马洪涛:接下来,我们要讨论的是一个关于电信诈骗或者叫网络诈骗的内容。大家如果有时间看中央电视台的3·15晚会的话,大家会发现这几年关于数字诈骗或者叫电信诈骗的案例特别多,信息安全成为中国消费者越来越关注的一个领域。

最近,我相信大家也都注意到一个新闻,有一个用户在一夜之间被盗取了所有账户,一夜之间背上了账务。骗子是通过获取短信验证码完成操作,一个晚上就洗劫了他的所有账户,而这种欺骗的技术有一个非常文艺的名字叫做“短信嗅探”。今天有一位发言嘉宾,他在六年前就揭示了短信嗅探恩技术,而且成本非常低廉。他来自著名的实验室Security Research Labs首席科学家Karsten NohI,他带来的题目,我看了一下没看懂。We will Never  be  Fully Secureand That is Good,字面的翻译我们永远没有办法完全的安全,但是挺好的,到底是如何理解这样一个题目,我们有请Karsten NohI给我们进行分享,掌声欢迎!

thum/20180828/5b85701def7ad.JPG

Karsten NohI:非常感谢,大家下午好,我感到非常荣幸来到中国这么高级别的一个峰会,在中国之外,我们听人们说中国的人才越来越多,因此我也看到中国的人才在不同的竞赛当中都崭露头角,非常感谢腾讯和互联网安全领袖峰会给我这样一个机会谈这样的话题,其实是两个话题的交差点,是我非常感兴趣的。我是一个研究者,我的公司叫安全研究实验室,我们主要是对黑客攻击进行研究。另外,我帮助很多亚洲的公司做安全工作,我自己的公司在香港也有办事处,因此我们帮助很多亚洲公司来实现安全。

thum/20180828/5b857027365db.JPG

下面我谈一个交差点的话题,关于安全性的研究跟安全性的实践。如何把这个知识运用为实践是非常困难的,尤其是在大的组织里面。

一开始我向大家提出一个问题,这两个人,大家觉得他们谁会最快的实现数字化?大家可能有自己的看法了,我也有自己的看法,等会儿在发言最后的时候,我给大家答案。我会先谈这两个人面对的不同挑战。首先,这个男人是来自印度,过去几年做安全研究是我的一个梦想,所以说我建立起一个公司。我的公司是绿地公司,我的办公室也在一片绿地里面,这个公司是在印度建立起来的,它首先要服务于印度,给他们提供数字的安全服务。这是一个非常好的创意,要把印度从没有互联的国家变成互联的国家,他是创始人,他把它称之为一场运动,他说要实现一种转变,转变整个印度。

thum/20180828/5b8570329346e.JPG

我为什么说这是一个安全研究的过程呢?因为我们看到不同的公司都在安全方面犯过一些错误,做过一些错误的选择。如果我们进入的话,我们只能改变它们的局部,但是这个大型的新公司一切都是新的就不一样了,这个公司从我的体验来说,我们从一开始按照理想进行架构,而且要利用我们能够利用的资源。因此这个公司也得到很快的成长,印度对于我来说规模是超大的,一切都很大,当然它只能跟中国相比,很多国家都没法跟它相比,因为它的人口也很多,能够支撑这种发展。谈到移动网络,我们知道移动网络在支付方面会起到很大的作用,我们开始利用移动网络发一些SIM卡,五个月以后我们就有5亿用户了,大家都开始拥抱这个新的技术。

现在我要来谈在安全的程度上,我们一开始要作出正确的选择。现在我们看一下历史包袱的问题,我们先看看什么样的问题造成了安全上的隐患,让我们看看。比如我们的4G网络,几年前4G是最新的技术,因为以前我们可能没有考虑过用2G3G,直接用的4G。因为跟现有的技术来说,当时的4G就是新的技术,那个时候它不存在,而且像这些协议,比如说这些协议以前也不存在,我们以为是这样子的。

thum/20180828/5b85703e114b6.JPG

我们在实施了这些协议之后,我们就会看到有些补丁是缺失的,这是一些来自于供应商的预生产的模式,因为它之前只是从十年前的什么东西直接拷贝粘贴这样过来的。现在的这些应该是全新的,现在的这些程序可能是来自于,比如说八九十年代,它们有些新的协议。又说到认证的问题,以前所有的东西都是同样的密码,有很多地方的密码都很相似。

