本次峰会,我们有幸邀请到了腾讯玄武实验室TK(左一)、梆梆安全CTO陈彪(右一)、百度安全事业部总经理马杰(左二)、奇虎360首席安全官谭晓生(左三)、知道创宇CTO、COO杨冀龙(右三)、犇众信息(盘古团队) CSO李小军(右二)进行座谈。本环节由TK主持,各位嘉宾围绕“IoT与安全”展开了头脑风暴,思想的火花在现场碰撞。
从路由器到摄像头,从智能门锁再到智能汽车,物联网犹如一阵旋风迅速席卷全球。而物联网带来的安全问题,范围及数量也扩展至全球,永恒之蓝的余震还未消失,针对IoT设备的永恒之红又再次袭来。面对复杂的IoT安全问题,人们似乎束手无策。在这样的一个困境之下,安全该何去何从?
TK:大家下午好。非常荣幸能够在这儿主持下午的讨论。我以前也参加过很多的会议,一般来说下午到了这个时间,会场里面的人能留一半说明这个会是不错的,今天我非常高兴,基本上现在大家都还在会场里面。今天这个会议还是非常不错的。
看雪的会议还是围绕着技术议题来展开。刚才咱们最后的一个议题讲的是无人机,无人机其实是一个物联网设备,从去年开始有一系列的像摄像头和路由器等物联网设备被Botnet所控制,并对整个网络发起攻击,造成了非常大的危害。
前几年还是老安全人所谈的话题,如今变为整个社会所关注的问题。现在我们看物联网安全这件事情的时候,经常会觉得这件事情还是比较复杂的,而且觉得有很多的地方可以研究,但是仿佛又无从下手。那么在这样的一个困境之下,我不知道在座的嘉宾有没有什么自己的观点跟大家分享一下?
马杰:我们十几年前就做反病毒,自从这个PC病毒时代过去之后,好像咱们这波人也不太受重视,不太受待见,感觉IoT时代做逆向好像有点生存的空间了。从现在来看,我们不管过去这些年的哪个年代里面,在这个PC时代基本上都围绕着windows这些指令级的构成,这些指令的作用,当年很喜欢玩的东西。后来开始有虚拟机检测,有各种虚拟机的漏洞。到后来WAP时代各种脚本,一个时代有一个时代的事情。
IoT的到来感觉懵了,一个时代研究无数的事情。从病毒研究起,每一个芯片是干怎么的、怎么弄,不但硬的会,软的也得会,还得会焊电路,这个芯片焊得好再来一架无人机,这个无人机一台坏了再来一台?这个成本有点高。咱们自己也研究不起了,是吧。
我觉得到了一个IoT的时代,供应链很长了。本来供应链变长是好事,过去说变长好像是好事,容易入手;但现在又是各种各样的东西,但凡没有研究清楚的,人家也有防御,也有反射,研究很多东西没有办法真正搞明白这个事情。再往前IoT里面跟传统攻防不一样的,像机器视觉。这些是超出咱们原来一些攻防知识背景的范畴。那些东西可能又是我们希望学习的东西。
我认为这是一个特别有趣的时代,让我们又可以重新找到很多激情研究整个事情。对于我们自己的知识更新提出了比原来我觉得高得多的要求。怎么突破我也不知道,可能就看看雪了。我认为好处就是机会很多,听听后面几位嘉宾的方法。
谭晓生:后来搞了很多这些东西,到黑汽车、黑摄像头、黑洗衣机、电冰箱、空调、九阳豆浆机等等,黑了无数。之后很困惑,很多人问我,你们黑了又怎么样?
