周鴻禕：未來勒索病毒會變成什麼樣？這個世界會好嗎？（附5000字演講全文）

這次勒索病毒爆發，原本默默無聞的各大安全廠商瞬間沖在了抗病毒的最前線，用自己的技術和專業性實力圈粉。

不過，作為網路安全的「代言人」，360 公司的老大周鴻禕卻一直沒有公開發言。今天，紅衣教主在媒體見面會上，對雷鋒網宅客頻道和其他媒體吐露了心聲。

雷鋒網宅客頻道第一時間把問答整理成為文稿，和各位網路安全愛好者分享。

口述 | 周鴻禕 360公司創始人、董事長兼CEO

整理 | 史中（），雷鋒網()主筆。

一、未來勒索病毒會變成什麼樣？

這次的勒索，第一次把網路武器從攻擊組織到攻擊個人。有人問勒索病毒有沒有可能蔓延到手機上，我們覺得一定會蔓延到手機上。最近孫正義豪擲多少億投資ARM，未來說全球要有一萬億的設備連到物聯網上，我預言，物聯網、智能硬體、智能家居、工業互聯網都會在未來幾年發生，有300萬、500萬的設備連接物聯網，這會帶來很大的問題。物聯網和虛擬生活聯結在一起，意味著所有的網路攻擊都會造成物理傷害。如果從廣義上去設想，這是很可怕的事情。 未來勒索會誕生很多新的模式：

• 現在你們各位離開手機就不能工作，不，是不能活了。如果有一天你手機裡面攢了很多年的孩子的照片被加密了，說給錢才能解鎖手機，你是不是要瘋了。

• 也許某一天你的各種智能設備、家用電器都能可能被黑客鎖定，你只有交錢才能看電視。

• 也許某一天，你出門需要交錢才能開車。這還沒關係，最要命的是如果你交錢才能停車呢？我在看《速八》的時候突然腦洞大開，這樣的電影正是告訴人們：在憧憬自動駕駛美好的時候，也不要忘記 360 這樣的安全公司的價值。如果不注重網路安全，自動駕駛汽車也可能變成人肉炸彈。

未來這種網路犯罪和網路恐怖主義不會局限於面對個人。

首先，有可能更多面向工業企業。

現在大家談工業製造2025，德國人談工業4.0。工業互聯網也可能被勒索。當像富士康的iPhone生產線都連上互聯網以後，如果他被攻擊了，會發生什麼情況，別人還不得敲詐郭台銘先生多少億美金，否則 iPhone 無法交貨可是很大的問題。

其次，網路黑產的潘多拉盒子可能被打開。

過去網路黑產還是比較懂互聯網的一批人在做，做木馬、黑色產業鏈和勒索病毒的。這些做黑產的和我們網路安全行業不斷的纏鬥。

這次的網路攻擊效果應該說是給很多犯罪分子、恐怖分子帶來啟發。原來傳統的黑色產業鏈，他們可能會利用網路漏洞武器做更多的敲詐勒索，變成一種商業模式。

再次，很多傳統的恐怖分子會受到啟發。

9.11之後，包括在歐洲發生的幾次大規模的恐怖襲擊之後，各國政府加強了傳統安防力量，比如捷運和機場的安檢。

但網路攻擊其實是成本很低，但很容易造成大規模恐慌和造成社會不穩定的方向，網路恐怖分子收到啟發，很可能會出現一個新的名詞——網路恐怖主義。我覺得未來幾年可能網路恐怖主義會興起。互聯網到了一個新的時代，當網路和人類緊密交織在一起時，對網路的破壞就意味著是對整個社會秩序、對整個國家管理的破壞。所以未來反恐很重要的領域，要和網路安全結合在一起。

二、漏洞不是 Bug，是核武器

1、漏洞是核威懾

說到這次勒索病毒攻擊，360已經提前做過預警。但是我們發現一個特別有意思的現象，安全公司有點像老在說狼來了，狼來了，大家也聽習慣了，也都不當回事。這次攻擊，其實可以藉此機會把壞事變好事，相當於給大家上了一課。大家突然意識到一個問題，網路世界的攻擊的威力不亞於核武器。

你們有沒有發現，過去安理會有五大常任理事國都有核武器，它就能形成平衡，形成相互的核威懾，你有100枚核彈，我有10枚核彈，這種能力可以平衡住。但網路攻擊不一樣，這次 NSA 不小心泄露的舊武器「永恆之藍」就造成巨大影響，可以想像沒有泄露的武器是什麼量級的。所以這種情況下，我相信全世界其他政府、國家政府的網路武器庫里可能就壓根兒沒有與美國匹敵的網路武器。

