本文讲的是专访killer:计算机病毒大多没有技术含量,
引言
“十步杀一人,千里不留行;事了拂衣去,深藏功与名。”诗人李白笔下的侠客,武术超强,淡泊名利。想必,面对这些侠客的人,会不由自主的两股战战,心生寒气,但这些侠客,却也不是只顾私利,冷血残忍的杀手。
如果硬要为这些侠客找个现代参照,让·雷诺饰演的杀手莱昂,或许有几分神似,他“友善”、“沉默”,心地善良,这样的“killer”,自然不会让人觉得太冷。恰好,在腾讯,也有一位像莱昂的“killer”:除病毒于千里之外,隐名声于市井之中。
Killer,本名董志强,汉语言文学专业出身,从长相上看,一点“杀手”风范也没有,但面对计算机病毒时,他是不折不扣的“Killer”,“熊猫烧香”的覆灭便是明证。但是,在他看来,“熊猫烧香”一点技术含量也没有,而且,当下的大部分计算机病毒,包括肆虐全球的wannacry,也一样没有技术含量。
2016年,Killer加入腾讯,担任云鼎实验室总监。他为自己取了一个“毫无特色”的英文名:kkdong,大概相当于“王小二”吧。
曾靠给计算机杂志投稿挣网费
你大学专业是汉语言文学,在这方面有过什么发展或研究吗?
Killer:只能说在学校学得比较认真,一度认为将来会靠文字吃饭,做过一些规划,尝试写过小说、散文和诗歌,也在杂志上发表过豆腐块文章,喜欢上计算机后,就不大写了。
中途也曾捡起来过,因为当时拨号上网非常贵,每小时要5.6元,即便严格控制,一个月也要1500块钱。这什么概念呢?当时哈尔滨市中心的商品房一平方米大概就这个价。开销这么大,我不得不重拾写作,我以多个笔名给计算机杂志投稿,每个月大概写10篇左右,保持了两年时间,这样我的稿费就能覆盖网费了。
稿费很高吧?
Killer:计算机类杂志稿费当时确实比较高,一篇几百块的样子,而且图片也算钱,比如截图、流程图,这比写文学作品挣钱多了。
文科生转做安全也要系统性学习
你从文学转到安全领域,据说和焦点论坛有关,是这样吗?
Killer:焦点论坛全名网络安全焦点论坛,是国内比较早的计算机安全社区。我最初接触计算机时做的是逆向工程相关内容,学了很多逆向工程相关知识后,才把兴趣转到网络安全上,开始学习使用黑客工具,了解其中的原理。
为此,我去谷歌搜索相关知识,发现很多知识的链接都定位到焦点论坛,于是也注册了一个ID,后来才知道安全焦点是当时国内最好的中文安全资源站,有许多优质的原创和翻译文章,论坛汇集国内安全领域最早一批从业者。
这个论坛对我帮助很大,让我得以了解圈子内同行的想法,并且知悉外部研究动态。注册账号后,很荣幸得到论坛早期创始成员的认可,成为其中一员。TKyu也是其中一员。
从文学转到安全,感觉比Tkyu跨度还大,你怎么做转换的?
Killer:我也梳理过,文科生能否从事计算机行业,我发现,计算机行业不单需要理性思维,还需要跳跃性思维,很多问题循规蹈矩去解决可能遇到困难,而运用跳跃性思维就迎刃而解。恰好我有写诗歌散文的经历,跳跃思维很发达,经常压抑不住,所以针对一个问题,我会想到好几种不同的思路,最终反倒把问题解决了。
不会遇到数学上的困难吗?
Killer:最初有困扰,因为没有系统性学习,但网络安全本身实践性很强,需要通过实践积累经验。当然,也不能放弃系统性学习,我最初接触计算机时,通过自学完成了系统化学习,自我衡量的话,如果考计算机类考试,比如算法、密码学、汇编语言、计算机程序设计,考60-80分问题不大。
计算机病毒大多没有技术含量
您因为杀灭熊猫烧香病毒一战成名,但很多安全从业者说,熊猫烧香并不算很高级的病毒,你怎么评价?
