AsiaSecWest国际安全技术峰会--亚洲站  媒体采访

时间：2018.06.06  下午

地点：香港喜来登酒店三楼专访室

以下内容为速记内容，如有错误，欢迎指出！

【主持人】各位媒体老师大家下午好！欢迎大家来到AsiaSecWest国际安全技术交流峰会亚洲站，再次感谢大家的到来！今天也十分荣幸邀请到TK教主以及CanSecWest创办人Dragos来到这边一起完成群访。

欢迎TK教主，欢迎Dragos。

待会儿我们的安排当中会有一个比较特别的互赠礼物环节，大家可以多多关注。

首先介绍一下，在我们身边很多人都看过《最强大脑》电视节目，很聪明的一些人在舞台上展示他们的特殊记忆，并从科学角度探秘这个天才的世界。其实AsiaSecWest国际安全技术峰会是国际级脑力大比拼，邀请全世界最顶尖的黑客们通过演讲和展示给大家带来一场极客版的《最强大脑》。

这次活动之所以能够促成，有赖于舞台上两位主角，一位是腾讯安全玄武实验室的负责人TK教主，另外一位是CanSecWest的创始人、北美黑客社区重要人物Dragos  Ruiu。

在今天的专访之前会有一个特别有意义的环节，腾讯安全玄武实验室的负责人--教主，为了感谢Dragos先生对AsiaSecWest在亚洲落地做的所有努力，特别准备了一份礼物，这份礼物跟CanSecWest也会有一些小渊源。接下来交给腾讯安全玄武实验室的TK教主介绍一下。

【TK】这个礼物比较特别，我们第一次对外界发布 它的相关技术， 是在2015年秋天，也是在Dragos当时举办的另外一个安全会议上，现场演示这个技术的时候Dragos非常有兴趣的跑上来协助我们在现场演示。我们把和这个技术相关的小设备送给Dragos，希望他能喜欢。请Dragos看一下这个小设备的演示效果。（现场演示）那个条码阅读器是一个国外的产品，在国外的超市甚至是像工厂很多场景里都会用到，我们发现这个设备本身存在一个设计上的问题，这个设计上的问题可以实现利用这个设备在它所连接的电脑上执行任何命令，实现对电脑的控制。同时，这种利用我们最后发现是可以通过发射激光来实现的。所以我们这个小设备现在发射出了一束激光到条码阅读器的前面，我们把相关的数据编码为激光的相好，通过激光最终实现对这台电脑的控制。

【主持人】非常感谢为AsiaSecWest带来礼物的腾讯安全玄武实验室，感谢TK教主。

【Dragos】我也给TK准备了一个小礼物。我给您准备了两个礼物，一顶帽子和一个电脑包。这个设备真的是特别的酷！

【主持人】感谢教主以及Dragos先生。接下来正式开始今天的采访时间，欢迎媒体提问，希望各位媒体在提问之前能够报上您所在的媒体的组织，并且尽量使用中文进行提问，以便所有人员都能听得清楚。谢谢大家！

【记者】先问TK一个，TK是CanSecWest的资深用户，这次和您所参加的与在加拿大的CanSecWest有什么区别，在什么地方相同、在什么地方不同？

【TK】CanSecWest在全世界会议里以商业气氛比较低，但是技术氛围比较强而著称，演讲的质量和干货比较多，这是它的特别。在香港举办的AsiaSecWest是延续了CanSecWest的特点，继续保持了干货比较多的风格。不同之处，因为举办地点放在香港，很自然的让整个会议和香港自身得天独厚的文化、气氛和氛围融合在了一起，所以我们在这儿参加AsiaSecWest，大家在技术之外会体验到和在加拿大的CanSecWest不一样的东西

