《21世纪商业评论》
2015年第01期2014年第25期
2014年第24期2014年第23期
2014年第22期2014年第21期
2014年第20期2014年第19期
《三联生活周刊》
2018年第25期2018年第24期
2018年第23期2018年第22期
2018年第21期2018年第20期
2018年第19期2018年第18期
《故事会》
2018年第13期2018年第12期
2018年第11期2018年第10期
2018年第09期2018年第08期
2018年第07期2018年第06期
《读者》
2018年第13期2018年第14期
2018年第12期2018年第11期
2018年第10期2018年第09期
2018年第08期2018年第07期
《意林》
2018年第12期2018年第11期
2018年第10期2018年第09期
2018年第08期2018年第07期
2018年第06期2018年第05期
《读书》
2015年第03期2015年第02期
2015年第01期2014年第12期
2014年第11期2014年第10期
2014年第09期2014年第08期
《中国新闻周刊》
2018年第24期2018年第23期
2018年第22期2018年第20期
2018年第21期2018年第01期
2018年第19期2018年第18期
《读者·校园版》
2018年第14期2018年第13期
2018年第12期2018年第11期
2018年第10期2018年第09期
2018年第08期2018年第07期
《今日文摘》
2018年第12期2018年第11期
2018年第10期2018年第09期
2018年第08期2018年第07期
2018年第06期2018年第05期
《知音.上半月》
2018年第06期2018年第05期
2018年第04期2018年第03期
2018年第02期2018年第01期
2017年第01期
《军事文摘》
2018年第06期2018年第05期
2018年第04期2018年第03期
2018年第02期2018年第01期
《新青年》
2018年第05期2018年第04期
2018年第03期2018年第02期
2018年第01期
《读者欣赏》
2018年第04期2018年第03期
2018年第02期2018年第01期
  • shang_ping_shi_yi_jia_dang_dai_yi_shu_gong_si

    《商评》是一家当代艺术公司?

  • hua_wei_de_rong_yao_ji_yin

    华为的荣耀基因

  • san_xing_de_shi_zi_lu_kou

    三星的十字路口

  • ren_ren_dou_ai_wen_yi_gong_zuo_zhe

    人人都爱文艺工作者

  • yuan_you_guo_sheng_shi_dai

    原油过剩时代?

  • mei_zu_bu_jiang_jia

    魅族:不降价

  • fen_si_ying_xiao_bu_shi_wan_neng_de

    粉丝营销不是万能的

  • jian_guan_zhe_bu_yao_guan_tai_duo

    监管者不要管太多

  • shui_chai_le_hui_pu

    谁拆了惠普

  • zi_you_pin_pai_de_zhong_mei_cha_yi

    自有品牌的中美差异

  • shi_pin_xing_ye_de_jiu_ming_dao_cao

    食品行业的救命稻草

  • zhong_yi_dong_zuo_xin_mei_ti_tu_bian_huan_shi_zhao_si

    中移动做新媒体,突变还是找死?

  • da_yin_xing_de_chang_jing_wei_ji

    大银行的场景危机

  • hao_sheng_yin_de_wang_luo_zi_ben

    好声音的“网络资本”

  • p2p_tui_guang_wei_xin_ce

    P2P推广“微信策”

  • fang_chan_zhong_chou_jiao_ju_zhe_huan_shi_zhuan_xing_ce

    房产众筹:搅局者还是转型策?

  • tong_huo_peng_zhang_de_nba

    “通货膨胀”的NBA

  • dian_shang_ying_li_yao_dong_sheng_qian

    电商盈利要懂省钱

  • yong_lan_ya_lian_jie_tian_kong

    用蓝牙连接天空

  • yu_liang_shi_shi_kong

    郁亮式“失控”

  • nan_fang_gong_yuan_lai_zi_shi_ye_he_huo_ren_de_yi_xian_bao_gao

    南方公元:来自事业合伙人的一线报告

  • wu_ren_ji_ba_zhu_de_mi_mi

    无人机霸主的秘密

  • huang_jin_shi_dai_yi_chang_guan_yu_piao_fang_du_yao_de_shi_yan

    《黄金时代》:一场关于票房毒药的试验

  • hao_zhai_jin_hua_2_0

    豪宅进化2.0

  • bao_ma_xin_ping_heng_fa

    宝马新平衡法

  • nan_yue_yin_xing_chu_dian

    南粤银行“触电”

  • qian_yi_xiao_dai_de_di_ceng_sheng_tai

    千亿小贷的底层生态

  • qi_chen_de_qi_cheng

    启辰的起程

  • teng_xun_x5_de_di_ceng_xiang_xiang_li

    腾讯X5的底层想象力

  • hun_qing_o2o_mei_na_me_jian_dan

    婚庆O2O?没那么简单!

