5月16日,新京报寻找中国创客请来了中国网络安全防卫领域的四位顶级专家参加讨论
孙大伟 青松云安全CEO
孙晓骏 360集团助理总裁
胡洪涛 苹果天使基金创始人
杨坤 长亭科技联合创始人
创客饭局
“创客饭局”是新京报创客报道部和我们视频联合主办的创投全媒体栏目。定期围绕一个创投话题,邀请创业者和投资人聚餐讨论,以直播+图文报道的形态展示给受众。关注寻找中国创客公号(ID:xjbmaker),查看更多饭局信息。
5月12日起,名为WannaCry的网络勒索病毒在全球多个国家爆发。至今,已经有超150个国家受到网络攻击,导致包括学校、医院和银行等机构在内的数十万家机构或组织的网络系统崩溃。
虽然有多个权威机构称,目前WannaCry病毒蔓延势头已受到控制,但另外一边关于WannaCry变种病毒2.0版本的传闻也不绝于耳。面对勒索病毒,我们到底该如何防御?如果不幸中招,应不应该支付比特币?这次勒索病毒攻击对于纷繁复杂的网络世界到底意味着什么?创业公司又该如何接招?
5月16日晚,新京报寻找中国创客请来了中国网络安全防卫领域的四位顶级专家参加讨论,解读勒索病毒全球肆虐背后的故事。他们分别是苹果天使基金创始人胡洪涛、360集团助理总裁孙晓骏、长亭科技联合创始人杨坤、青松云安全CEO孙大伟。
Q1 为什么勒索的是比特币?
孙晓骏:黑客之所以要求用户必须用比特币支付,是因为比特币的关注度和知名度比较高,这是重要原因。至少在匿名货币里,现在比较通行的还是比特币,黑客挑一个名气最大、交易最方便的很正常。
孙大伟:比特币的典型特点就是去中心化,无追踪,目的就是我不想告诉你,是我攻击了你,要你通过一串隐匿的电子钱包把比特币打来。其实这个市场是20%的人拥有80%的比特币,这20%中还有一半是黑色产业。所以我觉得这是庄家故意哄抬交易价格,他其实收不了太多比特币,但大部分比特币都在他自己包里,通过整个黑色产业不断地提高自己的庄家收益。
杨坤:我个人不太认同大伟的说法。因为勒索病毒爆发后,比特币的价格并没有飙升。利用比特币交易这件事对比特币本身是负面的,因为它被用在了一个不正当的途径。我相信各国对这个事情肯定会有所顾虑,一旦未来比特币被更多地用于不正当方面,那很可能引发全世界各地对比特币交易进行封杀,这样有可能导致比特币破产。其实当你需要把比特币兑现成法定货币时,必须通过一个交易所,这完全是一个可追踪系统。但有一些服务商帮客户洗钱,通过大量的交易,不同的账号倒来倒去,使追查变得非常困难,让比特币具有了一定匿名性。
胡洪涛:大量拥有比特币的利益集团是这次幕后主使的可能性有,但并不大。黑客一般不会考虑那么多,黑客思路是跳跃的。除非背后还有策划者,这样他还会做多次事件。这是站在金融角度的分析,就像股票市场的操纵,是集团或是聚集了一帮人操作一只股票或一个行业的股票,通常不会是单兵作战。所以我觉得这种可能性有,但是现在还判断不了。
Q2 被攻击后要不要支付赎金?
孙大伟:其实你交了比特币后,黑客也不一定能给你恢复电脑。每一个中毒软件都有一个唯一的C钥,黑客一般没有系统化的数据库能够分辨该把哪个C钥打给哪个人,可能他们拿到C钥也开不了自己的锁。360出了个讨巧的小工具,只要磁盘空间没有被重启就可以把被删掉的文件恢复出来。但是它也限制文件的大小以及磁盘空间的连续性,这也是目前唯一可行的办法。
孙晓骏:还真有打了比特币,然后文件被恢复的,但是非常少。其实,打了比特币恢复了和没恢复的两种情况都有,关键看样本病毒的设计。像这次只要有人拿到了主钥,所有人都立即可解。
胡洪涛:站在个人的角度,肯定是会考虑数据的价值,如果价值特别大,仅此一份,肯定要付。FBI都被勒索过,他也照样付,不付没办法,但是站在群体的角度,确实是能不付尽量不付,不要支持黑产。你付了之后也不一定真的能解开,有兼容性不好,文件被破坏,道德因素等原因。
Q3 病毒爆发后谁的损失最严重?
