把脉移动互联网新安全主义—赵伟：黑客与隐私

微信邦

把脉移动互联网新安全主义—赵伟：黑客与隐私

年轻主流用户对手机应用的安全需求正在向手机管理服务迁移。近日，“把脉移动互联网新安全主义”论坛在北京举行，腾讯公司副总裁丁珂、腾讯移动互联网事业群总裁助理乐露萍与金错刀、洪波、李铁军、赵伟等行业专家一起共同探讨了手机安全的重点。会上，腾讯手机管家提出“移动互联网新安全主义”理念。丁珂详细解读了手机管家先锋版是如何深入挖掘用户需求，通过创新体现手机管家新版“年轻有活力，敢为天下先、热衷于创新”的先锋气质。赵伟则指出，普通用户要少越狱，少乱装软件，但是黑客只能用道德来约束。

以下为赵伟主要观点摘要：
1、黑客与隐私，知己知彼百战不殆；
2、黑客的七个层级；
3、三大不安全问题：越狱的ios系统，安卓系统，应用市场；
4、普通消费者怎么办？第一尽量少越狱。第二个是少乱装软件；
5、即使手机是安全的，黑客也可以通过入侵基站来获取你的信息；
6、大家共勉开放的和分享的精神，这种道德行为准则才能让这个世界变得更美好；
------------------------------------------------------
赵伟演讲实录：
我这个议题其实都不知道怎么讲，讲得太多太少都不太好，我尽力。黑客与隐私，我们知己知彼百战不殆，就是我们要知道对手。

但是其实对于黑客这个词儿有一些误读，我稍微给大家解释一下。另外就是在互联网时代，现在你要用各种WEB2.0的服务，还有移动手机端的服务的话，要注意哪些隐私问题。

我先问几个问题看看大家的水平怎么样，我会动态地调整一下我的水平。我探讨的这个黑客是有一个巨大的定点攻击能力的，大家知道ATP这个词儿，就是高级可持续威胁，它会对你人定点攻击，为什么刚才大家没讲iOS呢？都是针对白富美定点攻击的。

另外讲一些相关的词汇。前面的不用说了，我发现我们研究，很多白富美的手机上被装了键盘记录器，它做得非常定制化、更小，可以绕过非常多的安全监测和专业的安全监测。因为他只需要你白富美输什么字儿、发什么微信、发什么短信就行了，不需要更深入地跟踪你。

我最早在瀛海威1997年做网管，当时知道了黑客这个东西，因为我们的服务器被人入侵了。第二个是我在McAfee做了研究科学家，我当时的目标就是研究未来人类在互联网上的一些风险问题，我研究的一个课题就是移动互联网，手机上的。我当时在2005、2006年就做了一个DEMO，影响了McAfee的CEO都过来看，当时还在手机上，还是塞班系统，完成了这个窃听、拍照、录像甚至不通过网络，坐在你附近用蓝牙不让你接听电话，直接就变成窃听器的这种东西。当时我们就注意到了权限和安全风险，因为手机是一个随身的智能电脑，它可以做很多很多的事情。

然后现在我在负责安全联盟和知道创宇公司。安全联盟我们现在是腾讯、百度、金山等知名互联网厂商，除了数字公司。为什么呢？因为我当年在2006年开始做一个反流氓软件的组织，当时数字公司只有几十万下载量，我们到处来告这些大的厂商这个是流氓软件，然后数字公司一直跟着我们，结果我们发现他变大了以后就变坏了。

我们现在做的这个安全联盟就是如果这个网站是恶意的，或者说这个软件是恶意的，我们会在金山、瑞星、腾讯的服务上、百度的搜索上同时拦截。这个效果是前无古人、后无来者的。就是我们以前跟腾讯、百度交流，他对一个软件没有统一的恶意标准，这个都很头疼。现在我们把标准统一了、把接口打通，把数据交换起来，把大家长处发挥起来，如果这个是恶意的网址或者是软件，我们会在第一时间内把它全网封杀掉，这个效果非常好。现在数字公司对我们的覆盖率只有70%，我们对他的覆盖率是100%，在网站恶意监测上面，他们对我们的覆盖是22%，我们对他的覆盖高得多。

另外讲一下就是我干了这么多年，人家都说你这是雷锋，不收钱成天干这些。就是我们有一些原动力，原动力有一句话——“这个世界是一个危险的地方”。这句话是爱因斯坦说的，我把它前面加了一个词，就是“网络世界是一个危险的地方”。不是因为那些邪恶的人，不是因为那些老周还是谁了，是因为那些无动于衷的人。我们作为安全技术的专家，如果我们还无动于衷的话，那这个世界就更邪恶了，所以我们不能让世界更邪恶。

我认为黑客是什么？就是你要做完全不同的自己、做完全不同的事业，你把你的事业推向极限，这是黑客，真正的黑客精神，这几句话是扎克伯格说的。他说黑客这个词儿被媒体误解了、误导了，以为是入侵系统拿人家东西的是叫黑客，其实这根本不是。黑客是能够快速实现一个系统，并且能够把它推向极限，就像他的Facebook一样，他从宿舍里面的一个小软件、小应用，整个传遍了世界，这才是真正的黑客。

