互联网宽带、移动技术高速发展,人们在畅享网络生活高效、便利、快捷的同时,却也面临着日趋严重的网络信息安全威胁和隐患。
本周三,亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)召开。本届大会的主题为“互联世界,安全第一”,大会聚焦互联网时代、大数据背景下的信息安全所面临的全新挑战和问题,深入探讨了智慧城市、互联网金融、数字医疗、可穿戴计算等业界关心的问题。
360董事长周鸿祎认为,给信息安全管理体系带来了巨大冲击,传统的系统安全、边界安全等,已无法防卫以“数据窃取”和“大数据污染”为目的的恶意威胁,必须以大数据为核心,构建全新的信息安全防护体系。
·业内担忧·
移动设备普及
带来大量安全隐患
随着可穿戴设备、智能汽车、智能家居、智能电网等智能设备和移动终端的快速普及,万物互联时代的设备连接和数据规模都达到前所未有的程度,远远超出了传统边界网络安全防御的范围。同时,云计算提高IT资源使用效率,但其动态虚拟化管理方式、强大计算与存储能力,也会引发新的安全问题,给安全管理体系带来巨大冲击。
对此,360董事长周鸿祎指出,在IoT(万物互联)时代,移动设备的普及,正吸引网络黑暗势力将目标逐步转至移动终端。与此同时,现有的安全防护手段逐渐失去效力,传统的系统安全、边界安全无法防卫以数据窃取为主要目的的攻击行为。
中国工程院院士邬贺铨表示,万物互联将会是未来的趋势。不仅手机、电脑、电视机等传统信息化设备将连入网络,家用电器和工厂设备、基础设施等也将逐步成为互联网的端点。因此,在应对安全威胁时,除了着眼目前的挑战,更应该放眼互联网的未来。
1
·记者调查·
智能汽车
安全问题遇拷问
黑客可以远程盗取一辆车,这已经不是秘密。近日,马德里就发生了一起汽车盗窃案件,一辆宝马汽车被小偷在20分钟内破解并盗走。据媒体报道,偷车贼主要通过接收器接收车主锁车时所发出的无线信号,通过逆向破解将这个信号发送出去,从而发动汽车将车盗走。
眼下智能汽车技术越来越先进, 据专家介绍,目前导航、动态交通信息、车辆防盗、紧急救援、远程遥控等功能,均已在多种车型上实现。在通常情况下,一台智能汽车上至少有超过80个智能传感器,每天向车联网云端传输的数据高达100兆,而这些数据涵盖了汽车和驾驶者的各类信息。
但随着许多无线传感器以及软件功能的加入,汽车被盗风险也在成倍增加。此外,黑客还可通过远程技术控制汽车,借此实施犯罪,甚至随意篡改刹车、加速以及转向等指令,威胁车主生命财产安全。
此前有报道称,有安全专家在SyScan360现场演示了特斯拉应用程序的系统漏洞,利用电脑展示了对特斯拉远程开锁、鸣笛、闪灯、开启天窗等操作。在国外,也有两位专业黑客轻而易举地攻克了丰田普锐斯以及福特翼虎(Escape)的核心操作系统,随意篡改刹车、加速以及转向等指令。
这一系列安全事件,引发了人们对于“联网车”、智能汽车等新生事物潜在的系统安全和信息安全的恐慌。
2
输入密码 可被视觉新技术破译
智能可穿戴设备的普及,也变成了重大安全隐患。因为这些设备上自带的相机,可能会被恶意使用、泄露人们的隐私。Google眼镜相信大家都不陌生,但说到首位google眼镜的破解者——来自美国马萨诸塞大学罗威尔分校的付新文教授,听说过的人可能并不太多。
记者看到,付新文能够通过手机摄像头,采用识别触摸帧、获取Homography矩阵、定位触摸指尖、估计触摸区域、识别触摸键等7个步骤,获取用户账号密码等关键信息。令人震惊的是,这种通过摄像头发起的攻击方式成功率还相当高,例如用iPhone向iPad发起攻击的成功率是100%。