【记者2】请教一下TK教主，作为一个技术渣来说，对上午包括今天的论坛，到底有哪些颠覆性的议题，在安全领域有哪些重大突破？能跟我们讲解一下吗？谢谢。

【TK】在安全领域，大部分的技术研究也都是渐进的，一般来说一个技术能够提出一些新的观点，发现一些新的问题，或者是帮助我们解决一些新的问题，这样的演讲我们认为是非常有价值的。安全技术，我们很少说颠覆，因为安全上如果说出现颠覆性的东西那就太可怕了。在今天的演讲当中我们还是可以看到很多不同的角度，很多不同的东西，仅仅今天上午的演讲当中我们看到了以前我们在国内的技术会议上大家不会涉足的话题，像卫星和航空航天传播相关的安全问题，我相信今天到会场的这些技术人员可能会看到很不同的东西。同时像今天上午和安卓相关的话题，以前我们讲安卓相关的安全，大家从很多角度都讲过，今天上午的演讲者带来的安卓相关的话题也是在之前大家没有关注到的角度，这个角度可能并不是多么突破性的技术，但是它提示我们关注一些以前被忽视了的问题，而这些被忽视的问题实际上是可以造成非常严重的后果的。所以仅仅从今天早上我们看到的演讲来说，其实这个会议本身就已经体现出了CanSecWest系列会议的特点，就是能够向社区输出一些高价值的有干货的东西。

【记者3】我有一个问题问一下Dragos。因为AsiaSecWest的历史比较年轻，相比于CanSecWest。在这次会议上面为什么您选择的合作伙伴是腾讯安全呢，您对腾讯的印象是什么样的，特别是对腾讯安全，这是第一个问题。第二个问题，我们知道腾讯玄武实验室有很多很年轻的黑客，对于他们来说，您作为过来人有什么建议吗？他们很多人可能本科一毕业就进到了这样一个实验室里面，就是想要在这里面学习知识，相比而言，您觉得一个顶级的安全团队对于黑客的进步有多重要？谢谢。

【Dragos】非常感谢您刚才的提问。事实上我们和腾讯公司已经合作多年了，特别是在过去多年我们的峰会上都看到了来自腾讯团队非常精彩的研究成果的展示，同时也听过多次TK的演讲，特别是在刚刚小小的展示环节您也看到，由TK向我赠送的礼物Badbarcoad的设备，充分展示了腾讯安全技术的先进性。我们意识到腾讯一开始起家就是非常领先的互联网公司，而作为业界的领先互联网公司，腾讯一直把信息安全和互联网安全作为自己公司业务的重中之重，所以很自然的我们看到腾讯在过去几年一直做出非常卓越的努力。而对于TK和腾讯安全玄武实验室来说，发现他们之前参加过很多国际大型竞赛都取得了成功，他们在安全方面的进展，确实令世界瞩目，这也是为什么我们自然而然和他们结成合作关系，希望继续推进，能够将本次会议作为国际化桥梁，将国际各社区界以及中国的各界人士联系在一起，帮助我们更好的形成信息安全的解决方案。谢谢！

回答您的第二个问题，一个顶级的团队对新的黑客的成长有多重要。在今天真正最具有智慧的人、真正的黑客是在大会当中演讲或已经完成演讲的讲者，他们来这里分享他们的最佳实践和智慧，所以我会鼓励在座的各位和技术专家能够坐到我们的会场当中去聆听他们的分享。谢谢。

【南方日报记者】问一下TK，上午听的像安卓手机漏洞里面，他们把很多中国品牌的手机列为他们调查监控的对象，中国网络安全的案例会不会成为全球越来越多人研究和监测的方向？中国网络安全问题在全球是不是越来越受到重视而被国外的研究机构研究？第二个问题，在中外安全合作上，你认为未来的趋势和合作的方向是怎么样？腾讯扮演一个什么样的角色？谢谢。

【TK】从安全研究者的角度，在选择研究对象的时候，通常不会特别的去关注这个产品是哪个国家的，而更多的会关注这个产品的流行度，当我们看到中国的产品被安全研究者关注，无论是被中国的研究者关注还是国外的研究者关注，其实说明了一个问题，说明了中国的产品在全世界的市场上变得越来越重要，它的市场份额越来越大，这些公司越来越成功，其实是这个原因。从安全角度讲，有人关注这些安全问题，尤其是公开的安全研究者关注这些问题对厂商是一件好事，对用户是一件好事，不管我们能不能看到这种公开的研究信息，我们要知道那些网络犯罪者们他们是始终在活跃的，他们会始终关注一些东西，如果没有我们这些安全研究者的关注和帮助，帮助自己提升自己的安全性，实际上这些安全问题会最终被犯罪者所利用。

