360公司于近日宣布,其團隊發現區塊鏈平臺EOS多項高危安全漏洞。周鴻祎在微博上稱,這一漏洞價值超過“百億美金”。近日午間,360董事長周鴻祎做客火星財經,就此接受王峰采訪。
王峰:第一問,360以PC安全衛士起家,其后一直從事互聯網安全應用,我也知道近幾年也逐漸布局于企業級安全領域,為什么你的安全觸角一下子進入區塊鏈領域。在今年春節之后,3點鐘微信群火爆區塊鏈期間,你也從未輕易表達過對區塊鏈的看法,可是昨天,通過爆料EOS嚴重安全漏洞之際,360閃電出擊,在一天之內連續公布了與幣安、歐鏈、EOS LaoMao、Dbank等項目的合作,這是為什么?看起來你是蓄謀已久啊,后面還有大招?
周鴻祎說,自己從年前開始,才可是努力學習區塊鏈。他在3點鐘群里沒怎么表達看法,是因為確實還沒怎么看懂一些東西。 但在安全上360是專家,所以在17年年底18年年初,實際上360就已經在關注區塊鏈安全,開始研究區塊鏈技術和相關的安全問題。
我們最近發現了很多區塊鏈系統、交易所系統、錢包系統存在問題。 之前大家都在關注區塊鏈帶來的商業機會,但是很少有人關注區塊鏈安全問題。 最近EOS準備上線,在區塊鏈行業里非常具有代表性,我們這次發現EOS漏洞,提交給對方,希望督促他們修補系統,所以我們披露漏洞,是我們安全公司的職責所在。
沒有大家想象的什么蓄謀已久,也沒有什么大招,我們的大招就是踏踏實實幫助區塊鏈行業排除風險。
王峰:第二問,實話實說,你如何看待昨天披露安全漏洞的嚴重程度?為什么稱這個漏洞價值百億美元?
周鴻祎解釋說,如果這個漏洞我們沒有提出來,EOS沒有修復,等到EOS主網上線了,被惡意的黑客發現并利用了,那時候EOS會不會一夜之間就被搞掉了,我們都不好說。所以,EOS現在的估值至少百億美金了,我覺得這個漏洞價值百億美金并不夸張。此外,“史詩級”是從“Epic”翻譯過來的,國外安全社區經常用“Epic bug”或者“Epic fail”來形容比較重大的安全漏洞。
周鴻祎坦言,從公關的角度來看,史詩級這個詞大家理解不一樣,太文藝青年了,所以說成百億美金的漏洞,大家會不會覺得更接地氣一點。因為很多標題黨都被濫用了,所以用了個史詩級,其實說百億美金級別最好了。
王峰:第三問,今天凌晨,EOS創始人BM在電報群中回應360披露的EOS安全漏洞問題,稱360報告中提到的漏洞早已被EOS修復,且早于360發布報告的時間。BM的回應,暗指360制造恐慌,并聲明對于任何挑起市場恐慌的行為將取消其獎勵資格。對此,你怎么看?
周鴻祎稱,對于已經修復這個事情,我還是需要和大家普及一個知識,就是我們安全廠商對外公開披露的漏洞,一定是先和對方溝通,提交給對方去修復,在得到他們修復的確認之后,然后我們再公開。因為如果EOS沒有修復,我們公布出來了,肯定會有一大波黑客立馬上去搞他們,所以我們發布報告的時間當然會是晚于修復時間的。
周鴻祎說,通常的步奏就是,首先是挖掘漏洞,挖出來之后就會研究,會怎么被黑客們利用,把這些研究透了,再向相關的廠商匯報。BM的回應讓人混亂,我們遵循了負責任的行業標準流程,先報告,再修復,最后公開。非常明確地說 我們先私下聯系了BM,通知漏洞,修復后再公布,這些我有聊天記錄截屏。今天早上在和BM溝通時,他們依然是非常認同我們的成果和技術實力的。
至于制造恐慌,周鴻祎說,可以直接在主網上線時放出這個,恐慌效果一定比現在要好的多。
周鴻祎強調,在這整個過程中,360都是非常負責任的嚴格遵循安全行業的安全漏洞披露原則的。我們做為國內最大的一家安全廠商,在全球也是排名前三的安全廠商,我們希望和全球同行和科技公司一起,解決網絡安全問題,降低網絡安全問題給用戶帶去的損害。幫助大家發現漏洞、修補漏洞,讓大家提供安全放心的產品給用戶,是我們共同的責任。
王峰:第四問,你最近不斷提及360安全大腦,能一并介紹下嗎?坊間說,你們和EOS很快有合作要公布,你方便在這里透露嗎?