至於微軟的總裁呼籲，讓全世界簽署條約，大家都不要研發網路武器，我認為這個呼籲已經晚了。因為美國政府已經有了，而且很厲害，它就形成了一種對其他國家的非對稱作戰、不平衡作戰、單方面優勢。除非美國政府放棄，但這不可能。

我認為各國會非常重視以後這種網路攻擊平台和網路攻擊武器的研發，在網路世界會形成新一輪的軍備競賽。

2、美國早已用這些漏洞打造了一批「核武器」

美國政府過去經常說俄羅斯、攻擊它的網路，把自己扮演成一個受害者。這次武器暴露出來后，大家看到美國哪裡是受害者，美國是屬於悶聲發大財的典型，從來不聲張，但實際上它已經在系統化、平台化的打造它的網路武器。

在網路攻擊方面，各國和美國處在了一種非常不均衡的狀態下。與美國相比，我們了解到世界各國國家級的網路武器都是非常零碎、不成系統的。往往是發現一個漏洞，就利用這個漏洞構造一次攻擊。而美國已經用這些隱秘的漏洞，進而打造了一批武器。

在座的各位，今天真正弄來一枚核彈，也不知道怎麼操作，怎麼引爆，所以核彈還是很專業的。但這次攻擊事件證明了運用這些網路武器的人不需要是專家，因為武器打造的足夠精良。即使網路敲詐和網路勒索這種過去認為是毛賊水平的人，拿到武器后簡單改一改都可能造成對全球帶來威脅的犯罪。

我可以告訴大家。這次勒索病毒發生前，我們就已經基於 360 的數據和監測掃描出國內很多重要機構已經被永恆之藍漏洞光顧過和滲透過了。只不過他們並沒有鎖機、勒索，而很可能盜取了很多機密的信息。

我覺得這次事件這對各國政府會形成很大的觸動，網路世界要形成新的平衡，就像核武器一樣，你有，我也有，我們就不輕易的發動攻擊。如果我沒有武器，我的武器對你發起攻擊你都能承受，你的武器我都擋不住，在非均衡狀態下你想消除網路攻擊是不可能的。

三、沒有漏洞的系統，不符合「熱力學第二定律」

1、什麼是漏洞呢？

既然漏洞這麼可怕，那我們有沒有可能避免使用帶漏洞的系統呢？要回答這個問題，我想說說漏洞被利用的原理。

過去如果要利用一個漏洞，需要誘騙你運行一個程序。比如去某某網站下載一個客戶端運行一下，它可能是個木馬，這是 1.0 時代。

但是現在到了 2.0 時代。由於大家都警惕，不隨便運行程序了，這時候黑客利用漏洞的方法就變了。誘使你看一張圖片，打開一個網頁，或者收一份excel、PPT，你感覺它就是文檔和數據，又不是運行exe，但因為你的看圖軟體或者 Office 軟體有漏洞，黑客通過圖片和文檔精心構造的數據，簡而言之把數據變成代碼，相當於這個圖片也可以執行，這個PPT也能執行。在你的機器里就能運行起來，就能幹壞事了。

這次這個「永恆之藍」武器的漏洞最可怕的是利用了445埠，你什麼操作都不用做，你只要電腦開著機，電腦連著網，這個病毒在另外一台設備上，就相當於給你的445埠發包就能控制你的電腦。要沒有高級漏洞的配合，這在正常邏輯下是不可想象的。

2、反過來說，什麼情況下會有漏洞？

漏洞是程序員的編碼錯誤，但是人就會犯錯。總有人攻擊微軟，說微軟故意留後門。但其實微軟不用留後門，Windows 的複雜度之高，到了每1500行，必然伴隨一個漏洞。這個漏洞可以認為是程序的錯誤，但這個錯誤又不足以讓程序崩潰，也可以正常運行，但你在輸入某種奇特的數據組合情況下，可能讓你的數據崩潰，可能會引發一些非法代碼的執行和非法許可權的獲取。

所以，你無論是Linux、Android、iOS、Windows，只要用戶多了以後，代碼越來越多，功能越來越複雜，就必然有漏洞。這些漏洞開發者本人也未必意識到。

Windows 代碼源碼應該是千萬行級別了，所以，很多國家政府老說，微軟你到我的國家來，你必須把源碼備份和對我開放。微軟說好啊，源碼給你，給你刻多少光碟。任何國家有能力看嗎？微軟的很多老工程師都退休了，我相信新的微軟工程師也沒有能力把浩如煙海的老代碼過一遍。

Linux 也一樣，今天 Android 手機的底層是 Linux，iOS 的底層是 Unix，Unix 是Linux 的一個變種。他們都有漏洞，要不然蘋果就沒法越獄，Android 就沒法 Root。

