今年是馬勁松加入騰訊的第 12 個年頭，他親眼見證了這只開掛的企鵝從 QQ 一路拓展至微信、手游、影視、音樂、廣告、支付等領(lǐng)域，他也從當(dāng)年的小馬變?yōu)橥驴谥械睦像R。

回頭來看，在飛速擴(kuò)張的過程中，用戶對這些應(yīng)用的黏性之大，使用頻率之高，可能超過了大多數(shù)人的想象，這其中包括馬勁松，包括股東，甚至馬化騰自己也未必料到能有今天的騰訊。

沒被料到的，還有黑產(chǎn)的發(fā)展速度。

隨著各類應(yīng)用上聚集的用戶越來越多，它們也成為黑產(chǎn)眼中的一塊塊肥肉。比如，你或身邊的人被盜過號、你的郵箱曾收到過垃圾郵件、收到過詐騙信息……

作為騰訊安全反病毒實驗室的掌門人，馬勁松和團(tuán)隊最開始要做的，就是當(dāng)一個稱職的衛(wèi)士，在這只企鵝不斷開疆拓土的過程中，抵擋各類明槍暗箭，護(hù)送它安全前行。

 ▲馬勁松

他在騰訊揮灑青春的這 12 年中，有三個節(jié)點被反復(fù)提起。

＊2011年，在3Q大戰(zhàn)之際，騰訊痛下決心搞自己的殺毒引擎，自此，騰訊開始大規(guī)模在 PC 安全布局。此前曾在搜索引擎部門的馬勁松臨危受命，并因“ TAV ”一戰(zhàn)成名，目前騰訊電腦管家內(nèi)的殺毒引擎，依然出自老馬之手。

 

＊2014年，移動應(yīng)用爆發(fā)，老馬和團(tuán)隊扛起了“手機(jī)病毒查殺”的重任，此后誕生的“哈勃分析系統(tǒng)”，讓APP詐騙、短信轉(zhuǎn)發(fā)木馬、游戲盜號、網(wǎng)銀盜號木馬及隱私泄露等行為得到有效遏制境。

 

＊2016年，老馬和團(tuán)隊開始琢磨搞物聯(lián)網(wǎng)安全，做了什么，這里先賣個關(guān)子。

對于馬勁松的前兩次轉(zhuǎn)身，雷鋒網(wǎng)此前曾做過介紹，不再贅述。（登頂“AVC”背后的反病毒攻堅戰(zhàn) ；騰訊反病毒實驗室馬勁松：和“AV”有關(guān)的日子）

今天要講的，是他出征的新戰(zhàn)場---物聯(lián)網(wǎng)安全。

現(xiàn)在是 IoT 安全爆發(fā)的前夜

沒有人能夠逆潮流而行，就像 2014 年已在 PC 殺毒引擎上游刃有余的老馬，還是得硬著頭皮搞移動安全一樣，現(xiàn)在他需要再次轉(zhuǎn)身，進(jìn)入物聯(lián)網(wǎng)安全這個相對陌生的領(lǐng)域。

雷鋒網(wǎng)發(fā)現(xiàn)，根據(jù) Gartner、Pew 等機(jī)構(gòu)的數(shù)據(jù)，2017年全球 IoT 設(shè)備的數(shù)量已達(dá)到284億，這相當(dāng)于全球每人至少擁有 6 件 IoT 設(shè)備，而到2020年，這個數(shù)量將再翻一番，達(dá)到500多億。但在數(shù)量爆發(fā)的背后，因 IoT 設(shè)備自身與傳統(tǒng)PC、手機(jī)設(shè)備在硬件和軟件上的差異，非常容易引發(fā)了新的安全問題。

在去年的 BlackHat Asia（亞洲黑帽大會）上，有關(guān)物聯(lián)網(wǎng)安全的議題還寥若晨星，而今年你再看，有很多同行已經(jīng)在研究了，你可以明顯的感覺到， IoT安全正在爆發(fā)的前夜。

在今年的 BlackHat Asia 上，老馬團(tuán)隊中的楊經(jīng)宇、耿琛上臺介紹了一個有關(guān) IoT 安全最新研究成果，這是一種基于IoT設(shè)備的全新通用型攻擊方式，不僅能夠繞開設(shè)備的安全防御手段，還能形成“蠕蟲”式攻擊，造成更大的安全威脅。

