十年安全战争,为什么黑客大牛都去腾讯?
文 | 史中
2007年,乔老爷子刚从口袋里掏出第一代 iPhone,“微信”还不存在,也没人想过手机扫码就能付钱。
那是互联网“上古时代”,喜欢上网的人可能还被称为“网虫”。
就是在那一年,中国网虫们有一份共同记忆:某天打开电脑,桌面上的图标都变成了魔性又狡黠的熊猫,手擎三炷香。作为未经人事的小奶狗,至少当时我是被这幅图景吓坏了。
这就是“熊猫烧香”病毒。
这个病毒着实影响了一些人的生活轨迹,比如当年的黑客 Killer。
当时 Killer 正在创业,做一款名为“超级巡警”的杀毒软件,这件事自然撞到他的枪口。他在当天午后3点拿到这个病毒样本,晚上12点左右就上线了针对“熊猫烧香”的专杀工具(中间他还悠哉地吃了晚饭)。熊猫烧香成了“爆款”,他的超级巡警随即也被“哄抢”,以至于下载服务器都被挤瘫痪了。
Killer 没有想到,自己毫无防备地见证并轻轻改写了中国网络安全的历史。他同样没有预料,多年之后,自己会加入中国最大的互联网公司腾讯,成为七大安全实验室之一“云鼎实验室”的掌门人。
在我看来,这并不是偶然的人生际遇,而是一种必然。顶级网络安全大牛和腾讯公司这两个看上去气质迥异的词,最终会紧紧地走到一起。
为了更清楚地表达这种必然性,我想先从最近十年的“安全战争”说起。
一、十年的安全战争和 BAT 的角色
客观地说,熊猫烧香的技术并不精巧,造成的实际损失也未必很大。但它席卷中国的姿态成为一个坚硬的里程碑,很多我们更为熟悉的事情都以此为起点。
不仅是 Killer 亲眼见证了病毒的十年演变,腾讯反病毒实验室的掌门人马劲松同样把这些看在眼里。在采访中他曾对我描述了这样一个脉络:
2010年以前的病毒,更多的是以炫技为目的,谋求爆炸性的效果。
而2010年之后的病毒,开始转向以盈利为目的,追求闷声发大财。
这件事其实挺有意思的。我突然想到一件类似的事儿:小时候老师询问全班同学的理想,大家异口同声:科学家!而最近几年,孩子们的回答可能一水儿变成了:创业!
如同现实社会,在病毒作者的群体,也有一道泾渭分明的理想主义和现实主义的分水岭。以熊猫烧香的作者李俊为例:
1、最早之所以会把熊猫烧香放出来,主要的目的是为了满足自己的虚荣心,他因此被捕。
2、出狱之后的李俊,决定干一番正经的失业。最金钱的诱惑还是打败了他。他因为经营赌博网站二进宫。
仿佛专门为了警醒世人,他一个人完整演绎了从“为名”到“为利”的心态转变,从“单一制造病毒”到“团队布局黑产”这两个历史阶段,这不禁让人唏嘘。
李俊在看守所帮民警修电脑。
站在今天,事情更严重。几乎所有的病毒都和黑产相关联:
很多合法注册的公司,办公室这边的人搞正常的服务,另一边的人负责制造病毒。让人毛骨悚然。
如果大致描绘一个当今流行病毒的“使命”,大概是这样:某个病毒费尽心机进入到你的电脑或手机,只是为了篡改你的搜索引擎从而拿到流量分成;或者后台安装某个游戏拿到渠道分成;或者推广某个色情、赌博、传销产品,进而进行广告推销或诈骗。
这些黑产的传播扩散场景,和我们日常使用的服务紧密相连。所以,今天黑色产业链不会独立存在,它们一定是依附于互联网各个产业的吸血鬼。
正是因为占据了中国互联网的大半壁江山,各大巨头顺理成章地成为黑产“吸血”的最佳对象。有意思的事,在BAT三家里,被黑产喜欢的程度是有区别的:
距离个人安全最远的,当属阿里巴巴。因为无论是从马云最初的设想,还是它的发展路径来看,阿里的基因都是偏向ToB的。淘宝网做成ToC的巨头,算是一个不大不小的意外。而阿里巴巴如今对于安全最强的要求应该在于蚂蚁金服和阿里云。蚂蚁金服偏重金融安全,技术场景比较单一,主要是数据风控和身份认证。而阿里云安全偏重企业级服务,不在此文讨论之列。