现在我们在打造的是一个新的网络,用到的都是当时最先进的技术,但是依然会存在有几十年的历史包袱。你不可能所有的技术都是自己全新的技术,因为它必定会有一个很长时间的积累,这是技术上的问题。这也应用于移动网络。比如说我们有指纹认证。印度它政府有收集指纹,所以指纹就相当于是你的身份认证的信息,所以我们就想看看一些不安全的问题,比如说像密码,等等。

因为很快公司的规模就起来,有的人被钓鱼事件,他们就成了受害者。我们有了指纹认证,然后就有windows。我们看到有研究表明,在刚开始的时候当时觉得是开创型的工作,现在依然被看作是不过如此。但是在当时的时候,我们计算机的技术,可能大家的观点就是这样子的,比如说像windows就是这个观点,像安卓的手机也是这个问题。我们当时就觉得安卓的手机足够安全,它的操作系统也是比较新,但是它也有多年历史的包袱。

作为我们当时新创的公司,这些我们也解决不了,所以我们当时做的事情就是要看一看钓鱼状况,结果确实是非常的震惊。比如说你发一个钓鱼邮件,人家会把那个密码发过来,或者你用语音的方式它也会发过来几个密码,所以当时的情况非常不理想。当时我们看到的这种包袱,其实大家都解决不了,它不仅仅是技术问题,只要你跟人打交道,像十万人,这种知识的普及就是一个很大的问题。即便你是一个绿地的新公司,那也是要面临这些问题。

因为我们有这么多的问题,所以今天的观点就是没有一个公司它的安全级别是那么高的,因为每一个人都会处理到这些历史包袱的问题。我自己就是一直在做安全系统,你要是看现在的话,我可以说没有一个公司能够做到那么的安全,这个让我失望对吧?但是它也有好的消息,积极的一面。可能世界上一百多年或者多少公司都是很依赖IT的,它们可能安全级别不高,但是它们被黑客攻击的可能性非常小,为什么呢?

从学术的角度上来讲,我们希望目标特别高,但未必是需要那样子,因为每一个人都有这种不安全感,但是并不是说每一个人都会被黑客攻击。可能它就是一个中度的安全级别的话,就现在来说是够的,我们现在就问这个问题。如果大公司的安全,我的目标应该是怎样的?我应该怎么样给这个公司的安全做架构?

在印度,你要是招人做安全的话,那可能大家都看过宝莱坞的电影,都是这种形象,警察在公司巡逻,阻止人们有任何不安全的行为,你可能会问他们一些问题的话,不管说要不要用云或者要不要用这些技术,大家一般都是否定的回答,说要做测试。因为我们做安全,我们知道有些路障确实是必要的。从外界来看,他们的观点可能跟我们不一样。比如说对机场的安全,我不了解,我不知道它的规则,有很多规则是效率不高,我觉得可能对于很多人的旅行体验来说,这些原则可能会让人觉得有种刺探性的。

但是,如果说你不是做信息安全的话,他们会怎么看呢?就像我们今天,对于他们来说我们就是这场的安保,可能我们会让整个的进程缓慢下来,可能我们会怀疑什么,但是我们就是在做自己的本职工作,我们就是其他人的安保,这是打了一个比喻。这是我对安全的概念解释,尤其是在大公司如此。

我现在有三个步骤,第一个是我们在安全研究领域的这些人,一般来说都会是比较极端,有的时候我们的方向不对,这时候我们的

thum/20180828/5b857051307a3.JPG选择可能只是关注的级别不对的那些事件,这些研究人员希望是什么样呢?他们特别会关注新闻里面的消息,有的时候它会有一种不可预测的结果,比如说两年前有几个新闻报道,比如说苹果的IOS被黑了,有一个是用病毒,然后他们把它给到了政客,那个政客收到信息,他是中东的,他把这个信息没有打开,但是把它发给了加拿大一个政客,与此同时所有的苹果,当时差点全部都被感染了,但是所幸的是它在加拿大得到了及时的修复。这可以证明大家这种不安全性。

