前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【读家】专访Killer:计算机病毒大多没有技术含量

【读家】专访Killer:计算机病毒大多没有技术含量

原创
作者头像
云鼎实验室
修改2017-08-03 15:47:24
3.5K0
修改2017-08-03 15:47:24
举报
文章被收录于专栏:云鼎实验室的专栏

引言

“十步杀一人,千里不留行;事了拂衣去,深藏功与名。”诗人李白笔下的侠客,武术超强,淡泊名利。想必,面对这些侠客的人,会不由自主的两股战战,心生寒气,但这些侠客,却也不是只顾私利,冷血残忍的杀手。 如果硬要为这些侠客找个现代参照,让·雷诺饰演的杀手莱昂,或许有几分神似,他“友善”、“沉默”,心地善良,这样的“killer”,自然不会让人觉得太冷。恰好,在腾讯,也有一位像莱昂的“killer”:除病毒于千里之外,隐名声于市井之中。 不过,如果突然提起“killer”,想必大部分人会认为是在说杀手,不会想到这是一位反病毒专家的“花名”,但如果你知道“熊猫烧香”,你或许会对他有所耳闻。 2006年10月16日,25岁的湖北人李俊(和混江龙李俊同名同姓)编写了“熊猫烧香”病毒,2007年1月,“熊猫烧香”肆虐中国互联网,Killer和他的团队,迅速推出超级巡警杀毒软件,完美查杀“熊猫烧香”,Killer也因此一战成名。 Killer,本名董志强,汉语言文学专业出身,从长相上看,一点“杀手”风范也没有,但面对计算机病毒时,他是不折不扣的“Killer”,“熊猫烧香”的覆灭便是明证。但是,在他看来,“熊猫烧香”一点技术含量也没有,而且,当下的大部分计算机病毒,包括肆虐全球的wannacry,也一样没有技术含量。 2016年,Killer加入腾讯,担任云鼎实验室总监。他为自己取了一个“毫无特色”的英文名:kkdong,大概相当于“王小二”吧。 对了,他还是网红Watch妹进入互联网的领路人。

曾靠给计算机杂志投稿挣网费

读家:你大学专业是汉语言文学,在这方面有过什么发展或研究吗?

Killer:只能说在学校学得比较认真,一度认为将来会靠文字吃饭,做过一些规划,尝试写过小说、散文和诗歌,也在杂志上发表过豆腐块文章,喜欢上计算机后,就不大写了。

中途也曾捡起来过,因为当时拨号上网非常贵,每小时要5.6元,即便严格控制,一个月也要1500块钱。这什么概念呢?当时哈尔滨市中心的商品房一平方米大概就这个价。开销这么大,我不得不重拾写作,我以多个笔名给计算机杂志投稿,每个月大概写10篇左右,保持了两年时间,这样我的稿费就能覆盖网费了。

读家:稿费很高吧?

Killer:计算机类杂志稿费当时确实比较高,一篇几百块的样子,而且图片也算钱,比如截图、流程图,这比写文学作品挣钱多了。

文科生转做安全也要系统性学习

读家:你从文学转到安全领域,据说和焦点论坛有关,是这样吗?

Killer:焦点论坛全名网络安全焦点论坛,是国内比较早的计算机安全社区。我最初接触计算机时做的是逆向工程相关内容,学了很多逆向工程相关知识后,才把兴趣转到网络安全上,开始学习使用黑客工具,了解其中的原理。

为此,我去谷歌搜索相关知识,发现很多知识的链接都定位到焦点论坛,于是也注册了一个ID,后来才知道安全焦点是当时国内最好的中文安全资源站,有许多优质的原创和翻译文章,论坛汇集国内安全领域最早一批从业者。

这个论坛对我帮助很大,让我得以了解圈子内同行的想法,并且知悉外部研究动态。注册账号后,很荣幸得到论坛早期创始成员的认可,成为其中一员。TKyu也是其中一员。

读家:从文学转到安全,感觉比Tkyu跨度还大,你怎么做转换的?

Killer:我也梳理过,文科生能否从事计算机行业,我发现,计算机行业不单需要理性思维,还需要跳跃性思维,很多问题循规蹈矩去解决可能遇到困难,而运用跳跃性思维就迎刃而解。恰好我有写诗歌散文的经历,跳跃思维很发达,经常压抑不住,所以针对一个问题,我会想到好几种不同的思路,最终反倒把问题解决了。

读家:不会遇到数学上的困难吗?