距离个人安全稍近的,是百度。黑产会想法设法利用搜索引擎的规则,把自己的非法网站推广给“目标人群”。一旦被黑产恶意利用,会严重影响到百度的口碑和信誉,所以百度在这一层面的安全投入非常大。
而距离个人安全最近的,是腾讯。对于腾讯来说,旗下的社交产品QQ和微信覆盖了几乎全中国的终端网民,而游戏、音乐、视频等等业务也基本是每人每天必用的服务。从这一点上看,腾讯是名副其实的“ToC 之王”。凡是想要从普通人身上赚到黑钱的人,都会试图取道腾讯家的产品来“开展业务”。
可见,基因决定了腾讯注定是BAT中最最没有办法“安静地做一个巨头”的公司。而恰巧腾讯麾下有10亿用户,几乎涵盖了这个国家所有会上网的人。
安全这杆大旗,必须腾讯来扛。这事没得选。
二、腾讯安全的第一役
从腾讯的角度看,公司利益已经和用户利益高度绑定:无论是反病毒还是反黑产,最终的目的都是保护“用户安全”。
而在2010年左右,微软的 Windows 系统可谓“千疮百孔”,自身的防护和免疫机制远没有今天健全。雪上加霜的是,中国的网民一夜之间被互联网席卷,很多人实际上都在“裸奔”,安全意识堪忧。
这种情况,唯有一种产品形态适合国人,那就是对电脑全局管理的管家类产品。
(QQ 电脑管家的前身是 QQ 医生,这只企鹅果然是 Cosplay 的鼻祖。)
刚才提到,由于基因的缘故,腾讯为了保护自家业务和上亿用户,推出这类产品的需求最为迫切。(我在另一篇文章《远征漠北——腾讯的黑产战争》中,曾经提到这个逻辑。感兴趣的朋友可以戳蓝字阅读)于是有了2010年中国互联网史上里程碑的一幕:腾讯推出“腾讯电脑管家”。此役引起的连锁反应就是:“3Q大战”。
当然,360是管家类产品的开山鼻祖,之所以我一直小心翼翼地避开 360,是因为它是中国互联网巨头中的异类。
在我的分类中,如QQ一类的软件,是第一梯队,有实际的功能;而类似于管家类的软件,是第二梯队,起保障作用。而 360 在第一梯队产品较弱的情况下,直接卡位第二梯队产品,虽然战略惊艳,但这也注定它和第一梯队的领头羊必有“遭遇战”。说到这,历史上发生的事情就可以被解释为必然:
1、因为腾讯是 ToC 产品的领头羊,360 遇到的对手只会是腾讯;
2、由于缺乏第一梯队的软件,这一战 360 占劣势。
当然,这是商业竞合,在此暂不深入讨论。
回到腾讯对黑产的战争。
腾讯电脑管家是一步好棋,它集成了腾讯反病毒实验室的杀毒能力(当然最初推出管家的时候,反病毒实验室还没有挂牌,但杀毒软件团队已经完整齐备),也具备了主动拦截和防御的能力。以 PC 病毒木马为核心的黑产,立刻被戳中了眉心。
但很快,电脑管家就“不够用”了。
如自然界的变幻莫测一样,在2012年之后,人们的生活重心已经完全向手机之上迁移。所以那时,不仅通过 PC 传播的病毒数量没有减少,手机木马、垃圾短信、诈骗电话又成为了新的黑产模式。更可怕的是,黑产开始利用系统漏洞,大批制造自动化的扫描攻击武器。
以前腾讯的对手是单打独斗的小混混,现在对手变成了占山为王的割据武装。眼看形势不妙。这种对抗局势在中国互联网历史中根本没有发生过。
任何一种黑产如果快速爆发,都可能危及到腾讯的大批用户,甚至进一步危及到社会的安定。毫无疑问,腾讯原有的安全力量需要一次巨大的扩充。果不其然,2016年,腾讯“一怒之下”接连成立七大安全实验室。
三、顶级大牛去腾讯
提到腾讯安全的七大实验室,可谓“全明星”阵容。那些在中国网络安全史中叱咤风云的传奇黑客,最后都落脚到腾讯。
这背后必有逻辑。
七大实验室的领头人中,不仅有刚刚提到的老黑客 Killer(云鼎实验室),瑞星大咖马劲松(反病毒实验室),还有移动安全老兵李伟(移动安全实验室),还有从07年就在QQ内部开始做反诈骗的李旭阳(反诈骗实验室),还有三位后来加入的重量级漏洞大神吴石(科恩实验室)、TK(玄武实验室)和袁哥(湛泸实验室)。
