2050年的世界会变得怎样?第三届中国互联网安全领袖峰会CSS的遥望

2017-08-16 209672人围观 ,发现 6 个不明物体 活动

我们常说,我们这代人生活在科技发展的拐点上,就算只说消费科技发展的这 10 年——2007 年的人能否想象现如今人们的生活方式:出门不需要带钱、每时每刻都有人在拍照发朋友圈、个人视频直播、用手机 App 叫外卖。如果你穿越到 10 年前,你还能适应当年连微博、智能手机都还没真正红起来的时代吗?

去年的 ISC 大会上,微软可信赖计算机网络安全战略总监褚诚云说,加拿大卡尔加里大学网络遭遇勒索软件,而这所学校竟然最终选择了向勒索软件作者支付赎金——这件事在前两年引起了广泛的争议,即一个正规学府,居然最终向犯罪分子低头。

而在这两天中国电子技术标准化研究院、腾讯安全和中国信息安全认证中心主办的 CSS 2017 第三届中国互联网安全领袖峰会上,IBM Security 全球首席资讯安全架构师李承达在主题演讲提到的数字举例中却说,全球 70% 遭遇了勒索软件的企业高管的确会支付赎金,以恢复数据,而且不少付出的金钱数额还很高。

在去年看来还会引发社会讨论的事情,到了今年却已经司空见惯。FreeBuf 这半年追踪了很多遭遇勒索软件的组织机构,比如前不久韩国主机托管公司 Nayana 遭遇勒索软件攻击后,决定支付 100 万美元赎金;近期 HBO 被黑客攻击后,据说已经打算给黑客付 25 万美元来解决问题(虽然并非遭遇勒索软件)… 这可能也是技术发展带来的某种问题,即随着科技的发展,我们是否已经无力解决安全问题?

208098162.jpg 

2050 年的世界会是怎样?

今年的 CSS 2017 大会,其中一个最火的关键词可能并不是“协作”,虽然这是这两年安全厂商喊得最为频繁的一个词汇,而是“WannaCry” —— 大会首日主论坛的每一名演讲嘉宾几乎都提到了 WannaCry。这是今年的安全行业,乃至整个电子科技行业和社会,都无法逃避的问题。

大会专门请到的“世界头号传奇黑客”,原本是 FBI 通缉犯,现如今已经是 FBI 网络安全顾问的米特尼克(Kevin David Mitnick)就在大会现场,通过 Windows 虚拟机亲自演示了通过社工的方式来感染 WannaCry 勒索程序,甚至根本不需要“永恒之蓝”发挥作用。(前一阵 FreeBuf 采访诸葛建伟的时候,他还特别给我们推荐了他翻译的一本书《线上幽灵》,这本书就是这位传说中大名鼎鼎的米特尼克大神的自传,有兴趣的各位可以看一看。)

22291801.jpg

现身会场的米特尼克大神,后面那股眼神是… TK?

可能就是 WannaCry 真正开始让普通人也知道什么叫勒索软件,以及安全行业今年的大量报告都把勒索软件当成是未来很长一段时间内的头号大敌,就像腾讯安全云鼎实验室负责人董志强说的,黑客们的变现方式已经开始发生转变(改从木马转到勒索程序)。这大概是去年科研院校向黑客支付赎金让人们哗然,而到了今年支付赎金成为常态的一大原因。这也是科技的发展带来的副产品吗?

这之间的关联可能还没有那么大,在首日最后的圆桌论坛上(题为《网络“大杀器”的安全之道》)知道创宇 CEO 赵伟再度提到了去年年末的 IoT 僵尸网络大热门“Mirai”。这可以说是科技发展带来的最直截了当的“礼物”,在人们都还没有意识到 IoT 时代来临的时候,Mirai 已经敲响最大规模 DDoS 警钟。

在科技发展如此之快的当下,你知道 2050 年的世界会变得何其不堪一击吗?

