的是我们想让公众了解未来的威胁会越来越错综复杂,需要防患于未然。
雷锋网:研究这些是否担心被说是追求热词?
Tony: 区块链、IoT还有AI是未来的基础设施。我们研究这些不是要追求热词,技术顺利发展的前提一定是打好安全基础。
现实发生的许多安全事件其实已经真实的反应出之前的互联网基础设施安全没有做好。甚至直到今天,99%的工程师设计程序还依照原来的套路,写程序的首要目的是实现某种功能,能实现功能就是成功。很少有人会研究写出的程序是不是有问题,编译它的程序是不是也可能有问题,驱动组件会不会有问题……工程师本人没有安全意识,开发出来的产品又怎么确保安全呢?
就像《黑客帝国》,所有的表象似乎很安全、很真实,遭遇黑客后才明白,我们所处的环境、我的代码、运营的环境都是不可靠的。做安全要有这种不相信感,没有安全感才能有安全意识。
雷锋网:期间是否有研究困境?
Tony: 最难的应该就是人才非常稀缺。
安全行业在经历蜕变,但总体上网络安全人才一直处于稀缺状态,现在更稀缺。最初安全人员都是研究Web,移动互联网兴起后开始转而研究移动安全,IoT概念出来后,部分人开始转向IoT。风口不断变化,技术不断飙新,高校安全专业起步较晚,最近几年才慢慢开展。
而安全人才的培养,有点像学徒制,很多能力是实践中师父带出来的。以前没有师父,很多专业技术都要靠自学,非常辛苦。我自己是学数据挖掘出身,后来偶然做了杀毒,当时完全不懂,糊里糊涂开始读二进制代码,因为没有源代码只能反编译,用人眼读代码。当年同期的很多人都投身去了其他热门行业,能够坚持下来做安全的少之又少。
另一个残酷的现实是,并不是人才数量少,而是由于基础设施没做好,导致问题源源不断暴露,需要更多人去修补,而安全防护也一直处在被动应急状态,难以掌握主动。
那怎么解决问题?
在下一代的互联网来临之际,从基础架构上就把安全考虑进去,把安全机制建立起来,这样我们就能占据安全的主动权。这就需要有更多的安全人才,甚至是跨行业人才。比如AI方面,或者大数据人才,以及网络通信人才,联合跨行业思维的人一起搞安全,会有更多新思路。
这样做的好处是,最开始的搭建就已经足够安全,接下来也就没有战场了,更不需要再打安全的仗了。就像你使用苹果手机不会再装杀毒软件一样。
据说黑市现在微软的漏洞是最贵的,因为微软系统非常难突破。而这并非只有安全人士做到的,而是打造操作系统的工程师从一开始就做到了足够安全。所以我们需要更多跨界的人,这也是京东安全与全球知名安全会议HITB联合举办2018京东HITB安全峰会的初衷,与来自不同行业顶级极客一起,回归技术本源。
诚如 Tony Lee 在不久前举办的HITB上所说的,
也许我们今天做的还不够多,因为互联网的竞争非常激烈,曾经做过创业者的我知道,真正能拿出精力帮助互联网升级做安全的人才是很少的,这就是现实,因此我们有担忧和紧迫感。但是相信如果我们坚持,会有更多人加入我们,一起建设出一个安全的未来网络世界。
时代赋予了我们将极客精神无限延伸的可能性,这是科技的进步,也是极客精神的进步,也让如Tony这样的安全老兵能够继续坚持纯粹做事。我们现在改变自己,或许未来就能改变世界。
道阻且长,行则将至,以梦为马,不负韶华。
雷锋网宅客频道(微信公众号:letshome),专注先锋科技,讲述黑客背后的故事,欢迎关注。
。