周鴻祎表示,360安全大腦是人工智能基于大數據的分析判斷,加上360富有經驗的安全專家的人腦,構成了真正的安全超腦。
對于和EOS方面的合作,周鴻祎稱,目前和EOS沒有直接合作,從年初與一些合作伙伴,就EOS生態建設、安全防護、主節點的競爭等方面進行了交流討論。
王峰:第五問,坊間傳聞,360聯合某些組織在做空EOS?
周鴻祎直言,從我們披露漏洞的時間其實應該就能知道肯定不是在做空。假如我真想惡意做空的話,完全可以捂著,等EOS主網上線,直接爆出來。我們采取的做法是安全行業標準的漏洞通報機制,這是非常負責任的做法,希望EOS乃至整個區塊鏈行業發展的更好。
王峰:第六問,關于安全問題,你認為區塊鏈企業自身應該采取哪些措施,加強區塊鏈的安全性?
周鴻祎認為,目前區塊鏈領域,真正的安全問題其實還沒出來。在網絡安全行業里,有兩種情況是最可怕的,一種是做沙漠里的鴕鳥,知道不改,還有一種是知道了不爆出來,最后被人利用,這兩個才是最可怕的。
周鴻祎提出“大安全”概念。在區塊鏈行業里,某個項目自身以及360一家安全公司的能力都是有限的,需要整個網絡安全行業做到協同開放。同時建議出臺一些漏洞獎勵計劃,讓整個安全社區都來幫助解決安全問題。
王峰:第七問,在Vulcan團隊發現這個大漏洞之后,你們是如何考量曝光漏洞的時機和方式?你們認為現在這樣的漏洞爆出時機和方式,是否體現了或者符合網絡安全行業通用的、負責任的處理方式?
周鴻祎再次強調了360嚴格遵循披露原則,Vulcan團隊發現漏銅并研究測試后,立刻聯系了EOS創始人BM,希望幫助EOS開發團隊先解決這個漏洞的,保證漏洞不會攻擊者利用,在他們修復完成之后,才披露的。
王峰:第八問:未來幾年,區塊鏈行業會出現一家像PC互聯網時代的360這樣有影響力的安全企業嗎?
周鴻祎直言,區塊鏈行業里會不會出現一個360,我覺得應該不會出現這種情況,區塊鏈方面的問題的解決會是產業化的,360肯定會是其中的主力,但不會像PC時代那樣一枝獨秀,會有很多從事安全的企業和個人一起來保障區塊鏈的安全。
王峰:第九問,360定義的安全業務的邊界有多大?AI/IOT/Blockchain?
周鴻祎稱,360關注人工智能或者區塊鏈,其實不管是AI和區塊鏈的安全,都有一個共同點,就是無論是AI的算法,還是區塊鏈的算法,都是要寫代碼實現的,而代碼是人寫的,肯定會有漏洞的。搞安全的人更像是一個“看門人”,時刻都要保持一顆懷疑之心、守護之心。
王峰:第十問,在移動互聯網時代,今日頭條、小米科技、美團點評等迅速崛起,但360優勢并不明顯,這會不會讓你感覺到失落?
周鴻祎稱,在PC時代那時候,病毒木馬橫行,360順應潮流用安全衛士、360殺毒幫大家解決了安全問題,可能獲得的關注比較多。但在移動互聯網時代,實際上也做了很多事情,你們可以看看去年谷歌致謝榜單里面,我們在安卓上,幫助谷歌修復兩百多個漏洞,全球第一,是第二名的三倍。除了這類工作,我們還和公安合作,比如推出獵網平臺,打擊電信電話網絡詐騙。
周鴻祎直言,這些事情,可能不會像當年一樣刺激,但我覺得我們是做了非常有價值的一些事情,從內心來說,我們還是比較驕傲的。
“我不服輸”,周鴻祎強調,在大安全這個新時代里面,希望能夠繼續發揮360安全守護者這個作用。區塊鏈應用以后可能深入生活、生產的多個方面,360希望充當一個“守護者”的角色,為區塊鏈應用保駕護航。
