360公司总裁齐向东:电子邮件不是用密码来保护的!

 邮箱网  0条评论  12344次浏览  2016年07月28日 星期四 15:07

分享到: 更多
中国邮箱网讯 7月28日消息,今天, 360企业安全集团与盈世Coremail签署战略合作协议,未来双方将在邮件安全方面展开多层面的深度合作,共同推动邮件安全技术发展。共谱企业安全市场蓝图。当日,由双方共同打造的新产品360安全邮件正式上市。发布会上360公司总裁齐向东出席并致辞。

360公司总裁齐向东


齐向东讲到,用“360安全邮件”,你密码可以见着谁给谁,说今儿高兴发密码,保证能打开,这是我电子邮件密码,睡不着可以打开看。但里面存在的邮件所有都要加密。

以下是本次发布会中齐向东的演讲实录,整理如下:

各位媒体朋友,感谢大家上午参加我们的发布会,我们准备了一段时间,非常感谢活动的举办,也感谢Coremail这段时间和我们一起奋斗,把360安全邮件发布了,今天Coremail的创始人陈磊华先生也来参加我们的签约仪式。

邮件应该说是企业安全的核心,最近美国大使因为希拉里的私人邮件被外界渠道获取,他违反了美国政府对总统邮件使用的要求,对他的邮件进行调查,调查当中不断暴露他在邮件当中出现各种各样的问题。前两天我看维基解密,开始系统地公布希拉里在邮件里怎么样在大选过程中怎么样使用非法手段黑她的竞争对手,或者包装她个人。

企业安全是两个问题,一是获取企业核心的秘密,是内容;二是破坏企业的生产。现在我们都是在万物互联的时候,机器人到处不断地替代我们人工。原来叫流水线,最后变成无人流水线,以后的工厂要更多地变成无人工厂。现在富士康正在全球推进无人工厂活动,晚上工厂都不开灯,流水线照样在生产,因为都是机器人在活动。未来的安全会有很严重的威胁,对工厂来说,如果他的生产线被竞争对手或黑客控制有可能导致他的生产线停转,影响他的生产。甚至故意在他的产品里留下瑕疵和隐患,比如儿童玩具里面埋一个螺丝,说小孩这个车轮在运转一百次之后就能掉出一个小罗嗦,小小孩吞掉这个小螺丝之后后果可想而知。因为这样的质量事故,就是灾难性的事故可能会导致这个企业的品牌毁了,这个公司就关门。

同样的事件已经有很多的例子发生,今年1月份,俄罗斯的黑客组织控制了乌克兰的空间系统,导致乌克兰一部分地区停电,还控制了乌克兰的机场,让它整个机场不能正常运转,听上去都很耸人听闻。

在中东和叙利亚极端组织有关的一件事儿,一个黑网络攻击,控制了一个水厂,通过远程来控制这个水厂里的化学药品的配方,我们知道,自来水厂都需要净化,净化出来的水需要消毒,里面的化学物品都是有严格的配方比例的,超过多大的比例它就变成毒药了。这样的系统被控制。

还有更多的案例,现在自动驾驶都非常火,自动驾驶汽车是我们人类想望的非常美妙的境界。北京非常堵车,你们今天来我们这儿的时候肯定是一脚油门一脚刹车,网上的网民把它形容刹车踩到×××。反正是非常遭罪的状态。如果你现在用特斯拉最新款的车今天早上开车时就可以开启自动驾驶,基本不用脚不用手,车就可以把你带到360的停车场,这多美妙。但最近自动驾驶也不断地出问题,在美国已经出了三起事故了。而且黑客操控汽车也做过表演,去年底美国的一个黑客表演远程操控十英里之外一个在高速公路上行驶的切诺基,把这个切诺基翻到了山崖下,人为制造了一起车祸。所有这些都是万物互联,生产系统造成破坏可能给我们企业和个人带来多大的损失。这是一方面。

对企业来说第二个损失就是企业的秘密。因为企业所有的秘密都集中在电子邮件上,现在我们进入互联网时代,几乎没有一个秘密存在纸上,我们写几行字,用密电码加码,企业没有办法传递,互联网里组织起来的高效协同工作方式没法推进的,也没法执行,大家最后还是用邮件。

这次报告希拉里的邮件有包括她和她的团队一起策划怎么挖特朗普比较薄弱的环节,说这个人曾经犯过什么事儿,嘴巴有多大,说过什么话,到哪儿找到他的黑材料,找到黑材料之后怎么组织公关公司在媒体上给他放大。还有怎么样包装自己。这样的策划案,我看了公布的东西基本是我们在市场竞争过程当中很多企业也包括很多管理咨询架构不断忽悠企业使用的很正常的竞争方法。我们和一个对手相竞争,肯定要找对方的薄弱环节,要找对方产品,对方宣传上有瑕疵的点,抓住这个有瑕疵的点不断地给它放大,放大过程中不断让消费者产生映射,产生联想,产生各种各样的东西,然后最后对他的品牌产生质疑,达到诋毁竞争对手,让自己的品牌胜出的目的。

