腾讯老马的第三次转身

腾讯老马的第三次转身

今年是马劲松加入腾讯的第 12 个年头，他亲眼见证了这只开挂的企鹅从 一路拓展至、手游、影视、音乐、广告、支付等领域，他也从当年的小马变为同事口中的老马。

回头来看，在飞速扩张的过程中，用户对这些应用的黏性之大，使用频率之高，可能超过了大多数人的想象，这其中包括马劲松，包括股东，甚至马化腾自己也未必料到能有今天的腾讯。

没被料到的，还有黑产的发展速度。

随着各类应用上聚集的用户越来越多，它们也成为黑产眼中的一块块肥肉。比如，你或身边的人被盗过号、你的邮箱曾收到过垃圾邮件、收到过诈骗信息……

作为腾讯安全反病毒实验室的掌门人，马劲松和团队最开始要做的，就是当一个称职的卫士，在这只企鹅不断开疆拓土的过程中，抵挡各类明枪暗箭，护送它安全前行。

▲马劲松

他在腾讯挥洒青春的这 12 年中，有三个节点被反复提起。

＊2011年，在3Q大战之际，腾讯痛下决心搞自己的杀毒引擎，自此，腾讯开始大规模在 PC 安全布局。此前曾在搜索引擎部门的马劲松临危受命，并因“TAV ”一战成名，目前腾讯电脑管家内的杀毒引擎，依然出自老马之手。

＊2014年，移动应用爆发，老马和团队扛起了“病毒查杀”的重任，此后诞生的“哈勃分析系统”，让APP诈骗、短信转发木马、游戏盗号、银盗号木马及隐私泄露等行为得到有效遏制境。

＊2016年，老马和团队开始琢磨搞物联安全，做了什么，这里先卖个关子。

对于马劲松的前两次转身，(公众号：)此前曾做过介绍，不再赘述。（登顶“AVC”背后的反病毒攻坚战；腾讯反病毒实验室马劲松：和“AV”有关的日子）

今天要讲的，是他出征的新战场---物联安全。

现在是 IoT 安全爆发的前夜没有人能够逆潮流而行，就像 2014 年已在 PC 杀毒引擎上游刃有余的老马，还是得硬着头皮搞移动安全一样，现在他需要再次转身，进入物联安全这个相对陌生的领域。

发现，根据 Gartner、Pew 等机构的数据，2017年全球 IoT 设备的数量已达到284亿，这相当于全球每人至少拥有 6 件 IoT 设备，而到2020年，这个数量将再翻一番，达到500多亿。但在数量爆发的背后，因 IoT 设备自身与传统PC、设备在硬件和软件上的差异，非常容易引发了新的安全问题。

在去年的 BlackHat Asia（亚洲黑帽大会）上，有关物联安全的议题还寥若晨星，而今年你再看，有很多同行已经在研究了，你可以明显的感觉到， IoT安全正在爆发的前夜。

在今年的BlackHat Asia 上，老马团队中的杨经宇、耿琛上台介绍了一个有关 IoT 安全最新研究成果，这是一种基于IoT设备的全新通用型攻击方式，不仅能够绕开设备的安全防御手段，还能形成“蠕虫”式攻击，造成更大的安全威胁。

换句话说，这种攻击手段一旦被黑客掌握，目前IoT设备本身的安全防护很难起作用，而且“传染性”很强，一台中招就可以撂倒一大片。更加恐怖的是，这样的攻击可以在IoT设备正常工作的状态下进行远程控制，普通用户完全没有感知。

也就是说，黑客能偷偷进入你的家，还可以变身隐形人，肆无忌惮的在你的眼皮下做案。

怎么做到的？

首先，黑客要通过远程攻击，获得写入bootloader 的权限。

bootloader从字面上来看，是启动加载的意思，我们在开电脑或者重启的时候，都会等待一段时间后才能开机，然后才能使用操作系统，而 bootloader 就是启动期间要做的事情。以为例，它会根据基带初始化硬件，引导系统内核，直至系统启动。如果获得不了这个权限，你的或者电脑只能相当于砖头。

获得使用bootloader 的权限，相当于黑客已经敲开了你家的门。

马劲松解释，由于目前市面上很多IoT设备在 BootLorder 的防护机制不够，使得黑客能够进入系统，利用漏洞拿到权限。

第二，在修改完 IoT 设备的 BootLoader 后，下次启动时，黑客便能够在内存中修改 Linux kernel 和文件系统，开始做案。

拿到权限后，黑客通过改写BootLorder代码，就能把恶意代码嵌入到其中。

比如，偷偷打开你家智能电视的摄像头，向全世界直播蓬头垢面的你抠着脚看着综艺节目笑的花枝乱颤。

马劲松透露，目前，该漏洞已经上报CNNVD，并已经逐步知会相关厂商，该漏洞属于 IoT 设备架构设计上的缺陷，即具备root权限的程序，能够改写BootLoader。