与此同时,我们要看一下FBI,我们知道FBI是花了几百万黑了苹果,有的小孩说给我几百块钱我就能把你黑了,就几百块钱就能打破。所以是什么?是很片面的,我们一方面看到了漏洞的可能性,它对实际是不是有这么大的影响,所以它把事情复杂化了。苹果补丁本来它的病毒可能会影响到全球的手机,但是我们知道,我们觉得肯定有很多人也非常了解,但是基本上来说,大家没有被攻击到,对吧?就是在使用苹果的过程当中。

还有FBI花了几百万黑了这个手机,但是有人说几百块钱就可以做到。比如你偷一个手机或者花几天、几周的时间在实验室,这可能就是几百块。我们看一下苹果是受到漏洞的影响,四分之三的苹果已经不安全,因为就在好几年前它们要防止这种攻击。我相信很当苹果用户看到这个报告都很有疑虑,从心里感觉这个报告这么吓人。但是换一个版本,他说苹果是伪装了一个漏洞,然后说可能会是怎么怎么样被修补了,或者说苹果两年前打了补丁修复了什么漏洞,这可能是另外一个版本,有可能成为苹果的一个非常令人骄傲的故事。

这个故事会有不同的观察角度,所以安全也是一样的。比如说安卓2也是有很多人都在批评它,比如说安卓的IOS的系统,但是我们知道安卓的系统非常不安全,可能有2%的安卓系统受到了攻击。但是如果说它要是真的发生的话,肯定是因为他可疑的渠道下载了软件,而且是免费的软件,对我来说这就不是黑客。如果说用户你要自己安装了这样的病毒的话,我觉得这个用户就是有点太容易被欺骗了,太容易上当了。

如果要是在windows的话,如果你没有扫描这个病毒结果出了问题,这是你的问题,还是windows的问题?这是平台应该关注的问题,如果你有可能被黑,这些机会是什么?有可能是windows系统,因为它被攻击的可能性比任何一个移动设备攻击的可能性都要大。还有人说windows跟昨天一样,就是那么被黑的。那windows到底有什么样地安全问题?所有的媒体关注,他可能关注的都是新的技术或者新的进展。我认为公司有的时候是根据媒体的报道来做决定,比如说他们只会关注那些最新的漏洞,媒体上的漏洞。

在我所介入到的这些事件当中,比如说移动设备一般来说不会在公司造成事件,我觉得这是我的了解。公司也知道要么是社交网站或者是windows一般会是造成问题的来源。但是人们依然会关注这些媒体的报道。我们几年前也做了一个研究,叫做Bad USB,就是坏的USB。你用这个USB插到电脑上大家就知道发生了什么,几乎每一个公司,如果我要把病毒给公司的话,我可能就发带有病毒的邮件发给十个人就可以了,我觉得这是造成我所想要的不好的后果。

我们现在看一看还会发生什么?如果说USB的话,有100个公司可能都会是关注这个领域,他们可能都会是忽略这些最基本的问题,比如说像windows的系统,它的脆弱性。

最后一个例子,也要说明同样的一点,大家等会儿也会听到Charlie Miller来讲同样的话题,他会提到一个对于吉普车黑客的行动,他写了一些文章,而且这些文章写得非常好。他讲了如何把一个车开到高速路上,然后黑客如何通过遥控指挥这辆汽车使这辆汽车最后掉到了阴沟里面。他的生活是充满传奇,充满风险的,跟我们的环境有所不一样的。如果是车撞到墙上的话,他可能已经死掉了。他会给我们讲自己受到黑客威胁的经历,这是很有感染力的一个故事,在德国,在其他的国家它们也开始解决这方面的问题。而且这个事件对于网络安全有了积极的影响。