这是七大实验室掌门人,点开可看高清无码大图,如果你想的话。。。
坊间传闻,其中几位实验室创始人的“转会费”都是天价。肯付出这么多成本,可以从另一个侧面看出:1、腾讯比其他公司更需要这些大牛。2、相比其他公司,这些大牛更喜欢腾讯。
无论是一直在腾讯内部的老兵,还是新加盟的大咖,其实帮助腾讯建立了一套全面的安全体系。腾讯显然希望:这套体系,足以对暗中蛰伏的黑产大军形成压倒性的技术优势。
我试着帮你整理一下,这几位大咖在腾讯内部产品生态中的分工和背后的逻辑。
1、C端安全能力
PC和手机,是所有用户的两大入口。一旦这个入口被黑客突破,进入电脑或手机之中,坏人就可以直接接触到用户数据,后面的对抗难度陡然增加。
所以正如古代战争中的城门一样,守好城门不失是所有战争的首要条件。所以在这条通路上,必须有反病毒实验室戍卫。
而由于手机 App 的特殊形态,重要的资料往往在 App 内部。所以一旦黑客进入了手机,会尝试利用 App 漏洞进一步攻击,这就需要移动安全实验室把第二道关。
有了这两道关卡,大部分的黑产就都可以被拒之门外了。这是一条必须坚守的底线,它可以把腾讯体系内的风险收敛在可控范围内。
2、反诈骗安全能力
在所有的黑产中,诈骗这件事有点特殊。因为它只是部分利用了移动设备,主要的“诈骗流程”全部是人和人之间用语言进行的。所以面对这种黑产,腾讯纯粹守卫自己的一亩三分地就变得 hold 不住了。
从2016年开始,李旭阳带领的反诈骗实验室就投入到了“守护者计划”中,联合警方、银行、运营商等各个方面的力量,把反诈骗实验室的技术能力输出给合作伙伴,联合打击诈骗、传销和黑产。
在腾讯所有的安全建设中,反诈骗的工作是最具社会效益的,也是最需要生态协作的,这个在《远征漠北——腾讯的黑产战争》中有详述。
有了反诈骗能力,基本上收敛了腾讯面对的外部风险。
3、云安全能力
云安全能力主要是指保卫云计算的安全,Killer 带领的云鼎实验室,研究方向是最为 ToB 的一个,在此不展开。
4、前瞻安全能力
前瞻安全能力,对于普通的公司而言,是最没有用的。但对于腾讯来说,恰恰是最有用的。
以人称“黑客教主”的TK为例,他经常可以找到软件逻辑中的底层问题,这类问题一旦被发现,影响范围极其广泛。最近一次的 2018 年初,他就带领玄武实验室发现了普遍存在于各大 App 中的漏洞,这个漏洞一旦被黑客掌握,就可以在你不知情的情况下,“克隆”一个一模一样的 App,然后窃取你的隐私信息。(在浅黑科技的文章《这两个黑客真猥琐》中,有详细的讲述。)这个发现,让整个行业的安全水平都有了一次提升。
画面左边就是 TK(于旸),右面托腮沉状的是来自知道创宇的大牛,黑哥。(知道创宇被腾讯重仓投资,处于腾讯生态之中。)
我觉得,腾讯投入巨大资源保持前瞻安全能力,原因有二:
1、由于腾讯的产品几乎覆盖了每个中国人,所以一旦最新的攻击方法出现在黑产手里,很可能被他们用于攻击腾讯的产品;
2、腾讯的很多软件已经成为世界级,和苹果、安卓等其他大厂的服务耦合紧密,一旦对方爆出漏洞,会直接影响到腾讯产品和用户的安全。
所以你会看到,主打前瞻能力的这几个实验室,不仅经常自查腾讯自身软件的安全性,还会经常给苹果、谷歌提交安全漏洞。
以上四种能力,像是一座城池的四面围墙。“大牛把守,城高万丈”,腾讯才真正可以松口气,更加从容地保护用户。而腾讯如果保护好自己的用户,就等同于保护好了全中国网民。
你可以说这是小马哥的济世情怀,也可以说这是领跑者的宿命。我更愿意从另一个角度来理解腾讯在安全上的付出:
从历史进程上看,互联网巨头的命运已经和网络安全紧紧联系在一起,而这个过程是不可逆的。
四、仅有大咖还远远不够
腾讯和网络安全的深度捆绑,已经成为一个事实。但安全建设几乎永远没有终局。
在腾讯刚刚发布的《腾讯安全2017年度互联网安全报告》结尾章节,提示了2018年网络安全八大趋势,我截图在这:
