說(shuō)到網(wǎng)絡(luò)安全，你會(huì)想到什么？黑客？病毒？木馬？還是盜號(hào)？了解真實(shí)的網(wǎng)絡(luò)安全之后，你的認(rèn)知很可能會(huì)被顛覆。

11月15日，首屆騰訊“X-Talk”在騰訊北京總部舉辦，主題為“你好，好奇心”。這是一種全新的科學(xué)脫口秀方式，邀請(qǐng)科學(xué)家、哲學(xué)家、科幻作家向觀眾科普網(wǎng)絡(luò)安全、人工智能等先進(jìn)科學(xué)知識(shí)。

當(dāng)天下午，騰訊安全玄武實(shí)驗(yàn)室掌門人于旸為觀眾構(gòu)建了一個(gè)“你所知和不知的網(wǎng)絡(luò)安全”世界。在他看來(lái)，“黑客是那些發(fā)自內(nèi)心熱愛技術(shù)的人，是擁有400多億還每天搞技術(shù)的人。”

黑客是“擁有400多億還每天搞技術(shù)的人”

因?yàn)閺氖戮W(wǎng)絡(luò)安全工作，于旸說(shuō)，許多人在網(wǎng)上向他求助?！按髮W(xué)生沒有考好，希望我?guī)退肭纸虅?wù)處的電腦，修改分?jǐn)?shù)；還有人懷疑對(duì)象出軌，希望我?guī)退I號(hào)，查看對(duì)方的聊天記錄。”

這就是大部分人對(duì)于“黑客”的認(rèn)知，而白帽黑客理所當(dāng)然就是防止網(wǎng)絡(luò)入侵、盜號(hào)的群體。而于旸強(qiáng)調(diào)，網(wǎng)絡(luò)安全行業(yè)非常龐大，他從事的只是其中一個(gè)細(xì)分方向——網(wǎng)絡(luò)安全技術(shù)研究。

對(duì)于非從業(yè)者而言，網(wǎng)絡(luò)安全研究員每天面對(duì)的是成千上萬(wàn)行代碼形成的“天書”。不僅如此，偶爾還需要學(xué)習(xí)計(jì)算機(jī)以外的知識(shí)，比如光學(xué)知識(shí)。

2017年，騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)屏下指紋解鎖技術(shù)存在一個(gè)漏洞：當(dāng)用戶用手指解鎖手機(jī)時(shí)，指紋痕跡會(huì)留在屏幕上。如果用一種可以反光的材料覆蓋指紋痕跡，手機(jī)會(huì)把該材料反射形成的影像識(shí)別成正確的指紋。

這個(gè)漏洞被騰訊玄武實(shí)驗(yàn)室命名為“殘跡重用”。他們還把這個(gè)漏洞報(bào)告給了采用屏下指紋技術(shù)的手機(jī)和上游芯片廠商，并幫助他們一起修復(fù)了這個(gè)漏洞。“很幸運(yùn)我們?cè)谶@個(gè)技術(shù)剛剛投入市場(chǎng)時(shí)發(fā)現(xiàn)并解決了它”，于旸說(shuō)，“今天在座的各位不管你用哪個(gè)牌子的手機(jī)，只要是用這個(gè)技術(shù)，其中就有我們實(shí)驗(yàn)室的成果在里面?！?/p>

除此之外，網(wǎng)絡(luò)安全還有哪些人們不知道的“真相”？這大概要從公眾最好奇的職業(yè)之一——黑客講起。大部分人了解黑客的渠道僅限于新聞和電影，但在于旸看來(lái)，黑客并非只有單一面。

他舉例說(shuō)，國(guó)外一名網(wǎng)絡(luò)安全從業(yè)者HD Moore，坐擁40萬(wàn)個(gè)比特幣（折合人民幣400多億元），持有數(shù)量全球排名第二。完全可以“躺贏”的他，在過(guò)去的12個(gè)月里，共向GitHub（代碼托管平臺(tái)）提交了3000多次代碼。

“黑客是那些發(fā)自內(nèi)心熱愛技術(shù)的人，是擁有400多億元還每天搞技術(shù)的人。”于旸感慨道。

“萬(wàn)物互聯(lián)意味著萬(wàn)物都有安全問題”

隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，網(wǎng)絡(luò)安全問題不再只是賬號(hào)安全、隱私泄露等問題。于旸提到，未來(lái)會(huì)超越這些傳統(tǒng)問題，“萬(wàn)物互聯(lián)則意味著萬(wàn)物都有安全問題”。

今年7月，騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)一種全新漏洞?！耙郧笆请娔X被入侵，手機(jī)被入侵，而我們發(fā)現(xiàn)充電器也可以被入侵?！庇跁D介紹，攻擊者可利用特制設(shè)備或被入侵的手機(jī)、筆記本等數(shù)字終端入侵快充設(shè)備的固件。

充電器被入侵后，攻擊者可以控制充電行為，使其向受電設(shè)備提供過(guò)高的功率，從而導(dǎo)致受電設(shè)備的元器件被擊穿、燒毀，還可能進(jìn)一步給受電設(shè)備所在物理環(huán)境造成安全風(fēng)險(xiǎn)。更可怕的是，這種攻擊方式并不依賴物理接觸。

于旸解釋，充電器之所以能被攻擊，是因?yàn)槠鋬?nèi)置了芯片，已不再是簡(jiǎn)單的電器設(shè)備，而是一個(gè)智能設(shè)備，具備“計(jì)算”能力。據(jù)保守估計(jì)，受影響的終端設(shè)備數(shù)量可能上億。目前，騰訊安全玄武實(shí)驗(yàn)室已經(jīng)把這個(gè)被命名為“BadPower”的漏洞上報(bào)給了國(guó)家主管機(jī)構(gòu)。

“這只是萬(wàn)物互聯(lián)世界中一個(gè)非常小的點(diǎn)，但它向我們展示了一個(gè)未來(lái)（研究方向）?！庇跁D強(qiáng)調(diào)，以后網(wǎng)絡(luò)安全的重要性會(huì)更加凸顯。

據(jù)悉，“X-Talk”是連續(xù)第二年舉辦的騰訊科學(xué)周的“壓軸節(jié)目”，也是今年首次設(shè)立的板塊。過(guò)去一周，還舉辦了騰訊科學(xué)WE大會(huì)、騰訊醫(yī)學(xué)ME大會(huì)、科學(xué)探索獎(jiǎng)?lì)C獎(jiǎng)典禮大會(huì)。

【對(duì)話】

南都：剛才你舉的兩個(gè)例子幾年前可能根本想不到會(huì)發(fā)生。據(jù)你觀察，網(wǎng)絡(luò)安全行業(yè)關(guān)注的議題呈現(xiàn)什么趨勢(shì)？

于旸：網(wǎng)絡(luò)安全不是一個(gè)孤立的東西，它是伴隨著網(wǎng)絡(luò)空間而生的，也是隨著技術(shù)往前走的。所以我們的整個(gè)網(wǎng)絡(luò)世界會(huì)怎么發(fā)展，網(wǎng)絡(luò)安全就會(huì)怎么發(fā)展。

現(xiàn)在看起來(lái)整個(gè)網(wǎng)絡(luò)世界的趨勢(shì)最主要的我覺得還是對(duì)人類社會(huì)的滲透越來(lái)越深入。以前我們生活的世界是一個(gè)物理世界，慢慢地誕生了網(wǎng)絡(luò)世界。不上網(wǎng)的時(shí)候我們?cè)谖锢硎澜?，但現(xiàn)在你會(huì)發(fā)現(xiàn)，不上網(wǎng)的時(shí)候，你也脫離不了網(wǎng)絡(luò)世界。即使你人不在電腦前面，不拿手機(jī)，但你身邊的一切慢慢都會(huì)聯(lián)網(wǎng)，最后物理世界和網(wǎng)絡(luò)世界的邊緣會(huì)變得越來(lái)越模糊。

在這個(gè)背景之下，網(wǎng)絡(luò)安全會(huì)很自然地受這種趨勢(shì)的影響。而且在如今萬(wàn)物互聯(lián)的背景下，萬(wàn)物都有安全問題需要去解決。

南都：前不久有一個(gè)網(wǎng)絡(luò)安全從業(yè)者手機(jī)丟了，跟鏈條上各種黑灰產(chǎn)過(guò)招卻仍被盜刷的新聞。你聽到以后有什么感受？

