周鴻禕：面對深度數字化的世界，你不能太天真_風聞

隨着社會進入深度數字化時代，網絡安全需要被重新定義。

還是一件標誌性的紅色 T 恤，周鴻禕毫不費力地創造了 Rebuild 2020 大會上用「嗶——」音蓋住敏感詞最多的記錄。

儘管近幾年低調了許多，成為了人民一直想念的周鴻禕，但連續兩年來到極客公園 Rebuild 大會上，我們還是能從與周鴻禕的對談中梳理出 360 這些年在做的事情。

網絡安全問題一直是互聯網「暗面」。在幾十年的發展當中，網絡安全時代也經歷了從惡作劇到黑產犯罪，再上升到地區與地區、國與國的網絡安全較量，各個國家之間的網絡滲透就是典型的案例。

當 5G、物聯網等科技產業深入到社會每一個角落，如果沒有更高級的網絡防禦，那麼每一個角落都不再安全。

此外，在網絡安全的背後，可能還有很多人不知道，中國有 100 萬名白帽黑客為了守護企業和機構的網絡，進行着網絡攻防拉練，以試圖發現其中存在的漏洞。但即便如此，中國在網絡安全上人才的缺口依舊巨大。隨着社會越來越深度地進入「數字化」世界，未來網絡安全的挑戰並沒有隨着我們技術的進步而減小，而以 360 為代表的安全公司，有責任也有必要將整個人才生態帶動起來。

在極客公園和 B 站共同舉辦的 Rebuild 2020 Move on 活動上，周鴻禕就圍繞網絡安全向大家做了詳細科普，並與 B 站知名 UP 主所長林超一起聊到了網絡安全時代轉變，360 這些年在做的事，以及網絡安全背後的那羣「神秘人」。

以下為周鴻禕、極客公園創始人張鵬和 B 站 UP 主所長林超在 Rebuild 2020 大會對談的精選實錄：

「新基建」與「漏洞」

**林超：**這次我們中國疫情之後肯定線上化的程度確實提高很多，包括新基建。老周你剛開完兩會，我們怎麼理解新基建這個事？

**周鴻禕：**我在兩會里倒是圍繞新基建做了很多發言，我的理解，老基建可能是很多水泥、物理的基礎設施、高鐵、高速公路，已經給中國帶來很大進步；我理解新基建的核心是叫數字化基建，用今天比較成熟的物聯網、傳感器技術把整個城市、政府的治理、工廠的運轉，整個世界任何產業的過程全部數字化，把所有的數字化傳到雲端，在雲端形成中央大數據中台，所以大數據會成為新基建的核心。

所以目前還是消費者互聯網，但你想想五年以後，可能在中國是有幾百億甚至上千億個智能設備把這個世界充分地聯網。沒有網絡安全的保駕，搞這些數字化就是在裸奔，所以只有先解決了網絡安全的設計，來保證我用這些新技術的同時我的安全是有保障的。

我給你舉個例子，這是一個真實的故事。我們有個理念，一個再安全的系統，無論它設計得多安全，我們都認為不安全，安不安全是騾子是馬拉出來遛遛，我們應該想辦法組成攻擊隊，我們稱為叫藍隊，對方叫紅隊。

**張鵬：**就是藍軍的意思？

**周鴻禕：**對，用網絡藍軍來試一下。去年年底，我們通過這種方式發現奔馳公司在汽車硬件終端和網絡上有十九個漏洞，我們就可以滲透到它的服務器裏面。現在所有的網聯汽車都是被服務器控制的，通過服務器漏洞就能夠把它 2017 年以後出廠的高檔車遠程叫停、遠程啓動、遠程開車門。

