周鸿祎：未来勒索病毒会变成什么样？这个世界会好吗？

但是现在到了 2.0 时代。由于大家都警惕，不随便运行程序了，这时候黑客利用漏洞的方法就变了。诱使你看一张图片，打开一个网页，或者收一份excel、PPT，你感觉它就是文档和数据，又不是运行exe，但因为你的看图软件或者 Office 软件有漏洞，黑客通过图片和文档精心构造的数据，简而言之把数据变成代码，相当于这个图片也可以执行，这个PPT也能执行。在你的机器里就能运行起来，就能干坏事了。

这次这个“永恒之蓝”武器的漏洞最可怕的是利用了 445 端口，你什么操作都不用做，你只要电脑开着机，电脑连着网，这个病毒在另外一台设备上，就相当于给你的 445 端口发包就能控制你的电脑。要没有高级漏洞的配合，这在正常逻辑下是不可想象的。

2、反过来说，什么情况下会有漏洞?

漏洞是程序员的编码错误，但是人就会犯错。总有人攻击微软，说微软故意留后门。但其实微软不用留后门，Windows 的复杂度之高，到了每 1500 行，必然伴随一个漏洞。这个漏洞可以认为是程序的错误，但这个错误又不足以让程序崩溃，也可以正常运行，但你在输入某种奇特的数据组合情况下，可能让你的数据崩溃，可能会引发一些非法代码的执行和非法权限的获取。

所以，你无论是Linux、Android、iOS、Windows，只要用户多了以后，代码越来越多，功能越来越复杂，就必然有漏洞。这些漏洞开发者本人也未必意识到。

Windows 代码源码应该是千万行级别了，所以，很多国家政府老说，微软你到我的国家来，你必须把源码备份和对我开放。微软说好啊，源码给你，给你刻多少光盘。任何国家有能力看吗?微软的很多老工程师都退休了，我相信新的微软工程师也没有能力把浩如烟海的老代码过一遍。

Linux 也一样，今天 Android 手机的底层是 Linux，iOS 的底层是 Unix，Unix 是Linux 的一个变种。他们都有漏洞，要不然苹果就没法越狱，Android 就没法 Root。

所以国产操作系统哪怕用的是Linux，哪怕你不用Linux，只要你自己写的，只要你达到了一个 OS 该有的都有，你的代码复杂度也至少是几十万行代码，你可以算算你有多少漏洞。

你只要有漏洞，唯一的方法就是祈祷不被人发现。如果你的用户量小可能还没有人发现，你的用户量大了就有人研究这些来发现它。所以，没有任何系统是安全的，这是由人性决定的，人就会犯错。

今天如果有专家说我们发明了一种方法，可以保证系统永无漏洞，永远不会被攻击，我觉得这是不可能的，因为它违背了物理定律。有很多民间科学家经常讲永动机，永动机违反了“热力学第二定律”，我们以后在安全里也定义一些类似的“第二定律”：

没有攻不破的系统，没有没有漏洞的系统。

四、隔离是最落后的安全理念

既然有这么多漏洞，那么我们是不是不和互联网连接就好了呢?恰恰相反。

这次勒索时间暴露出来的一些非常严重的问题：所谓的内网的理念被证明彻底落后了。

这几年我们一直在讲内网其实并不安全。在互联网早期，内网把一些企业网和互联网隔离开，被认为是一种非常有效的简单的手段，就认为只要隔离了病毒就进不来。但这次病毒恰恰中，恰恰内网这次反而成为了重灾区，这是为什么?

现在所谓内网隔离，因为有了各种无线互联网设备而变异了。比如随身Wi-Fi，随便插到电脑上就能把电脑变成一台路由器。虽然有内网了，但要移动办公，所以也会提供无线接入。有了这些无线接入都使得你的内网的边界被打破了，等于暴露了很多的攻击面。

你有再多的规定，一定有很多人不遵守你的规定。很多人为了省事。比如我们知道某大型国有企业规定“内网连接外网次数不要超过几次”。其实不需要几次，连接一次就有可能中招。还有很多人带了U盘、手机，通过USB和电脑相连，这些东西都会成为传播介质。

内网最大的问题，大家意识上觉得内网是隔离和安全的，反而内网上和很多连接互联网的设备相比，内网往往完全不设防。很多正规的安全软件没有装，要么很多功能是被阉割的。还有更重要的问题，很多内网恰恰不能连接互联网，导致它装的软件系统不能升级，从操作系统到各种软件都是不能正常升级。所以一旦有失，内网的安全防护能力可能比连接互联网的电脑还差。你们的电脑经常连接互联网，最不济 360 每个月还打一次补丁给你打全了，至少已经发现的漏洞在你的电脑上不会泛滥。但很多内网因为从未升级，他的上面没准装的就是XP+IE6。一个五年前甚至八年前的老的漏洞拿来做攻击武器，可能在互联网上都流行不起来，反而会在内网里会畅通无阻，这造成了现在最大的一个笑话。

五、安全最终是人和人的较量

那么，我们究竟有什么办法来对抗这些越来越强大的安全威胁呢?

今天的网络安全已经变成了高智力劳动密集型的服务业，事实上因为攻击者越来越专业。一个单位真正要保障安全，不仅要用好的安全软件和好的安全硬件，还需要最专业的安全团队为这些单位和企业提供实时的贴身服务。打个不恰当的比喻，这次网络攻击可以认为是一次网络恐怖主义：

对方武装到牙齿;我们很多单位虽然装了安全软件(好比你买了盔甲和盾牌)，但毕竟我们这些客户并没有最专业的安全队伍，他们并不是军队，他们面对这种网络恐怖主义袭击时光靠盾牌没有用，还需要依赖像 360 这种专业的安全团队，我们就像专业的保镖、专业的安全部队来为你在盾牌之上，提供真正的防护。甚至很多时候我们有必要帮我们的客户去挡子弹。

曾经有一次我到部队讲课，很多将军问我一个问题，你认为网络安全最关键的因素是什么?我想了想，我说就是人。

毛主席曾经有一段话讲武器论，最先进的武器还是要看掌握在什么人手里。

最近AI很喧嚣，让大家感觉大家要失去工作了，这个观点我不认同。人是最大的漏洞，最大的漏洞是人，什么人?不遵守安全规定，没有安全意识的人，单位有再好的安全软件、再好的防火墙和再好的安全系统，架不住希拉里在自己的地下室里架一台不受控制的服务器，架不住再牛的女强人胡玛的老公是喜欢看色情图片的人，还和她共用一台电脑。所以，人是最重要的因素。

最有利的武器还是安全专家。未来的网络之战，看起来是技术的较量，背后其实是人和人的较量。我们安全人员就要用自己的专业性，来做那个保卫大家的人。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!