“十步殺一人,千裡不留行;事了拂衣去,深藏功與名。”詩人李白筆下的俠客,國術超強,淡泊名利。想必,面對這些俠客的人,會不由自主的兩股戰戰,心生寒氣,但這些俠客,卻也不是隻顧私利,冷血殘忍的殺手。 如果硬要為這些俠客找個現代參照,讓·雷諾飾演的殺手萊昂,或許有幾分神似,他“友善”、“沉默”,心地善良,這樣的“killer”,自然不會讓人覺得太冷。恰好,在騰訊,也有一位像萊昂的“killer”:除病毒于千裡之外,隐名聲于市井之中。 不過,如果突然提起“killer”,想必大部分人會認為是在說殺手,不會想到這是一位反病毒專家的“花名”,但如果你知道“熊貓燒香”,你或許會對他有所耳聞。 2006年10月16日,25歲的湖北人李俊(和混江龍李俊同名同姓)編寫了“熊貓燒香”病毒,2007年1月,“熊貓燒香”肆虐中國網際網路,Killer和他的團隊,迅速推出超級巡警防毒軟體,完美清除“熊貓燒香”,Killer也是以一戰成名。 Killer,本名董志強,漢語言文學專業出身,從長相上看,一點“殺手”風範也沒有,但面對計算機病毒時,他是不折不扣的“Killer”,“熊貓燒香”的覆滅便是明證。但是,在他看來,“熊貓燒香”一點技術含量也沒有,而且,當下的大部分計算機病毒,包括肆虐全球的wannacry,也一樣沒有技術含量。 2016年,Killer加入騰訊,擔任雲鼎實驗室總監。他為自己取了一個“毫無特色”的英文名:kkdong,大概相當于“王小二”吧。 對了,他還是網紅Watch妹進入網際網路的領路人。
讀家:你大學專業是漢語言文學,在這方面有過什麼發展或研究嗎?
Killer:隻能說在學校學得比較認真,一度認為将來會靠文字吃飯,做過一些規劃,嘗試寫過小說、散文和詩歌,也在雜志上發表過豆腐塊文章,喜歡上計算機後,就不大寫了。
中途也曾撿起來過,因為當時撥号上網非常貴,每小時要5.6元,即便嚴格控制,一個月也要1500塊錢。這什麼概念呢?當時哈爾濱市中心的商品房一平方米大概就這個價。開銷這麼大,我不得不重拾寫作,我以多個筆名給計算機雜志投稿,每個月大概寫10篇左右,保持了兩年時間,這樣我的稿費就能覆寫網費了。
讀家:稿費很高吧?
Killer:計算機類雜志稿費當時确實比較高,一篇幾百塊的樣子,而且圖檔也算錢,比如截圖、流程圖,這比寫文學作品掙錢多了。
讀家:你從文學轉到安全領域,據說和焦點論壇有關,是這樣嗎?
Killer:焦點論壇全名網絡安全焦點論壇,是國内比較早的計算機安全社群。我最初接觸計算機時做的是逆向工程相關内容,學了很多逆向工程相關知識後,才把興趣轉到網絡安全上,開始學習使用黑客工具,了解其中的原理。
為此,我去谷歌搜尋相關知識,發現很多知識的連結都定位到焦點論壇,于是也注冊了一個ID,後來才知道安全焦點是當時國内最好的中文安全資源站,有許多優質的原創和翻譯文章,論壇彙集國内安全領域最早一批從業者。
這個論壇對我幫助很大,讓我得以了解圈子内同行的想法,并且知悉外部研究動态。新增賬號後,很榮幸得到論壇早期創始成員的認可,成為其中一員。TKyu也是其中一員。
讀家:從文學轉到安全,感覺比Tkyu跨度還大,你怎麼做轉換的?
Killer:我也梳理過,文科生能否從事計算機行業,我發現,計算機行業不單需要理性思維,還需要跳躍性思維,很多問題循規蹈矩去解決可能遇到困難,而運用跳躍性思維就迎刃而解。恰好我有寫詩歌散文的經曆,跳躍思維很發達,經常壓抑不住,是以針對一個問題,我會想到好幾種不同的思路,最終反倒把問題解決了。
讀家:不會遇到數學上的困難嗎?
Killer:最初有困擾,因為沒有系統性學習,但網絡安全本身實踐性很強,需要通過實踐積累經驗。當然,也不能放棄系統性學習,我最初接觸計算機時,通過自學完成了系統化學習,自我衡量的話,如果考計算機類考試,比如算法、密碼學、彙編語言、計算機程式設計,考60-80分問題不大。
讀家:您因為殺滅熊貓燒香病毒一戰成名,但很多安全從業者說,熊貓燒香并不算很進階的病毒,你怎麼評價?
