扫码打开虎嗅APP
造就第417位讲者 王琦
碁震KEEN创始人兼CEO
国际安全极客大赛GeekPwn活动发起和创办人
我是王琦,从事网络安全工作,是一名“白帽子黑客”。
元旦前,我去看了电影《海王》,距离我上一次在电影院看超级英雄电影已经过了三十多年,那部电影叫《超人》。我已经记不清具体是哪一年看的,我现在还能记得的只有三岁的小超人抬起了汽车,还有因为太晚回家而被骂,别的就都不记得了。
但是,如果我现在打开手机,可以清楚地查到我是在哪一天、哪个电影院看的《海王》,当时我坐在第几排;电影开始前,我们几个同事还一起合了影,那天我们穿了什么衣服,我几点下了出租车到了影院,看完电影吃了什么饭、花了多少钱……
一个令人绝望的事实
无论我们是主动还是被动,无论我们是否习惯,我们的生活基本上已经被数字化了。
我们说过什么话、什么时间到过哪里、做了什么事情、买了什么东西、听了什么歌、看了什么文章、去了哪家医院、开了什么药、小孩多大、在哪个兴趣班上课……都被我们所使用的智能应用和系统记录着、存储着。
千千万万个我们,构成了一个个行走的数据库。这些记录很可能过三年、十年、三十年,都不会消失。而这些数据里,可能包含着我们并不希望让别人知道的信息,这就涉及到了个人隐私的安全问题。
一个令人绝望的事实是,数字化时代,我们的信息数据被传输、被记录、被存储,都是无法避免的。
而数据隐私安全又是一个比较复杂的问题,这里面涉及到隐私的定义、知情权、采集权、保护义务、使用权等等。比如,什么样的数据是我认为的隐私?你是怎么采集到的?你为什么要采集?你凭什么把我的数据拿去做交易?你通过什么方法让我知情……
事实上,每个国家的法律对这些的定义和约束也不尽相同,我们很难一次性探讨所有的问题,所以今天我只从黑客角度来说说数据隐私。
我们安全界,或者说黑客界,有一句话叫:未知攻,焉知防。意思是,如果我们不知道自己的隐私数据是如何丢失或被人非法使用的,我们怎么知道如何去防范呢?
相信大家多多少少看到过一些关于隐私泄漏的新闻,比如前一段时间某酒店的住宿信息被窃取公布、几十亿条出行记录在暗网出售等等,这些都是黑客干的。
但是,我想告诉大家一个很重要的事实是:99%的个人隐私泄漏案件并不是因黑客而起。这是我从国内破获信息泄漏案件最多的网警那里得到的信息,也就是说只有1%的泄漏事件的起因是黑客。
当然,尽管只有1%,黑客攻击的后果往往在规模化和严重性上不容小觑。
最被忽视的环节
几年前,我和我的团队拿了亚洲第一个世界黑客大赛冠军,后来我们也办了一个黑客大赛叫GeekPwn。我想和大家分享这个赛场上的两个例子。
第一个是一个GeekPwn的选手利用安全漏洞,远程窃取了一台iPhone 8里的照片,那时iPhone 8才刚面市不久。
这是另外一个GeekPwn的选手,他旁边是一位带着小孩的父亲。小孩戴着一个带有定位系统和通话功能的儿童手表。
在零接触的情况下,这位选手利用漏洞现场获取了小孩的位置和父母的电话号码,并假冒成父母的号码来跟这个孩子通话。
我无意引起恐慌,大家也无需过度恐慌。这只是GeekPwn赛场上和隐私相关中的两个简单例子。有能力发现这些安全漏洞的黑客群体并不大,而且我们发现的这些漏洞,全部都在验证后立刻提交给了厂商进行了修复。
那么,我为什么要讲这些例子呢?
我想说的是安全问题从来不是因为黑客才存在,恰恰是因为黑客发现而被消灭。
几年前我参加了一个大数据论坛,当时很多专家学者都在强调大数据的加密传输和存储,这些观点非常正确。可是我突然意识到,大家都忽略掉了一个事实,就是数据的采集安全。黑客的思路是什么样的?肯定是找最容易攻击的部分。
刚才大家看到了,无论是偷照片也好,窃取信息也好,难度是有的,但终端的数据的采集环节,往往是最重要也最容易被忽视的一部分。如果我们能够采集,那么别人也能够采集,甚至我们采集的数据还可能是别人已经篡改过的数据。那还何谈数据安全和隐私保护?
如果我们买了一个智能扫地机器人,我们可以跟它远程沟通、看到屋内情况、对家里进行全方位的激光扫描,但是因为漏洞,别人也可以看到我在做什么,听到我在说什么,不用进家门就可以知道家里的装置情况,知道我的保险柜在哪里……这是一个不堪设想的状况。
隐私安全,匹夫有责
这其实就是我今天想和大家分享的第一个议题,当物联网越来越深入生活,在万物互联的时代,终端安全必须被重视。
怎么做呢?