Killer:最初有困扰,因为没有系统性学习,但网络安全本身实践性很强,需要通过实践积累经验。当然,也不能放弃系统性学习,我最初接触计算机时,通过自学完成了系统化学习,自我衡量的话,如果考计算机类考试,比如算法、密码学、汇编语言、计算机程序设计,考60-80分问题不大。

计算机病毒大多没有技术含量

读家:您因为杀灭熊猫烧香病毒一战成名,但很多安全从业者说,熊猫烧香并不算很高级的病毒,你怎么评价?

Killer:这个要说清楚有点复杂,我多谈几句。

在过去,病毒往往是黑客一种炫技的形式,病毒作者主要研究高级感染技巧,在二进制层面做非常精确的控制,追求代码凝练精悍。国外一些地下病毒论坛中,基于这样的判断条件,许多人会分析病毒的优劣,写出很酷的病毒会受到大家的尊重,他们也会关注反病毒厂商在引擎层面如何处理,从而得出引擎优劣的评价。

这个时候许多病毒作者不以传播病毒为目的,他们往往将自己写好的病毒直接发给杀毒厂商,然后看他们如何处理,多久能处理。曾有病毒作者跟我吐槽,说他写了那么酷的病毒,却被卡巴斯基起了很挫的名字。这个时期,一方面病毒数量少,以破坏为目的的不多,杀毒厂商可以针对性的精细化处理。

但是,当流量变现兴起后,存在于灰色地带的流氓软件突然有了很高的获利空间,也刺激了新生代的病毒的功利性。熊猫烧香就是典型案例,以前病毒将自身隐藏在宿主文件的空隙中,甚至不改变宿主文件大小。熊猫烧香直接采用将自身与宿主文件捆绑的方式,不需要很高的汇编技巧却简单有效,同时删除电脑中Ghost备份,破坏用户通过还原方式修复系统,并对磁盘中的html文件都插入感染链接,确保在删除病毒文件后,用户访问网页时还能死灰复燃,等等。

对有研发经验的人来说,这些套路不需要专门的技术研究,就可以很快实现。这种病毒不是技术上的创新,而是思路的转变。但这些技巧,在当时国内的互联网非常有效,很接地气。这就像两个人打架,观众都期望看到行云流水的对打拆招,没想到他一块板砖结束战斗。

熊猫烧香的一些感染手法,一方面为传统厂商所不齿,一方面无声的嘲讽了传统厂商的应对和处理能力。熊猫烧香捕获很容易,被感染后的图标辨识度极高,对付它的难点在于:一是传播渠道很难被遏制,病毒通过挂马,利用ie和各种第三方ocx漏洞传播,进入用户电脑,当时的杀毒产品对网页挂马的检测能力几近于无。二是很难被全面检测和清理,病毒作者通过代码贩卖使得产生大量免杀的新变种。一个典型的事实是在对抗的过程中,我了解到有几家反病毒厂商在逆向我们的产品,试图分析我们是如何解决这一问题的。仅凭这一点能看出,这是一个反病毒领域的新课题,反病毒厂商总是试图用归一化引擎架构来处理所有问题,熊猫烧香是对这种传统引擎修复方法的穿透。原来的修复逻辑无法适应新生代病毒套路:仅仅针对感染文件提取特征去检测还不够,还要同时修复磁盘中的html,甚至浏览器的首页,U盘等等。

当一个病毒大范围爆发,而安全厂商又无力应对时,我们一定不能只关注技术细节,还要思考其背后的深层次原因,这样才能有效应对变化,解决用户面临的问题。

网上有人纠结病毒的技术含量,大概是因为个别媒体把病毒作者比喻为天才,通过技术含量的评判实现对其的否定。这种主观评判很容易让人忽视问题本身,事实上,从专业技术角度分析,最近被热炒的wannacry,甚至手机版wannacry,一样没有技术含量,连危害面都没有那么大。

产品不能为了KPI透支用户信任

读家:你在一次采访里提到,做产品就是做人心,这句话怎么理解?

Killer:我过去十余年,更倾向于产品负责人角色,做过很多产品,所谓人心,就是用户心里对我们提供的服务的认知、定位、和评价。产品的一切,都要围绕着用户的认知和评价来进行。比如有人说要研发一个管理系统,这个管理系统应该具备功能123等等,在研发的过程中大家往往忽略了目标,我们并不是要做管理系统,而是为了运营,我们应该围绕如何快速改善不足进行,管理系统只是运营的辅助工具之一。

读家:腾讯和百度经常被人吐槽,我们做错什么了吗?