Killer:这个要说清楚有点复杂,我多谈几句。
在过去,病毒往往是黑客一种炫技的形式,病毒作者主要研究高级感染技巧,在二进制层面做非常精确的控制,追求代码凝练精悍。国外一些地下病毒论坛中,基于这样的判断条件,许多人会分析病毒的优劣,写出很酷的病毒会受到大家的尊重,他们也会关注反病毒厂商在引擎层面如何处理,从而得出引擎优劣的评价。
这个时候许多病毒作者不以传播病毒为目的,他们往往将自己写好的病毒直接发给杀毒厂商,然后看他们如何处理,多久能处理。曾有病毒作者跟我吐槽,说他写了那么酷的病毒,却被卡巴斯基起了很挫的名字。这个时期,一方面病毒数量少,以破坏为目的的不多,杀毒厂商可以针对性的精细化处理。
但是,当流量变现兴起后,存在于灰色地带的流氓软件突然有了很高的获利空间,也刺激了新生代的病毒的功利性。熊猫烧香就是典型案例,以前病毒将自身隐藏在宿主文件的空隙中,甚至不改变宿主文件大小。熊猫烧香直接采用将自身与宿主文件捆绑的方式,不需要很高的汇编技巧却简单有效,同时删除电脑中Ghost备份,破坏用户通过还原方式修复系统,并对磁盘中的html文件都插入感染链接,确保在删除病毒文件后,用户访问网页时还能死灰复燃,等等。
对有研发经验的人来说,这些套路不需要专门的技术研究,就可以很快实现。这种病毒不是技术上的创新,而是思路的转变。但这些技巧,在当时国内的互联网非常有效,很接地气。这就像两个人打架,观众都期望看到行云流水的对打拆招,没想到他一块板砖结束战斗。
熊猫烧香的一些感染手法,一方面为传统厂商所不齿,一方面无声的嘲讽了传统厂商的应对和处理能力。熊猫烧香捕获很容易,被感染后的图标辨识度极高,对付它的难点在于:一是传播渠道很难被遏制,病毒通过挂马,利用ie和各种第三方ocx漏洞传播,进入用户电脑,当时的杀毒产品对网页挂马的检测能力几近于无。二是很难被全面检测和清理,病毒作者通过代码贩卖使得产生大量免杀的新变种。一个典型的事实是在对抗的过程中,我了解到有几家反病毒厂商在逆向我们的产品,试图分析我们是如何解决这一问题的。仅凭这一点能看出,这是一个反病毒领域的新课题,反病毒厂商总是试图用归一化引擎架构来处理所有问题,熊猫烧香是对这种传统引擎修复方法的穿透。原来的修复逻辑无法适应新生代病毒套路:仅仅针对感染文件提取特征去检测还不够,还要同时修复磁盘中的html,甚至浏览器的首页,U盘等等。
当一个病毒大范围爆发,而安全厂商又无力应对时,我们一定不能只关注技术细节,还要思考其背后的深层次原因,这样才能有效应对变化,解决用户面临的问题。
网上有人纠结病毒的技术含量,大概是因为个别媒体把病毒作者比喻为天才,通过技术含量的评判实现对其的否定。这种主观评判很容易让人忽视问题本身,事实上,从专业技术角度分析,最近被热炒的wannacry,甚至手机版wannacry,一样没有技术含量,连危害面都没有那么大。
产品不能为了KPI透支用户信任
你在一次采访里提到,做产品就是做人心,这句话怎么理解?
Killer:我过去十余年,更倾向于产品负责人角色,做过很多产品,所谓人心,就是用户心里对我们提供的服务的认知、定位、和评价。产品的一切,都要围绕着用户的认知和评价来进行。比如有人说要研发一个管理系统,这个管理系统应该具备功能123等等,在研发的过程中大家往往忽略了目标,我们并不是要做管理系统,而是为了运营,我们应该围绕如何快速改善不足进行,管理系统只是运营的辅助工具之一。
腾讯和百度经常被人吐槽,我们做错什么了吗?