于旸：這個(gè)事情反映出的一點(diǎn)是，我們今天的信息世界已經(jīng)變得非常的復(fù)雜。以前我們說(shuō)一個(gè)安全問題，可能就涉及到一個(gè)點(diǎn)，一個(gè)軟件，一個(gè)系統(tǒng)，一個(gè)企業(yè)業(yè)務(wù)?，F(xiàn)在可能很多安全問題涉及的軟件不止一個(gè)，甚至涉及的企業(yè)都不止一個(gè)。

我舉一個(gè)例子，就之前有人發(fā)現(xiàn)過(guò)，有些企業(yè)的業(yè)務(wù)包括在用戶輸入一個(gè)ID后顯示對(duì)應(yīng)的手機(jī)號(hào)，不過(guò)手機(jī)號(hào)的某幾位數(shù)會(huì)被屏蔽。但因?yàn)椴煌髽I(yè)屏蔽的位是不一樣，很容易拼出完整的手機(jī)號(hào)。這就是典型的站在企業(yè)自己的角度看沒有問題，但從全局視角看，是存在安全隱患的。

南都：你認(rèn)為目前最難解決的網(wǎng)絡(luò)安全問題是什么？為什么？

于旸：目前為止最難解決的還是人的問題。像網(wǎng)絡(luò)入侵，直到今天還有很多網(wǎng)絡(luò)入侵是利用用戶設(shè)定比較弱的密碼去實(shí)現(xiàn)的，這是意識(shí)層面的問題。網(wǎng)絡(luò)安全可能技術(shù)是一部分，技術(shù)之外，最脆弱的其實(shí)還是人。

不過(guò)，人的問題有一部分是可以通過(guò)技術(shù)去解決的，比如不愿意設(shè)復(fù)雜的密碼。其實(shí)現(xiàn)在很多App都用不著每次打開都輸密碼了，這一系列技術(shù)就是為了滿足人的懶惰天性，同時(shí)盡可能保障安全。

但這個(gè)設(shè)計(jì)沒做好的話也可能存在問題。我們實(shí)驗(yàn)室2016年有一個(gè)研究成果叫應(yīng)用克隆，就利用這種設(shè)計(jì)和一些不算特別嚴(yán)重的漏洞，把App里的賬號(hào)克隆走，在另一臺(tái)手機(jī)上登錄。

南都：網(wǎng)絡(luò)安全行業(yè)存在什么困境嗎？

于旸：如果分類的話，安全算是非必需的奢侈品。比如一個(gè)手機(jī)可以用，就滿足了基本需求，但如果要做到手機(jī)丟了別人也拿不到里面的東西，就是基本需求之外了。

但是我要說(shuō)，安全其實(shí)不是奢侈品。比如說(shuō)我們這有一套特別貴的儀器，能查出來(lái)你身體有什么病，10萬(wàn)塊錢查一次，你查不查？這是奢侈品。但要是真發(fā)現(xiàn)有什么病，現(xiàn)在要去治，拿10萬(wàn)塊錢小意思，對(duì)吧？這個(gè)時(shí)候安全又變得特別重要。

可能在發(fā)展的時(shí)候，安全像一個(gè)奢侈品，我不想去做，等發(fā)現(xiàn)問題的時(shí)候，它又變成一個(gè)必需品，我又不得不去做。所以安全作為一個(gè)行業(yè)，有它內(nèi)在的發(fā)展上的困境，但是我覺得這些年大家意識(shí)還是不斷地增加。

南都：網(wǎng)絡(luò)安全行業(yè)的良性循環(huán)應(yīng)該是什么樣的？

于旸：我們實(shí)驗(yàn)室研究過(guò)很多漏洞，要是放在20多年前，基本上沒有任何一家廠商對(duì)提交漏洞是一個(gè)善意的態(tài)度。但是今天，可能大部分相對(duì)大一些的企業(yè)就會(huì)好很多。

所以具體到漏洞上，良性循環(huán)就是漏洞發(fā)現(xiàn)者、廠家、監(jiān)管部門三方之間有一個(gè)相較自由的環(huán)境良性循環(huán)，允許大家去研究。最理想的情況就是不要認(rèn)為網(wǎng)絡(luò)安全研究是一種特殊的東西，大家可以自由地研究，自由地發(fā)表研究成果，自由地交流，這樣就會(huì)有很好的一個(gè)發(fā)展。