今年是马劲松加入腾讯的第 12 个年头,他亲眼见证了这只开挂的企鹅从 QQ 一路拓展至微信、手游、影视、音乐、广告、支付等领域,他也从当年的小马变为同事口中的老马。
回头来看,在飞速扩张的过程中,用户对这些应用的黏性之大,使用频率之高,可能超过了大多数人的想象,这其中包括马劲松,包括股东,甚至马化腾自己也未必料到能有今天的腾讯。
没被料到的,还有黑产的发展速度。
随着各类应用上聚集的用户越来越多,它们也成为黑产眼中的一块块肥肉。比如,你或身边的人被盗过号、你的邮箱曾收到过垃圾邮件、收到过诈骗信息……
作为腾讯安全反病毒实验室的掌门人,马劲松和团队最开始要做的,就是当一个称职的卫士,在这只企鹅不断开疆拓土的过程中,抵挡各类明枪暗箭,护送它安全前行。
▲马劲松
他在腾讯挥洒青春的这 12 年中,有三个节点被反复提起。
*2011年,在3Q大战之际,腾讯痛下决心搞自己的杀毒引擎,自此,腾讯开始大规模在 PC 安全布局。此前曾在搜索引擎部门的马劲松临危受命,并因“ TAV ”一战成名,目前腾讯电脑管家内的杀毒引擎,依然出自老马之手。
*2014年,移动应用爆发,老马和团队扛起了“手机病毒查杀”的重任,此后诞生的“哈勃分析系统”,让APP诈骗、短信转发木马、游戏盗号、网银盗号木马及隐私泄露等行为得到有效遏制境。
*2016年,老马和团队开始琢磨搞物联网安全,做了什么,这里先卖个关子。
对于马劲松的前两次转身,雷锋网此前曾做过介绍,不再赘述。(登顶“AVC”背后的反病毒攻坚战 ;腾讯反病毒实验室马劲松:和“AV”有关的日子)
今天要讲的,是他出征的新战场---物联网安全。
没有人能够逆潮流而行,就像 2014 年已在 PC 杀毒引擎上游刃有余的老马,还是得硬着头皮搞移动安全一样,现在他需要再次转身,进入物联网安全这个相对陌生的领域。
雷锋网发现,根据 Gartner、Pew 等机构的数据,2017年全球 IoT 设备的数量已达到284亿,这相当于全球每人至少拥有 6 件 IoT 设备,而到2020年,这个数量将再翻一番,达到500多亿。但在数量爆发的背后,因 IoT 设备自身与传统PC、手机设备在硬件和软件上的差异,非常容易引发了新的安全问题。
在去年的 BlackHat Asia(亚洲黑帽大会)上,有关物联网安全的议题还寥若晨星,而今年你再看,有很多同行已经在研究了,你可以明显的感觉到, IoT安全正在爆发的前夜。
在今年的 BlackHat Asia 上,老马团队中的杨经宇、耿琛上台介绍了一个有关 IoT 安全最新研究成果,这是一种基于IoT设备的全新通用型攻击方式,不仅能够绕开设备的安全防御手段,还能形成“蠕虫”式攻击,造成更大的安全威胁。
换句话说,这种攻击手段一旦被黑客掌握,目前IoT设备本身的安全防护很难起作用,而且“传染性”很强,一台中招就可以撂倒一大片。更加恐怖的是,这样的攻击可以在IoT设备正常工作的状态下进行远程控制,普通用户完全没有感知。
也就是说,黑客能偷偷进入你的家,还可以变身隐形人,肆无忌惮的在你的眼皮下做案。
怎么做到的?