Killer:互联网行业的几家大公司,基本上都被吐槽过,我觉得吐槽分两个层面:一是公司内部员工吐槽,包括觉得流程太慢,跨部门合作太难,我经历过的几家公司都未能避免这类问题。
另一个层面,我觉得是被网友吐槽,这比较严重。我看到最多的例子是产品可用性被透支。任何一款产品,商业化空间都有限,市场就那么大,展示位就那么多,在KPI导向下,大多数所谓的变现上的创新都是试探用户底线的擦边球,这点每个产品负责人都要慎重。
这可能很难解决。
Killer:最简单是对事情的态度,我认为在市场没有很大增长规模的条件下,要保持每年一定增长比例不现实,应该在公司上下级间达成一致,不能要求产品在市场饱和的情况下,还每年保持百分之二三十的利润增长。我过去也遇到过这样的例子,我的建议是做不一样的产品,去寻找新的增长点。
云鼎实验室的名字源于Tk建议
目前你在腾讯负责云鼎实验室,这个实验室与其他实验室有什么不同?
Killer:最大的区别还是业务上不一样,云鼎实验室倾向于云安全,另外我们的侧重点在防御,像玄武、湛卢有很强的进攻能力,这样我们能有比较好的互动。在过去一年里,玄武实验室帮我们发现了许多漏洞,我们第一时间跟进修补,现在和其他实验室也在开展类似合作。
据说云鼎实验室的名字来自于Tkyu建议?
Killer:是的,tk也在朋友圈解释过。其实我最开始想了十多个名字,最后定了两个,去找Tk讨论,他觉得“顶”锋芒太盛,而且容易让人联想到马来西亚那个赌场,不如用“鼎”,一方面可以引起安全、稳当的联想,同时鼎作为古代炊具,又有调和众味的意象,和云计算广纳各行各业的特点相吻合。
你如何评价Tkyu?
Killer:他在安全圈子里是非常博学的人,而且非常聪明。
Tkyu阅读极为广泛,是不是做安全,也需要博览群书?
Killer:做安全,最开始只是掌握方法,比如如何分析样本、挖掘漏洞,但后面必须总结出方法论,将经验和技巧沉淀下来,博览群书可以带给我们跨界思路,帮助比较大。
云鼎实验室会让腾讯云更安全
企业客户在选择云计算平台时,安全往往是首要因素,那么云计算领域的安全与传统互联网领域的安全有什么不同?腾讯云目前在云安全层面上属于什么档次?
Killer:从解决方案上说,云计算领域的安全可以闭环。从产品上讲,互联网安全产品容易柔性地解决问题,可以快速迭代,云计算产品直接面对业务系统,用户服务的稳定性排第一,我们内部会反复测试,跑得比较成熟后才会给用户升级。我们对技术方案持谨慎态度,一些流行的、高精尖的技术路线要有成熟的实践才能采用。
腾讯云起步稍晚,目前发展比较快,云安全也在快速跟进竞争对手,对手比我们早做三年、人数也是我们两倍多,腾讯云安全在基础建设、产品功能、运营闭环等方面最近一年在加快追赶。
你们通过什么方式验证新技术新方案?
Killer:一般我们这么做:第一,观察公司产品或竞品有没有采用这种技术,使用情况如何;第二,开发Demo,在我们自己的平台上测试,腾讯云上有几百台测试机器,我们会从性能、质量等多方面进行评估,评估达标后才会推荐给用户,然后看用户愿不愿意接受。
如果用户愿意接受,我们就让他们用。我们会在产品中配套这种技术方案,但默认是关闭的,只有用户愿意使用才会打开。外界看起来会觉得流程比较长,产品更新周期慢,但企业市场就要这么做。
企业客户是不是比较难沟通?