DSC_7471.jpg

卡巴斯基实验室安全专家 Vladimir Dashchenko

卡巴斯基实验室安全专家 Vladimir Dashchenko 在主论坛上分享的议题《The 2050: Bright Future or Dark Ages(2050年:到来的是光明还是黑暗)》以极为有趣的方式阐述了这一点。他提到了所谓的工业 3.0、4.0 和 5.0 时代。

按照时代的主流说法,我们现在正身处工业 3.0 时代,以机器、自动化和计算机为代表。未来,我们正在向工业 4.0 时代过渡 —— 4.0 时代的特征包括万物互联、通讯、大数据。IoT 设备是万物互联的具体实现,不过当代的 IoT 设备,即便已经发展到智能家居也不过是小打小闹。在 4.0 时代,我们会更广泛地见识到仿真机械义肢或者带芯片的隐形眼镜,这些都是联网的。

但在现如今的健康医疗领域,IoT 的应用已经比较广泛,比如说颇为常见的心脏起搏器,还有未来可能更为常见的植入式设备,植入人体。这是时代发展驱使的技术进步,但 MIT 的一份研究显示,近一年就有 150 万台此类医疗设施被召回,这个数字听起来可能没有什么。

但请仔细想一想,手机、汽车这类设备的召回似乎可以是轻而易举的,但医疗健康领域的植入式 IoT 设备如果因为安全问题,而需要召回,就不止是企业损失金钱的问题了,而是人命攸关的大事,更何况这还需要考虑到召回的难度,或者说解决其安全问题需要耗费的成本。

DSC_7497.jpg

Bright future or dark ages?

到了 2050 年,或许已经发展至工业 5.0 时代。不光是义肢看起来已经和真的差不多,媒体播放器大概都可以直接植入人体内(或隐形眼镜中),在大脑内产生影像;再大胆想象,是否可能产生植入人脑的 IoT 设备;另外结合虚拟现实技术,你大概可以随时和你的朋友外出逛街,但她可能身处地球另一端,技术也依然有办法实现;再比如模块化的汽车,这些都会是信息时代可以想见的未来。

但当这些通通存在安全问题时,如果安全漏洞严重到需要对硬件设备作召回,从大脑中取出芯片、拿走义肢,这大概不会比停电来得比对当代人的影响小。

所以其中宣导的理念究竟是什么?就是在任何一款产品,无论软硬件,在设计之初就需要将安全问题考虑在内,令安全成为设计开发的一个环节,才有可能将威胁降到最低。如果说植入大脑的芯片在遭遇攻击后,可以让用户产生恶意的念头和想法;采用虚拟现实或现实增强技术,和你一起逛街走在路上那个人其实根本就不是你朋友,这个黑暗的 2050 是否将显得尤为邪恶?

真的是技术在推动安全的发展吗?

实际上卡巴斯基专门做了个 the Project of 2050 Earth 项目,用于畅想人们 2050 年的生活,每个人都可以去其中进行假设,比如大概人们都在操纵飞船,而这些飞船如若成为僵尸网络的组成部分,世界会变成怎样?

你可能觉得这些事都太遥远了:在如今这个技术呈指数级发展的时代,前两年我们还在喊着的很多东西早已成为现实,且服务于我们的生活,比如说云计算,这在企业市场压根儿就不是什么新货;去年我们提“聚力赋能”“协同联动”,这不是现在大家都正在做的事情吗?看看国际市场上形成闭环的安全产品,哪家还没有在和合作伙伴一起搞“协同联动”的威胁情报?

DSC_7342.jpg

VISA 公司副董事长兼首席风险官 Ellen Richey

VISA 公司副董事长兼首席风险官 Ellen Richey 在题为《未来的数字化:保卫互联世界》的演讲中提到,上世纪 90 年代,去银行抢钱还是真正的抢现金,现在则是通过电子支付系统将钱据为己有,移动技术的出现又加深了其中的安全问题。从 1993 年开始做欺诈探测系统,到 EMV 芯片卡问世,以及其后的神经网络分析、机器学习,以及近两年的生物识别、网络威胁舆情分析共享和深入学习分析。现如今 VISA 有自己的情报网,专门进行恶意程序研究,会和受害用户沟通,了解犯罪网络的使用情况,了解信用卡信息买卖。

这其实已经是协同联动的一种表征了,更何况 VISA 甚至并非专门从事安全研究的企业。Richey 举了个例子,她说早前有家餐厅数据遭遇泄露,VISA 对恶意软件分析报告下发给所有可能面临攻击的商户,有个商户将报告的信息放入 IPS 系统中,便立即发现其中的相同 IP 并阻止了进一步的数据泄露。

这个时代的发展,大约有了我们刚参加完展会,轮转一年已非昨日的既视感。当我们在谈着人工智能和机器学习的时候,很多人可能都还以为,AI “将来”会为安全行业作出贡献。显然技术的发展正在推动安全的进步,机器学习不正是佐证吗?FreeBuf 过去一年的安全快讯报道了那么多机器学习初创企业被安全公司收购的例子,都表明这是个热点,或者说人工智能有没有可能成为未来消除攻防不对等的一个重要技术?