在去年的时候参加一个会议,跟一个分析师沟通,我说你怎么看待这个市场?怎么感觉这个东西没人买单,我们报告也发了,恐吓也做了,只有少数几个企业说请给我们做安全评估,每一个单只挣几十万块钱,真的连人力成本都挣不回来。
他给我讲了一个逻辑,你这个东西做得好最终要有人买单,一个看消费者的市场,今天讲的很多东西都是消费类的市场,消费类市场竞争极其激烈,成本很敏感,哪怕贵一块钱或者一毛钱,一百块钱的产品对这个利润率就很大。这个时候还可以归入家电的厂商,处于成本敏感不会花太多的钱,只要东西卖得出去。
用户买一个东西对于安全性是不是敏感?消费者不敏感,涉及东西设计漂亮便宜,品牌还不错,像这个摄像头分辨率参数更看重,安全性来说敏感度低一些。在这个商业竞争里面,不是能够决定这个厂商赢或者输的关键的东西。
另外一部分市场会受到关注的就是政府。政府要做到两件事情,首先老百姓要有足够高的满意度。首先要让老百姓有安全感,社会不能太乱。如果整个污水和清水混合在一起,电整天停,交通整个堵塞,那么这个社会是乱的,国家治理不好这个社会老百姓会造反,这个时候他要保证威胁,不管什么威胁都要保证不能乱。
另外政府不能被别的政府搞死,这就是国家跟国家之间的战争。像乌克兰这样的国家,2015年12月两次被搞了,不知道下个月会不会被搞,每年都被这么搞一把,恐怕这个国家也很悬,这样政府就有动机买单了。如果政府对关系到国计民生的IoT设备买单,不管对智慧城市还是工业制造2025年等等这些东西,最终都意味着有越来越多东西联到互联网。这种关系到政府生存,如果不用这些东西不发展也会死,发展了让老百姓觉得不安全也会死,或者邻国搞一个网站也会被搞死,国家会不遗余力掏钱搞这些东西。
以后的发展在安全设施以及关于国家电网、水电交通等等这些方面的事情。这个市场有一个特点就是特别慢,朋友们稍微有一点耐心,我2013年开始做这些事情体会挺深刻的,绝对急不得。可以熬得住,熬得春暖花开,你能够有收获的那一天。谢谢。
杨冀龙:说IoT就兴奋!IoT时代到了,安全人员的春天就来了。很正常,所有家电行业都在变化,都必须智能化,他们竞争多激烈,竞争这么激烈大家是不是只在乎功能?不考虑安全?考虑安全就需要找安全问题、暴露问题。系统很多,设备很多,问题很多。比如借助APP实现远程管理,而APP需要通过网站来发布,网站也有问题,这样设备网站APP都有问题。
前一阵子我买了一个专门煮菜煲粥的。可以伪造一个ID号发一个指令,2002就是这个煲粥开启的ID号。这个厂商我看他的网站写的愿景是让十亿办公白领回家就可以喝到温馨的粥,所以大家可以帮助10亿人煲粥。这不考虑到安全问题。
另外,如果一个空气净化器每小时录五分钟内容发到云端,并且在云端可以编辑目录。想想在卧室里面大家放一个空气净化器每小时录五分钟,大家可以脑补一下这个画面。
以前我们没有发现这样的安全问题,也就是四年前,当时某法院网站防护是用的我们云防御平台。有很多的攻击包,我们看到底是谁的,最后发现全都是摄像头。我们说摄像头怎么攻击法院?看一下,其实这是被黑客控制了的。IoT设备简直是黑客的天堂,也是安全人员对抗的一线。
还有一个说法是,不暴露问题就没有问题。这么多的问题大家暴露了,我认为大家的春天来了。
李小军:前面嘉宾都讲的差不多了,我在思考应该讲什么。我们公司最初从iOS做起来的,我们是偏技术性的公司。技术人员不会讲话,也不敢举手。
TK:他们已经派了全公司最不腼腆的一个人。
李小军:我们从手机搞起,做各个方面的安全东西,包括物联网的东西,我们其实也做过不少,包括汽车方面也开始搞,搞一些POS机等等。搞下来之后发现问题还是不少。研究人员原来可能也不是搞这一块的,原来可能研究Windows。
他说最近IoT比较火我就往那些方向,就买一些设备进行研究。一般人员研究这个可能觉得摸不到头脑,不知道怎么搞。我为什么搞了这么多的设备感觉还是比较好上手的。
几个方面,因为本身这些供应链这么多了,不管是一个监控设备,看看应用层面通讯协议看它怎么更新以及升级部件,现在很多物联网设备肯定是要固件、更新应用,更新应用如果做研究肯定从这一块开始搞,应用层面里,看看这个系统里面能否拿到更多的数据,是否可以录音或者能不能把这个卡盗了,能不能有一些接口探测探测,然后再抓包看看。
当发现这一块升级校验不严格,他就想怎么把这个程序怎么样放到那个系统里面,放完之后就研究更底层的东西,把你的这些系统文件dump出来。因为我们搞安全就是有这个习惯,我研究这个东西肯定一个一个看,把这些部件搞出来再看看这个本身,不管是手机还是汽车还是POS,这个系统里面肯定加很多自己的一些所谓的开发东西。
