周鸿祎：聊点负能量，直面这个充满漏洞的世界

 本文经作者授权发布 来源微信公众号：老周开讲 (ID：laozhoukaijiang)

漏洞这个词可能让很多人觉得它是一个不起眼的东西，但是可以变成国家网络战的武器。

——周鸿祎

6月29日，老周参加了第二十一届中国国际软件博览会，博览会上老周向马凯副总理介绍了360自主研发的“工业互联网安全态势感知与监测预警平台”，汇报了360在安全方面的一些工作，马凯副总理觉得安全很重要，肯定了360在安全领域的工作。

不仅如此，马凯副总理还非常关心最近再次爆发的勒索病毒事件，特别向老周询问了勒索病毒事件的相关情况。

在向马凯副总理汇报完工作之后，老周在博览会“软件的本质与变革”高峰论坛上发表了演讲，鉴于最近两个月勒索病毒事件接连爆发，老周在演讲中谈了一点负能量的话题，看看老周讲了什么了吧!

以下内容根据老周演讲内容整理而成：

在大家都在热烈地讨论软件如何改变世界、软件如何改变我们每个人的工作和生活方式的时候，作为一个安全公司的创始人，我可能要跟大家谈一点负能量的话题，就是未来的世界可能没有我们想像的那么好，我们会面对一个充满了漏洞的软件世界。

刚才梅宏院士讲到一句话：“一切皆可编程，万物均要互联”。我很喜欢这句话，这确实代表了我们对未来世界的看法。如果今天没有了软件，或者软件工作不正常，可能国家都无法运转，社会都会不安定，更不要说日常工作生活会受到巨大影响。

随着科技越来越发达，人们对科技要求也越来越复杂。目前，很多软件的复杂度已经超过了过去十年的总和。但是，所有的软件都是人编写的，只要是人就一定会犯错误，人在编软件的时候也一定会犯错误，不管是主观还是客观上的错误，都会留在软件里。我们曾经用一个很不起眼的词汇描述这些错误，叫做软件漏洞。

恰恰就是这些软件漏洞，给我们的世界带来了极大的不安全。

现在我们在网上会看的各种不安全信息、各种网络攻击，包括5月份和这两天席卷欧洲的勒索病毒。很多人就问，为什么今天科技这么发达，软件这么先进，世界反而越来越不安全了呢?其实最重要的答案就是，我们越来越依赖的软件里面充满了很多漏洞。

举个例子，360补天漏洞响应平台，累计发现了20多万个漏洞。但是按照统计，软件中，平均一千行到一千五百行代码，就会存在一个漏洞。而现在，智能手机中代码行数多达几千万，自动驾驶汽车更是高达几亿行，可以想像这些产品里面会有多少漏洞。

有一些小Bug，看起来非常无害，甚至不影响软件的正常操作运行，但这些漏洞一旦被犯罪分子和黑客利用，可能就会带来毁灭性的结果。

5月份的肆虐全球的勒索病毒，实际上是几个小毛贼写的。勒索软件本身写的并不高明，但也给世界很多国家带来了巨大危害：医院病人无法正常手术、加油站无法加油、车牌照不能登记……归根结底，是因为美国国家武器库泄露了所谓的网络武器，网络武器这个词听起来特别高大上，但本质上就是个Windows 操作系统的漏洞。

每一个未知的或者大多数人不知道的漏洞被发掘出来，就可能会变成一个能够引发国家级网络战的网络武器。漏洞这个词可能让很多人觉得它是一个不起眼的东西，但是可以变成国家网络战的武器。

2016年10月21号美国东海岸发生了断网事件，黑客利用漏洞控制全球大量的智能摄像头，操纵几十万台摄像头攻击了美国东部的域名系统，直接导致美国多个知名网站的服务中断，几乎美国半个国家的互联网都陷入了瘫痪。我们作为中国唯一一家参与调查的公司，其实我们提前发出了大量预警，溯源也发现，背后的原因就是摄像头硬件里面的漏洞。

可以想像，随着万物皆可互联，我们身边的每一个物品都可以编程，都有智能系统，带来便利的同时意味着每个智能硬件里面都有可能存在着漏洞，这些漏洞防不胜防，一旦被网络犯罪分子利用，带来的攻击力量将会是非常巨大的。

前天席卷欧洲的新勒索病毒，每十分钟就可以感染五千多台电脑，乌克兰、俄罗斯、西班牙、法国和英国等国家遭受攻击后，石油、银行、电力和通信系统都受到了很大影响，这种影响是物理世界里切实存在的，已经不仅仅是电脑里的文件损失那么初级了。

这是因为物联网把虚拟世界和物理真实世界联系在一起，利用漏洞发起的攻击可以从虚拟世界影响到物理世界。航班不能正常运转、水电不能正常供应这种破坏力，我们已经切实的感受到了。今天的展会上，我向马凯副总理汇报了我们自主研发的一套工业互联网的安全监控系统，可以看到几乎许多工控系统设备在网络上的情况。

其中就可以看到一些工控协议，比如其中有一种工控协议，通常用在轨道交通上，简单来说是控制地铁门开启关闭的，如果这些协议存在软件漏洞，遭到了攻击，带来的危害可想而知。

再比如，大家都在谈人工智能自动驾驶，《速度与激情8》电影里生动地描绘了如果满大街都是自动驾驶汽车，一旦被黑客组织劫持，所有自动驾驶汽车都会变成僵尸汽车，脱离主人的控制满大街横行直撞。我觉得这都不是科学幻想，未来几年可能就会变成现实。

最后我想说，因为有大量的漏洞依然未被我们发现，也不能提前预防，所以未来世界里，网络攻击不可避免。甚至可以说，没有一个系统是不会被攻破的。所以，未来网络安全因为有漏洞的存在，可能会长期处在一个不停的攻防、猫捉老鼠的游戏当中。但是我们不能因为漏洞就放弃了软件，也放弃我们的进步。

那应该怎么应对呢?

首先是重视漏洞，积极发现和挖掘漏洞，及时地打补丁。

挖掘漏洞不能靠360或者某几家安全公司自己来做，我们已经借鉴国外的方法，利用众包的力量，发动全社会的白帽子黑客一起挖掘漏洞。当挖掘出漏洞时，应该迅速地推出补丁，能够让大家迅速打上补丁。再厉害的网络攻击，只要漏洞被堵上了，就没法攻击了。

但是有很多机构企业对漏洞和补丁的认识不足，觉得不打补丁，系统也没问题，也能正常运行。但我呼吁这些安全网络管理的负责人，在新的漏洞时代，整个思想要发生变化。

所以这就是我想讲的第二点，要勇于承认有漏洞甚至被攻击。

很多时候，我们国内的机构企业，被攻击了都不太愿意声张，甚至都掩瞒不报。原因有的确实是自己被攻击了还不知道，有的是怕上级发现了怪罪批评。但我们要有一个意识，就是被攻击了，不是你们的错，漏洞的是客观存在的。

我希望国内的机构企业要改变理念，以后在遭遇攻击之后要积极上报，讲出来，这样安全公司可以得到越来越多的数据和证据，能够更快的帮助大家修补漏洞，同时也能够对网络攻击进行分析和溯源，打击犯罪分子的同时，为国家网络空间的博弈提供证据，进而提升国家整体的网络安全能力。