換句話說，這種攻擊手段一旦被黑客掌握，目前IoT設(shè)備本身的安全防護(hù)很難起作用，而且“傳染性”很強(qiáng)，一臺中招就可以撂倒一大片。更加恐怖的是，這樣的攻擊可以在IoT設(shè)備正常工作的狀態(tài)下進(jìn)行遠(yuǎn)程控制，普通用戶完全沒有感知。

也就是說，黑客能偷偷進(jìn)入你的家，還可以變身隱形人，肆無忌憚的在你的眼皮下做案。

怎么做到的？

首先，黑客要通過遠(yuǎn)程攻擊，獲得寫入bootloader 的權(quán)限。

bootloader從字面上來看，是啟動加載的意思，我們在開電腦或者重啟手機(jī)的時候，都會等待一段時間后才能開機(jī)，然后才能使用操作系統(tǒng)，而 bootloader 就是啟動期間要做的事情。以手機(jī)為例，它會根據(jù)基帶初始化硬件，引導(dǎo)系統(tǒng)內(nèi)核，直至系統(tǒng)啟動。如果獲得不了這個權(quán)限，你的手機(jī)或者電腦只能相當(dāng)于磚頭。

獲得使用bootloader 的權(quán)限，相當(dāng)于黑客已經(jīng)敲開了你家的門。

馬勁松解釋，由于目前市面上很多IoT設(shè)備在 BootLorder 的防護(hù)機(jī)制不夠，使得黑客能夠進(jìn)入系統(tǒng)，利用漏洞拿到權(quán)限。

第二，在修改完 IoT 設(shè)備的 BootLoader 后，下次啟動時，黑客便能夠在內(nèi)存中修改 Linux kernel 和文件系統(tǒng)，開始做案。

拿到權(quán)限后，黑客通過改寫B(tài)ootLorder代碼，就能把惡意代碼嵌入到其中。

比如，偷偷打開你家智能電視的攝像頭，向全世界直播蓬頭垢面的你摳著腳看著綜藝節(jié)目笑的花枝亂顫。

馬勁松透露，目前，該漏洞已經(jīng)上報CNNVD，并已經(jīng)逐步知會相關(guān)廠商，該漏洞屬于 IoT 設(shè)備架構(gòu)設(shè)計上的缺陷，即具備root權(quán)限的程序，能夠改寫B(tài)ootLoader。

這是一種新的通用型漏洞，一旦攻擊成功，難以被清除，即使進(jìn)行系統(tǒng)升級或者通過長按reset按鈕進(jìn)行恢復(fù)出廠設(shè)置都無法清除病毒。

也就是說，一旦被黑客利用，各大廠商能做的，就是立即召回全部有漏洞的產(chǎn)品。

在采訪中，雷鋒網(wǎng)編輯曾多次追問，到底有哪些廠商中招？可以覆蓋市面上的多少設(shè)備？老馬始終沒給我明確的答案，但通過“新”“通用”這些關(guān)鍵字，我推測這個漏洞很嚴(yán)重，如果真的把這些廠商和設(shè)備的名字公布出去，應(yīng)該是一個讓各路公關(guān)“心驚肉跳”的名單。

雖然是新的研究領(lǐng)域，但很多東西異曲同工

進(jìn)入一個新的領(lǐng)域進(jìn)行研究，你有沒有出不了成果，特別沮喪的時候？

對于這個問題，老馬并沒有給我倒苦水，他反而認(rèn)為，進(jìn)入到一個新領(lǐng)域，肯定有大量基礎(chǔ)知識和基本能力要去儲備和訓(xùn)練，這毋庸置疑，該請教專家請教專家，該招人招人，都得一步步來。

真正讓他感到恐怖的事情，是一個搞安全的人對技術(shù)的熱情沒有了。

逆向、編程、資料搜集，搞安全要搞出名堂，一定要對這幾樣?xùn)|西充滿熱情。

在老馬看來，搞安全萬變不離其宗，一是要把別人寫的程序通過工具來讀出二進(jìn)制代碼，即所謂的逆向能力；二是能快速把自己的思想、想法、算法落實，讓代碼跑起來，即編程能力；三是遇到新的問題能迅速搜集和整理資料，盡快識別對手的套路。雖然在新的領(lǐng)域總是有變的東西，但對這三塊的要求不會變，只會越來越強(qiáng)。