我们在市场竞争当中很多公司都采取竞争对手导向,什么叫竞争对手导向?就是使劲地分析竞争对手,把竞争对手的产品,把竞争的策略挖地三尺。什么叫挖地三尺,不是把竞争对手的文案拿三尺高,竞争对手的文案在网上可能就公布三篇两篇,你根据这有限的信息不断地推理,认为他可能这么干的,可能那么干的,一定会产生什么问题,会产生各种各样的联想,但这个有时候和事实之间是有差距的。很多这样的联想不是善意的,制定针对竞争对手策略时是恶意的想象,如果把竞争对手想象成朋友就没法干了。

我那天看给希拉里曝光的邮件有七大类,每大类采用什么手法,干了什么事儿。我认为希拉里确实有点冤,她那些做法在我们市场里尤其是很多竞争比较激烈的市场环境下,我们媒体原来曝光的是两个做重型机械的公司互相之间怎么撕怎么打,动用的东西都已经很极端了。等于这些的东西还是很多的。所以,电子邮件是企业秘密的核心。

2003年、2004年在雅虎时,雅虎曾经有个规定,什么样的东西允许在电子邮件上写,什么样的东西不允许写呢?他给每个人一个判断标准,说你的电子邮件如果在中央电视台《新闻联播》节目展出并口播不会引发任何争议,这就适合在电子邮件上写,否则就不能写电子邮件。这个标准你们有人遵守过吗?在雅虎时经常发这样的通知。后来我说这也做不到啊,如果做到了那就基本效率就变得极低了。看起来雅虎中国没做到反正,可能雅虎美国做到了,结果现在把公司给做死了。

所以,雅虎从市值最高的一家公司,互联网泡沫时2000亿美金,到上个礼拜还是这个礼拜43亿美金卖掉,从2004年到现在12年,这说明大公司也挺扛祸害的。2004年我们在雅虎时,雅虎每年的净利润大于Google的收入,搜索竞价排名广告的专利权在雅虎,Google因为使用了雅虎的竞价排名权被雅虎告上法庭,Google为此支付雅虎3亿美金的使用专利费。Google一开始做出的搜索引擎没有人用,没有市场也没有品牌,雅虎帮助它推广,把Google的搜索框放在雅虎网站上,这是给Google带来了第一批用户,帮助Google带来第一次的品牌。当然不仅仅是全世界邮件的事儿,但电子邮件里不能谈工作,不能谈竞争对手,谈工作,谈竞争对手,不能使用诋毁式的,不能使用妄想星的,不能使用猜想性的,针对竞争对手所做的产品所做的一切策略只适合在中央电视台上播,我觉得这种文化过度追求安全,就是没事就好,没事就好,千万别有事,这不是自寻死路,那办什么企业,等于把现有的钱拿出来盖个冒,直接做善事就完了,叫“雅虎祠堂”。现在不能说百分之百,只有四个九的所谓泄密事件都和电子邮件有关。

美国出了一个奇葩的事儿,就是斯诺登,那么核心的人叛逃了,把美国各种各样的计划,棱镜门、爱因斯坦全给捣出来了,捣出来以后我们才发现原来在网上自以为很保密,很秘密的电子邮件全在人家的服务器里,电子邮件是个公开的协议,为了适用说话的浏览器,都能把一个邮件解开。所以,电子邮件在运营商的网络上就可以见到,用不着到你电脑里。所以,你存在网络上,存在服务器也能解,把你服务器也能拿走,把你的帐号也能拿走,帐号拿走太容易的,现在叫社工部。什么叫社工部?帐号和我们每个人的名字一样,我叫齐向东,我感觉这个名字就挺邪性的,一是姓很少,而是向东,谁叫这么没文化的名字呢?那天一查重名成千上万。我估计像吴云坤、陈磊华都是十万以上重名,因为名字太好听了。

你说这么多重名,为什么?因为容易记,还得好听,还得和祖传家谱吻合上。你说我们起密码怎么起,到现在为止我脑子里只想起一个密码,只要我每天用这个密码能记一辈子,只要一个礼拜,不按我心目当中的规律写肯定就忘了,记不住了。我们做互联网的人最重要的功能是找回密码功能。这个功能做好了,他娘的产品几乎没人用了。因为生一礼拜病,一睁开眼睛什么密码都没有了。记不住。全世界人用的密码就那么几十万个,就这几十万个密码,反正几十万个密码被全世界几十亿人捣腾着用。所以,从你的密码不用去找你,就找和你重名密码的那个人查到你的密码不就泄露了吗?所以,你的密码每天都在泄露当中。这种找密码的方式叫做社工部(社会工程学密码破解方法),起密码的时候用什么方法写?和你们家的住址、名牌、办公室、住在哪个城市,你家的电话,工作电话号码,情人电话号码,老婆电话号码,孩子电话号码,和你一切相关的号码,和你一切人的住址,和一切人的生日,你的医保号,你钟情于什么号,你和情人、初恋的日子,你们俩的生日组合,你和谁的生日组合,还有生日号码的组合,还有号码和人的组合,不就这点事儿嘛。理论上讲,我们原来猜测密码,比如原来的8位密码是用数字再加上英文字码,原来破解的时候是傻子破解法,也是暴力破解法,从000开始排列组合,这种破解方法太笨了,需要多少种排列组合。