Killer:這個要說清楚有點複雜,我多談幾句。
在過去,病毒往往是黑客一種炫技的形式,病毒作者主要研究進階感染技巧,在二進制層面做非常精确的控制,追求代碼凝練精悍。國外一些地下病毒論壇中,基于這樣的判斷條件,許多人會分析病毒的優劣,寫出很酷的病毒會受到大家的尊重,他們也會關注反病毒廠商在引擎層面如何處理,進而得出引擎優劣的評價。
這個時候許多病毒作者不以傳播病毒為目的,他們往往将自己寫好的病毒直接發給殺毒廠商,然後看他們如何處理,多久能處理。曾有病毒作者跟我吐槽,說他寫了那麼酷的病毒,卻被卡巴斯基起了很挫的名字。這個時期,一方面病毒數量少,以破壞為目的的不多,殺毒廠商可以針對性的精細化處理。
但是,當流量變現興起後,存在于灰色地帶的流氓軟體突然有了很高的獲利空間,也刺激了新生代的病毒的功利性。熊貓燒香就是典型案例,以前病毒将自身隐藏在宿主檔案的空隙中,甚至不改變宿主檔案大小。熊貓燒香直接采用将自身與宿主檔案捆綁的方式,不需要很高的彙編技巧卻簡單有效,同時删除電腦中Ghost備份,破壞使用者通過還原方式修複系統,并對磁盤中的html檔案都插入感染連結,確定在删除病毒檔案後,使用者通路網頁時還能死灰複燃,等等。
對有研發經驗的人來說,這些套路不需要專門的技術研究,就可以很快實作。這種病毒不是技術上的創新,而是思路的轉變。但這些技巧,在當時國内的網際網路非常有效,很接地氣。這就像兩個人打架,觀衆都期望看到行雲流水的對打拆招,沒想到他一塊闆磚結束戰鬥。
熊貓燒香的一些感染手法,一方面為傳統廠商所不齒,一方面無聲的嘲諷了傳統廠商的應對和處理能力。熊貓燒香捕獲很容易,被感染後的圖示辨識度極高,對付它的難點在于:一是傳播管道很難被遏制,病毒通過挂馬,利用ie和各種第三方ocx漏洞傳播,進入使用者電腦,當時的殺毒産品對網頁挂馬的檢測能力幾近于無。二是很難被全面檢測和清理,病毒作者通過代碼販賣使得産生大量免殺的新變種。一個典型的事實是在對抗的過程中,我了解到有幾家反病毒廠商在逆向我們的産品,試圖分析我們是如何解決這一問題的。僅憑這一點能看出,這是一個反病毒領域的新課題,反病毒廠商總是試圖用歸一化引擎架構來處理所有問題,熊貓燒香是對這種傳統引擎修複方法的穿透。原來的修複邏輯無法适應新生代病毒套路:僅僅針對感染檔案提取特征去檢測還不夠,還要同時修複磁盤中的html,甚至浏覽器的首頁,U盤等等。
當一個病毒大範圍爆發,而安全廠商又無力應對時,我們一定不能隻關注技術細節,還要思考其背後的深層次原因,這樣才能有效應對變化,解決使用者面臨的問題。
網上有人糾結病毒的技術含量,大概是因為個别媒體把病毒作者比喻為天才,通過技術含量的評判實作對其的否定。這種主觀評判很容易讓人忽視問題本身,事實上,從專業技術角度分析,最近被熱炒的wannacry,甚至手機版wannacry,一樣沒有技術含量,連危害面都沒有那麼大。
讀家:你在一次采訪裡提到,做産品就是做人心,這句話怎麼了解?
Killer:我過去十餘年,更傾向于産品負責人角色,做過很多産品,所謂人心,就是使用者心裡對我們提供的服務的認知、定位、和評價。産品的一切,都要圍繞着使用者的認知和評價來進行。比如有人說要研發一個管理系統,這個管理系統應該具備功能123等等,在研發的過程中大家往往忽略了目标,我們并不是要做管理系統,而是為了營運,我們應該圍繞如何快速改善不足進行,管理系統隻是營運的輔助工具之一。
讀家:騰訊和百度經常被人吐槽,我們做錯什麼了嗎?