之所以要強(qiáng)調(diào)上面的三點，與馬勁松和團(tuán)隊的研究目標(biāo)有很大關(guān)系。與那些炫酷的破解秀不同，他們更注重底層的技術(shù)研究，看中的是所研究的東西能否落地為工程化的應(yīng)用。

你研究病毒后，能不能做成殺毒引擎，把這些能力輸入給電腦管家、手機(jī)管家？你搞流量檢測，能不能把它封裝成了APT高級威脅檢測，落地到產(chǎn)品上進(jìn)行應(yīng)用？

回到老馬在 2016 年“轉(zhuǎn)身”對移動安全的研究，雖然手機(jī)病毒和 PC 病毒原理相差不大，但它們的文件格式、黑白名單比例構(gòu)成、有害行為的特征都不一樣，老馬和團(tuán)隊要做的，就是一點點的摳這些細(xì)節(jié)，讓它們更加順利的對接到移動產(chǎn)品中。

技術(shù)當(dāng)然是前提，但如何讓技術(shù)轉(zhuǎn)變?yōu)楫a(chǎn)品，發(fā)揮最大的效能來抗擊黑產(chǎn)，這是老馬的一直強(qiáng)調(diào)的事情。

為何要下功夫做物聯(lián)網(wǎng)安全

其實，近來國內(nèi)各大廠已經(jīng)頻頻在物聯(lián)網(wǎng)安全領(lǐng)域發(fā)力。360 在去年 11 月就宣布成立 IoT 安全研究院，高調(diào)招人；百度聯(lián)手華為和一眾安全廠商成立 OASES 智能終端安全生態(tài)聯(lián)盟，開始為安全廠商與設(shè)備廠商牽線搭橋；阿里前不久也宣布全面進(jìn)軍 IoT，其發(fā)起的 ICA 聯(lián)盟提出了 IoT 行業(yè)中芯片安全分級的標(biāo)準(zhǔn)及方法；小米在去年末的一組數(shù)據(jù)顯示，目前已有 8500 萬個米家設(shè)備連入物聯(lián)網(wǎng)，安全成為重中之重……

作為騰訊，目前它有哪些應(yīng)用會應(yīng)用在 IoT 設(shè)備上？

對于這個問題，老馬神秘一笑，說了 5 個字：“請拭目以待”。

回想騰訊安全的發(fā)展歷史，原來它只是保護(hù)自身的用戶和業(yè)務(wù)，但這顯然遠(yuǎn)遠(yuǎn)不夠。老馬解釋，以這次針對 IoT 設(shè)備的攻破為例，從發(fā)現(xiàn)漏洞到利用漏洞，還有一個漫長的過程，前者只是萬里長征的第一步，要實現(xiàn)具體的攻擊，還需要結(jié)合弱密碼等其他漏洞才能攻擊成功。

換句話講，安全廠商、硬件廠商和用戶自身都存在破綻，對用戶來講，安全有時會面臨“木桶效應(yīng)”，只要其中一個短板出現(xiàn)問題，就會暴露的攻擊之下。

安全確實無法獨善其身，特別是像騰訊這樣一個擁有眾多應(yīng)用和用戶的公司。以老馬和團(tuán)隊之前曾經(jīng)做的哈勃引擎為例，哈勃起先最重要的任務(wù)是分析病毒樣本，但后來，他發(fā)現(xiàn)通過分析這些病毒樣本，還可以提取到質(zhì)量很高的威脅情報。這意味著，一款產(chǎn)品所具備的安全能力有時是可以賦能到整個安全生態(tài)當(dāng)中的，使其發(fā)揮更多的作用。

回到文章開頭的那張圖片，那些動輒上億用戶的應(yīng)用，未來也許將會以一種全新的方式登陸 IoT 設(shè)備，就像它們當(dāng)年悄悄出現(xiàn)在你手機(jī)中一樣。

相關(guān)文章：騰訊反病毒實驗室馬勁松：和“AV”有關(guān)的日子；

BAT3 在 IoT 安全上湊齊了，我們問了問李康和楊卿 360 要怎么搞

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。