周鸿祎造网战“预警机” -天生赢家凯发k8国际

2019-10-24 卢泓言公众号

  二战早期,英国人首先发明了雷达。这直接帮助英国在不列颠空战中打退了德国。雷达的功能是“看见”,防止敌机偷袭。如果没有雷达,就要派出战斗机前进到至少二百公里以外的地方巡逻。
  
  雷达的缺点在于难以辐射地面。敌方战斗机可以贴地飞行而不被发现。二战后期美国人造出了预警机,弥补了雷达这个缺点。预警机升空,可以无死角把几百公里内的空域监视住。一旦敌机来袭,可以为后方提供反应时间。
  
  90年代海湾战争,中国开始意识到预警机的关键作用。把预警机的研发提到登月和核武同等重要的位置。现在,全球最先进的预警机技术掌握在美、俄、中手里。
  
  近一年的周鸿祎,孜孜不倦的推广一个理念,“网络战争已经悄无声息发生在我们身边”。前天在乌镇推介了“全视之眼”。这就是网战中的“预警机”,可以“看见”网络攻击,并启动应对。
  
  周鸿祎一直说。网战中,看见是1,其他都是0。看不见,堆再多武器都是白瞎。
  
  09年,伊朗纳坦兹核燃料浓缩工厂的科学家们苦思冥想几个月,仍然束手无措。他们用试验排除了由机电故障引发的可能性,还将工厂的离心机数量翻倍。但浓缩铀的产量仍然停滞不前,甚至每况愈下。
  
  最后,他们在一台装有控制软件的电脑上发现了带有恶意软件的u盘。这包括了两个事实。一是有内部人被买通,插上了这个u盘。一是外来的攻击瘫痪了系统。病毒最终导致1000台铀浓缩离心机废弃,直接摧毁了伊朗“核计划”。
  
  一国的兴衰强弱,竟然就系在这一个u盘上了。
  
  后来伊朗人知道了,一个名为震网的秘密软件一直在暗中干扰。震网的出现,标志着具有“超级破坏性”的网络武器登上人类的历史舞台。人们惊惶地发现,虚拟世界的网络攻击可以摧毁现实中的钢铁机器。
  
  攻击之所以能得逞,与“0day漏洞”息息相关。0day漏洞,就是还没有发现的漏洞,还没有补丁可以升级以封杀的漏洞。相当于你的盔甲上有一块破洞,你自己不知道,但对手知道。
  
  震网设计者精心构置了微软操作系统中4个在野0day漏洞,并和工控系统的在野0day漏洞进行组合,实现了精准打击、定向破坏。
  
  震网之后,apt(高级持续性攻击)组织开始浮出水面。他们利用最先进的攻击手段对特定目标进行长期持续性网络攻击,其背后往往是国家级的“网军”。这几年360累计发现40个apt组织,其攻击涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施行业。
  
  0day漏洞颇受apt组织青睐。因为它不可预知,所以极难防御。2018年11月25日,乌俄两国突发“刻赤海峡”事件。4天后,360安全大脑第一时间发现了一起针对俄罗斯的apt攻击。其相关样本来源于乌克兰,攻击目标指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者利用了常用软件flash的 0day漏洞。
  
  可怕在于,0day漏洞“无处不在”。它可能隐藏在任何一个稍有规模的软件系统中。一般平均每一千行代码中就存在着4-6个漏洞。当下万物互联时代,各类基础设施联网后,漏洞的危害也随之闯入“物理世界”。
  
  2015年圣诞节期间,乌克兰国家电力部门受到apt组织的猛烈攻击。乌克兰西部140万居民在严寒中遭遇了大停电,城市陷入恐慌,损失惨重。2019年委内瑞拉遭遇全球最大规模的“断电袭击”,停水停电、地铁停摆、电信服务、网络接入服务中断。
  
  “看不见的才是最可怕的”。这就是0day的真正威胁。
  
  铺垫完了。现在来介绍360的预警机,“全视之眼”。就是它来负责“看见”。
  
  思路一。0day漏洞无处不在,那要“看见”所有0day漏洞几乎不可能,也无必要。既然如此,那要看见什么呢。是的,看见攻击。“凡走过,必留下痕迹。”任何攻击都会留下痕迹。
  
  思路二。攻击分为三个阶段。漏洞的触发、利用、扫尾。比如,因为某种原因而发生越界访问的这一刻,或者释放内存后再次去使用这个已释放内存的时刻,就是触发时刻。接下来,通过精心设计的数据,比如利用漏洞改变了控制流程,或者修改了系统关键数据,这就是利用阶段。最后,植入并持久化的工作。在这三个阶段都难免伴随着一系列的异常行为。要看见的就是这些异常行为。
  
  思路三。要看见所有的异常行为,必须有最底层的权力。要一望无遗。360的天生赢家凯发k8国际的解决方案是造全网安装的虚拟机系统。可以理解为,虚拟机是更高层特权的管理软件,比操作系统更高,所以才能监控操作系统内的一举一动。360的虚拟机监视器运行后,原本的windows操作系统就变成了一个guest系统,受到控制。
  
  思路四。虚拟机有了,它是被装在pc和服务器上。具体的渠道,比如安全卫士里的核晶引擎就是其组成部分。目前还不支持手机,需要与手机厂商合作才行。
  
  思路五。既然虚拟机有最高的权力,那么有监督才能被信任。政府和行业都可以监管,有兴趣的技术人员都可以分析研究。周鸿祎最近布道,要行业协同,而不是相互竞争。有意思的是,今年乌镇周鸿祎跟360分拆出去的奇安信老大齐向东合了个影,发到了朋友圈。
  
  思路六。在国家安全层面,本质上虚拟机打破了苹果、微软、谷歌等美国公司对操作系统的垄断控制。
  
  这一套东西,说起来轻松,具体做出来却是难。比如具有最高权限的虚拟机,诸多企业都想做但还没做出来。这需要长期的专注和投入。
  
  周鸿祎五六年前在江湖里就很得意,说中国顶级的黑客至少一半在360。现在看来确实。前一段微软发布最具价值黑客排行榜,360占前两位,前50里有7个,世界第一。
  
  现在“全视之眼”已经应用于数亿个人用户和大量政企单位,每天感知异常行为超过5亿次,阻止了几十起apt。

热点新闻

  京公网安备 11010502042662号

 
网站地图