第二个问题，信息安全问题是不同国家自己的问题，同时也是全世界的问题，世界上任何一个大的安全事件发生时都不会说这个安全事件只会影响某一部分的人或者只影响全球某一个角落的人，它的受害者都是全世界的，在应对安全威胁的时候大家是需要交换一些相关的信息，去了解大家各自是怎么做的。因为攻击者不会管你是什么国家的，虽然不同国家有自己的利益和考量，但是面对网络犯罪的时候我们需要在某种程度上、在不同的国家之间建立起一些合作。

【记者4】我有两个问题，第一个问题是针对数据隐私的问题，现在很多开发者在调取用户数据的时候自然而然的获取用户的位置信息或者照片、或者一些用户的隐私，数据隐私已经被越来越人重视，它可能会带来一些问题和风险。作为安全从业人员您如何看待数据隐私保护的事情？同时想问一下Dragos先生，在中美文化中用户对于数据隐私是怎么样的理解？他会不会愿意牺牲便利性获取隐私的出售，这是第一个问题。第二个问题，最近特别火的AI人工智能，这个技术来临之后可能随之而来会有很多新的技术的风险诞生，在这个领域上有没有一些心得体会，如何在AI时代保护安全？

【TK】首先澄清一下，Dragos是加拿大人。数据隐私是信息安全当中最重要的一部分，我们说安全有几个重要的目标，这几个目标都是围绕数据展开的，我们说要保护数据的完整性、可用性，这一系列都是围绕数据展开的。反过来从另外一个角度看，各种网络犯罪，我们看到大部分的网络犯罪都是围绕用户数据展开的，通过各种各样的方式试图窃取用户数据并且从中谋利，这是大多数网络犯罪的手法。腾讯作为一个非常大的IT公司，有着数亿用户的体量，对用户数据保护上其实做了非常多的工作。有一个例子，大家可能还记得2011年的时候很多公司遭遇了“脱库”攻击，2011年年末的时候被大众所知道，实际上这种攻击在地下的犯罪市场上已经做了很长时间，腾讯在更早以前，在十几年前的时候就考虑了这种风险。

【Dragos】非常感谢您刚才的提问。就刚才TK教主提到的信息，我加几点个人的想法。针对于这两个问题我都有同样的答案，我们可以看到安全和隐私事实上并不是相互背离，应该是相辅相成的，只有提高安全的程度，才能够更大程度保护用户的隐私。就像您刚才所提到的，未来将是一个人工智能的时代，人工智能时代人工智能会作为个人的助手，也可以是用在金融交易领域，所以安全对于人工智能时代来说也是非常重要的。在今后你可以看到，不管是在手机还是电脑的平台上，都会有人工智能作为主导，而在这其中我们更关注于安全的重要性，能够发现在手机和PC上的漏洞，从事安全的方式为广大消费者保驾护航。所以安全事实上是保护用户隐私和保证我们未来人工智能时代顺利发展的基石所在。谢谢。

【记者4】想问一下，比如说国外的用户，从用户的角度对于数据隐私和便利性的选择，他们愿不愿意牺牲便利性允许厂商获取他们更多的隐私，国外现在的状况是什么样的？

【Dragos】非常感谢您的提问。我相信对于加拿大的顾客来说，他们和中国顾客甚至包括全球民众的想法应该都是一样的，毕竟在数据隐私的保护和便利性选择上，我觉得这是一个个人的选择，有一些用户可能为了追求更大的便利性愿意放弃自己部分的个人隐私，比如换取像广告或是自己喜欢的产品。但是最终作为安全人员，我希望我们能够看到的是把选择权交到顾客手中，让他自己作出自主选择，有些人可能为了便利性牺牲个人隐私，而有些人不愿意这么做，作为我们来说应该把自主控制权交到顾客的手中，让他自己选择。

【雷锋网记者】刚刚主持人也有提到，这次相当于是一个脑力大比拼，想问一下你们两位中国黑客和国外黑客的实力怎么样？这次的表现怎么样？这是第一个问题。第二个问题想问一下TK，从自己登台演讲到变成合作方然后听别人演讲，是一种什么样的不同的体验？谢谢。

【TK】今天咱们这个是一个会议交流，并不是比赛，谈不上不同的演讲者之间拿到一起比，因为不同的演讲者讲的是不同的东西，我个人感觉至少今天上午我们听到的这些演讲都非常精彩，有一些我们发现它更偏向于比较深的技术细节，还有一些我们看到它更关注贴近于现实业务上的场景化的东西，但是不管怎么样，所有的这些东西都是在讲真正的安全，而不是比较虚的东西，都是实实在在的东西。

