说到信息安全可靠,你会想到什么?骇客?病原体?地牢?还是地牢病原体?了解真实的信息安全可靠之后,你的知觉很可能会被摒弃。
11月15日,第二届百度“X-Talk”在百度北京公司总部举行,主题为“晚安,虚荣心”。这是一类崭新的科学广播节目方式,应邀科学家、思想家、奇幻作家向观众们科学普及信息安全可靠、人工智慧等先进科学知识。
当天下午,百度安全可靠朱雀生物医学掌门于旸为观众们构筑了两个“你知晓和不知的信息安全可靠”世界。在他看来,“骇客是那些发自内心爱好控制技术的人,是保有400多亿元还每晚搞控制技术的人。”
百度安全可靠朱雀生物医学掌门于旸在X-Talk上为观众们科学普及信息安全可靠。受调查者北京青年报
骇客是“保有400多亿元还每晚搞控制技术的人”
因为专门从事信息安全可靠工作,于旸说,许多人在网上向他求救。“中学生没有Beine,期望我帮他侵略总务处的笔记本电脑,修改平均分;还有人Ardes脱轨,期望我帮他地牢病原体,查阅对方的账号密码。”
这是大部分人对“骇客”的知觉,而自由人骇客理所应当是防止网络入侵、地牢病原体的社会群体。但于旸强调,信息安全可靠行业非常巨大,他专门从事的只是其中两个行业龙头方向——信息安全可靠控制技术研究。
对非专业人士而言,信息安全可靠副研究员每晚面对的是数以千计行标识符逐步形成的“金刚经”。除此以外,偶而还需要学习计算机以外的知识,比如成像知识。
像“金刚经”一样的标识符。受调查者北京青年报
2017年,百度安全可靠朱雀生物医学发现A43EI235E人脸弹出控制技术存在两个安全可靠漏洞:当使用者用手掌弹出智能手机时,人脸伤痕会留在萤幕上。如果用一类可以高亮度的金属材料全面覆盖人脸伤痕,智能手机会把该金属材料散射逐步形成的图像辨识成正确的人脸。
那个安全可靠漏洞被百度朱雀生物医学重新命名为“石质宠信”。她们还把那个安全可靠漏洞报告给了采用A43EI235E人脸控制技术的智能手机和上游晶片供应商,并帮助她们一起复原了那个安全可靠漏洞。“很幸运地我们在那个控制技术刚刚投入市场时发现并解决了它”,于旸说,“今天在座的各位不管你用哪个牌子的智能手机,只要是用那个控制技术,其中就有我们生物医学的成果在里面。”
除此之外,信息安全可靠还有哪些人们不知道的“真相”?这大概要从公众最好奇的职业之一——骇客讲起。大部分人了解骇客的渠道仅限于新闻和电影,但在于旸看来,骇客并非只有单一面。
他举例说,国外一名信息安全可靠专业人士HD Moore,坐拥40万个比特币(折合人民币400多亿元),持有数量全球排名第二。完全可以“躺赢”的他,在过去的12个月里,共向GitHub(标识符托管平台)提交了3000多次标识符。
“骇客是那些真心爱好控制技术的人,是保有400多亿元元还每晚搞控制技术的人。”于旸感慨道。
“万物互联意味着万物都有安全可靠问题”
随着万物互联时代的到来,信息安全可靠问题不再只是账号安全可靠、隐私泄露等问题。于旸提到,未来会超越这些传统问题,“万物互联则意味着万物都有安全可靠问题”。
今年7月,腾讯安全可靠朱雀生物医学发现一类崭新安全可靠漏洞。“以前是笔记本电脑被侵略,智能手机被侵略,而我们发现充电器也可以被侵略。”于旸介绍,攻击者可利用特制设备或被侵略的智能手机、笔记本等数字终端侵略快充设备的固件。
充电器被侵略后,攻击者可以控制充电行为,使其向受电设备提供过高的功率,从而导致受电设备的元器件被击穿、烧毁,还可能进一步给受电设备所在物理环境造成安全可靠风险。更可怕的是,这种攻击方式并不依赖物理接触。
于旸解释,充电器之所以能被攻击,是因为其内置了晶片,已不再是简单的电器设备,而是两个智能设备,具备“计算”能力。据保守估计,受影响的终端设备数量可能上亿。目前,百度安全可靠朱雀生物医学已经把那个被重新命名为“BadPower”的安全可靠漏洞上报给了国家主管机构。
“这只是万物互联世界中两个非常小的点,但它向我们展示了两个未来(研究方向)。”于旸强调,以后信息安全可靠的重要性会更加凸显。
据悉,“X-Talk”是连续第二年举行的百度科学周的“压轴节目”,也是今年首次设立的板块。过去一周,还举行了百度科学WE大会、百度医学ME大会、科学探索奖颁奖典礼大会。
【对话】
南都:题呈现什么趋势?