Killer:互联网行业的几家大公司,基本上都被吐槽过,我觉得吐槽分两个层面:一是公司内部员工吐槽,包括觉得流程太慢,跨部门合作太难,我经历过的几家公司都未能避免这类问题。

另一个层面,我觉得是被网友吐槽,这比较严重。我看到最多的例子是产品可用性被透支。任何一款产品,商业化空间都有限,市场就那么大,展示位就那么多,在KPI导向下,大多数所谓的变现上的创新都是试探用户底线的擦边球,这点每个产品负责人都要慎重。

读家:这可能很难解决。

Killer:最简单是对事情的态度,我认为在市场没有很大增长规模的条件下,要保持每年一定增长比例不现实,应该在公司上下级间达成一致,不能要求产品在市场饱和的情况下,还每年保持百分之二三十的利润增长。我过去也遇到过这样的例子,我的建议是做不一样的产品,去寻找新的增长点。

云鼎实验室的名字源于Tk建议

读家:目前你在腾讯负责云鼎实验室,这个实验室与其他实验室有什么不同?

Killer:最大的区别还是业务上不一样,云鼎实验室倾向于云安全,另外我们的侧重点在防御,像玄武、湛卢有很强的进攻能力,这样我们能有比较好的互动。在过去一年里,玄武实验室帮我们发现了许多漏洞,我们第一时间跟进修补,现在和其他实验室也在开展类似合作。

读家:据说云鼎实验室的名字来自于Tkyu建议?

Killer:是的,tk也在朋友圈解释过。其实我最开始想了十多个名字,最后定了两个,去找Tk讨论,他觉得“顶”锋芒太盛,而且容易让人联想到马来西亚那个赌场,不如用“鼎”,一方面可以引起安全、稳当的联想,同时鼎作为古代炊具,又有调和众味的意象,和云计算广纳各行各业的特点相吻合。

读家:你如何评价Tkyu?

Killer:他在安全圈子里是非常博学的人,而且非常聪明。

读家:Tkyu阅读极为广泛,是不是做安全,也需要博览群书?

Killer:做安全,最开始只是掌握方法,比如如何分析样本、挖掘漏洞,但后面必须总结出方法论,将经验和技巧沉淀下来,博览群书可以带给我们跨界思路,帮助比较大。

云鼎实验室会让腾讯云更安全

读家:企业客户在选择云计算平台时,安全往往是首要因素,那么云计算领域的安全与传统互联网领域的安全有什么不同?腾讯云目前在云安全层面上属于什么档次?

Killer:从解决方案上说,云计算领域的安全可以闭环。从产品上讲,互联网安全产品容易柔性地解决问题,可以快速迭代,云计算产品直接面对业务系统,用户服务的稳定性排第一,我们内部会反复测试,跑得比较成熟后才会给用户升级。我们对技术方案持谨慎态度,一些流行的、高精尖的技术路线要有成熟的实践才能采用。

腾讯云起步稍晚,目前发展比较快,云安全也在快速跟进竞争对手,对手比我们早做三年、人数也是我们两倍多,腾讯云安全在基础建设、产品功能、运营闭环等方面最近一年在加快追赶。

读家:你们通过什么方式验证新技术新方案?

Killer:一般我们这么做:第一,观察公司产品或竞品有没有采用这种技术,使用情况如何;第二,开发Demo,在我们自己的平台上测试,腾讯云上有几百台测试机器,我们会从性能、质量等多方面进行评估,评估达标后才会推荐给用户,然后看用户愿不愿意接受。

如果用户愿意接受,我们就让他们用。我们会在产品中配套这种技术方案,但默认是关闭的,只有用户愿意使用才会打开。外界看起来会觉得流程比较长,产品更新周期慢,但企业市场就要这么做。

读家:企业客户是不是比较难沟通?

Killer:和企业客户沟通,其实是立场问题,我觉得企业客户不难沟通,我最近接触几个证券类客户,他们表示希望有某种技术方案,但从我的角度看,可能会不稳定,我直白建议不推荐这样做,但我们具备这样的能力。实际上他们非常主动,表示哪怕导致部分机器蓝屏也能接受,有问题会反馈给我们。

其实不同客户诉求不一样,金融客户更重视安全,那么能解决安全问题的技术手段,出现一些错误可以容忍。所以,与客户沟通时,要找到各自的诉求。

读家:卢山接受「读家」采访时说,可以将人工智能应用到安全领域,你接受采访时也曾有过类似表态,那么这种结合会是什么样的形式?

