作者 | 宫雪
编辑 | 靖宇
万物互联时代,虚拟世界和现实世界的边际越来越模糊,网络安全攻防大战不时上演惊心动魄的戏码。
早年间,通过 U 盘传播的「震网」病毒攻击了伊朗核设施的控制系统,通过修改程序命令,让生产浓缩铀的离心机异常加速,致使离心机报废,伊朗核工厂瘫痪。
Facebook 上超过 5000 万用户数据信息泄露,被用于 2016 年美国总统大选中针对目标选民推送广告,从而影响大选结果。这让 Facebook 身陷数据丑闻,此后被频繁曝出用户隐私泄露事件。
大戏之外,生活剧里也少不了「窥私」情节。
一份车主行为数据报告造出了「凯迪拉克总往洗浴中心跑」的玩笑梗。特斯拉在「车主维权」事件中,未经同意便公开了车主行车数据,引发又一轮隐私泄露质疑。
早前曾有国外黑客爆料,在使用特斯拉车载信息娱乐服务前,用户必须输入详细的个人信息。这些信息被存储在媒体控制单元,废弃后被技术人员手工销毁,但仍留有大量的用户隐私数据,包括通话记录、日历项目、家庭住址等。上述媒体控制单元可在国外交易网站 eBay 上进行平价买卖。
事实上,配备丰富传感器的智能汽车是一个强大的远程数据采集终端,当汽车和手机一样智能时,其数据收集能力已超过手机。
身处数字世界,技术发展带来的机会和风险并存。引入网络连接和自动驾驶,存在被远程控制的风险;产生、采集大量数据,存在数据滥用和泄露的风险。
白帽黑客眼中的数字世界,bit 四处流动,风险从硅到云,智能汽车知道的秘密比你想象中更多。
普通人已经注意到智能终端背后的数据安全隐患,有人如惊弓之鸟,有人依旧大大咧咧。
万物互联的深度数字化时代,你需要重新理解「安全」这件事。
在由 OPPO 独家冠名赞助的极客公园创新大会上,曾因破解特斯拉安全漏洞而被邀请到拉斯维加斯与伊隆·马斯克见面的李均,分享了智能网联汽车的安全风险与应对。
犬安科技创始人&CEO 李均在极客公园创新大会 2022 上分享了白帽黑客眼中的数字世界
李均说,在保护数据隐私这件事上,用户意识和技术迭代同样重要。
这次站在台上,李均有一个新身份——犬安科技创始人&CEO。刚刚创立两个月,他们是 IF 大会上最年轻的团队。
以下是李均的演讲实录:
**01 **连特斯拉也无法解决的问题
网络安全是一个攻防对抗的过程,懂得如何攻击是做好防护的必要条件。
我是一名网络安全研究者。过去的工作经历主要在「攻」,成天琢磨如何搞破坏,以此寻找各种各样的安全漏洞。
我会以一个网络攻击者的视角去思考如何窃取你的隐私,控制网络终端,例如智能门锁、摄像头、网联汽车等一切具有网络通信和计算能力的设备,甚至卫星。找到漏洞之后,会提出防御方案,提高攻击难度。
我和团队曾研究过特斯拉智能网联汽车的漏洞,并提交给了他们。特斯拉官方对我们致谢,还邀请我到拉斯维加斯与伊隆·马斯克见面,交流 StarLink、SpaceX 的网络安全防御方案。
李均和伊隆·马斯克
所以,网络安全是一个连特斯拉这样的公司都没办法自己独立解决的问题。它是一个长期持续的过程,需要有安全公司、社区等参与者。
**02 **比特世界里的交通警察
bit(比特)是计算机领域表示信息量的最小单位。无论是一条控制指令还是机密文档,都由 bit 表示。像血液流动支撑着我们的身体一样,bit 的流动支撑着深度数字化网联化的社会。
bit 可以是物理编码,在智能设备中被产生和使用,在空气、导线、光纤等媒介传输。网络安全要保证 bit 的活动按照既定规则执行,我们就是 bit 世界里的交通警察。
白帽黑客眼中的数字世界是什么样的?