Killer:網際網路行業的幾家大公司,基本上都被吐槽過,我覺得吐槽分兩個層面:一是公司内部員工吐槽,包括覺得流程太慢,跨部門合作太難,我經曆過的幾家公司都未能避免這類問題。
另一個層面,我覺得是被網友吐槽,這比較嚴重。我看到最多的例子是産品可用性被透支。任何一款産品,商業化空間都有限,市場就那麼大,展示位就那麼多,在KPI導向下,大多數所謂的變現上的創新都是試探使用者底線的擦邊球,這點每個産品負責人都要慎重。
讀家:這可能很難解決。
Killer:最簡單是對事情的态度,我認為在市場沒有很大增長規模的條件下,要保持每年一定增長比例不現實,應該在公司上下級間達成一緻,不能要求産品在市場飽和的情況下,還每年保持百分之二三十的利潤增長。我過去也遇到過這樣的例子,我的建議是做不一樣的産品,去尋找新的增長點。
讀家:目前你在騰訊負責雲鼎實驗室,這個實驗室與其他實驗室有什麼不同?
Killer:最大的差別還是業務上不一樣,雲鼎實驗室傾向于雲安全,另外我們的側重點在防禦,像玄武、湛盧有很強的進攻能力,這樣我們能有比較好的互動。在過去一年裡,玄武實驗室幫我們發現了許多漏洞,我們第一時間跟進修補,現在和其他實驗室也在開展類似合作。
讀家:據說雲鼎實驗室的名字來自于Tkyu建議?
Killer:是的,tk也在朋友圈解釋過。其實我最開始想了十多個名字,最後定了兩個,去找Tk讨論,他覺得“頂”鋒芒太盛,而且容易讓人聯想到馬來西亞那個賭場,不如用“鼎”,一方面可以引起安全、穩當的聯想,同時鼎作為古代炊具,又有調和衆味的意象,和雲計算廣納各行各業的特點相吻合。
讀家:你如何評價Tkyu?
Killer:他在安全圈子裡是非常博學的人,而且非常聰明。
讀家:Tkyu閱讀極為廣泛,是不是做安全,也需要博覽群書?
Killer:做安全,最開始隻是掌握方法,比如如何分析樣本、挖掘漏洞,但後面必須總結出方法論,将經驗和技巧沉澱下來,博覽群書可以帶給我們跨界思路,幫助比較大。
讀家:企業客戶在選擇雲計算平台時,安全往往是首要因素,那麼雲計算領域的安全與傳統網際網路領域的安全有什麼不同?騰訊雲目前在雲安全層面上屬于什麼檔次?
Killer:從解決方案上說,雲計算領域的安全可以閉環。從産品上講,網際網路安全産品容易柔性地解決問題,可以快速疊代,雲計算産品直接面對業務系統,使用者服務的穩定性排第一,我們内部會反複測試,跑得比較成熟後才會給使用者更新。我們對技術方案持謹慎态度,一些流行的、高精尖的技術路線要有成熟的實踐才能采用。
騰訊雲起步稍晚,目前發展比較快,雲安全也在快速跟進競争對手,對手比我們早做三年、人數也是我們兩倍多,騰訊雲安全在基礎建設、産品功能、營運閉環等方面最近一年在加快追趕。
讀家:你們通過什麼方式驗證新技術新方案?
Killer:一般我們這麼做:第一,觀察公司産品或競品有沒有采用這種技術,使用情況如何;第二,開發Demo,在我們自己的平台上測試,騰訊雲上有幾百台測試機器,我們會從性能、品質等多方面進行評估,評估達标後才會推薦給使用者,然後看使用者願不願意接受。
如果使用者願意接受,我們就讓他們用。我們會在産品中配套這種技術方案,但預設是關閉的,隻有使用者願意使用才會打開。外界看起來會覺得流程比較長,産品更新周期慢,但企業市場就要這麼做。
讀家:企業客戶是不是比較難溝通?
Killer:和企業客戶溝通,其實是立場問題,我覺得企業客戶不難溝通,我最近接觸幾個證券類客戶,他們表示希望有某種技術方案,但從我的角度看,可能會不穩定,我直白建議不推薦這樣做,但我們具備這樣的能力。實際上他們非常主動,表示哪怕導緻部分機器藍屏也能接受,有問題會回報給我們。
其實不同客戶訴求不一樣,金融客戶更重視安全,那麼能解決安全問題的技術手段,出現一些錯誤可以容忍。是以,與客戶溝通時,要找到各自的訴求。
讀家:盧山接受「讀家」采訪時說,可以将人工智能應用到安全領域,你接受采訪時也曾有過類似表态,那麼這種結合會是什麼樣的形式?