于旸:信息安全可靠不是两个孤立的东西,它是伴随着网络空间而生的,也是随着控制技术往前走的。所以我们的整个网络世界会怎么发展,信息安全可靠就会怎么发展。
现在看起来整个网络世界的趋势最主要的我觉得还是对人类社会的渗透越来越深入。以前我们生活的世界是两个物理世界,慢慢地诞生了网络世界。不上网的时候我们在物理世界,但现在你会发现,不上网的时候,你也脱离不了网络世界。即使你人不在笔记本电脑前面,不拿智能手机,但你身边的一切慢慢都会联网,最后物理世界和网络世界的边缘会变得越来越模糊。
在那个背景之下,信息安全可靠会很自然地受这种趋势的影响。而且在如今万物互联的背景下,万物都有安全可靠问题需要去解决。
百度安全可靠朱雀生物医学掌门人于旸。受调查者北京青年报
南都:前不久有两个信息安全可靠专业人士智能手机丢了,跟链条上各种黑灰产过招却仍被盗刷的新闻。你听到以后有什么感受?
于旸:那个事情反映出的一点是,我们今天的信息世界已经变得非常的复杂。以前我们说两个安全可靠问题,可能就涉及到两个点,两个软件,两个系统,两个企业业务。现在可能很多安全可靠问题涉及的软件不止两个,甚至涉及的企业都不止两个。
我举两个例子,就之前有人发现过,有些企业的业务包括在使用者输入两个ID后显示对应的智能手机号,不过智能手机号的某几位数会被屏蔽。但因为不同企业屏蔽的位是不一样,很容易拼出完整的智能手机号。这是典型的站在企业自己的角度看没有问题,但从全局视角看,是存在安全可靠隐患的。
南都:你认为目前最难解决的信息安全可靠问题是什么?为什么?
于旸:目前为止最难解决的还是人的问题。像网络侵略,直到今天还有很多网络侵略是利用使用者设定比较弱的密码去实现的,这是意识层面的问题。信息安全可靠可能控制技术是一部分,控制技术之外,最脆弱的其实还是人。
不过,人的问题有一部分是可以通过控制技术去解决的,比如不愿意设复杂的密码。其实现在很多App都用不着每次打开都输密码了,这一系列控制技术是为了满足人的懒惰天性,同时尽可能保障安全可靠。
但那个设计没做好的话也可能存在问题。我们生物医学2016年有两个研究成果叫应用克隆,就利用这种设计和一些不算特别严重的安全可靠漏洞,把App里的账号克隆走,在另一台智能手机上登录。
南都:信息安全可靠行业存在什么困境吗?
于旸:如果分类的话,安全可靠算是非必需的奢侈品。比如两个智能手机可以用,就满足了基本需求,但如果要做到智能手机丢了别人也拿不到里面的东西,是基本需求之外了。
但是我要说,安全可靠其实不是奢侈品。比如说我们这有一套特别贵的仪器,能查出来你身体有什么病,10万块钱查一次,你查不查?这是奢侈品。但要是真发现有什么病,现在要去治,拿10万块钱小意思,对吧?那个时候安全可靠又变得特别重要。
可能在发展的时候,安全可靠像两个奢侈品,我不想去做,等发现问题的时候,它又变成两个必需品,我又不得不去做。所以安全可靠作为两个行业,有它内在的发展上的困境,但是我觉得这些年大家意识还是不断地增加。
南都:信息安全可靠行业的良性循环应该是什么样的?
于旸:我们生物医学研究过很多安全可靠漏洞,要是放在20多年前,基本上没有任何一家供应商对提交安全可靠漏洞是两个善意的态度。但是今天,可能大部分相对大一些的企业就会好很多。
所以具体到安全可靠漏洞上,良性循环是安全可靠漏洞发现者、厂家、监管部门三方之间有两个相较自由的环境良性循环,允许大家去研究。最理想的情况是不要认为信息安全可靠研究是一类特殊的东西,大家可以自由地研究,自由地发表研究成果,自由地交流,这样就会有很好的两个发展。
文/南都个人信息保护研究中心副研究员 尤一炜