  • qiang_zhan_bo_hao_ru_kou

    抢占拨号入口

  • peng_you_quan_zhi_yi_huan

    “朋友圈”治医患

  • she_xiang_tou_xin_wan_fa

    摄像头新玩法

  • guang_dian_tong_de_di_qi

    广点通的底气

  • le_shi_tv_de_yong_hu_fang_fa_lun

    乐视TV的用户方法论

  • teng_xun_xiao_guo_guang_gao_ping_tai_bu_fu_zong_jing_li_ma_yi_qun

    腾讯效果广告平台部副总经理 马轶群

  • li_tian_tian_de_man_pao

    李天天的“慢跑”

  • zhe_ci_you_duo_bu_yi_yang

    这次,有多不一样?

  • bao_li_pai_mai_zhe_liang_nian

    保利拍卖这两年

  • yin_xing_ban_mei_shu_guan_zen_me_wan

    银行办美术馆,怎么玩?

  • yu_hong_deng_gong_wu

    与红灯共舞

  • lun_dun_wai_de_fu_ren_qu

    伦敦外的富人区

  • ji_lei_de_yuan_gong_yao_bu_yao

    鸡肋的员工,要不要?

  • cha_shui_jian-30

    茶水间

  • kui_jia_zhi_xia_hou_qi_zhi_xiu

    盔甲之下,后起之秀

  • xu_an_hua

    许鞍华

  • guan_yu_jin_qian_de_sai_bo_ren_xuan_yan

    关于金钱的赛博人宣言

  • wan_ke_he_huo_ren

    万科合伙人

  • ji_cheng_zhe_men

    继承者们

  • zheng_yao_da_ka_pai_zhao_zhi_nan

    政要大咖拍照指南

  • si_ying_hang_tian_jue_qi

    私营航天崛起

  • luo_yong_hao_di_yu_2500_shi_sun_zi

    罗永浩:低于2500是孙子

  • bao_yuan_neng_jia_xin

    抱怨能加薪

  • liu_bei_pin_die_shi

    刘备拼爹史

  • qe_xie_mu_chong_ji_bo

    QE谢幕冲击波

  • wang_luo_zi_zhi_jie_mu_de_ni_xi

    网络自制节目的逆袭

  • zheng_he_zhe_de_quan_xian

    整合者的权限

  • guo_ji_miao

    国际“喵”

  • qq_wu_lian_que_gan_huo

    QQ物联缺干货

  • kuai_di_ye_san_guo_sha

    快递业“三国杀”

  • jia_duo_bao_de_tou_cheng

    加多宝的“投诚”

  • lou_shi_de_xian_qi

    楼市的险棋

  • tun_ji_hei_ke

    囤积黑客

  • yu_le_ming_xing_tou_zi_ren

    娱乐明星投资人

  • fan_dong_de_sheng_yi

    帆动的生意

  • heng_da_ru_ye_xin_xi_fa

    恒大乳业新戏法

  • la_ka_la_de_she_qu_meng

    拉卡拉的社区梦

  • yi_dong_ru_kou_de_xin_zhan_chang

    移动入口的新战场

  • che_lun_ji_chi

    “车轮”疾驰

  • pei_yang_niu_si_ji

    培养“牛司机”

  • yi_jiang_wu_shui_xiang_hua_liu

    一江污水,向花流

  • gu_ge_de_yi_liao_xia_xiang

    谷歌的医疗遐想

  • dian_fu_li_yun_di

    颠覆李云迪

  • lin_xuan_wei_lai_shi_jie_de_zhu_ren

    遴选未来世界的主人

  • zhi_yu_xi_jian_zhu

    治愈系建筑

  • niu_yue_you_xing_zen_me_wan

    纽约游行怎么玩?