**張鵬：**後來這個漏洞怎麼樣了？

**周鴻禕：**我們就報給奔馳公司，我們還是很有責任感的。我們也猶豫了一下應不應該做一個新聞報出來，但是後來想還是不能被壞人利用。所以我們按照國際慣例，首先跟奔馳公司取得聯繫，奔馳聽完之後馬上就在我們的配合下把這漏洞做了檢查修補。

**張鵬：**我們怎麼理解所謂的漏洞這件事？

**周鴻禕：**漏洞是説你這個屋子裏面修得很好，門口也有密碼鎖、門禁、攝像頭，但是你有一個窗户的插銷沒有關，我就從別人意想不到的地方進來了。

大家問怎麼避免漏洞？告訴大家一個很悲慘的事實，漏洞不可避免。漏洞分為兩個種類，第一個是技術漏洞。軟件是人寫的，連潘石屹都學 python 了，他寫的程序我估計一百行代碼裏都有十個漏洞。（笑）

**張鵬：**所以我們學完程序反而是在造漏洞。

**周鴻禕：**對，即使像我們這種高水平工程師，代碼寫多了，也會不自覺寫了漏洞。還有一種漏洞就是人性的漏洞，單位有再好的規定説大家要遵守不要亂下載軟件，不要亂連外網，但是人都圖方便，有時違背安全規定，大家會利用人性的弱點進行攻擊。

有一次黑客給美國某知名政治家的一個競選助理發郵件，是模仿谷歌 Gmail 的頁面，説你的口令現在有問題，趕快輸入口令確認一下，他就傻呵呵趕快把自己的 Gmail 口令打進去。一回車，口令就送給網頁後面的黑客了。黑客迅速地用他的口令登錄進去，把密碼一改，他的 Gmail 帳號就拿不回來了。

這位政治家為什麼競選不上總統？她的郵件都暴露了，我們發現全部都是人的漏洞。身為美國國家高級官員，她不遵守美國政府的網絡安全規定，違背各種網絡安全原則。為了收發郵件方便，她在他們家立了一個服務器，收發競選郵件。

美國政府郵件體系做的還是很牛的，使得一般釣魚郵件很容易被過濾掉。她等於是在美國政府安防體系裏打開了一個缺口，自己立了一個服務器，我猜測他們家那個服務器難度很低，估計全世界的黑客都到他們家轉過一圈，就跟公共汽車似的。所以，她的郵件最後就被黑客在網上披露出來，對她競選帶來了巨大的負面影響。

網絡安全已經換代了

**林超：**B 站在四月份就出了一個 UP 主叫機智的黨妹，中了 Buran 病毒。

**周鴻禕：**你説勒索軟件對吧？其實以後就沒有什麼小病毒了，因為做病毒的兄弟都要有商業模式。你想要是把 B 站的數據庫不小心給加密了，所有 UP 主的資料都拿不出來了，如果陳睿同志又忘了備份，我想勒索你們 B 站一個億兩個億，而且要比特幣，沒準 B 站也都老老實實交贖金。

**林超：**這個問題沒法解決是吧？就是説一旦中了這個病毒被加密了？

**周鴻禕：**我們能解決 80%，他加密做的不好，我們能破解。但如果碰上水平很高的，他把加密做得特別好，比如用的是對稱加密，沒有口令真的是解不開，那時候我們也只能幫助你去買比特幣，幫助你去給黑客交贖金。

**林超：**像我們這種普通 UP 主應該怎麼樣去保護自己安全？

**周鴻禕：**你們 UP 主現在應該還不是他們的目標。

**張鵬：**但未來他們很有可能會成為這個社會上主流的人，你有什麼建議嗎？

**周鴻禕：**因為個人網絡比較簡單，我覺得有機會到我們的網絡大學來聽聽課，作為個人別亂上不該上的網站，別亂下載軟件，別亂裝 APP，電腦上最好裝上一套 360。

還有人不直接做攻擊。國際上有漏洞黑市，把漏洞賣給需要做攻擊的人，現在還是有很多人在挖漏洞做交易。上次我講過一個故事，某阿拉伯大國為了對付一個記者，全世界找漏洞，以色列有一家公司正好手裏有一個漏洞，他們一看特別著名。

**林超：**就開了一個很高的價格？

**周鴻禕：**開了兩億美金。當然還是不如做勒索的人賺錢。最後阿拉伯人還價還到了五千萬美金，就成交了。這是有史以來最貴的漏洞，他們利用這個漏洞入侵了記者的手機，拿到他全部的郵件、短信、日程表，知道他哪一天去大使館，那天就提前等着他，後來的故事我就不講了。