举个例子,你正在玩手机,他们会看到你的手机内部有各种芯片,手机正在通过无线信号与外面的基站或场内的 Wifi 热点进行连接。这个 bit 数据流通过网络传输到某个 IDC 机房,再通过骨干网络传到一个遥远的山上的基站,最后通过无线通讯把数据传到另一部手机,对方就收到了消息。
基于这样的视角,白帽黑客们能看到 bit 在流动过程中存在的风险,比如被人劫持、篡改、窃取等。
人们的日常生活已经无可救药地数字化,甚至在快速向自动化方向发展,依赖于 7×24 小时的网络连接。同时,各种技术和概念日新月异,比如最近很火的元宇宙。新技术和新概念的发展无一不依赖于数据的采集、传输、处理、存储和利用。
人们不清楚自己每天会产生多少数据,哪些数据会被记录,甚至没有明显察觉到数据被滥用的后果。
举例来说,国外成人网站 Ashley Madison 的用户数据非常私密敏感。数据泄露之后,用户无法承受舆论压力,最后选择自杀。再比如,美国的断网断电事件和伊朗的「震网」病毒事件,网络攻击直接影响社会的正常运转。Facebook 的用户数据被滥用后,影响选民对某个总统候选人的好恶。
网络世界和物理世界的界限已经越来越模糊。值得思考的是,人们和所处的数字世界之间,究竟是谁在塑造谁。互联网大厂引以为傲的 AI 算法、机器学习模型、大数据,到底在为谁服务。
就像道路和汽车越来越多,交通管理就越来越难一样,数字化应用和网络连接方式愈发丰富,数据产生和传输的速度不断提高,那么在数字世界做好交通管理就极具挑战性。
*03 智能汽车已成数据采集终端*
产业互联网的发展让网络安全具有更强的行业属性。
在汽车领域,智能网联汽车引入了依赖网络连接的车载服务,产生日益丰富的数据。网联汽车的自动化要求人们把关乎生命的车辆转向、加减速等功能交给电子控制系统。共享化趋势下,租车用户在用车中产生和同步的数据,需要在更换用户时做好隐私保护。
随着新能源汽车的发展,电动汽车所依赖的充电桩也实现了联网。在战争理论中,要攻击一个国家或城市,首先要炸掉它的交通干线和油库。假设将来全社会都驾驶电动汽车,一旦充电桩网络被攻击,整个城市会陷入交通瘫痪。
技术发展带来的机会与风险并存。引入网络连接和自动驾驶,会存在被远程控制的风险;产生、采集大量数据,会存在数据滥用和泄露的风险。
事实上,针对汽车软硬件的破解早已开始。2000 年左右,破解汽车的目的可能是盗窃或修改性能参数。近几年汽车发展的网联化和自动化,让人们重新注意到汽车安全。
特斯拉、宝马、奔驰都曾出现网络安全漏洞,甚至可以远程控制汽车的开关、加减速、转向等物理性能。
尽管漏洞如此危险,各大互联网公司仍对智能汽车趋之若鹜,这是万物互联时代抢夺数据载体的缩影。从 PC 时代到移动互联网时代,再到物联网时代,数据和流量是永恒的主题。
李均在极客公园创新大会 2022
众多设备类型中,配备丰富传感器的智能汽车是一个强大的远程数据采集终端。除了车辆自身的运行数据之外,还有娱乐系统信息、地理位置信息、车辆采集的道路环境数据,汽车未来甚至会对人体健康状况进行监测。
今年,特斯拉在国内被禁止进入某些机关单位,甚至住宅小区,人们对隐私泄露的担忧在加剧。同时,很多车企声称尊重数据隐私,采集的数据仅用于驾驶决策。
在不确定的情况下采取保守措施,是明智的选择。
*04 深度数字化时代,要从硅到云的安全*
传统的网络安全防御正在经历升级和迭代,新的安全问题需要有新的防御手段。
在技术方面,需要从硅到云的安全控制,从芯片级到驱动层、OS,直至整个网络空间。
但这不是单靠技术所能解决的,用户的安全意识也非常重要。用户提高安全意识,才能配合技术做好网络安全和隐私保护。
手机是一个充分发展的行业,网络安全也相对成熟,比如 iPhone 会及时修复自己的安全漏洞,苹果的漏洞响应测试管理也做得很好。当下如火如荼的汽车行业所面临的网络安全风险,比手机更加复杂,且处于初级阶段。
除了技术迭代和安全意识之外,监管单位也在出台一些相关法规,比如《智能网联汽车生产企业及产品准入管理指南(试行)》规定了数据如何传输、存储,厂家的安全响应机制等。这促使特斯拉在中国建立自己的运营中心,存储、处理、利用在中国产生的数据。
人类发展的各个阶段,对守护者的形象和能力要求也有所不同。从部落首领到警察、军人,他们的武器在不断变化,从石头、刀剑进化为枪械、导弹。
数字通路千万条,网络安全第一条。深度数字化时代到来,网络空间需要更强的守护者和不断进化的防卫武器。
本文为极客公园原创文章,转载请联系极客君微信 geekparker。
版权归原作者 极客公园 所有, 如有侵权,请联系我们删除。