而且现在这种方法用不了,用苹果手机、智能手机密码错5回五分钟以后再试,再错2回十分钟以后再试,就得三天试一回,一把破完不得1亿年,那得愚公移山的精神,子子孙孙往下传,你自己都把密码忘了,他还没搞定呢。所以,现在的形式也不能这么破,把无限解的事儿变成有限解,设成社工部的电话。在你身上猜出5个,把你生日,家庭住址各种各样的,你爱人经常去什么地方拿出来,计算机自动出五个号,命中率80%,这叫社工破解法。这80%五分钟之后弄,千万别把自动锁给碰上;五分钟再拿5个号,又80%,还剩4%,再拿五个号,又80%,再干80%,就还剩0.8%了。也就是说三组号破解概率99.2%。这个密码有用吗?一切密码都给破了。就像你们家的锁似的,看着都是防盗门,防盗锁,突然锁坏了或者钥匙丢了,觉得这可怎么办,不换防盗门就好了,给开锁的打个电话,骑自行车,说锁坏了,先给钱,100块钱,说100元就能开门?别把我的门给砸坏了。人家都不回答你的话,30秒开了。这可是防盗门啊,防盗看防谁?防邻居的。这是最高密的锁,30秒肯定能开。防君子不防小人就是这个道理。

后来我们说这个密码一定要高强度密码,太容易的密码一下就猜出来了,112233上来就开开了,所以一定要把密码弄长。但弄长了以后就记不住。没办法,在手机上把密码记下来吧,结果手机丢了,一看打开页密码先出来。后来就一次一密,情报部门用的也是一次一密,他们给我发邮件的时候一串100位密码,一次性生成,然后另外的文件发给我,我要求他们必须电子的给我,用邮件发给我,我好ctrl-c、ctrl-v弄下来,弄完之后这个密码就失效了,然后我们上班了。这还能起到作用,每年的邮件这么弄还上不上班,上班是为了乐趣,结果弄得苦不堪言,那就没法弄了。

我说了那么多的废话,今年我们作为安全公司,把邮件保护住是核心问题,生产线是另外一回事,因为很多人和生产线没关系。但邮件和每一个人都有关系,和每个企业的竞争力息息相关。所以,今天我们推这个东西叫“360安全邮件”,这个邮件绝对没问题。因为不是靠密码来保护,你密码可以见着谁给谁,说今儿高兴发密码,保证能打开,这是我电子邮件密码,睡不着可以打开看。但里面存在的邮件所有都要加密。很多人说我见过很多加密邮件,你见的都是加的,因为在服务端加密就是假的,因为密码不是你给的,是服务器自己生产的,如果生成密码程序被人控制了,也就是说你的锁碰上锁厂的人那就不用找开锁的人了。管理密码的人是在服务器里,被邮箱公司和密码的服务器挨着放着。别说给员工监守自盗,邮件被拖走的概率99.9%。晚上到处被脱库,只是人家用完了觉得没价值了,就好像被抛尸的,还有没抛尸的,还有使用价值的更多。

所以,现在我们提供这套解决方案叫端对端的解决方案,从发出邮件就是加密了,密码是你自己用的,存在服务器上也是自己用的,没有任何人能解开密码,接着到对方的终端上才解开密码。这是最强的加密算法,现在加密算法200多位。如果用暴力破解的方法,理论上讲把现在世界上电脑都集中在一块儿协同作业,搞个N多天有可能会拼出来,除此之外没有别的办法,除非把服务器砸了看把别人的密码读出来。这是高可靠性的安全邮件系统。这次加密一到端到端加密,很多人比较专业,认为端到端加密用起来特别不方便。我们这里有绝对的创新,极其方便,和你用现在普通的邮件系统几乎差不多,不是完全一样,稍微有点麻烦,麻烦的程度增加12%或10%以内,一会儿工程师会告诉大家怎么用。

总之,今天发布的东西是非常宝贝的东西,这不是对个人用户的,是对企业的。如果有个人想用怎么用?我们是不是搞个虚拟企业,社团组织,大家申请一下,因为我们对单一的个体是不开放的,只对企业开放,因为一进入到个人邮件市场这是另外一个市场,面对的竞争对手各个方面就不太一样了。而且个人的需求五花八门,有的电子邮件巴不得给别人贴上去,今天早上还有人在家里说维基解密怎么就不公布邮件呢?所以他需求不太一样,但所有的企业都不是希望这个邮件被公布。所以,先从企业做起。

再次对大家的到来表示感谢,也感谢长期以来大家对360的关心、理解和支持。

谢谢大家!

标签:邮箱Coremail电子邮箱盈世360安全邮件

我的评论:

请  后发表评论。