胡洪涛:这次勒索病毒爆发后,中国应该受损最严重,主要原因是中国的专网太多了,这些专网的管理包括信息化建设水平相对来说比较落后。
很多内网445端口都没有在防火墙上,服务器上的数据是最重要的,服务器应该受损失最大。
当然,也有股民因此而受益,周一,拓尔思、启明星辰、北信源等网络安全概念股全部涨停,周二在大盘普跌的情况下,任子行、格尔软件、数字认证、北信源等26家网络安全概念股的股价依然坚挺,持续上涨。
杨坤:我看到一个数据,是说受损最严重的是俄罗斯,第二是中国,第三是乌克兰,第四是美国。
对于中国而言,可能医院受影响大一些,因为关系到疾病治疗,人的生命安全总是要比财产安全重要一些。
孙晓骏:中国的受损是非常大的,尤其是专网受损严重。中国的硬件、软件的普及率都非常高,但基数大,非常低的比例受攻击都会造成非常大的影响。
其实不管是政府单位受到攻击还是个人电脑中毒,最终受影响的还是普通用户。
Q4 幕后主使会在朝鲜吗?
孙大伟:福布斯报道说,谷歌和卡巴斯基安全实验室经过研究发现,勒索病毒的幕后黑手可能来自朝鲜。我觉得不太可能,我没去过朝鲜,但从外界报道来看,我觉得在整个技术演变的平均水平上,朝鲜的竞争力应该不大。
我知道朝鲜玩游戏玩得非常好,之前养过一批代玩游戏的人在外面挣钱,但是好像没听说过他们用病毒做攻防。
孙晓骏:有消息说朝鲜没有遭受此次勒索病毒攻击,也不能说朝鲜的水平就特别不好。
当然也可能是因为攻击者没选择去攻击朝鲜,还有可能是因为他们的网络设施的特殊性,是与外部隔绝的,也可能他们感染了,但我们也不知道。
我觉得卡巴斯基可能掌握了一定证据,但我们确实没有掌握到朝鲜相关的证据。
杨坤:实际上最早判断这个病毒是来自于朝鲜是因为这个病毒当中有一部分代码跟曾经另外一个病毒里的代码是极度相似的,所以大家开始怀疑这个病毒的作者跟以前那个病毒的作者是不是一样的,都来自朝鲜。
很多媒体都关心,这个是朝鲜做的的可能性到底有多少。看到“TK 教主”于旸(注:国际顶尖白帽黑客、腾讯安全联合实验室玄武实验室负责人)发了一个段子,他打了一个比喻来解释这个问题:假设说有两个小偷,分别在不同的地点偷了不同的东西,都被监控拍下来了,只看到了他们胳膊上有一个文身,文身是一模一样的。大家想一想,这两个人是同一个人作案的概率有多少。
Q5 幕后黑手是赚了赔了?
杨坤:背后的黑客是赚是赔不好说,因为整个攻击过程牵扯到一套完整的利益链,制作样本的是一个团队,散播样本的可能是另外一个团队,整个产业分工是非常明确的。这次攻击,对于制作样本的人来说肯定是赚了,对于使用这个样本的人来说很可能就赔了。
孙大伟:这几天勒索病毒爆发后,比特币的价格一度突破了10600元,黑市价格还远不止于此。如果攻击方事先大量囤积了比特币,然后通过攻击勒索引导比特币的交易走势,那它的主要收入来源就绝不是勒索款本身,而是存量比特币的增值。
Q6 遇到的最难缠的网络攻击是什么?