《腾讯安全2017年度互联网安全报告》基本介绍了这一年中国用户面临的安全态势以及腾讯所做的努力,其中有详细的描述,在此我就不摘录了。
其中提到了物联网、人工智能对抗、数字勒索,涉及到了非常新的安全领域。
随便举三个例子:
1、2016年底,黑客利用病毒(Mirai)控制了全球大量摄像头的流量,发起攻击造成美国大断网,至今这类病毒在全球有增无减。
2、2017年5月,Wannacry 勒索病毒席卷全球,短短几天就让很多学校网络和民生服务系统瘫痪。
3、2017年中,中国警方打掉了一个利用人工智能破解验证码的团伙,他们的人工智能技术,已经可以把破解成功率提升到80%。
Wannacry 在中国的感染范围。
这些黑客新玩法意味着新的战场,当然也意味着新的武器和新的士兵。
据我所知,腾讯七大安全实验室和其他安全部门都在全力吸收顶尖的安全人才。但吸引人才这件事,还是要点技巧的。
袁哥曾经对我解释来腾讯的原因:“TK、吴石都在,我了解他们,对他们的为人都很认同。安全这个行业就是人聚人。”
当时我没有仔细体会,现在想来此话颇有深意。
如同很多其他行业一样,安全人才看重的不仅是钱(当然,TK 在回答自己为什么离开绿盟时有一句名言:“原因很多,主要是钱。”),还有相当重要的因素是心理感受。
举两个例子:
1、你可能听说过一年一度的黑客破解秀“极棒”,这就是由腾讯安全支持的。
这个从2015年就开始举办的活动,吸引了全中国甚至世界各地的黑客前来参加。站在极棒的舞台上上,不仅可以获得动辄十几万的奖金,还能被全国的观众所看到。
用极棒创始人王琦的话说,“网络安全人才再也不用在丈母娘面前低头了。”他们享受了本应属于他们的荣光。这几年,参加极棒的优秀黑客,有很多都最终进入了腾讯序列。看到这些,我才真正体会腾讯是如何把生态玩到出神入化的。(有关极棒,可以参考浅黑科技之前的文章《黄健翔为什么会主持“黑客秀”》)
2017年极棒(GeekPwn),主持人是黄健翔。
2、腾讯在人才上的另一个布局,是 2017年启动的 TCTF。
TCTF 是一场黑客大赛,国内外的站队齐聚一堂,展开一场攻防大戏。TCTF 专门设立了“新人邀请赛”,参赛的门槛相比而言低一些,大部分是信息安全专业的学生。
这个比赛同样是高规格地对外传播,给选手带来了很多荣誉和奖金。而且选手一旦进入这个比赛,也有很大机会被腾讯收入麾下,这就是“腾讯安全百人计划”。
这种人才招纳机制形成了巨大的虹吸效应,吸引更多对网络安全感兴趣的年轻人加入。(有关TCTF,可以参考浅黑科技之前的文章《黑客都用什么电脑?这里有一份极简版TCTF黑客大赛装X指南》)
诸如此类,还有很多。
至此我才真正明白袁哥所谓的“人聚人”究竟意味着什么。一项事业最大的悲哀就是后继无人。而一旦有顺畅的机制可以源源不断地“人聚人”,那么再强大的敌人都不足为惧。
在2017年的 TCTF 上,可以看到来自全国各地的选手,他们都是未来网络安全的中坚力量。
回望2007年,熊猫烧香已经成为遥远得有些模糊的往事。这么多年,太多事情发生,以至于他们内在的逻辑会被时光的湍流打散。
我觉得,如果有机会站在长河岸边,慢慢遥望那些往事,一定会看到某些真相。而我们需要真相。
这十年里,我们有了新的朋友。但蓦然回首,老朋友还一直在身旁。
这是一种幸福。
再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以搜索微博:史中方枪枪,或者加我微信,shizhongst。
不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”。
来源:freebuf.com 2018-04-02 14:32:12 by: 史中浅黑科技
请登录后发表评论
注册