【雷锋网记者】中外黑客研究方向或理念差异在哪儿？

【TK】不同国家研究者关注的问题，从现在来看大家关注的问题在大的方面没有太大区别，我刚才讲的网络安全的威胁是所有人的威胁，所有人面临的威胁也都差不多，很自然地大家也都会研究类似的威胁。

【Dragos】就TK教主刚才提到的几点强化一下认识。此次大会强调的是“合作和分享”，大家来到这里，我们看到有来自中国和世界其它国家的研究者，把他们最前沿的研究接轨，他们来这里是分享从而形成合作，而不是相互竞争。

【记者6】有个话题想跟大家请教一下，关于AI，请两位就AI的安全问题做进一步说明，谈一谈自己的观点。就比如说具体怎么看AI世界当中可能存在的安全问题。我们可以相信AI做出的选择吗？AI可能是未来网络安全领域重要的议题吗？谢谢。

【Dragos】非常感谢您的提问。该像刚才我和大家所提到的，人工智能的技术目前还在比较初始的阶段，刚刚开始发展，我相信今后人工智能将会成为安全领域一个非常重要的话题。就像我现在发现一些特别有意思的早期研究，如何通过研究者形成一些对于人工智能欺骗的技术或者对于人工智能诱骗的技术，这些仍然是在非常初级的阶段。人工智能现在就像一个孩子一样，我们在不断孵化和教育这个孩子，等待它的长大。大部分的工作却强调人工智能方面安全性的研究，随着人工智能未来进一步的发展，当它的智能性越来越高的时候我们对它的安全性会给它相应程度的重视。

【TK】人工智能和安全的关系有两个面：第一个，人工智能可以为传统的安全服务，就是我们可以用人工智能做一些安全的事情；另外一面，人工智能存在自身的安全问题，人工智能可以为安全服务，同时他也有值得研究的按照问题。正如Dragos所说，现在人工智能是处于非常初级的阶段，就像二十年前的网络安全，未来的变化还很多，现在很难去预测。唯一我比较肯定的是，未来的安全和人工智能一定是关系非常紧密的。从我们这么多年的研究来看，信息世界的复杂度指数性的增长，世界面临的安全问题，即使传统的安全问题也变得非常非常复杂，将来可能会发展到一个基点，过了这个点之后它的复杂度已经超过了我们现有的安全界的能力去处理它，如果完全靠传统的方式处理的话，这时候必须借助人工智能的方式做这件事情。举个例子，假设现在全世界有一万台设备的安全，我们用一百个安全人员处理这一万台设备的安全问题，在未来万物互联之后，这一万台设备可能变成一亿台、十亿台，因为设备翻倍、翻十倍是很简单的事情，但地球上的人口不可能这样翻，那时候这些设备的安全问题怎么处理？一定是需要借助于人类之外的智慧的力量。

【记者7】我们知道TK是学医的，是什么契机让您走上信息安全的道路？另外，对于现在越来越多年轻的非科班出身的爱好者来说，如果想要学习信息安全的话，两位有哪些建议？谢谢。

【TK】我确实是学医出身的，信息安全领域特别是在我们这一代人里面有很多是非信息安全专业甚至是非计算机专业出身的人，因为那个时候（十几年前）还没有信息安全专业，专业分工没有形成，去做这一行的人基本都是因为自身对这个技术的热爱，我也是这样。首先我对医学也是非常热爱的，接触了信息安全之后发现这是一个更有意思的领域，你可以说我变心了吧。

现在的年轻人，我和很多年轻人交流的时候提过，大家现在学习信息安全条件比我们当年不知道好多少倍，有非常非常丰富的资料，无论你想学什么方向，无论你需要什么资源，都可以很容易的在网上找到，只要你愿意学。所以我觉得对于真正想投入这个专业方向的同学，无论你目前是什么专业，无论是信息安全专业或者不是信息安全专业，只要你想投入，大家做的最重要的一件事情是先学会自己去寻找学习资源。虽然我们说现在的学习资源非常丰富，但我发现很多人问我的问题都是“我想学，但我应该学习什么”，你要知道自己想学什么，并且知道怎么寻找学习资源，这是第一步。如果这一点你自己做不到的话，始终想让别人扶着你走的话，在信息安全研究这条路上很难走得长远。