据付新文介绍,在2.5米的距离内,摄像头攻击的首次成功率普遍高于75%,在特定角度甚至能达到90%以上。而通过输入密码验证到第三次的时候,成功率更是达到了恐怖的97%以上。因此这种攻击只要能拍到手指和触摸屏,攻击就有效。
当然,由于视频质量参差不齐,不是每次都能自动识别视频中的触摸输入,但通过手工选取精确触摸区域等协助方式,还是能轻易获得相应的信息。由于这种攻击方式非常隐蔽,而且成功率比较高,因此民众应当具备一定的防护措施。
付新文表示,智能隐私提升键盘(PEK)就是一种可行性比较高的防护方式。这种键盘输密码时弹出随机键盘,可干扰黑客对触摸键盘位置的判断,极大降低攻击成功率。
3
一条微博可能泄露你的手机号
通过一条微博就能查找到富豪明星的隐私信息,这绝非耸人听闻。前不久,万达老板王健林的儿子王思聪在微博上披露某电商送货太慢,还把订单号挂了出来。然而,通过这个订单号,就有黑客查到了这位“国民老公”的手机、地址、邮箱,以及其他大量的个人信息。
据互联网安全专家介绍,用户头一天在社交网上晒的图片和行踪,第二天就可能成为黑客攻击的重要数据。此前苹果iCloud账号泄露好莱坞明星艳照,就是由于明星们在社交网上不断曝光个人信息导致。
不仅如此,利用大数据,黑客的网络攻击越来越简单。一位网名“猪猪侠”的知名“白帽子”,就曾展示过一个基于大数据的自动化攻击工具。他将数十亿安全漏洞、十亿多账号和密码字典、数千万攻击脚本、数亿数万种网站配置信息输入到一个分析工具中,对这些大数据进行统计和分类。然后只需输入一个网址或一个网友的上网信息,就能够发现其存在的安全漏洞,并直接进行攻击。
大数据让网络攻击的门槛越来越低,甚至让普通人可能成为攻击高手。未来的黑客可能不需要高超的技术,而是信息发掘和数据整合的高手。
·专家分析·
各个击破隐患
前提是构建防护体系
业内人士认为,在车联网领域,只有加强企业与IT行业的交流与合作,促进智能交通、车联网与汽车产业的协同发展,才能给我国新兴产业发展带来空前的机遇。据互联网实验室创始人方兴东透露,目前智能汽车方兴未艾,产业发展需要各界共同努力,而构建智能汽车产业安全防护体系则是智能汽车大力发展的重要前提。
据悉,在不久前举行的SyScan360上,360安全专家破解了风头正劲的特斯拉。对此,特斯拉还特意发来声明,并鼓励安全研究人员以负责任的态度参与比赛。
同时,中国工程院院士、吉林大学教授郭孔辉院士称,苹果日前推出了Home Kit(可以整合Siri功能,自动实现对门窗、灯光等家用设备的控制)和Health Kit(可使各种保健类应用程序之间及与“Health应用”相互配合、分享数据),或许Car Kit的到来也为时不远。
对于大数据时代下的安全隐患问题,业内人士认为,中国安全产业需要更多地创新公司和产品。作为资深的安全从业者,360首席隐私官谭晓生认为,今后安全市场要做的是术业有专攻,做自己的东西并且在各自的领域做到最好。
谭晓生表示,防火墙、IPS、VPN等分别由不同的公司在一个领域深耕,在同一个市场里面共同培育做安全服务的公司,形成更有效的防御机制,国内安全产业未来的发展趋势应该是参照美国的现有模式。
比如去年9月,安全公司360就公布了“360天擎、360天眼、360天机”三款企业级产品,分别针对终端安全管理、未知威胁发现和移动终端安全管理。