**張鵬：**聽完這個大家都有點背後發涼，感覺他們已經形成了一套商業模式。

周鴻禕**：**還好，現在黑產的目標還不太針對個人，基本上還是針對公司，高級別的網絡攻擊也是針對國家。個人往往會成為他們整個漫長攻擊鏈條中的一個環節，比如説黑客要攻佔 B 站的服務器，第一步也許是很難做到的，他就會先看有沒有 B 站的員工，比如説看上你（林超）了，你可能很有防範能力。但是你有女朋友，你女朋友在安全方面可能很小白，通過研究她的使用習慣發了釣魚郵件給她，比如説是林所長給她的斷交信、情書，她肯定要看，她一看，word 文檔、pdf 一打開把電腦攻佔了。

現在很多人的概念還停留在反病毒時代，網絡安全這個時代已經變了，過去產品技術都不好使了，現在得用新的方法。

**林超：**從什麼時間開始發生了這樣大的變化？

**周鴻禕：**我打個不恰當的比喻，如果過去街頭小流氓橫行，你只要學好防身術就能應對；後來都是專業的土匪下來搶劫，就像黑產，你就得請保鏢；但是現在你面臨攻擊的玩家都是國際網絡犯罪集團，或者是其他國家網絡特種部隊，這時候你再説讓各單位自己僱一點保安或者是個人自己加強防範，其實已經不解決問題了。

所以 360 這幾年一直默默無聞，一直在跟各個產業、行業、很多合作伙伴在合作，打造一套分佈式反導系統，我們叫 360 安全大腦。有了這個安全大腦，大規模的網絡攻擊還沒有攻擊到你或者你所在的公司，我們可能已經感知到了，併發出警報，通過一些情報來協同聯防，把它制止掉。

這十年來，360 在安全上一直沒賺錢，我也沒有賣什麼產品，反而使得我無意中幹成了一件事：積累了東半球最大白帽子黑客的安全專家團隊。我們從最早對付國內的流氓軟件，到後面對付木馬、病毒、黑產、有組織犯罪，到現在發展到對抗其他國家網絡攻擊部隊，我們還積累了大量攻防的知識和樣本。我説一個數字，我們採集到網絡攻擊樣本有 280 個億。

這是做了十多年的積累，數據、知識、還有人員，把這三個要素合在一起，我們今天才能推出網絡安全大腦。

**張鵬：**聽起來這十幾年，這事也沒怎麼賺錢。

**周鴻禕：**到現在還沒賺過錢。我們當年做免費殺毒的時候覺得互聯網崇尚免費精神，一不小心就做成了，因為中國用户電腦上都是 360，我就被推到了鬥爭第一線。

我本人通過網絡安全雖然沒賺錢，但網絡安全替我創造了很好的品牌，帶來了很多用户。我通過互聯網每年也會有上百億的收入，所以我覺得安全這件事公司還應該做，你總是應該去做一些對其他人、社會，對國家有價值的事情。

我們經常説大家都想做偉大的公司，什麼叫偉大的公司？我的信念就是，如果我做一個保護網民、保護社會**，**我才能夠有可能成為一家偉大的公司。

如果有機會能夠通過民間公司一己之力，能夠打造一個國之重器，我覺得還是很有成就感的。一個公司最後還是要追求價值感和成就感。

白帽黑客——數字化社會的「俠客」們

**張鵬：**剛才你提到白帽黑客，我們應該怎麼理解？我們對黑客大概會有一些印象。

**周鴻禕：**本來我很喜歡黑客這個詞，在上世紀 70 年代，最早像喬布斯、比爾蓋茨這些技術的極客們，往往被稱為黑客。

黑客精神表示一種叛逆，他們技術高超，不拘一格，或者很善於找到系統的漏洞。但是後來黑客這個詞出現分化，因為很多人做攻擊、造病毒，包括剛才説的網絡黑產，他們也都被稱為黑客。其實黑客裏面還有很多崇尚最早期的黑客精神，有點像俠客一樣，我們稱他們是白帽子黑客。