【Dragos】非常感谢！我觉得对于年轻人来说跟随自己内心的激情从事一项事业是很重要的，要时刻保持自己的好奇心，既然知道自己对这个领域感兴趣，就要学习这个领域相关的技术技能，并且了解在这个领域出现事情的原因以及背后的机理，就像中国人经常说的一句老话要永葆初心，这是非常重要的。还有一点像TK提到的，现在网上学习资源众多，对于年轻人来说真正的发掘，通过大量数据找到兴趣点所在并且不断学习。谢谢！

【记者8】我有两个问题，第一个问题先问Dragos先生，在北美黑客来看，数字货币像比特币、US、以太链这些安全状况是怎么样的，中国现在禁止做数字货币交易，但是有不少中国群众通过地下渠道或外国的交易所在投资，你们黑客眼中这些数字货币的安全性怎么样？是不是一个随时可以提钱的提款机，还是说基于区块链技术还是相对安全可以投资的东西？

【Dragos】非常感谢您的提问，让我用我自己的亲身经历给你讲一个小股市。我自己多年前对比特币特别感兴趣，当时我自己做了比特币的挖矿机，我主要比特币的业务和交易的比特币是放在日本一个叫曼德戈斯（音）的一个平台，后来我不知道我在上面有多少个比特币，觉得自己特别富，突然有一天曼德戈斯被黑了，我的几百个比特币被黑了。通过巨大的经济损失教会我一门课程，在数字货币当中的风险远远比我们面前看到的更多。

【广州日报】最近欧洲的数据隐私法开始实施GDPR，一些互联网巨头开始整改，大家知道全球互联网巨头面临隐私的悖论问题，如何让用户使用更便利又不触及他的隐私。面临天价的罚款，就是最严的数据保护法，我想问一下两位对中国数据隐私保护现状的看法，有没有可能我们采取一些什么措施使这个行业上一个台阶？谢谢。

【TK】任何互联网公司在经营的时候一定要去遵从经营所在国家的法律法规，这是任何互联网公司都去做的事情。不同的国家在数据隐私上会有不同的规定，相应的互联网公司经营之后也会根本这些规定调整自己的策略。举一个例子，大知道Windows的扫雷，都玩过，Windows在有些国家的版本里面没有扫雷，把扫雷换成了扫菊花，在有些国家的版本里面点那个不是一个地雷爆炸，而是一朵花会打开，为什么？在有些国家他们认为扫雷这个游戏会冒犯到那些在战争中被地雷伤害的人们。举这个例子就是讲每个国家有自己的法律法规，甚至不一定是法律法规，只是人们的一种态度和看法。作为一个全球性的公司在不同的国家肯定要对自己的业务做出相应的调整。无论如何，保护用户的隐私这件事情其实是和商业公司，我们从长远来讲、从根本上来讲和商业公司的利益是一致的，就是保护用户和保护公司本身的利益是一致的。因为只有保护好用户的隐私，任何一个IT公司的业务才能够长远的发展。我们看到历史上有无数的例子和教训，那些不重视用户隐私的公司在发生一系列安全事件之后，最终会导致对公司本身商业利益的损害。这两者其实并不是矛盾的事情。

【Dragos】非常感谢！您刚才所提到欧盟现在提出的GDPR，我们目前仍然在学习和评估它对全球影响会达到什么样的水平以及细则是什么。举个特别有意思的例子，今天早上登录Facebook帐户的时候跳出一个弹框让我进行选择，我当时想上传一张照片，它当时问我是否允许Facebook就这张照片进行面部识别，我当时第一选择是“不要”，这张照片我想低调发出去，不想让别人知道。我选这个选项的时候，它会说“如果你选择同意的话会放弃部分权利，今后有人伪造你的帐户使用你的照片的话，你不使用图像识别就等于放弃Facebook帮助你识别虚假帐户的权利”。所以在用户隐私和安全性角度都是很复杂的，对个人和业界都是如此。从我来说，我觉得我不应该帮顾客做选择，应该把自主权还给客户。

【主持人】好的，如果大家没有其它问题的话，今天的采访到此结束。再次感谢所有媒体老师参与！谢谢Dragos把AsiaSecWest带到香港，为大家提供了信息安全领域高水平展示和探讨的机会。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！