我讲一下黑客的层级。你们平常看不到的东西才是最重要、最危险的，这句话非常重要，你看不到的东西才是最危险的。在中国黑客第一层就是只会用一些安全软件的小黑客，他会用一些安全软件，比你们懂的多一些，你们用一样可以比他们用得更好。但是他到处说他是黑客，架不住人多力量大，所以说他们还是挺危险的。

第二层就是他了解系统，他又会用软件。因为了解了系统以后，他知道路线图、对地形更了解，他又会用安全软件，而且用得很熟练的话就可以达到第二层。第二层已经在中国掀起了很大的滔天巨浪，比如说CSDN、当当的数据泄漏。

第三层就是他们会写自己的攻击程序，自己的软件、自己的工具来做安全，不管是防护还是攻击。周围的人他说他是黑客，你问他有没有自己的攻击软件，或者说自己的一些工具，就可以识别出来。

第四层这种人在中国就已经非常少了，他能发现系统的漏洞。比如说他知道Windows是一个什么漏洞情况，Mac OS是什么情况、Linux是什么情况，他知道各个细节，并且他对程序、对编译、对系统底层非常了解，所以他能做到他自己挖掘漏洞，并且攻击这个漏洞。这些人在国内可能不超过几百名是吧？

第五层就是我们发现，近十几年来，真正的黑客攻击技术不超过二三十种。从九几年的堆溢出、整型溢出，进化到堆溢出。这种通用的攻击方法其实就是几十个人，甚至就这几十种方法，这十几年来都是这样，都没有新的突破。我认为他如果能够在第五层，突破性地找到一些安全、通用的一些攻击方法，或者说一些系统核心的漏洞的话，这种可以算第五层的黑客。

第六层是我们碰到一些人。因为我们也给微软做安全，我们把这几十年的漏洞做了一些整理，并且找到我们的自动挖掘漏洞方法以后，给微软找到了200多个0Day。在Mac OS上，各种Linux上，一共可能找到了七八十个0Day。0Day漏洞就是所有人都不知道，只有我们知道，包括厂商可以随便进入别人电脑，这种漏洞叫0day漏洞，并且我们把这种技术用在了保护电脑核心，Windows程序上面。这个我们认为可能是第六级。

第七层还是我想说的，如果使用这些技术，把这个世界变得更美好，才是第七级，最高级别的，这就是扎克伯格说的这种黑客精神，这种黑客精神是一种分享和开放的。黑客用这种行为准则，你要符合开放、共享的这种精神的话，才能让世界变得更美好。

我另外说几点最重要的，就是刚才有人提到说互联网安全跟手机安全完全不一样，我觉得这个是错误的。如果我们有争论的话，是代表我们还没有站到更高的角度来看这个问题。为什么呢？因为我们研究发现，所有的手机应用它背后连接的，有百分之八九十还是用的Http协议，还是使用了以前Web2.0所用的这种协议。我们又研究发现，随便找Top10或者说Top20的应用来分析它后端的数据，还发现同样存在被脱裤。因为大家知道SQL注入直接拿用户数据，同样存在各种漏洞。我们去连给腾讯找到了500多个安全漏洞，被腾讯誉为漏洞之王，这每个漏洞要是卖，是很贵的。因为360现在开始了一个叫做裤带计划，因为你的裤子会被人扒掉，所以他叫裤带计划，他每个漏洞要收好几万，1万到几万块钱都有。所以手机、移动互联网其实是以前互联网的延续，并不是那么割裂的。如果看到割裂的，还是没有看到它更底层或者说更高层没有看到它的共性。

另外我讲一下数据泄漏。以前WEB2.0时代黑客的手法是应用漏洞，绕过你所有的保护直接连在你的数据库，你的数据库是你的宝藏、保险箱，你的保险箱可以直接连到WEB应用读取你的数据。现在移动互联网同样存在这个问题，我给大家提个醒，因为某人把应用程序的数据库都拖得太多了，其实很多人还没有看到，还以为手机安全和互联网安全无关，有些手法是一致的。

另外攻击目标。在WEB2.0时代攻击目标是社交网络、电商网站、团购网站，还有一些宾馆、速8，还有什么如家，你们的开房记录，还有你们坐飞机的时候的航班记录，你们的身份证号，你们当当网上的号、订书记录这些都被偷了。现在黑客界可能有10亿用户数据都是隐私用户数据。现在下一步移动应用出现以后，这些黑客接着对移动应用进行攻击，移动应用有什么问题呢？它是一个随身携带的电脑，一般隐私就是你的姓名，最多你的家庭住址，你的身份证，你发的一些内容。但是如果他们入侵到移动应用的话，他可以掌握像Google now那种，预测你的行为，知道你的爱好，你周边一切的事情，而且它可以识别你是否在振动，可以识别录音，它可以听你的声音。所以说非常可怕，希望大家能注意。

