360公司于近日宣布,其團(tuán)隊(duì)發(fā)現(xiàn)區(qū)塊鏈平臺(tái)EOS多項(xiàng)高危安全漏洞。周鴻祎在微博上稱,這一漏洞價(jià)值超過“百億美金”。近日午間,360董事長周鴻祎做客火星財(cái)經(jīng),就此接受王峰采訪。
王峰:第一問,360以PC安全衛(wèi)士起家,其后一直從事互聯(lián)網(wǎng)安全應(yīng)用,我也知道近幾年也逐漸布局于企業(yè)級(jí)安全領(lǐng)域,為什么你的安全觸角一下子進(jìn)入?yún)^(qū)塊鏈領(lǐng)域。在今年春節(jié)之后,3點(diǎn)鐘微信群火爆區(qū)塊鏈期間,你也從未輕易表達(dá)過對(duì)區(qū)塊鏈的看法,可是昨天,通過爆料EOS嚴(yán)重安全漏洞之際,360閃電出擊,在一天之內(nèi)連續(xù)公布了與幣安、歐鏈、EOS LaoMao、Dbank等項(xiàng)目的合作,這是為什么?看起來你是蓄謀已久啊,后面還有大招?
周鴻祎說,自己從年前開始,才可是努力學(xué)習(xí)區(qū)塊鏈。他在3點(diǎn)鐘群里沒怎么表達(dá)看法,是因?yàn)榇_實(shí)還沒怎么看懂一些東西。 但在安全上360是專家,所以在17年年底18年年初,實(shí)際上360就已經(jīng)在關(guān)注區(qū)塊鏈安全,開始研究區(qū)塊鏈技術(shù)和相關(guān)的安全問題。
我們最近發(fā)現(xiàn)了很多區(qū)塊鏈系統(tǒng)、交易所系統(tǒng)、錢包系統(tǒng)存在問題。 之前大家都在關(guān)注區(qū)塊鏈帶來的商業(yè)機(jī)會(huì),但是很少有人關(guān)注區(qū)塊鏈安全問題。 最近EOS準(zhǔn)備上線,在區(qū)塊鏈行業(yè)里非常具有代表性,我們這次發(fā)現(xiàn)EOS漏洞,提交給對(duì)方,希望督促他們修補(bǔ)系統(tǒng),所以我們披露漏洞,是我們安全公司的職責(zé)所在。
沒有大家想象的什么蓄謀已久,也沒有什么大招,我們的大招就是踏踏實(shí)實(shí)幫助區(qū)塊鏈行業(yè)排除風(fēng)險(xiǎn)。
王峰:第二問,實(shí)話實(shí)說,你如何看待昨天披露安全漏洞的嚴(yán)重程度?為什么稱這個(gè)漏洞價(jià)值百億美元?
周鴻祎解釋說,如果這個(gè)漏洞我們沒有提出來,EOS沒有修復(fù),等到EOS主網(wǎng)上線了,被惡意的黑客發(fā)現(xiàn)并利用了,那時(shí)候EOS會(huì)不會(huì)一夜之間就被搞掉了,我們都不好說。所以,EOS現(xiàn)在的估值至少百億美金了,我覺得這個(gè)漏洞價(jià)值百億美金并不夸張。此外,“史詩級(jí)”是從“Epic”翻譯過來的,國外安全社區(qū)經(jīng)常用“Epic bug”或者“Epic fail”來形容比較重大的安全漏洞。
周鴻祎坦言,從公關(guān)的角度來看,史詩級(jí)這個(gè)詞大家理解不一樣,太文藝青年了,所以說成百億美金的漏洞,大家會(huì)不會(huì)覺得更接地氣一點(diǎn)。因?yàn)楹芏鄻?biāo)題黨都被濫用了,所以用了個(gè)史詩級(jí),其實(shí)說百億美金級(jí)別最好了。
王峰:第三問,今天凌晨,EOS創(chuàng)始人BM在電報(bào)群中回應(yīng)360披露的EOS安全漏洞問題,稱360報(bào)告中提到的漏洞早已被EOS修復(fù),且早于360發(fā)布報(bào)告的時(shí)間。BM的回應(yīng),暗指360制造恐慌,并聲明對(duì)于任何挑起市場恐慌的行為將取消其獎(jiǎng)勵(lì)資格。對(duì)此,你怎么看?