如果白帽子黑客挖到了漏洞，他會把漏洞提供給受害者的單位，幫助被發現漏洞的單位進行修復。技術是雙刃劍，無所謂好壞，善惡就在一念之間。就有點像江湖武林裏，你拿了一把屠龍刀，拿了一把劍，你變成壞人可能就是武林中的「黑客」；你也可以走白帽子黑客的路，就變成名門正派。

我們鼓勵更多人成為白帽子黑客，所謂科技向善，越多的黑客能夠進到白帽子領域，將來大眾可能會對黑客這個詞的看法有所扭轉。事實上，網絡安全行業也需要很多黑客來參與，安全的本質是人跟人的對抗，攻擊方都是高水平的黑客，如果防守方沒有高水平的黑客，是無法抗衡的。

**林超：**我聽説全球黑客的收入水平至少是工程師的 6 倍到 20 倍。

**張鵬：**這羣人怎麼賺錢？白帽黑客又不做黑產。

**周鴻禕：**白帽子黑客這幾年國內的生存環境有了很大的發展，因為你光跟人談科技向善，光談大道理沒有用，還是要解決人的温飽和財務自由問題。所以這幾年我們一直在推動整個網絡安全行業的發展，這個行業慢慢開始掙錢了，很多黑客加入到安全公司，甚至很多安全公司會爭搶一些高水平的黑客。

**林超：**大的互聯網公司都很需要這塊吧。

**周鴻禕：**對，因為他們都需要自己組建一支安全團隊來「看家護院」。而且我覺得白帽子黑客真正掙錢的好時機，未來五年可能才到，我認為未來五年會有一個顛覆，以後軟硬件都沒有那麼重要，重要的是專家的服務和能力。

以後服務的價值會越來越大，我們國家的網絡安全產業就有機會了。這個產業就跟互聯網一樣，要掙到錢，大家覺得有前途，很多優秀的人才就會進來，產業形成良性的循環。

**林超：**我之前創業做過一家自由職業者交易平台，平台上就有一個，我不知道他是不是叫白帽黑客，他就是在幫其它的中小型的公司去提供安全諮詢。每一次的諮詢好像收幾千塊錢，在我們平台上很受歡迎。我也跟他聊過，他説他不願意加入任何一家公司。

**周鴻禕：**所以我們最近在做一件事，我們搭了一個 BugCloud 社區，聚集了幾十萬白帽子黑客，未來我會用 360 網絡安全大腦給他們提供雲端的賦能，把我們很多大數據的能力，威脅情報的能力，漏洞的能力對他們開放，這樣這些黑客們又有了 360 的比較牛的這種工具，他們個人的能力和組織的能力能提升，再去給中國數以百萬計的企業，幾十萬個政府單位，中國非常重要的基礎設施提供安全服務，這樣就會形成一個非常健康的生態。

**張鵬：**中國的白帽黑客羣體現在到底有多少人？

**周鴻禕：**我們現在來看，中國的白帽黑客至少超過 100 萬。但是這個人數我覺得依然是不夠的，因為你仔細想想，如果中國未來面臨一個日益複雜的國際環境，以後網絡攻擊可能越來越常態化、激烈化的情況下，我們真的不要迷信靠裝了一套軟件，或者裝了一個防火牆就能一勞永逸，自動解決網絡攻擊的問題，那你也太小瞧其它國家的網軍的能力了。所以我們國家在網絡安全人才的缺口上是巨大的。

未來網絡安全的挑戰並沒有隨着我們技術的進步而減小，隨着國家技術的發展，網絡安全在裏面扮演的角色和發揮的作用只會越來越大，但對我們這個行業的壓力和挑戰也會越來越大。

獲取更多精彩內容、觀看完整視頻回放，你可以在 B 站搜索「開公園的鵬哥」。同時，還有更多科技明星和知名 UP 主將現身 Rebuild 2020 大會舞台，敬請持續關注。

Rebuild 2020：Move On！

轉載請聯繫極客君微信 geekparker