另外我们做了一些大数据分析，把用户的这种信息进行分析，发现用户的安全问题还是在于意识不够。比如说30%、40%的人都是用纯数字密码，非常非常地多。并且我们一分析这个人群的密码跟其他人群，比如说小清新、文艺人、程序员、一般的商务人员用的密码，从他的密码都能看出他是什么。所以在大数据时代、在移动互联网时代，你的行为被分析了，别人会非常准确地预测到你的下一步行为。

我最后再讲一下根源问题。你们没有看到反倒是最危险的，它是随身携带的威胁，这个手机是随身携带的威胁。我说几个根本问题。

第一个是越狱。iOS越狱以后是非常危险的，因为它利用的是本身iOS的缺陷和漏洞。我以前是搞Xbox破解的，我现在也有一些iOS越狱的朋友，他们用的就是一些系统漏洞，就是以前我们找的这种系统漏洞。利用系统漏洞获得系统最高权限以后，当雷锋的人肯定不是很多的。他利用这种权限会给你装很多很多的应用和跟踪的一些东西，他获得最高权限以后，完全把Apple的安全体系构架、安全的防护破坏掉，因为这样才能装盗版软件。大家想想如果他都能任意装盗版软件的话，他也可以给你装任意的文件。所以你把手机越狱后插在别人的电脑上，别人就可以马上给你装一个病毒。

第二个问题是安卓系统本身。安卓是什么？安卓系统谷歌可能在二点几，非常以后才意识到安全问题，但是那个时候已经非常碎片化了。他的安全模型不是很完整，而且它的变化速度太快，安卓的安全非常痛苦，对于我们来说就是非常痛苦，很难做到像咱们现在管家这样，这么好的这个安全的保护的这种软件。因为安卓的版本非常分散，它的安全机制变化很快，而且它现在已经碎片化了，并且很多厂商预装它的时候，改成自己的版本，把很多安全功能去掉了。这是第二个根本问题。

第三个根本问题就是应用市场，中国应用市场太多了，任意市场，没有一个市场是安全的。在这个市场上，因为安卓你可以装任何东西，虽然在装的时候，谷歌在本机实现了对你检测一下，但是这个检测非常薄弱，随便就可以绕过。而且现在的云技术，他根本就不用把恶意代码在当时装的时候传过来，而是在你运行以后才传过来，所以说这个逃避的手段也是非常多样的。

我认为在移动安全现在碰到三个最根本的问题，就像当时我们2005、2006年的时候在塞班上做了一些移动安全验证，但是也还是很容易被绕过的，还有一些证书。我认为谷歌现在做的安全还没有当时塞班做得好，第一个问题就是越狱，越狱以后是破坏了iOS的安全保护体系，第二个是安卓本身自己的碎片化问题，历史遗留问题，第三个就是咱们应用市场的问题，中国的应用市场。虽然谷歌Play稍微安全，我也是从谷歌Play下更放心一些，因为你真的不知道它什么时候有问题。

另外让大家也重视到，从道德经上可以知道，有上必有下、有前必有后，如果你手机端有问题，必定云端也有问题。请大家慎用一些云端的服务，我这样说也不太好。因为它云端的应用安全还不是很好，你想想你的银行号码、你的银行账户、你的什么信誉都是在云端的，很多并不是在手机上，如果攻破了云端，你麻烦更大。

我刚才还跟李铁军聊，有一个朋友说他们给安卓上装了3亿个病毒，专门记录短信，从短信里面分析你的行为，比如说你发个短信我要机票，人家马上知道你是潜在的机票客户。这种隐私侵犯已经让人无法容忍的地步了，就像我们当时2006年做反流氓软件联盟的时候，已经无法忍受流氓软件了。现在是移动互联网，我们对移动互联网的安全已经到达无法忍受的地步了。

普通消费者怎么办呢？第一尽量少越狱。第二个是少乱装软件，因为装软件的时候，安卓市场上的软件都是拿名字来骗你，用这种社会工程学的方法来骗你。第三个就是如果你想监控别人的什么iOS、安卓手机什么的，找李铁军或者我给你推荐一些正式的软件，你不要乱装软件。

给开发者我简短点儿，就建议其实把一些以前的历史安全问题多研究研究，在移动互联网照样存在。另外我举个例子，有一个运营商，前一段时间被黑客入侵了，黑客控制了他这个城市所有的基站，比如说他们这边有世贸天阶的基站，可能腾讯汇附近有一个基站，黑客会登录到基站上来窃取你的隐私，连这种都防不胜防了。所以说你一定要注意自己后端的逻辑，甚至你不要认为用户从手机访问你你就是安全的，其实黑客很多只要知道你的API，知道你后端的数据通讯情况，照样会入侵你的数据库。

最后还是跟大家共勉这种开放的和分享的精神，这种道德行为准则才能让这个世界变得更美好。