不管是服务类还是驱动层面的,这些厂商自己本身就不太会关注安全,这肯定会有很多漏洞,再到内容层面。很多时候都是从应用层面,刷刷东西,拿点东西等等。有一些金钱类的设备,其实本身在安全上面之前会做一些研究,要突破更深的防御层面需要从内核层面,像POS机本身是有安全芯片的,我要看看你的系统层面到底怎么样跟安全芯片交互,还有汽车的动力系统,从顶层最后还是跟到比较单一的设备了,其实是控制真正关乎到车的东西,都是从这边过去的。
我们最后研究的东西是要从应用层面一直打到底层去。从系统层面再研究,怎么样对这个设备造成的危害最大?能否控制汽车怎么样开车门?怎么样刹车等等,比如说POS机怎么样把卡盗了,如果要盗卡的话真的需要从底层把所谓的卡信息以及各种码抓出来。
我们搞了这么多,总结下来:最开始找到通道进去,进入系统里面,再把整个系统翻一遍,最后肯定是有办法可以达到你的目的。
陈彪:梆梆安全以前也做了这些加密的东西,物联网来到我们也挺高兴,我们主要是做逆向以及其他方面的事情。物联网来的时候,确实我们也做了很多的单子,尤其跟谭总还是有一些竞争的。
做车的时候发现有一些做的非常糟糕,我们安全人员过去一个礼拜基本上可以把这个车做到控制开关车,我看到这个报告的时候我觉得非常诧异:这帮开发人员到底怎么样做的系统?这个系统为什么可以做出这么多的漏洞?而且有一些漏洞基本上是非常难以想象的。长远来看我们解决这个问题的一个方式更应该是说我们总想着帮助我们的开发人员提升安全意识,开发的时候应该考虑到安全因素,而不是说只有功能的因素。得有一些检测机构做这些方面的研究。
梆梆安全也跟国家做一些相对标准研究,督促这个产品出来起码不能有特别弱智的安全漏洞。另外安全圈应该大力提升教育开发者,尤其是像今天所说安全开发者峰会,更多的是把我们的漏洞展现出来,告诉开发者为什么这个地方是你的代码有漏洞,让更多的开发者可以意识到:怎么样写更加安全的代码。长远来看才有可能把这个IoT的安全解决好了。
像刚刚所说的客户端,还包括以前移动端APP,以前的所有安全问题都有,同时还要加上一个设备的安全问题,硬件的安全问题,等等这一系列全部加上去了。对于我们来说,这既是一个挑战也是一个机会。谢谢大家。
TK:谢谢几位嘉宾,一般来说像这种讨论最后的一个,越往后越是难。因为一开始讲什么都可以,慢慢发现可讲的东西越来越少了。大家也听到了,其实每一位嘉宾都是从不同的角度讲出了完全不一样的东西。
通过刚才嘉宾们的发言,我们回头来看这个IoT,基本上可以简单的概括为:首先从技术角度来讲这是一块新的田野,有着很多的东西可以研究和发现。从商业的角度来讲,可能还需要耐心的等待。解决这个问题,可能不只是商业公司的问题,可能是需要商业界、技术界以及资本方面以及国家、政府几个环节上都是不能缺位的,最终才能够解决这个问题。
昨天还是前天看到了谷歌公司CEO讲了他的未来预言。他认为大概十年以后,向互联网的迈进差不多已经到一个很成熟的阶段了。这一天的到来,也许会比我们想象的还要快。
刚才在各位嘉宾的发言里面,其实大家可能也听到了,开发者,就是现在物联网设备的相关开发者。严格来说就是任何安全问题,开发者具有一线的责任,可能后面还有人是有责任,但是开发者的责任是逃不掉的。安全编程是一个很老的话题,具体到物联网上面会发现,好像这个问题比较突出。有很多嘉宾都讲很多东西很容易发生问题。
传统的软件开发者,今天来看,无论是移动上的软件还是PC上的软件,跟物联网相比感觉问题相对来说没有那么多,这个原因是什么?像类似于加密算法这种东西,作为程序员必须要掌握的各种加密算法。加密算法,我们也看到了在物联网上的使用,在使用过程当中由于程序员对加密算法安全问题不了解,存在误用也会引发一些问题。
这里面事实上不是我们讲的那种狭义上的安全编程的问题,而是因为你对于一些知识的不了解。都不是说你的无心之错,而是你根本不了解这个问题导致的。可以说,这个里面是有一系列的问题。
今天我们也是安全开发者大会,就这个问题,我们有没有什么好方法,在企业内部也好,或者从其他的角度来也好?在研发管理特别是对于物联网相关的一系列问题,能够有这样的一个小角度,可以出一个小小的主意。我认为就非常不错了。