  • guai_ka_ling_dao_yao_fa_zuo

    怪咖领导要发作

  • cha_shui_jian-31

    茶水间

  • yong_xing_gan_fan_mai_yun_dong_wei_shen_me_cuo_le

    用性感贩卖运动为什么错了?

  • bai_xian_yong

    白先勇

囤积黑客

免费领取英语实体书>>

林伟团队之所以去破解特斯拉,起于老板奇虎360董事长周鸿祎遭到的一次冷遇。2014年4月21日一早,特斯人创始人伊隆.马斯克(Elon Musk)坐着达索猎鹰私人飞机空降北京,当天晚上,与一群中国互联网高管吃饭,收获一堆场面上的恭维,唯独周鸿祎质疑特斯拉纯电动、智能系统众多的安全性,马斯克有些不乐意,草草答复了周的“挑衅”,自信其产品不存在安全隐患。
  较真的周鸿祎一回来,就决定挑战马斯克。他将任务交给林伟负责的360网络攻防实验室,林伟组织了一支5人的“白帽子”黑客团队,向同事借了一辆Model S进行实验,两周时间,就发现了特斯拉的漏洞:车内有一手机APP,可以控制天窗、闪灯、鸣笛等,APP的操作指令通过一接口与美国总部通信,认证的通信将指令下达到车里。于是,他们向车主手机发送一个恶意链接,先控制其手机,再借助手机上的APP会话信息,去实现特斯拉的远端控制,这一度成为圈内热议的话题。
  “骚扰”特斯拉的远不只有奇虎360的白帽子团队。10月下旬,中国KeenTeam团队宣布侵入特斯拉实现“无人驾驶”,由于过程中有加装一个硬件设备,事后有黑客称用物理接触的方式施加控制算不上真正的“破解”,但特斯拉还是专门就此事进行了公开回应。
  在IOT(Internet Of Things,物联网)时代,特斯拉频频遭受黑客关注不是孤立的存在,借力Wi-Fi、蓝牙为代表的无线技术,可穿戴设备、智能家居、车联网、无人驾驶等万物互联的图景已在眼前,但也开启了风险的新敞口,同时还扩展了“安全”商业模式的想象力,因奇虎360、BAT等公司大量储备安全人才,中国黑客的身价随之暴涨。
  “谋财害命”
  对于互联网安全的理解,普通公众仍停留在查杀病毒、木马的阶段,而奇虎360总裁齐向东告诉《二十一世纪商业评论》(下称《21CBR》)记者,安全威胁10年间快速实现“三级跳”:起初只是“失窃秘密”,丢失个人隐私、商业机密;随后网上支付兴起,网上诈骗频发,网民开始“丢钱”;现在则能“危及生命”,“IOT时代扩展了互联网安全的边际,汽车、无人机全部可以借助互联网控制,网络一旦出现完全问题,可能攸关人的生命”。
  由于互联网迅速成为社会基础设施,大量的信息交互正打破传统的安全概念,以车联网为例,将汽车发动机状态、耗油数据等信息上传到云服务终端固然有诸多便利,但同时,这种连接破坏了汽车原有的边界,过去只要没有物理过程,碰不着车,就什么都拿不到,有了车联网后,就多了不少“隔空取物”的新办法。“车的安全系数,不再取决于汽车本身,也取决于它所连接网站的安全性,有完全不被黑客搞定的网站吗?没有!”齐向东说。
  未来很难想象物联网连着一根根网线,大量设备一定与Wi-Fi、蓝牙等无线技术有关,传递指令需通过空中的信号实现,只要空中信号被人劫持或者篡改,控制指令就会发生变化,进而可以控制设备。“漏洞有两种,一种是逻辑漏洞,即用户没遵从严格的规范;一种是协议漏洞,即协议本身安全性不够。这两大漏洞,成为无线信号领域被劫持操控的主要安全漏洞。”齐向东告诉《21CBR》记者,各种PC及移动智能终端、可穿戴设备、智能家居设备、物联网传感器、智能汽车、监控摄像头都可能存在这种连接的漏洞。
  不妨简单看看林伟团队怎么从特斯拉的互联特征下手的,黑客的方法论,一般根据摸清连接网络的原理顺藤摸瓜,其团队就重点关注了Model S三方面的连接——无钥匙启动、手机APP和iPad屏幕,随后以针对性的攻击进行求证,比如向其iPad植入木马。手机APP之所以被攻破,其中一个破绽在于,特斯拉的用户与总部的通信过程没有加密。