但请等一等,前不久刚刚结束的 Black Hat USA 2017 大会上,技术专家 Hyrum Anderson 发表了一个有趣的议题,即机器学习如果能够学会检测恶意程序,那么它也可以用来躲避检测。 所以机器学习拉开了新一轮的猫鼠游戏。

29080981.jpg

美国加州大学伯克利分校教授 宋晓东

在昨天的 CSS 2017 大会上,美国加州大学伯克利分校教授宋晓东扩展了这个议题,《Future of AI and Cybersecurity》。或许以人工智能来挖洞可能的确是个新兴技术议题,但人工智能为攻击者创造的价值,却从来不亚于其为防御者创造的价值。

新技术究竟推动了安全,还是推动了攻击者?

宋晓东现如今是人工智能研究方面的专家,她在演讲前半程详细谈到了针对固件挖洞,利用机器学习找出不同产品固件的代码特性,让人工智能最终实现漏洞的自动检测与修复,还有攻击检测防护、软件安全认证等。这听起来就是人工智能在推动安全发展的过程。但后面的内容就大不一样了,看下面两类攻击:

Attack AI – 试想对人工智能本身进行攻击的场景,可以导致机器学习系统产生错误的结果,甚至产生攻击者想要其产生的结果;

Misuse AI – 而还有一个场景,则是对人工智能进行滥用,包括利用人工智能来发现目标系统中的漏洞,然后发动攻击。

针对其中 Attack AI,现如今的研究其实已经比较多样了。上周 FreeBuf 的早餐铺中还提到一种针对深度学习系统的攻击,即自动驾驶汽车能够识别路边的交通标志,但按照攻击者意愿,只需要在其上贴上些小标签或者涂鸦,就能欺骗深度学习系统,如将“停”标志识别为“限速 75”。宋晓东为我们解释了其中深度学习系统对图像的理解算法,及对抗样本(即被篡改后的图像)究竟是如何欺骗系统的。

这种交通标志,在攻击者看来,只需要修改其中的一小部分,就能让深度学习系统将其理解为攻击者期望的内容。再进一步,很多原始图像和对抗样本,在肉眼看来几乎是没有区别的,但在深度学习系统眼中,它就是个不同的东西。这种攻击,对于人工智能的影响将会是非常大的。宋晓东说,现在并没有有效的防护措施来应对这种对抗样本攻击。

DSC_7438.jpg

除了对抗样本之外,还有对抗机器学习,即以攻击者期望的方式让系统进行机器学习,比如在培训阶段进行攻击,比如对培训数据集下手,学习错误的模型(微软先前的 Twitter 聊天机器人就可以认为是这种),还可以选择性地给出一些培训数据。

所以解决 AI 学习系统的安全性,需要从软件层面、学习层面和分发层面着手,且缺其一不可。软件层面可理解为通常意义上软件的安全问题,这类问题或许还比较好解决;但学习层面的问题就显得非常复杂。这一领域的研究原本就还存在着大量尚未掌握的问题,所以宋晓东的这个议题最终是以一连串开放性问题结尾的。包括:

如何更好地理解 AI 学习系统对于安全的意义?

当某个学习系统被攻击,该如何检测?

如何缓解 AI 的滥用?

对确保采用安全 AI 的问题上,究竟该采取何种策略?

DSC_7460.jpg

那么这些高端技术不仅推动了攻击者的进化,而且还增加了防御者的难度。人工智能这类技术的发展还是在推动安全的发展吗?还是说实际上,所有技术的发展都是在增加这个信息时代的攻击面呢?这似乎是个不言而喻的问题。

顺带一提,IBM 这些年始终在推广的认知安全技术,以人工智能的方式去搜集大量数据,并挖掘、理解,为安全提供解决方案。实际上李承达在去年的 FIT 2017 大会上就详细介绍过认知安全。我们倒是很想知道,IBM 是如何应对宋晓东教授谈到的这些问题的。

安全不应再有边界

说了这么多,感觉这世界很难再变得更好,攻防不对称的情况大约也难以扭转。技术的发展,让攻防双方都在升级,应了我们去年采访金湘宇时他说的话:安全行业的人才短缺会成为常态,因为技术要求会越来越高。就像人工智能自身的安全问题,需要掌握的技术又将是更为复杂的。

DSC_7277.jpg

腾讯公司 COO 任宇昕

所以腾讯公司 COO 任宇昕说,信息安全的主体和边界都在发生变化,安全不再是独立的东西,而是深入到数字经济领域的组成部分。这其实是很有意思的一个观点,就像卡巴斯基 Dashchenko 小哥畅想的 2050,工业 5.0 时代,解决那么复杂的安全问题,最根本的出发点仍在于,任何一款产品设计之初,就将安全融入其间。