我们知道现在出的工具,有关于汽车的,也要保证不光是防护黑客的袭击,还要注意道路上的安全,这也需要非常好的技术,这个技术也能够给我们带来较的安全性,使得交通事故、交通伤亡能够减少。我们相信自驾车它虽然现在还是初步的阶段,但是未来自动驾驶汽车会更加的安全,甚至是最好的驾驶者。

新技术能够拯救生命,包括在汽车方面,我们不能够延迟这技术的出现,我们正在德国做研究,如何利用一些新的技术,新的标准来实现自驾车给我们带来的更大的安全性。比如说有一种新的技术,需要三个月才能够上市,我们可以猜测三个月里面可能会有10万人在交通的事故当中丧生,如果我们能够把这个技术推出来,我们就能够减少这些伤亡的数目。

实际上我们三个月,全世界差不多有20万人死亡,因此新的技术能够给我们带来非常好的安全性的效应,同时也能带来其他的效应。因为我是负责安全性的,就是要负责认证一些产品,允许它们上市。如果你要延迟一个技术上市的时间,几周,一个月,对于公司来说可能不是大的问题,但是从安全的角度来说这可能是生与死的问题。

从我的角度来讲,安全团队经常考虑的是一些刺激因素,但是他们的思维不见得正确,他们愿意花钱来减少损失,减少黑客攻击的行动,通过投资能够减少黑客攻击,我觉得这不是安全团队存在的主要理由。为什么有些公司已经花到了今天的这样程度的资金,像是摩根大通它们如果只花现在一半的钱就可能每年会招致总额两亿美元的黑客攻击,这只是每一年的数额。如果预算做得很大,为什么很多公司做很大的预算解决安全的问题?刚才我给你们讲的原因,这是关于公司的未来跟创新,这是我们看到的显然的相关关系,创新与安全之间的相关性。

我觉得要想实现安全,你可能就会延迟创新的出现,但是如果你在另一端没有做好,你不照顾安全端,如果人们急于做创新,试了一次然后就不再试第二次,就把创新出来了,如果太过分的强调安全或者太少的强调安全都会对创新不利,因此要找到平衡,在我看来是一个好的安全团队的重要使命,一方面要引导一个公司去进行创新,另外一方面也要照顾安全。一个好的例子是我养孩子的实例,如果你要不上孩子接触任何危险的话,多数的危险都是在户外发生的,所以我就不允许我的孩子到户外去,决不许他迈出家一步。

疾病是来自食物的,所以我的孩子不能接触很多的食物,你虽然给或者一个非常安全的环境,但是不有利于孩子的成长,孩子也不是说你让他干什么,他才能干什么,你应该给他建立起围栏,他可以在外面玩,但是夜晚的时候不能去外面玩儿,不能到马路上玩儿,减少汽车、交通事故的可能性。

但是除了建立起这些围栏之外,应该给孩子足够的自由,让他们自我决定来实现幸福的成长。这就是安全团队在组织当中应该得到的对待,每一个组织应该允许安全团队去做试验,去决定以及去创造新的产品。当然了,要避免灾难,我们也要为他们建立起围栏,但是不应该干涉他们的自由。

我们再来回到刚才提出的问题,这两个人他们谁会最早的实现数字化?我认为是这个印度人,他因为还没有接触任何的技术,但是他通过政府给他的补助,仅仅花8美元就买了一个智能卡,他的SIM卡就是支付的手段。另外,他可以用新的SIM卡跟智能手机接触非常新的支付手段,仅仅靠8美元,5分钟的时间,他不受任何历史负担的羁绊,他能够处理的是像信用卡方面的问题。为什么要用电脑支付呢?他有指纹,用指纹进行支付就可以了,他在未来可能也不需要使用密码来进行验证。

密码验证是我们很多人用了很多年的,但是他不见得这样用,他可以在一个完美的世界里面实现数字化。因此全新的公司在发展中国家来开发自己的市场,如果给他们创新的自由的话,他们也会做出革命性的选择,更我们的客户,给我们的社会带来益处。我希望我们能够对待公司像对待孩子一样,允许他们嬉戏玩耍,但是避免他们进入到灾难的场景当中,这样我们就建立起比较有建设性的开心的关系。我就讲到这儿,谢谢大家。