  特别“关照”特斯拉,源自一个黑客圈的基本规律,哪种互联设施或者设备最热,就最易受攻击,这种规律部分根植于人性。无线网络服务商Aruba亚太区技术顾问吴章铭告诉《21CBR》记者:“很多人讲微软系统不安全,不是它不安全,是因为它太大,黑客要出名就要找最大的应用,攻击成功之后就成名。”比如,每年美国拉斯维加斯会举行全球黑客大会,由于Wi-Fi越发普遍,黑客近年的重点就纷纷转向Wi-Fi,好让自己一战成名,车联网普及后,有矛头又指向了“ABB”为代表的豪车公司。
  无线连接的威胁近在咫尺,在林伟的网络攻防实验室里,他们每天会研究各种黑客手段,用以阻止黑客攻击,有些手段可以轻松窃取个人信息或者钱,比如,有的装置只要一近身,就能复制身份证信息、盗取公交卡余额或者侵入“闪付”标志的银行卡账户,如果没有特别的安全措施,他们能轻松控制家庭Wi-Fi,进而侵入与Wi-Fi连接的各种智能终端。
  企事业单位、工业基础设施以及各类政府机构,由于存在大量数据资源,更可能成为黑客重点攻击目标。美国一家名为Ponemon Institute的研究机构,在全球选择了234个机构样本进行网络攻击犯罪的研究,这些机构每周要承受343次成功的攻击,平均每家每周要应对1.4次,这些攻击包括盗取知识产权、侵入网上银行账户、创造和传播病毒、获取商业机密、破坏关键国家基础设施等,而解决一次攻击的平均时间是27天。
  其连续4年的研究发现,利用网络攻击进行犯罪的频率不断上升,以在美国的样本为例,网络攻击的发生频次4年间增加了一倍多,所造成的经济损失增加了约78%,其中业务中断、信息丢失或被盗最为频繁。在2013年,其全球每个机构样本所受网络攻击平均造成损失720万美元,较2012年增长了30%。
  中国的各种核心大数据平台所采用的基础软、硬件不能完全自主可控,存在各种潜在的未知漏洞、后门,一旦遭受攻击后果非常严重,这是高层强调信息安全的一大原因所在。
  “招安”黑客
  无线互联的时代,安全的基础建立在挖掘各种潜在的未知漏洞、后门的基础上,这是防护的基础。
  “攻防是一个平衡性的技术,没有攻击就没有防备的技术。你看世界军事发展最快的是冷战时期,苏联和美国,一个华约一个北约,两大集团进行军备竞赛,产生了美国的导弹防御体系。只要有攻击,我就要想出防的方法,只要有高明的防的方法,又会刺激我产生更高的攻的方法。网络安全是一样的,如果不知道黑客如何攻击你的网络,也就无从防起。”齐向东说。
  2014年上半年,奇虎360宣布为国内停服的Windows XP提供“盾甲”服务,就是建立在Windows漏洞挖掘的能力之上。齐向东告诉《21CBR》记者,挖掘微软Windows产品的漏洞相当难,谁给微软挖出一个有威胁、级别较高的漏洞,微软每次打补丁时都会附上一封感谢信,至今奇虎360接到微软感谢信59次,超过包括美国赛门铁克在内的众多安全公司。
  其中,出力甚巨的奇虎360内部的两个牛人,网名分别是“yuange1975”和“MJ0011”,两人是业界公认的Windows漏洞挖掘大家,其中yuange1975是360漏洞实验室的负责人,高层引以为傲的微软感谢信大部分是这个团队挣来的。“Windows漏洞挖掘的技术门槛非常之高,全球范围之内能做到的人非常有限,国内大概只有个位数。”林伟告诉《21CBR》记者,这类漏洞专家拥有多年经验,有一套自己挖掘漏洞的方法论,且各有专攻,以挖掘特斯拉APP的漏洞为例,最终破解的是一个二人组合,“其中一人专攻手机安全,对手机APP的反编译和协议非常了解,另外一人实现PC脚本的远程控制。他们知道哪几个点可能存在隐患,容易被攻破,能够进行快速实践验证。”林伟说。