周鴻祎稱,對(duì)于已經(jīng)修復(fù)這個(gè)事情,我還是需要和大家普及一個(gè)知識(shí),就是我們安全廠商對(duì)外公開披露的漏洞,一定是先和對(duì)方溝通,提交給對(duì)方去修復(fù),在得到他們修復(fù)的確認(rèn)之后,然后我們?cè)俟_。因?yàn)槿绻鸈OS沒有修復(fù),我們公布出來了,肯定會(huì)有一大波黑客立馬上去搞他們,所以我們發(fā)布報(bào)告的時(shí)間當(dāng)然會(huì)是晚于修復(fù)時(shí)間的。
周鴻祎說,通常的步奏就是,首先是挖掘漏洞,挖出來之后就會(huì)研究,會(huì)怎么被黑客們利用,把這些研究透了,再向相關(guān)的廠商匯報(bào)。BM的回應(yīng)讓人混亂,我們遵循了負(fù)責(zé)任的行業(yè)標(biāo)準(zhǔn)流程,先報(bào)告,再修復(fù),最后公開。非常明確地說 我們先私下聯(lián)系了BM,通知漏洞,修復(fù)后再公布,這些我有聊天記錄截屏。今天早上在和BM溝通時(shí),他們依然是非常認(rèn)同我們的成果和技術(shù)實(shí)力的。
至于制造恐慌,周鴻祎說,可以直接在主網(wǎng)上線時(shí)放出這個(gè),恐慌效果一定比現(xiàn)在要好的多。
周鴻祎強(qiáng)調(diào),在這整個(gè)過程中,360都是非常負(fù)責(zé)任的嚴(yán)格遵循安全行業(yè)的安全漏洞披露原則的。我們做為國內(nèi)最大的一家安全廠商,在全球也是排名前三的安全廠商,我們希望和全球同行和科技公司一起,解決網(wǎng)絡(luò)安全問題,降低網(wǎng)絡(luò)安全問題給用戶帶去的損害。幫助大家發(fā)現(xiàn)漏洞、修補(bǔ)漏洞,讓大家提供安全放心的產(chǎn)品給用戶,是我們共同的責(zé)任。
王峰:第四問,你最近不斷提及360安全大腦,能一并介紹下嗎?坊間說,你們和EOS很快有合作要公布,你方便在這里透露嗎?
周鴻祎表示,360安全大腦是人工智能基于大數(shù)據(jù)的分析判斷,加上360富有經(jīng)驗(yàn)的安全專家的人腦,構(gòu)成了真正的安全超腦。
對(duì)于和EOS方面的合作,周鴻祎稱,目前和EOS沒有直接合作,從年初與一些合作伙伴,就EOS生態(tài)建設(shè)、安全防護(hù)、主節(jié)點(diǎn)的競爭等方面進(jìn)行了交流討論。
王峰:第五問,坊間傳聞,360聯(lián)合某些組織在做空EOS?
周鴻祎直言,從我們披露漏洞的時(shí)間其實(shí)應(yīng)該就能知道肯定不是在做空。假如我真想惡意做空的話,完全可以捂著,等EOS主網(wǎng)上線,直接爆出來。我們采取的做法是安全行業(yè)標(biāo)準(zhǔn)的漏洞通報(bào)機(jī)制,這是非常負(fù)責(zé)任的做法,希望EOS乃至整個(gè)區(qū)塊鏈行業(yè)發(fā)展的更好。
王峰:第六問,關(guān)于安全問題,你認(rèn)為區(qū)塊鏈企業(yè)自身應(yīng)該采取哪些措施,加強(qiáng)區(qū)塊鏈的安全性?