Killer:人工智能這兩年比較火,但落地case并不多,去年雲+會議上我的議題是《發現決定一切》,就是指解決安全問題我們需要很強的“内視”能力,基于這一能力建立起來的關聯體系才能有效閉環。這裡面人工經驗雖然有效,但是一個相當粗的名額,當資訊粒度降低到一定程度時,就會影響人工判斷。
機器學習可以幫助我們解決這個問題,機器學習背後是威脅模組化、資料分析,以及我們的攻防經驗,目前國内外人工智能的案例,大多處在初級階段,在安全應用上最成熟的案例展現在異常發現和風險識别上,這能幫助我們在海量資料中發現更多的異常線索。
過去這些年,我們也做了一些實踐,我們釋出了主機安全産品雲鏡,通過機器學習判斷異常節省了分析人力,是人工智能在雲端的典型應用。
目前,國際上人工智能在安全領域的應用,也大多集中在檢測和發現異常上。整體來說,人工智能最大的亮點是節省人力,其實是發現更多線索,但還沒發做到科幻小說中那樣,機器完全自動化。
讀家:你曾說雲安全領域可以建立紅藍軍,形成閉環,實作攻防一體,這怎麼了解?
Killer:攻防一體其實說得比較久了,所謂閉環,往小了說就是要形成從應用側到流量側,從端點到網關一體的監測與響應體系,在這個盤子裡我們可以快速的檢測與響應。這樣一個體系需要實戰磨練它,就要有作為攻擊的紅軍出現,目前我們已經有一些基本的實踐,一方面考驗産品的響應能力,一方面鍛煉團隊的應急能力。
在這個閉環中,紅軍扮演的是攻擊者角色,我們希望他能主動發現體系的問題,檢驗我們的防禦體系,這樣我們才知道如何去應對。是以,紅軍不一定要我們防禦團隊來做,我們歡迎大量紅軍來一起推動攻防落地。
讀家:您怎麼評價雲鼎實驗室這個團隊?您挑選人才的時候會關注他們哪些特質?
Killer:雲鼎實驗室團隊成員目前比較少,我挑選人才時,會關注兩點:第一,對安全是否有強烈興趣?如果有興趣,就算經驗欠缺,也可以帶進來培養。第二,是否能沉下心來,現在大家普遍比較浮躁,是以我很在意一個人能否沉澱下來做事。
過去一段時間看,團隊成員都比較有責任感,應急事件響應很快。團隊内部,我們倡導直接溝通,堅持事實,鼓勵每個人都勇于實踐。
讀家:現在智能化已經成為一種不可逆的趨勢,但我們大部分人缺乏相應的安全意識,我們應該如何保護自身的資訊安全呢?
Killer:今天的我們已經是數字化生存的狀态,離開手機/電腦一天就有度日如年的感覺。建議每個人都掌握一些基本的安全常識,在網絡上提升自我保護意識。不要事無巨細的洩露自己和家人的行蹤,容易被騙,遇事慌亂的家人他們與資訊時代有點遠,遇事多方核實一下資訊比較好。自己和家人的電腦上要安裝防護軟體,盡可能用最新的系統更新到最新的版本。重要的資料和資訊定期備份,即使有損失也在可控的範圍内。
公司的産品覆寫了海量使用者,可以說是社會基礎設施一部分。提升自身産品安全性,加強業務安全營運,對公司和社會都有很大的價值,也是負責任的表現。
公司内多個安全團隊可以加強合作,優化投入,像最近的暗雲事件,我們在跟進過程中與電腦管家有很好的關聯、安管的同僚也參與其中,大家資訊共享,在雲管端多個層面聯合打擊,一起為淨化網際網路貢獻力量,這樣就能更好的保護我們的家人。
讀家:公司層面要把産品做得更安全一些?
Killer:對,這也是騰訊社會責任感的展現。
讀家:最後一個問題,你怎麼評價watch妹和她的系列視訊?
Killer:其實質蕙(watch妹)拍的視訊我都看過,也會打賞。當初在百度招聘她時,是希望她做一些海外PR的工作,她在這方面基礎不錯,英文好,學習能力也不錯,開始寫稿我還給了不少建議,很快就發現不需要了,對她的工作定位一直是PR方向。沒想到她到騰訊後,走了不一樣的道路,我還自責了一下,感覺原來沒有把她的天賦挖掘出來,是不是耽誤人家了,很慚愧。後來我還特意跑到原來團隊的群裡問大家,誰還有天賦沒發揮出來,不要埋沒了。