  奇虎360之所以敢夸口向全国2亿台安装Windows XP的PC提供安全保护,底气就来自几位顶级安全专家。由于IOT时代出现大量风险敞口,内部安全需求以及外部服务市场在快速扩张,而安全产品的能力高低立竿见影,往往存在明显的“赢者通吃”的现象,一旦拿下一个细分领域的核心人才,可能就等于拿下该领域安全服务的市场。一个直接的结果是,安全类人才尤其顶级人才的身价正在飙涨。
  奇虎360内部有技术人员告诉《21CBR》记者,在公司内部,少数几位被奉为明星的安全技术专家,“穿着非常随便,但身价过亿”。当大众为新浪前总编辑陈彤跳槽小米的500万元年薪而惊呼时,安全领域却在热议另一宗跳槽,有一个“TK教主”安全专家被腾讯挖走,圈内传闻给出的报价是4年2000万元。
  对于安全人员的薪资涨幅,2011年入行的林伟有着直觉的感触:2010年前,安全人员的平均月薪大概三五千元,2011年月薪在1万元左右,现在的安全人员,年薪数十万元非常正常,技术不错的年薪百万元,顶级的就是千万元级别。从棱镜门开始,安全需求快速扩充,行业人才非常稀缺,价码一直水涨船高。
  现在,不只是奇虎360这类安全公司在招揽人才,“BAT都挖得比较狠,尤其是腾讯和阿里,安全市场的几家企业都在不惜一切代价挖人,能源、金融、医疗等传统大公司,现在也高度重视安全,出的价码都不比互联网公司低。”林伟告诉《21CBR》记者。
  事实上,由于安全的人才池有限,各大公司的竞争已经不再局限在安全公司、专业研究机构,已开始招安大量民间“黑客”。安全领域存在大量“游侠”,之前的职业身份各异,可能是老师、医生或者军人,却完全可以自学成才。360高级安全程序员万仁国就是从高中学习安全技术,选择的方向是“逆向分析”,将人家的软件分析出来进行破解,“黑客圈有好几个分支,每个人在一个领域,只要你研究得足够深,都会成为这个领域的专家”,甚至破解的手法都讲究优雅和技术含量,“我们当时以爆破为耻,以写算法注册机为荣”。
  奇虎360现在是囤积黑客的代表公司,齐向东坦承:“我们现在就要树大旗,做一个大平台,形成人才高地。全球各地,只要是安全高手,不用冒风险去赚黑钱,愿意踏踏实实找个平台为人民服务,都能到我这儿来。这么一批高水平的人,是我们在IOT时代提供全方位服务的基础。”
  林伟的5人团队散落在民间的身份都是黑客,招募进来就是安全专家。黑客本意不是贬义词,在圈子内,黑客有黑帽子、白帽子、灰帽子之分,可是攻击的手段每天在变,作为一个防御者,如果不熟悉攻击手段,根本没法防,因此安全专家,就要先会各种攻击手段,尝试挖掘网站、系统、硬件等各种各样的漏洞,实际上没有谁完全是白帽子的,以林伟为例,“我就职于一家安全公司,可以认为是白帽子,但我们黑汽车、黑路由器,随便玩,这些行为本身对方没有授权”。
  2014年初,奇虎360专门成立了攻防实验室,主要进行最新的安全领域各种攻防技术研究。除了特斯拉,还有人在研究破解智能电视、家庭摄像头、家庭路由器,甚至于小区车库抬杆、胎压传感器,常驻的十几人,绝大部分都是“白帽子”。除此之外,奇虎360的无线研究院、信息安全部等机构,也有大量冠以“安全专家”的黑客。在未来IOT时代,他们是这家公司攻下安全市场最重要的利器,对于“红衣教主”周鸿祎有着战略性的价值。
  安全的新生意
  IOT时代的安全,与互联网前史的形态截然不同,商业模式也会有差异,至少不再完全免费。
  在齐向东看来,传统的安全市场注重边界,“比如一个单位想盖栋楼,首先要圈块地,弄个院子,对外界表明,院墙外面是公共的,院墙里面是私人的,闲人免进,构筑一个安全边界”。于是,诞生了防火墙、IPS、ITS、DLP网关等安全产品。
  在万物互联的时候,联网的智能设备将呈数倍增长,企业安全和个人安全的区分将被打破,也不再存在清晰的边界。齐向东相信,未来的安全之道,一定是“边+端+云”的组合,即在边界上设置适当的防护,但是不指望边界将威胁全部拦住;在终端上用“白名单+黑名单”相结合的技术,将未知的一些东西过滤掉;建立安全云,把所有的数据集中进行大数据计算和分析,找出行为诡异的访问者,进行恶意行为的防范。
  