Killer:人工智能这两年比较火,但落地case并不多,去年云+会议上我的议题是《发现决定一切》,就是指解决安全问题我们需要很强的“内视”能力,基于这一能力建立起来的联动体系才能有效闭环。这里面人工经验虽然有效,但是一个相当粗的指标,当信息粒度降低到一定程度时,就会影响人工判断。

机器学习可以帮助我们解决这个问题,机器学习背后是威胁建模、数据分析,以及我们的攻防经验,目前国内外人工智能的案例,大多处在初级阶段,在安全应用上最成熟的案例体现在异常发现和风险识别上,这能帮助我们在海量数据中发现更多的异常线索。

过去这些年,我们也做了一些实践,我们发布了主机安全产品云镜,通过机器学习判断异常节省了分析人力,是人工智能在云端的典型应用。

目前,国际上人工智能在安全领域的应用,也大多集中在检测和发现异常上。整体来说,人工智能最大的亮点是节省人力,其实是发现更多线索,但还没发做到科幻小说中那样,机器完全自动化。

我选人才更关心他能否沉下心

读家:你曾说云安全领域可以建立红蓝军,形成闭环,实现攻防一体,这怎么理解?

Killer:攻防一体其实说得比较久了,所谓闭环,往小了说就是要形成从应用侧到流量侧,从端点到网关一体的监测与响应体系,在这个盘子里我们可以快速的检测与响应。这样一个体系需要实战磨练它,就要有作为攻击的红军出现,目前我们已经有一些基本的实践,一方面考验产品的响应能力,一方面锻炼团队的应急能力。

在这个闭环中,红军扮演的是攻击者角色,我们希望他能主动发现体系的问题,检验我们的防御体系,这样我们才知道如何去应对。所以,红军不一定要我们防御团队来做,我们欢迎大量红军来一起推动攻防落地。

读家:您怎么评价云鼎实验室这个团队?您挑选人才的时候会关注他们哪些特质?

Killer:云鼎实验室团队成员目前比较少,我挑选人才时,会关注两点:第一,对安全是否有强烈兴趣?如果有兴趣,就算经验欠缺,也可以带进来培养。第二,是否能沉下心来,现在大家普遍比较浮躁,所以我很在意一个人能否沉淀下来做事。

过去一段时间看,团队成员都比较有责任感,应急事件响应很快。团队内部,我们倡导直接沟通,坚持事实,鼓励每个人都勇于实践。

腾讯应该把产品做得更安全

读家:现在智能化已经成为一种不可逆的趋势,但我们大部分人缺乏相应的安全意识,我们应该如何保护自身的信息安全呢?

Killer:今天的我们已经是数字化生存的状态,离开手机/电脑一天就有度日如年的感觉。建议每个人都掌握一些基本的安全常识,在网络上提升自我保护意识。不要事无巨细的泄露自己和家人的行踪,容易被骗,遇事慌乱的家人他们与信息时代有点远,遇事多方核实一下信息比较好。自己和家人的电脑上要安装防护软件,尽可能用最新的系统升级到最新的版本。重要的数据和信息定期备份,即使有损失也在可控的范围内。

公司的产品覆盖了海量用户,可以说是社会基础设施一部分。提升自身产品安全性,加强业务安全运营,对公司和社会都有很大的价值,也是负责任的表现。

公司内多个安全团队可以加强合作,优化投入,像最近的暗云事件,我们在跟进过程中与电脑管家有很好的联动、安管的同事也参与其中,大家信息共享,在云管端多个层面联合打击,一起为净化互联网贡献力量,这样就能更好的保护我们的家人。

读家:公司层面要把产品做得更安全一些?

Killer:对,这也是腾讯社会责任感的体现。

读家:最后一个问题,你怎么评价watch妹和她的系列视频?

Killer:其实质蕙(watch妹)拍的视频我都看过,也会打赏。当初在百度招聘她时,是希望她做一些海外PR的工作,她在这方面基础不错,英文好,学习能力也不错,开始写稿我还给了不少建议,很快就发现不需要了,对她的工作定位一直是PR方向。没想到她到腾讯后,走了不一样的道路,我还自责了一下,感觉原来没有把她的天赋挖掘出来,是不是耽误人家了,很惭愧。后来我还特意跑到原来团队的群里问大家,谁还有天赋没发挥出来,不要埋没了。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 引言
    • 曾靠给计算机杂志投稿挣网费
      • 文科生转做安全也要系统性学习
        • 计算机病毒大多没有技术含量
          • 产品不能为了KPI透支用户信任
            • 云鼎实验室的名字源于Tk建议
              • 云鼎实验室会让腾讯云更安全
                • 我选人才更关心他能否沉下心
                  • 腾讯应该把产品做得更安全
                  相关产品与服务
                  大数据
                  全栈大数据产品,面向海量数据场景,帮助您 “智理无数,心中有数”!
                  领券
                  问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档