周鴻祎認(rèn)為,目前區(qū)塊鏈領(lǐng)域,真正的安全問題其實(shí)還沒出來。在網(wǎng)絡(luò)安全行業(yè)里,有兩種情況是最可怕的,一種是做沙漠里的鴕鳥,知道不改,還有一種是知道了不爆出來,最后被人利用,這兩個(gè)才是最可怕的。
周鴻祎提出“大安全”概念。在區(qū)塊鏈行業(yè)里,某個(gè)項(xiàng)目自身以及360一家安全公司的能力都是有限的,需要整個(gè)網(wǎng)絡(luò)安全行業(yè)做到協(xié)同開放。同時(shí)建議出臺(tái)一些漏洞獎(jiǎng)勵(lì)計(jì)劃,讓整個(gè)安全社區(qū)都來幫助解決安全問題。
王峰:第七問,在Vulcan團(tuán)隊(duì)發(fā)現(xiàn)這個(gè)大漏洞之后,你們是如何考量曝光漏洞的時(shí)機(jī)和方式?你們認(rèn)為現(xiàn)在這樣的漏洞爆出時(shí)機(jī)和方式,是否體現(xiàn)了或者符合網(wǎng)絡(luò)安全行業(yè)通用的、負(fù)責(zé)任的處理方式?
周鴻祎再次強(qiáng)調(diào)了360嚴(yán)格遵循披露原則,Vulcan團(tuán)隊(duì)發(fā)現(xiàn)漏銅并研究測試后,立刻聯(lián)系了EOS創(chuàng)始人BM,希望幫助EOS開發(fā)團(tuán)隊(duì)先解決這個(gè)漏洞的,保證漏洞不會(huì)攻擊者利用,在他們修復(fù)完成之后,才披露的。
王峰:第八問:未來幾年,區(qū)塊鏈行業(yè)會(huì)出現(xiàn)一家像PC互聯(lián)網(wǎng)時(shí)代的360這樣有影響力的安全企業(yè)嗎?
周鴻祎直言,區(qū)塊鏈行業(yè)里會(huì)不會(huì)出現(xiàn)一個(gè)360,我覺得應(yīng)該不會(huì)出現(xiàn)這種情況,區(qū)塊鏈方面的問題的解決會(huì)是產(chǎn)業(yè)化的,360肯定會(huì)是其中的主力,但不會(huì)像PC時(shí)代那樣一枝獨(dú)秀,會(huì)有很多從事安全的企業(yè)和個(gè)人一起來保障區(qū)塊鏈的安全。
王峰:第九問,360定義的安全業(yè)務(wù)的邊界有多大?AI/IOT/Blockchain?
周鴻祎稱,360關(guān)注人工智能或者區(qū)塊鏈,其實(shí)不管是AI和區(qū)塊鏈的安全,都有一個(gè)共同點(diǎn),就是無論是AI的算法,還是區(qū)塊鏈的算法,都是要寫代碼實(shí)現(xiàn)的,而代碼是人寫的,肯定會(huì)有漏洞的。搞安全的人更像是一個(gè)“看門人”,時(shí)刻都要保持一顆懷疑之心、守護(hù)之心。
王峰:第十問,在移動(dòng)互聯(lián)網(wǎng)時(shí)代,今日頭條、小米科技、美團(tuán)點(diǎn)評(píng)等迅速崛起,但360優(yōu)勢并不明顯,這會(huì)不會(huì)讓你感覺到失落?
周鴻祎稱,在PC時(shí)代那時(shí)候,病毒木馬橫行,360順應(yīng)潮流用安全衛(wèi)士、360殺毒幫大家解決了安全問題,可能獲得的關(guān)注比較多。但在移動(dòng)互聯(lián)網(wǎng)時(shí)代,實(shí)際上也做了很多事情,你們可以看看去年谷歌致謝榜單里面,我們?cè)诎沧可希瑤椭雀栊迯?fù)兩百多個(gè)漏洞,全球第一,是第二名的三倍。除了這類工作,我們還和公安合作,比如推出獵網(wǎng)平臺(tái),打擊電信電話網(wǎng)絡(luò)詐騙。
周鴻祎直言,這些事情,可能不會(huì)像當(dāng)年一樣刺激,但我覺得我們是做了非常有價(jià)值的一些事情,從內(nèi)心來說,我們還是比較驕傲的。
“我不服輸”,周鴻祎強(qiáng)調(diào),在大安全這個(gè)新時(shí)代里面,希望能夠繼續(xù)發(fā)揮360安全守護(hù)者這個(gè)作用。區(qū)塊鏈應(yīng)用以后可能深入生活、生產(chǎn)的多個(gè)方面,360希望充當(dāng)一個(gè)“守護(hù)者”的角色,為區(qū)塊鏈應(yīng)用保駕護(hù)航。