首先,黑客要通过远程攻击,获得写入bootloader 的权限。
bootloader从字面上来看,是启动加载的意思,我们在开电脑或者重启手机的时候,都会等待一段时间后才能开机,然后才能使用操作系统,而 bootloader 就是启动期间要做的事情。以手机为例,它会根据基带初始化硬件,引导系统内核,直至系统启动。如果获得不了这个权限,你的手机或者电脑只能相当于砖头。
获得使用bootloader 的权限,相当于黑客已经敲开了你家的门。
马劲松解释,由于目前市面上很多IoT设备在 BootLorder 的防护机制不够,使得黑客能够进入系统,利用漏洞拿到权限。
第二,在修改完 IoT 设备的 BootLoader 后,下次启动时,黑客便能够在内存中修改 Linux kernel 和文件系统,开始做案。
拿到权限后,黑客通过改写BootLorder代码,就能把恶意代码嵌入到其中。
比如,偷偷打开你家智能电视的摄像头,向全世界直播蓬头垢面的你抠着脚看着综艺节目笑的花枝乱颤。
马劲松透露,目前,该漏洞已经上报CNNVD,并已经逐步知会相关厂商,该漏洞属于 IoT 设备架构设计上的缺陷,即具备root权限的程序,能够改写BootLoader。
这是一种新的通用型漏洞,一旦攻击成功,难以被清除,即使进行系统升级或者通过长按reset按钮进行恢复出厂设置都无法清除病毒。
也就是说,一旦被黑客利用,各大厂商能做的,就是立即召回全部有漏洞的产品。
在采访中,雷锋网编辑曾多次追问,到底有哪些厂商中招?可以覆盖市面上的多少设备?老马始终没给我明确的答案,但通过“新”“通用”这些关键字,我推测这个漏洞很严重,如果真的把这些厂商和设备的名字公布出去,应该是一个让各路公关“心惊肉跳”的名单。
进入一个新的领域进行研究,你有没有出不了成果,特别沮丧的时候?
对于这个问题,老马并没有给我倒苦水,他反而认为,进入到一个新领域,肯定有大量基础知识和基本能力要去储备和训练,这毋庸置疑,该请教专家请教专家,该招人招人,都得一步步来。
真正让他感到恐怖的事情,是一个搞安全的人对技术的热情没有了。
逆向、编程、资料搜集,搞安全要搞出名堂,一定要对这几样东西充满热情。
在老马看来,搞安全万变不离其宗,一是要把别人写的程序通过工具来读出二进制代码,即所谓的逆向能力;二是能快速把自己的思想、想法、算法落实,让代码跑起来,即编程能力;三是遇到新的问题能迅速搜集和整理资料,尽快识别对手的套路。虽然在新的领域总是有变的东西,但对这三块的要求不会变,只会越来越强。
之所以要强调上面的三点,与马劲松和团队的研究目标有很大关系。与那些炫酷的破解秀不同,他们更注重底层的技术研究,看中的是所研究的东西能否落地为工程化的应用。
你研究病毒后,能不能做成杀毒引擎,把这些能力输入给电脑管家、手机管家?你搞流量检测,能不能把它封装成了APT高级威胁检测,落地到产品上进行应用?
回到老马在 2016 年“转身”对移动安全的研究,虽然手机病毒和 PC 病毒原理相差不大,但它们的文件格式、黑白名单比例构成、有害行为的特征都不一样,老马和团队要做的,就是一点点的抠这些细节,让它们更加顺利的对接到移动产品中。
技术当然是前提,但如何让技术转变为产品,发挥最大的效能来抗击黑产,这是老马的一直强调的事情。
为何要下功夫做物联网安全
其实,近来国内各大厂已经频频在物联网安全领域发力。360 在去年 11 月就宣布成立 IoT 安全研究院,高调招人;百度联手华为和一众安全厂商成立 OASES 智能终端安全生态联盟,开始为安全厂商与设备厂商牵线搭桥;阿里前不久也宣布全面进军 IoT,其发起的 ICA 联盟提出了 IoT 行业中芯片安全分级的标准及方法;小米在去年末的一组数据显示,目前已有 8500 万个米家设备连入物联网,安全成为重中之重……
作为腾讯,目前它有哪些应用会应用在 IoT 设备上?
对于这个问题,老马神秘一笑,说了 5 个字:“请拭目以待”。
回想腾讯安全的发展历史,原来它只是保护自身的用户和业务,但这显然远远不够。老马解释,以这次针对 IoT 设备的攻破为例,从发现漏洞到利用漏洞,还有一个漫长的过程,前者只是万里长征的第一步,要实现具体的攻击,还需要结合弱密码等其他漏洞才能攻击成功。
换句话讲,安全厂商、硬件厂商和用户自身都存在破绽,对用户来讲,安全有时会面临“木桶效应”,只要其中一个短板出现问题,就会暴露的攻击之下。
安全确实无法独善其身,特别是像腾讯这样一个拥有众多应用和用户的公司。以老马和团队之前曾经做的哈勃引擎为例,哈勃起先最重要的任务是分析病毒样本,但后来,他发现通过分析这些病毒样本,还可以提取到质量很高的威胁情报。这意味着,一款产品所具备的安全能力有时是可以赋能到整个安全生态当中的,使其发挥更多的作用。
回到文章开头的那张图片,那些动辄上亿用户的应用,未来也许将会以一种全新的方式登陆 IoT 设备,就像它们当年悄悄出现在你手机中一样。
相关文章:腾讯反病毒实验室马劲松:和“AV”有关的日子;