马杰:百度把公司的未来定在AI上面,这是非常关注的事情。商机我认为会到来更快一些,比方说像商业特别的公司会买单了,欢迎大家找我们来买单。前面几位嘉宾也说到了,过去传统安全面临的问题都会出现,因为是全系列的,还得加说硬件相关可能会出现的问题,因为这个里面会用到机器视觉、深度学习算法等等,还有这一块领域的东西。这一块领域,刚才我们可以看到乐观的一面,确实这个水平比较低。我想咱们不是为了停留在低层次的,我也很希望我回家以后老杨已经帮我煲粥了。
我还真觉得咱们这个行业从来不变的一个真理就是不断的学习,每次跟TK聊天他就在研究新的东西以及新的思路。现在摆在我们面前就有有很多的新的知识,我也在恶补关于深度学习的内容,因为很多关于机器识别的攻击已经出现了。
前一段时间安全实验室在会上公布了一个虹膜识别的破解,拿相机拍一张你的照片,瞳孔放大一下打在一张纸上略微处理一下虹膜识别一晃就骗过去了,这是开发人员对安全无知吗?他只是调了一个虹膜识别模块,做识别模块可能是一些算法的、是一些做数学、甚至一些科学家,对人类社会有美好的向往,不像咱们总看到阴暗的一面。他没有想到的攻击面,这个问题属于谁,是因为整个产业链变得长了,这么多高智能放进去之后就是有很多的问题。我认为没有好的方法,就是我们每个人都得去学习更多的东西,使我们自己知识体系贯穿起来,整个问题才不会受限。
今天举非常典型的例子,如果进行正确了配置,加密通道正确走了是没有问题的,但是像我们之前所做的大范围的不管是门锁车锁的破解,都是对这种东西的误用。在咱们熟悉范畴之外,比较容易理解哪儿配错或者哪儿用错,再往前的人工智能,机器识别算法里面我们都不知道是为什么这一堆点就识别出来这么一个东西。我们都不知道这个攻防如何做,这个尤其需要更多的学习或者说更多的交流。因为这个领域变长了之后,我不懂就问一下大家。学习和交流是我可以想到的可能唯一的这种途径,因为实在这个路径太长了。
谭晓生:我对这个问题相对比较悲观。咱们虽然今天的论坛主题是安全开发,但是你看看全世界把安全开发思想当成开发要求的公司有几个?基本上都是超大型公司在做。因为他不做,他出的事,对他的损失太大了,影响他进一步变大甚至生存不下去,大公司一旦出了问题会影响非常之大的。
在座这么多人,咱们可能在国内搞安全,尤其是做逆向的圈子里面,已经被筛选出来最前沿的人。在这个之外大量人是分层的,天生悟性不一样。像TK这样不断学习新东西的人少之又少,放到整个人群里面最后算算1%可能都不会到。
今天这个世界对于软件需求量越来越大,完全不靠谱的程序员最后还是被用起来。每年毕业的高校的计算机专业学生到底有多少,真正写好程序的人能有多少?按照你们自己过去的经验,你的同学里面写的代码,你看得上的有几个?但是他们不是都找到了工作?就像粮食,那么多汞超标铅超标的粮食不也被吃掉了,因为这个市场有需求。对诸位是好消息,我们完全不用担心失业的问题,非常多的人继续给我们产生新的漏洞。
如果通过正向的方法,人就几种,一种你不说他也会干;一种他不知道这个事,你给他说的这个事好他会干;还有一帮人说了也不会干,那是绝大多数。安全开发我们鼓励等等各种方法解决,也不太管用。可管用的方法就是你们发现了他的漏洞曝出来了,最后他发现这个洞不修就过不了,这个公司就坚持不下去,得照这个方法来做,虽然这种方法不招人喜欢。
像汽车,不止一个公司都黑汽车,我那边也黑了很多汽车,现在为止战无不胜,很多车厂都变成我们的客户。我们黑了没有办法公开发报告,但是告诉大家战无不胜。这种情况下,如果不是说我们第一个黑了特斯拉,车厂打死也不承认他们的车不安全。只有打脸,打脸之后非常不招这个人待见,但是为这个安全做出了贡献。
靠这个倒逼可以让情况好一点。政府觉得这样不行,合规性的要求逼着大家改进。大家想想咱们国家以前出的插座插头很多不符合国标,后来因为有规定,会查抄,会受处罚,就是这样解决的。这是一个主要的渠道。
还有依靠产业链条的进步。如果说能够出现大的产业,某一个链条上,比如说芯片的供应有几家大公司,他们处于竞争状态,他们的芯片安全是否可以解决?比如说开源软件广泛使用,这么多互联公司都用这个开源软件,大家共同用一个软件的时候更多人改进他,有可能在比较短的时间相对来说改进比较好一点。通过产业链条的赢家统吃聚积化,在物联网的这个领域内暂时还不能很确切的看到这一点,只是说有这种可能性。谢谢。
杨冀龙:我上大学的时候找兼职,先去日本外包公司写程序,写完程序之后老板问:“功能通了没有?”我说通了。过了一周,老板问我:“那你现在是干什么?”我说写程序。他说你不是第一天就通了,我说对但还出了很多异常。老板就拍着我说:“功能通了不就完了,怎么还处理异常呢?”安全问题是处理异常呢?