所以國產操作系統哪怕用的是Linux，哪怕你不用Linux，只要你自己寫的，只要你達到了一個 OS 該有的都有，你的代碼複雜度也至少是幾十萬行代碼，你可以算算你有多少漏洞。

你只要有漏洞，唯一的方法就是祈禱不被人發現。如果你的用戶量小可能還沒有人發現，你的用戶量大了就有人研究這些來發現它。所以，沒有任何系統是安全的，這是由人性決定的，人就會犯錯。

今天如果有專家說我們發明了一種方法，可以保證系統永無漏洞，永遠不會被攻擊，我覺得這是不可能的，因為它違背了物理定律。有很多民間科學家經常講永動機，永動機違反了「熱力學第二定律」，我們以後在安全里也定義一些類似的「第二定律」：

沒有攻不破的系統，沒有沒有漏洞的系統。

四、隔離是最落後的安全理念

既然有這麼多漏洞，那麼我們是不是不和互聯網連接就好了呢？恰恰相反。

這次勒索時間暴露出來的一些非常嚴重的問題：所謂的內網的理念被證明徹底落後了。

這幾年我們一直在講內網其實並不安全。在互聯網早期，內網把一些企業網和互聯網隔離開，被認為是一種非常有效的簡單的手段，就認為只要隔離了病毒就進不來。但這次病毒恰恰中，恰恰內網這次反而成為了重災區，這是為什麼？

現在所謂內網隔離，因為有了各種無線互聯網設備而變異了。比如隨身Wi-Fi，隨便插到電腦上就能把電腦變成一台路由器。雖然有內網了，但要移動辦公，所以也會提供無線接入。有了這些無線接入都使得你的內網的邊界被打破了，等於暴露了很多的攻擊面。

你有再多的規定，一定有很多人不遵守你的規定。很多人為了省事。比如我們知道某大型國有企業規定「內網連接外網次數不要超過幾次」。其實不需要幾次，連接一次就有可能中招。還有很多人帶了U盤、手機，通過USB和電腦相連，這些東西都會成為傳播介質。

內網最大的問題，大家意識上覺得內網是隔離和安全的，反而內網上和很多連接互聯網的設備相比，內網往往完全不設防。很多正規的安全軟體沒有裝，要麼很多功能是被閹割的。還有更重要的問題，很多內網恰恰不能連接互聯網，導致它裝的軟體系統不能升級，從操作系統到各種軟體都是不能正常升級。所以一旦有失，內網的安全防護能力可能比連接互聯網的電腦還差。你們的電腦經常連接互聯網，最不濟 360 每個月還打一次補丁給你打全了，至少已經發現的漏洞在你的電腦上不會泛濫。但很多內網因為從未升級，他的上面沒準裝的就是XP+IE6。一個五年前甚至八年前的老的漏洞拿來做攻擊武器，可能在互聯網上都流行不起來，反而會在內網裡會暢通無阻，這造成了現在最大的一個笑話。

五、安全最終是人和人的較量

那麼，我們究竟有什麼辦法來對抗這些越來越強大的安全威脅呢？

今天的網路安全已經變成了高智力勞動密集型的服務業，事實上因為攻擊者越來越專業。一個單位真正要保障安全，不僅要用好的安全軟體和好的安全硬體，還需要最專業的安全團隊為這些單位和企業提供實時的貼身服務。打個不恰當的比喻，這次網路攻擊可以認為是一次網路恐怖主義：

對方武裝到牙齒；我們很多單位雖然裝了安全軟體（好比你買了盔甲和盾牌），但畢竟我們這些客戶並沒有最專業的安全隊伍，他們並不是軍隊，他們面對這種網路恐怖主義襲擊時光靠盾牌沒有用，還需要依賴像 360 這種專業的安全團隊，我們就像專業的保鏢、專業的安全部隊來為你在盾牌之上，提供真正的防護。甚至很多時候我們有必要幫我們的客戶去擋子彈。

曾經有一次我到部隊講課，很多將軍問我一個問題，你認為網路安全最關鍵的因素是什麼？我想了想，我說就是人。

毛主席曾經有一段話講武器論，最先進的武器還是要看掌握在什麼人手裡。

最近AI很喧囂，讓大家感覺大家要失去工作了，這個觀點我不認同。人是最大的漏洞，最大的漏洞是人，什麼人？不遵守安全規定，沒有安全意識的人，單位有再好的安全軟體、再好的防火牆和再好的安全系統，架不住希拉里在自己的地下室里架一台不受控制的伺服器，架不住再牛的女強人胡瑪的老公是喜歡看色情圖片的人，還和她共用一台電腦。所以，人是最重要的因素。

最有利的武器還是安全專家。未來的網路之戰，看起來是技術的較量，背後其實是人和人的較量。我們安全人員就要用自己的專業性，來做那個保衛大家的人。

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。