  与之相适应的是,防护的复杂性大大增强,传统“标准产品+网管”的防护模式已经力有不逮,传统国内安全服务的报价非常低,一家企业的安全防护,也许只有十几二十万元的规模,未来,他们要保护自己,将不得不为新的安全服务增加新预算。
  以美国提供安全防护产品的Fireeye为例,其与传统靠病毒签名数据库匹配查找不同,Fireeye的安全防护方式是在客户的系统之上加载虚拟机器,任何进出客户系统的数据都要经过这些虚拟机器,Fireeye 可以观测所有的网络行为,如果这些数据包被认为是恶意的(无论是已知还是未知行为),虚拟机器就会阻止它们进入客户的网络。Fireeye现在有着40亿美元的估值,其成长性相当惊人,客户数量从2010年的188家迅速上升到2013年的2078家,同期营业收入由1177 万美元增加至1.62亿美元。
  对于习惯免费策略的奇虎而言,即便在个人市场,IOT时代,也意味着拓展商业想象力的可能性。“我们说IOT时代硬件免费,这个免费很多人误解了,其实是零利润,企业怎么生存呢?卖服务的钱可能远远超出这个硬件的售价,最后拼服务的好坏。这是IOT的商业模式。”齐向东告诉《21CBR》记者。
  那么,具体可能存在哪些服务呢?摄像头现在是奇虎360非常关注的一个应用产品,作为安防设备,摄像头传统商业模式是成本加成法,未来大规模量产后,摄像头制造商利润将萎缩,商业模式将转向增值服务,比如,绝大多数用户会将个人数据上传到云端,“普通制造商可能就管摄像头不被黑客控制,如果路由器被控制怎么办?传输路中,空中协议被截获了怎么办?数据存到一个服务商的服务器,被泄露了怎么办?这就是无数的漏洞,就要能在所有环节都提供完整的解决方案”,齐向东表示,这种安全服务将不准备“学雷锋”了,“我们可能向用户出售定制化的服务,也可向智能摄像头的厂家提供整体安全解决方案”。
  在IOT时代,单是摄像头的安全其实就有很多新玩法,据吴章铭介绍,他们曾有一家制造类客户,“类似苹果公司的代工商富士康这样的”,制造流程涉及大量机密,Aruba可以利用特别的Wi-Fi配置,帮助工厂管理员工的手机,“将员工摄像头强制关闭,或者开摄像头的时候没有画面”。
  事实上,360正在用IOT的思维尝试新模式的构建,用新的形式去演绎“羊毛出在猪身上”。毕竟,不是所有的智能设备都会有屏幕,没有屏幕就不能照搬PC时代的商业模式。
  以360儿童卫士手表为例,项目负责人、奇虎360副总裁沈海寅告诉《21CBR》记者,由于用户群的精确性,他们可以根据孩子的地址信息和行为分析,推送金融产品、旅行、游戏以及家庭医生等服务,“为什么有保险公司愿意免费向手环用户赠送人身意外保险?因为金融公司根据数据分析,可叠加各种金融产品的推动,比如教育基金、大额保险等”。他认为,一旦拥有成百上千万的手环用户之后,其圈住的生态就非常有价值,而其产品的服务原点是安全,基础的测试者就是黑客。
  或许,被大公司囤积的黑客可能成为IOT时代智能产品的标准质检员,即便是马斯克这样的强人,也不得不为这种质检服务缴费。

微信扫描二维码,每天学英语

微信公众平台

回复“领书”获取英语实体书


分类:20期 | 标签: | 11 views