现在所有物联网公司都在强势进入抢地盘。安全问题的处理靠程序员是太难了,有两种可能性:1、先出问题。一定是先污染再治理。首先充分暴露问题,暴露了问题,我们公司也有漏洞平台大家可以看看,还可以悬赏,很多人在花钱买东西看。2、发现很多安全问题。很多东西都有问题,物联网的设备也有问题。我们之前很多客户后来发现这个云端,连接到APP控制端以及设备本身,在云端做一些防护的话还是能很有效的解决安全问题。大家最初知道物联网安全是什么时候,不是漏洞而是mirai僵尸网络。某一个共享单车,在某一个省全都打不开了,为什么,因为这个省只有一台服务器,但这个服务器被黑客攻击了。还有国内非常大的物流公司,突然一个月都看不到他们的包裹信息,为什么,被黑了。像电饭煲根本没有考虑这个安全问题,否则全国人民都煲了粥。
这个从编程考虑是不太现实的,需要第三方的服务公司来做,在座这几位都是做第三方服务的,专业事情应该交给专业的人做。各位也是专业人,智商低一点的人犯错误,智商高一点的收他们的税。恭喜在座各位,以后可以收智商税了。
李小军:回归到加密算法,我们本身来说很多时候安全运营是自己涉及到加密算法,有的时候研究不是特别透彻。讲一点我们平时做的测试分析的经验。很多时候这些算法、文档大家可能都会看,看的时候可能也不一定非常透彻,就会看一下它有没有Demo代码,我自己写程序的时候就把这个代码扒下来,就抄一抄,就用了。很多时候这个Demo代码本身做的不是很严谨,他就是给你举了一个例子,这个本身里面就有一些安全问题。
我个人建议:大家学习或者用这些代码的时候,抄这些Demo的算法最好按照原来解释仔细看看,这是我从技术方面的一些小意见。
陈彪:前面都讲的挺好的我不知道怎么说了,我确实挺同意谭总的说法,安全人员通过倒逼的方式让甲方们知道写安全程序的好处,确实是一条比较好的路径。这样的话,我们逼久了他们估计也可以写出好的结构。
长远来看,IoT这一块对于我们安全人员来说是一个比较好的地方。这个里面的洞比较多,我们通过这种方式倒逼开发者提高他的水平,我认为目前来看这一条路是比较可行的一条路。谢谢大家。
TK:这两个问题应该说都是和咱们今天的大会密切相关的,我本来希望咱们在最后的讨论环节可以讲一些离技术远一点的东西,但是没有想到几位嘉宾发言的时候还是讲了很多技术的东西。几位嘉宾虽然现在都不在一线了,大家之前都是做技术的。我们这些年纪比较大的人,虽然现在很多人不在一线了,但安全界有一个特点是很多人都是从一线出来的。
今天我们想谈一点技术之外的东西,大家发现嘉宾谈着谈着还是讲着非常具体的东西。我听了之后有一个感受:嘉宾们都在鼓励大家,首先肯定了这个方向,让大家努力多搞一搞,搞一搞不光是自娱自乐,而且还利国利民。今天这个环节就到这儿了,谢谢到场的几位嘉宾。