360公司于近日宣布,其团队发现区块链平台EOS多项高危安全漏洞。周鸿祎在微博上称,这一漏洞价值超过“百亿美金”。近日午间,360董事长周鸿祎做客火星财经,就此接受王峰采访。
王峰:第一问,360以PC安全卫士起家,其后一直从事互联网安全应用,我也知道近几年也逐渐布局于企业级安全领域,为什么你的安全触角一下子进入区块链领域。在今年春节之后,3点钟微信群火爆区块链期间,你也从未轻易表达过对区块链的看法,可是昨天,通过爆料EOS严重安全漏洞之际,360闪电出击,在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作,这是为什么?看起来你是蓄谋已久啊,后面还有大招?
周鸿祎说,自己从年前开始,才可是努力学习区块链。他在3点钟群里没怎么表达看法,是因为确实还没怎么看懂一些东西。 但在安全上360是专家,所以在17年年底18年年初,实际上360就已经在关注区块链安全,开始研究区块链技术和相关的安全问题。
我们最近发现了很多区块链系统、交易所系统、钱包系统存在问题。 之前大家都在关注区块链带来的商业机会,但是很少有人关注区块链安全问题。 最近EOS准备上线,在区块链行业里非常具有代表性,我们这次发现EOS漏洞,提交给对方,希望督促他们修补系统,所以我们披露漏洞,是我们安全公司的职责所在。
没有大家想象的什么蓄谋已久,也没有什么大招,我们的大招就是踏踏实实帮助区块链行业排除风险。
王峰:第二问,实话实说,你如何看待昨天披露安全漏洞的严重程度?为什么称这个漏洞价值百亿美元?
周鸿祎解释说,如果这个漏洞我们没有提出来,EOS没有修复,等到EOS主网上线了,被恶意的黑客发现并利用了,那时候EOS会不会一夜之间就被搞掉了,我们都不好说。所以,EOS现在的估值至少百亿美金了,我觉得这个漏洞价值百亿美金并不夸张。此外,“史诗级”是从“Epic”翻译过来的,国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。
周鸿祎坦言,从公关的角度来看,史诗级这个词大家理解不一样,太文艺青年了,所以说成百亿美金的漏洞,大家会不会觉得更接地气一点。因为很多标题党都被滥用了,所以用了个史诗级,其实说百亿美金级别最好了。
王峰:第三问,今天凌晨,EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间。BM的回应,暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此,你怎么看?
周鸿祎称,对于已经修复这个事情,我还是需要和大家普及一个知识,就是我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。
周鸿祎说,通常的步奏就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报。BM的回应让人混乱,我们遵循了负责任的行业标准流程,先报告,再修复,最后公开。非常明确地说 我们先私下联系了BM,通知漏洞,修复后再公布,这些我有聊天记录截屏。今天早上在和BM沟通时,他们依然是非常认同我们的成果和技术实力的。
至于制造恐慌,周鸿祎说,可以直接在主网上线时放出这个,恐慌效果一定比现在要好的多。
周鸿祎强调,在这整个过程中,360都是非常负责任的严格遵循安全行业的安全漏洞披露原则的。我们做为国内最大的一家安全厂商,在全球也是排名前三的安全厂商,我们希望和全球同行和科技公司一起,解决网络安全问题,降低网络安全问题给用户带去的损害。帮助大家发现漏洞、修补漏洞,让大家提供安全放心的产品给用户,是我们共同的责任。
王峰:第四问,你最近不断提及360安全大脑,能一并介绍下吗?坊间说,你们和EOS很快有合作要公布,你方便在这里透露吗?
周鸿祎表示,360安全大脑是人工智能基于大数据的分析判断,加上360富有经验的安全专家的人脑,构成了真正的安全超脑。
对于和EOS方面的合作,周鸿祎称,目前和EOS没有直接合作,从年初与一些合作伙伴,就EOS生态建设、安全防护、主节点的竞争等方面进行了交流讨论。
王峰:第五问,坊间传闻,360联合某些组织在做空EOS?
周鸿祎直言,从我们披露漏洞的时间其实应该就能知道肯定不是在做空。假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。我们采取的做法是安全行业标准的漏洞通报机制,这是非常负责任的做法,希望EOS乃至整个区块链行业发展的更好。
王峰:第六问,关于安全问题,你认为区块链企业自身应该采取哪些措施,加强区块链的安全性?
周鸿祎认为,目前区块链领域,真正的安全问题其实还没出来。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。
周鸿祎提出“大安全”概念。在区块链行业里,某个项目自身以及360一家安全公司的能力都是有限的,需要整个网络安全行业做到协同开放。同时建议出台一些漏洞奖励计划,让整个安全社区都来帮助解决安全问题。
王峰:第七问,在Vulcan团队发现这个大漏洞之后,你们是如何考量曝光漏洞的时机和方式?你们认为现在这样的漏洞爆出时机和方式,是否体现了或者符合网络安全行业通用的、负责任的处理方式?
周鸿祎再次强调了360严格遵循披露原则,Vulcan团队发现漏铜并研究测试后,立刻联系了EOS创始人BM,希望帮助EOS开发团队先解决这个漏洞的,保证漏洞不会攻击者利用,在他们修复完成之后,才披露的。
王峰:第八问:未来几年,区块链行业会出现一家像PC互联网时代的360这样有影响力的安全企业吗?
周鸿祎直言,区块链行业里会不会出现一个360,我觉得应该不会出现这种情况,区块链方面的问题的解决会是产业化的,360肯定会是其中的主力,但不会像PC时代那样一枝独秀,会有很多从事安全的企业和个人一起来保障区块链的安全。
王峰:第九问,360定义的安全业务的边界有多大?AI/IOT/Blockchain?
周鸿祎称,360关注人工智能或者区块链,其实不管是AI和区块链的安全,都有一个共同点,就是无论是AI的算法,还是区块链的算法,都是要写代码实现的,而代码是人写的,肯定会有漏洞的。搞安全的人更像是一个“看门人”,时刻都要保持一颗怀疑之心、守护之心。
王峰:第十问,在移动互联网时代,今日头条、小米科技、美团点评等迅速崛起,但360优势并不明显,这会不会让你感觉到失落?
周鸿祎称,在PC时代那时候,病毒木马横行,360顺应潮流用安全卫士、360杀毒帮大家解决了安全问题,可能获得的关注比较多。但在移动互联网时代,实际上也做了很多事情,你们可以看看去年谷歌致谢榜单里面,我们在安卓上,帮助谷歌修复两百多个漏洞,全球第一,是第二名的三倍。除了这类工作,我们还和公安合作,比如推出猎网平台,打击电信电话网络诈骗。
周鸿祎直言,这些事情,可能不会像当年一样刺激,但我觉得我们是做了非常有价值的一些事情,从内心来说,我们还是比较骄傲的。
“我不服输”,周鸿祎强调,在大安全这个新时代里面,希望能够继续发挥360安全守护者这个作用。区块链应用以后可能深入生活、生产的多个方面,360希望充当一个“守护者”的角色,为区块链应用保驾护航。