FreeBuf 在《2017 金融行业应用安全报告》中说,越来越多的金融企业将安全作为促进数字业务增长的组成部分,而不再只是降低风险的手段,这是某种表征;且在《2017 年度移动 App 安全漏洞与数据泄露现状报告》提到,App 开发设计阶段就应该融入安全。

我们可以预见,解决越来越复杂的安全问题,越来越多的企业需要抛弃对安全的成见,即便这是个老生常谈的问题,安全不再有边界会成为他们需要领悟的重要思路之一。或者说,应了前文第二个段落所述,安全和技术本身就是相辅相成的关系,这两者的共同进步将变得缺一不可。

最后要提的依旧是协同合作的话题,也是解决上述安全问题的另一个方向。但这次腾讯倡导的协同联动,重点不在安全企业,以及互联网企业之间的合作互惠 —— 云计算天生具备的大数据优势特性,能够为安全带来的便利也并非主论坛的重点,即便董志强还是分享了云鼎实验室在腾讯云之上对抗各类安全问题的经验 —— 这次协同的两个主体是政府与企业。

DSC_7372.jpg

这个圆桌会议(题为《新秩序下的安全之道》)大有集合互联网、金融、电力、通讯等领域的意思,

左起分别为:中国信息安全测评中心总工程师 王军,国家电网公司信息通信部主任 王继业,中国联通信息化部总经理 孙世臻,Visa公司副董事长兼首席风险官 Ellen Richey,腾讯公司副总裁 丁珂,财讯传媒集团首席战略官 段永朝

所以《网络安全法》亦成为本次论坛的另一个关键词,如中国互联网协会秘书长卢卫在致辞中提到,新兴技术如区块链的出现,越来越颠覆传统的监管概念,这些都是政府需要努力去规划,帮助和规范私营企业做好网络安全工作的难点。《网络安全法》的全套生态正在建立,包括《网络关键设备和网络安全专用产品目录》《关键信息基础设施安全保护条例》等,都会是当前安全态势局面下,协同合作的重要组成部分。中央网信办网络安全协调局副局长高林、中国电子技术标准化研究院院长赵波、中国信息安全认证中心主任魏昊也都重申了《网络安全法》在国内建立的意义。

那么在消除安全边界,且所有主体协同合作的时代下,2050 年会是怎样呢?

花絮:米特尼克

DSC_7568.jpg

场下的米特尼克姗姗来迟

DSC_7612.jpg

289879871.jpg

这次米特尼克来参会,台上的演讲是以 TK 教主采访的形式进行的

DSC_7634.jpg

米特尼克这次主要进行的是一系列的破解,略有黑客秀的意思,比如用他手上这个小设备可以读取某公司的门禁卡

DSC_7639.jpg

他完整阐述了整个复制这张门禁卡的过程,包括把获取门禁卡数据的设备放到公文包中,然后以咨询租用办公室的方式和大楼工作人员攀谈,最终拿到卡片,碰一下就能完成复制;

DSC_7656.jpg

拿到门禁卡之后,嵌入办公室,再用这个据说仅几百到的小工具,就能从内存中获取 Mac 电脑的唤醒密码。实际上就是PCILeech工具(虽然第一次演示失败了…)

DSC_7678.jpg

仨人在聊点儿啥?

DSC_7537.jpg

云鼎实验室负责人 董志强

DSC_7507.jpg

IBM Security 全球首席资讯安全架构师 李承达

DSC_7248.jpg

DSC_7242.jpg

* FreeBuf官方报道,本文作者:欧阳洋葱,未经许可禁止转载

这些评论亮了

  • plane636 回复
    会上有福利,凯文大神亲自为参会观众发他的开锁套装名片
    )16( 亮了
  • Akane (6级) Gakki赛高 回复
    第一时间拜读,好文留名~听了一天感觉最硬核的是Dawn Song(因为基本没听懂)、最科幻的是Vladimi小哥、口才最好最搞笑的是Mitnick、最实在的还是Killer……
    )11( 亮了
  • 景安网络 回复
    会上有福利
    )11( 亮了
  • 膜拜!
    )10( 亮了
  • xyz 回复
    报道视频:https://www.youtube.com/watch?v=9oS51bcm804
    之前kevin的视频,https://www.youtube.com/watch?v=iFGve5MUUnE 相同点,没有过于期待,感觉看谁吹牛逼厉害
    )7( 亮了
发表评论

已有 6 条评论

取消
Loading...
css.php