这是一种新的通用型漏洞，一旦攻击成功，难以被清除，即使进行系统升级或者通过长按reset按钮进行恢复出厂设置都无法清除病毒。

也就是说，一旦被黑客利用，各大厂商能做的，就是立即召回全部有漏洞的产品。

在采访中，曾多次追问，到底有哪些厂商中招？可以覆盖市面上的多少设备？老马始终没给我明确的答案，但通过“新”“通用”这些关键字，我推测这个漏洞很严重，如果真的把这些厂商和设备的名字公布出去，应该是一个让各路公关“心惊肉跳”的名单。

虽然是新的研究领域，但很多东西异曲同工进入一个新的领域进行研究，你有没有出不了成果，特别沮丧的时候？

对于这个问题，老马并没有给我倒苦水

，他反而认为，进入到一个新领域，肯定有大量基础知识和基本能力要去储备和训练，这毋庸置疑，该请教专家请教专家，该招人招人，都得一步步来。

真正让他感到恐怖的事情，是一个搞安全的人对技术的热情没有了。

逆向、编程、资料搜集，搞安全要搞出名堂，一定要对这几样东西充满热情。

在老马看来，搞安全万变不离其宗，一是要把别人写的程序通过工具来读出二进制代码，即所谓的逆向能力；二是能快速把自己的思想、想法、算法落实，让代码跑起来，即编程能力；三是遇到新的问题能迅速搜集和整理资料，尽快识别对手的套路。虽然在新的领域总是有变的东西，但对这三块的要求不会变，只会越来越强。

之所以要强调上面的三点，与马劲松和团队的研究目标有很大关系。与那些炫酷的破解秀不同，他们更注重底层的技术研究，看中的是所研究的东西能否落地为工程化的应用。

你研究病毒后，能不能做成杀毒引擎，把这些能力输入给电脑管家、管家？你搞流量检测，能不能把它封装成了APT高级威胁检测，落地到产品上进行应用？

回到老马在 2016 年“转身”对移动安全的研究，虽然病毒和 PC 病毒原理相差不大，但它们的文件格式、黑白名单比例构成、有害行为的特征都不一样，老马和团队要做的，就是一点点的抠这些细节，让它们更加顺利的对接到移动产品中。

技术当然是前提，但如何让技术转变为产品，发挥最大的效能来抗击黑产，这是老马的一直强调的事情。

为何要下功夫做物联安全

其实，近来国内各大厂已经频频在物联安全领域发力。360 在去年 11 月就宣布成立 IoT 安全研究院，高调招人；百度联手华为和一众安全厂商成立 OASES 智能终端安全生态联盟，开始为安全厂商与设备厂商牵线搭桥；阿里前不久也宣布全面进军 IoT，其发起的 ICA 联盟提出了 IoT 行业中芯片安全分级的标准及方法；小米在去年末的一组数据显示，目前已有 8500 万个米家设备连入物联，安全成为重中之重……

作为腾讯，目前它有哪些应用会应用在IoT 设备上？

对于这个问题，老马神秘一笑，说了 5 个字：“请拭目以待”。

回想腾讯安全的发展历史，原来它只是保护自身的用户和业务，但这显然远远不够。老马解释，以这次针对 IoT 设备的攻破为例，从发现漏洞到利用漏洞，还有一个漫长的过程，前者只是万里长征的第一步，要实现具体的攻击，还需要结合弱密码等其他漏洞才能攻击成功。

换句话讲，安全厂商、硬件厂商和用户自身都存在破绽，对用户来讲，安全有时会面临“木桶效应”，只要其中一个短板出现问题，就会暴露的攻击之下。

安全确实无法独善其身，特别是像腾讯这样一个拥有众多应用和用户的公司。以老马和团队之前曾经做的哈勃引擎为例，哈勃起先最重要的任务是分析病毒样本，但后来，他发现通过分析这些病毒样本，还可以提取到质量很高的威胁情报。这意味着，一款产品所具备的安全能力有时是可以赋能到整个安全生态当中的，使其发挥更多的作用。

回到文章开头的那张图片，那些动辄上亿用户的应用，未来也许将会以一种全新的方式登陆IoT 设备，就像它们当年悄悄出现在你中一样。

相关文章：腾讯反病毒实验室马劲松：和“AV”有关的日子；

BAT3 在 IoT 安全上凑齐了，我们问了问李康和杨卿 360 要怎么搞

原创文章，未经授权禁止转载。详情见转载须知。