在智能设备安全研究方面,Tencent Blade Team更是战果累累,包括报告目前所有谷歌TensorFlow AI框架漏洞并协助其建立漏洞响应机制,发现Google Home智能音箱首个无接触漏洞,成功实现远程操控智能家居与商业楼宇,破解亚马逊智能音箱Echo等。现在,腾讯微校的消费机具等硬件也能享受到同等“待遇”。
安全是一座大厦的根基
没有锁屏的电脑,很容易成为黑客入侵公司的绝佳途径。作为披着安全专家外皮的“黑客”,蓝军当然不会手软,只要团队里有谁的电脑没有锁屏,大家立刻会乐此不疲地入侵他的电脑,发动“物理攻击”,在企业微信工作群中用他的账号发一句:“我请大家吃凯宾斯基(五星级酒店)。”还美名其曰:这是一场身体力行的安全教育。
被暗算多了,J聪明了,不仅电脑时刻锁屏:“他们发给我的链接,我都要仔细看三遍,确定没问题才点开。”
从源头就开始收敛潜在安全风险,在产品研发阶段就充分考虑安全设计,而不是等到事发之后才匆匆补救,这是产品最理想的安全状态。
在腾讯内部,以往主动来“勾搭”蓝军的,大多是类似金融支付、大型游戏、腾讯云或者数字广东这一类公司重点战略板块。
“像金融支付,国家监管非常严格,产品背负的压力也很大,所以他们特别注重安全,我们会不断帮他们测试、加固,提升安全防御能力。”
腾讯微校的外部压力没那么大。但即便如此,他们还是在产品没有进入市场前,就找蓝军做了一轮加固。如今升级,又找上了门,J笑着说:“从我们的角度来看,这是一件非常难得的事情。”
微校喜欢未雨绸缪,对他们来说,安全是一座大厦的根基。
“在产品研发阶段,我们就开始考虑安全。因为做产品时,初期为了快速预演,会使用一些开源的软件,它们可能存在着一定的缺陷,这些问题越早发现越好。好比建造城堡,一开始有问题,重建,总比建成规模后才发现问题好得多。”麦子解释,“还是需要做前瞻性规划的。毕竟根基决定整栋楼的承重,有缺陷的话就很难直接再一边往上叠,一边把根基换掉。”
没有绝对的安全,只有动态的安全
L是这次安全攻防测试的主要操作者,蓝军中的一员,传说中的码农。他爱看的书,不是计算机编程,而是《群居的艺术》。
《群居的艺术》是一本偏社会学的书籍,在L看来,认知一个社会怎么从单个人,到几个人,到一个种族,再到一个社会,是一件很有意思的事情。
“这一类书带来的不是技术,更多是想法。从一个人到两个人再到一个组织,可能是出于某种需要,比如我在围捕猎物的过程中发现人力不够,需要团队合作。而当我们的猎物受到攻击者的抢夺时,我们也会去考虑,形成一个整体,大家开始谈合作,以趋向于大家一起完成一个更大的目标。”
当然,对L来说,人一多,意味着能够完成更宏大的事情,同时也意味着错误也就越多。代码的编写,系统的组成,一个越复杂的软件,需要越多人合作,而两个或者一群人的合作,反而会暴露更多可能发生错漏的环节。“他开发了一部分代码,他开发了一部分代码,他们在把代码合并或者交界的过程中,一定会出现很多问题。”
不懂社会学的码农不是好黑客。L作为一名好黑客,见解独到:安全问题更多时候是出现在人身上。
“在模拟黑客寻找漏洞的过程中,当我们发现很多路走不通时,往往会走另一条路,以人为角度来审视整个系统,比任何都管用。透过人类合作的本质,倒推可能出现问题的点,我们习得这种思维,能够更快发现漏洞。”
从某种意义上来说,蓝军在寻找漏洞,也是在探寻“人”。
图:腾讯蓝军讨论会
2019Verizon数据泄露调查报告(DBIR)基于41686起安全事件和2013起数据泄露的真实数据,数据由全球86个国家的公共实体或私有实体的共计73个数据源提供。该报告指出,大部分行业中,由内部人员引起的安全事件,概率相当大。在教育行业,这个数字达到了45%。