孙大伟:WannaCry病毒是我遇到的一次很难缠的网络攻击,它可能完全无解,对方不给你主密钥,你真的就解不开。黑客只要一点攻破就可以了,比做安全、全面系统性的防御简单多了。我之前还遇到过一些难缠的网络攻击,比如DDOS攻击真的很难搞。我们今年遭受的最大的DDOS攻击已经到了1.2T。
孙晓骏:在360遇到的最大挑战不是某一个技术单点,而是达成系统的安防效果。一个厉害的技术往往也带来较大的使用风险,所以最难的是安全体系的设计和最终搭建。网络安防中,真正难点是在各种各样的用户机器和环境下,把问题大规模地解决掉。
杨坤:我们在帮客户做安全防护时,还没遇到特别困难的病毒攻击。但是以前打CTF对抗赛(夺旗赛,网络安全技术人员之间进行技术竞技的一种攻防赛)时,遇到了一些厉害的对手,他们有很强的漏洞挖掘能力,并写成军用级别的武器。此时,就只能先挨打,再根据它的流量找到漏洞去修补,再去攻击。这对团队应急响应能力的考验非常高。
胡洪涛:现在网络环境越来越复杂,重要的数据和资金越来越多,支付手段也越来越多样,攻很容易,但是守特别难,而且会越来越难。早期我们是做一个防火墙进行物理隔离,现在隔离不上网已经不现实了,而且就算隔离了也不一定有用了。
现在黑客分三个层次。第一个层次是利用用户的系统漏洞、网站漏洞等进行攻击;第二个层次是想办法搞到邮箱密码或者其他密码,再去试用户其他账户的密码;第三个层次是利用人的安全意识薄弱,发个钓鱼邮件或者QQ文件,让你中招。一个是系统级的,一个是账号级的,还有一个是安全意识级别的。如果人的安全意识很弱,那么其实所有的防线都没有意义。
孙大伟:对,利用用户安全意识薄弱进行欺骗其实最简单。比如我伪装成你的家人或者快递员,给你打个电话,套一下你的家庭住址,或者邮箱密码。
Q7 对创业公司有何影响?
张大伟:对于互联网创业公司而言,安全是成本中心,不是利润中心,所以他们对安全的投入不是持续的,可能是一次性的,某个事件或领导意识去催化的建设。对于这种用户来讲,放在一个较长的时间周期中,他们肯定要为此付出安全代价。为什么美国的企业安全做得比中国好,是因为美国的信誉成本极高,但在中国极其低廉,这就使得企业没有很强的自驱力,所以还需要整个国内商业环境的改善。有幸的是,国家对于专网空间的整治已经开始了,有很强的权责评估体系。
对于创业公司而言,可能业务更重要,对于大公司而言,已经形成了稳定的业务增长,安全是保障业务持续运行的前提,所以他们愿意投入大量的人力、物力、资金来保障企业网络安全。
胡洪涛:从投资人的视角,对于网络安防类的公司是否值得投资,我一般主要看五个要素:技术、商业能力、学习能力、创始团队人品、眼界。此外,大方向是否符合行业规律和发展趋势也要考虑,比如你现在再去做杀毒就有点困难,就算要做也不能和360做一样的产品,得有创新。
孙晓骏:面对WannaCry这种事件,我觉得网络安防类的创业公司应该会高兴。不管什么规模的公司,看到跟自己相关的领域有机会,都要去把握,我们不是机会主义者,但平时做好基本功,一旦有机会了就抓住了。
杨坤:对于像我们这样的安防类创业公司,当你真正看到这样的机会到来的时,还是挺高兴的。至少通过这样一次惨痛的教训之后,很多未来的资源、资金的投入就会渐渐到这个蛋糕上面来。所以从长远角度来说,创业公司包括投资人都是很高兴的。
Q8 手机有没有被蠕虫病毒攻击的风险?
胡洪涛:智能手机其实和电脑一样,也有操作系统,同样会受到攻击。而且各家厂商都改了自己的版本,一改就有可能引入新的漏洞,未来不管是安卓还是iOS系统的手机,被蠕虫病毒攻击都是大概率事件。还有,未来黑客会选择攻击手机跟现在大家用手机支付有很大关系,所以不管黑客是转移支付还是勒索都会出现,并且应该已经有了。
孙晓骏:不仅仅是手机,其实苹果电脑也会受到攻击,只不过不会受到这次同样样本的攻击。苹果之前也遭受过勒索,曾经爆发过勒索软件。
杨坤:苹果系统也可能遭受蠕虫攻击是因为它和微软一样,都存在漏洞。但目前来说,我觉得在漏洞缓解技术方面,微软要稍领先于苹果。在漏洞缓解技术上,各家厂商会设计一些防护机制,让攻击者很难去利用这些漏洞。好比这次WannaCry使用的微软漏洞,它在WIN7、WIN8以下的这些操作系统里面很容易被利用。其实这个漏洞在WIN10里面是同样存在的,但微软在WIN10里面引入了像CFG这个保护机制,使得利用这个漏洞的难度增长了很多。同样,在苹果操作系统里面也有这样的保护机制,但是总体来说没有微软那么多。
(责任编辑:张洁欣)