Killer:和企业客户沟通,其实是立场问题,我觉得企业客户不难沟通,我最近接触几个证券类客户,他们表示希望有某种技术方案,但从我的角度看,可能会不稳定,我直白建议不推荐这样做,但我们具备这样的能力。实际上他们非常主动,表示哪怕导致部分机器蓝屏也能接受,有问题会反馈给我们。
其实不同客户诉求不一样,金融客户更重视安全,那么能解决安全问题的技术手段,出现一些错误可以容忍。所以,与客户沟通时,要找到各自的诉求。
卢山接受「读家」采访时说,可以将人工智能应用到安全领域,你接受采访时也曾有过类似表态,那么这种结合会是什么样的形式?
Killer:人工智能这两年比较火,但落地case并不多,去年云+会议上我的议题是《发现决定一切》,就是指解决安全问题我们需要很强的“内视”能力,基于这一能力建立起来的联动体系才能有效闭环。这里面人工经验虽然有效,但是一个相当粗的指标,当信息粒度降低到一定程度时,就会影响人工判断。
机器学习可以帮助我们解决这个问题,机器学习背后是威胁建模、数据分析,以及我们的攻防经验,目前国内外人工智能的案例,大多处在初级阶段,在安全应用上最成熟的案例体现在异常发现和风险识别上,这能帮助我们在海量数据中发现更多的异常线索。
过去这些年,我们也做了一些实践,我们发布了主机安全产品云镜,通过机器学习判断异常节省了分析人力,是人工智能在云端的典型应用。
目前,国际上人工智能在安全领域的应用,也大多集中在检测和发现异常上。整体来说,人工智能最大的亮点是节省人力,其实是发现更多线索,但还没发做到科幻小说中那样,机器完全自动化。
我选人才更关心他能否沉下心
你曾说云安全领域可以建立红蓝军,形成闭环,实现攻防一体,这怎么理解?
Killer:攻防一体其实说得比较久了,所谓闭环,往小了说就是要形成从应用侧到流量侧,从端点到网关一体的监测与响应体系,在这个盘子里我们可以快速的检测与响应。这样一个体系需要实战磨练它,就要有作为攻击的红军出现,目前我们已经有一些基本的实践,一方面考验产品的响应能力,一方面锻炼团队的应急能力。
在这个闭环中,红军扮演的是攻击者角色,我们希望他能主动发现体系的问题,检验我们的防御体系,这样我们才知道如何去应对。所以,红军不一定要我们防御团队来做,我们欢迎大量红军来一起推动攻防落地。
您怎么评价云鼎实验室这个团队?您挑选人才的时候会关注他们哪些特质?
Killer:云鼎实验室团队成员目前比较少,我挑选人才时,会关注两点:第一,对安全是否有强烈兴趣?如果有兴趣,就算经验欠缺,也可以带进来培养。第二,是否能沉下心来,现在大家普遍比较浮躁,所以我很在意一个人能否沉淀下来做事。
过去一段时间看,团队成员都比较有责任感,应急事件响应很快。团队内部,我们倡导直接沟通,坚持事实,鼓励每个人都勇于实践。
腾讯应该把产品做得更安全
现在智能化已经成为一种不可逆的趋势,但我们大部分人缺乏相应的安全意识,我们应该如何保护自身的信息安全呢?
Killer:今天的我们已经是数字化生存的状态,离开手机/电脑一天就有度日如年的感觉。建议每个人都掌握一些基本的安全常识,在网络上提升自我保护意识。不要事无巨细的泄露自己和家人的行踪,容易被骗,遇事慌乱的家人他们与信息时代有点远,遇事多方核实一下信息比较好。自己和家人的电脑上要安装防护软件,尽可能用最新的系统升级到最新的版本。重要的数据和信息定期备份,即使有损失也在可控的范围内。
公司的产品覆盖了海量用户,可以说是社会基础设施一部分。提升自身产品安全性,加强业务安全运营,对公司和社会都有很大的价值,也是负责任的表现。
公司内多个安全团队可以加强合作,优化投入,像最近的暗云事件,我们在跟进过程中与电脑管家有很好的联动、安管的同事也参与其中,大家信息共享,在云管端多个层面联合打击,一起为净化互联网贡献力量,这样就能更好的保护我们的家人。
公司层面要把产品做得更安全一些?
Killer:对,这也是腾讯社会责任感的体现。
原文发布时间为:2017年8月8日
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。