首先,厂商必须肩负起完善技术保护机制的责任,还要提升自己的安全技术保护能力。
三年前的央视315晚会上,我们展示了数据如何在虚假Wi-Fi下被明文传输的案例。也就是说当时我们在手机上订了什么菜,坐了什么车,都有可能被明文窃取,解决方案其实非常简单,有非常成熟的加密保护方案。
我们很高兴的是在真的坏人做坏事之前,我们帮助厂商发现了这些问题,消灭了漏洞,从那以后,基本上我们现在所有常用的APP和网站,都用了加密传输。
第二,完善立法。
我们刚才讲的都是数据被动泄漏的情况,实际上无论是被动还是主动,我们都需要完善相关的法律法规。要对包括厂商在内的所有数据记录方进行约束,对数据泄漏和滥用行为做出相应的惩罚。
去年欧洲已经出台了一个相当严格的法律——GDPR(《通用数据保护条例》),这份条例体现了欧洲宁愿制约发展也要保护个人信息的法制决心。中国目前在技术发展和数据隐私保护的法制建设道路上,还在探索阶段。
个人可以怎么做呢?除了提醒大家不要设置简单的密码之外,我没有更多建议。为什么?
十几年前,我在微软安全部门工作,我的一项日常就是给微软用户提供安全建议。
比如,那时候很流行病毒邮件,很多人一不小心打开邮件附件,病毒就开始执行。大家知道在Windows上打开一个附件,一般是双击附件图标。于是我们的建议很详细,就是“不要双击打开邮件的附件”。
到了2003年,Windows系统出了一个新漏洞,在这类邮件中,单击附件也能启动病毒,于是我们不得不修改建议为“不要单击或选择附”。
不幸的是,不到一年,Windows又被发现了一个安全漏洞,这次只要用户的鼠标指针滑过邮件的附件,病毒就开始执行。
我们该怎么办?建议用户收到邮件的时候放下鼠标吗?
所以我的观点是,永远不要试图教育用户该怎么做,他们会崩溃的,因为这不是用户的责任。
一个安全的智能社会,不应该每个人都精通黑客技术和防黑客的本领。就像一个安全的国家和社会里,不需要每个人都是武林高手,人人懂格斗擒拿,还要会查杀木马。我觉得这样的社会本身就是一个非常不安全的社会。
道高一尺魔高一丈。但是促进隐私安全保护机制的完善,用户是非常有力量的一环。所以,当你发现自己的信息遭到泄漏,最正确的做法就是拿起法律武器,从消费者和用户角度去推动厂商去重视和行动。
去年在上海就有一个例子。
有个人接到一个陌生电话,对方知道他的名字,也知道他刚装修完。他突然意识到他的信息被泄露了,所以他就告对方,最后还真的牵涉出一起信息泄露案件,目前这个案件已经被审判了。
所以我就希望大家以他为榜样,去推动信息拥有方承担起他们的义务和责任。
因为当前的行业发展速度其实远远大于技术发展的速度,技术发展的速度又远大于这些厂商安全能力提升的速度,所以很多设备和产品还是存在这样那样的安全问题,数据隐私泄露的情况依然时有出现。
新的问题已经出现
第二个我们需要关注的议题是人工智能带来的隐私安全隐患。
我们现在每天会产生大量数据,这些数据彼此紧密关联,随便哪一个环节看似无甘紧要的数据背后都牵连隐私,比如我们千千万万的购买记录。为了保护我们的权益,在交易的时候,是需要把消费者的名字或者电话号码这些信息隐藏起来的,这个技术叫脱敏。
也就是说,进行脱敏之后,再拿到一条信息,从人类的角度是无法知道这条信息到底属于谁,他买了什么东西,也无法预知他在其它事情上会做出什么选择。
但是,如果放在人工智能的眼里,它有没有可能从千千万万个人类看不出关联的大型数据库里面,用机器的智慧推断出其背后隐藏的隐私,甚至还原出个人的数字画像,推断他未来的行为?
去年,特朗普的竞选团队利用Facebook数据泄漏操纵美国大选的丑闻,已经向大家证实了我们的担忧。人们在社交媒体上的公开留言能够被人工智能用来分析用户画像,推测他的政治倾向,从而反过来对用户的选择形成干预措施。
我觉得这样的情况未来在其它领域也可能会发生,比如在医疗领域,可能会出现人工智能通过脱敏数据反推出个人的医疗信息的状况,这是值得警惕的。
我想说的是,虽然安全漏洞不可能被根除,我们也仍然不得不生活在这样一个还不是特别安全的环境里,但是我们也不需要悲观,因为“安全”从来都是一个动态的过程,不可能一蹴而就。
作为一个网络安全从业人员,我们的目标就是两个,一个是尽可能地消灭漏洞,另外一个就是让攻击成本越来越高。要实现第二点,还需要国家、社会,包括我们每个人共同的努力,谢谢大家。
本文来自微信公众号:造就(ID:xingshu100),作者:造就Talk的编辑们