大家好,我是甲小姐,这一期甲小姐说,我们聊一聊信息安全。
先从阿里和顺丰的嘴仗说起,在国家邮政局火速召集菜鸟网络和顺丰速运高层赴京后,之前你来我往、互不相让的两大巨头,暂且握手言和了。战火停歇得如此突然,让人猝不及防,但这就是中国式商业特色。而明撕转为暗战,空气中的火药味依旧在弥漫,除了仍在激烈进行的站队大赛,后续谈判桌上的事情想必也会很精彩。自3Q大战后,互联网已很久没有上演这么高规格的厮杀了。
回溯这次冲突的由来,大家都知道,这是一起以数据为表象、以商业利益为根本的纠葛。数据,已成为物流行业链条里最核心的生命线,正如马云所说,未来6到7年中国将进入一天10亿个包裹的时代,传统的物流模式难以满足这一需求,物流行业即将步入以数据流做底层支撑的阶段。在几波大数据浪潮的教育下,马云的话,不仅物流公司懂了,公众理解起来也不困难。
真正让外界诧异的,是两大巨头为争夺行业话语权,吃相竟如此难看:
菜鸟的声明中就指出:
丰巢快递柜和菜鸟数据对接后,一直大量调取淘宝用户电话号码等信息,并超过合理使用范围,存在严重安全隐患。
顺丰也反过来指责菜鸟:
菜鸟于5月基于自身商业利益出发,要求丰巢提供与其无关的客户隐私数据,此类信息隶属于客户,丰巢本着“客户第一”的原则,拒绝这一不合理要求。
甲小姐犹记得,棱镜门后,国际联名公开信中的一段话,“国家滥用先进的技术手段、为进行大规模监控而展开合作,在这一过程中,上述基本人权被宣告无效。被监控的民众不再自由,被监控的社会不再民主。监控等同于盗窃,这些数据不是公共资产,是属于我们的。当个人资料被用作推断我们的行动时,我们的自由已被夺去。”
将菜鸟和顺丰的互殴比作当年的棱镜门,无疑言过其实,但冲突揭示了一个关键的现实命题:
大数据的“隐私”边界在哪儿?信息安全如何维护?
今天,甲小姐就为大家揭秘信息安全行业现状的冰山一角,了解了信息行业的乌龙混杂,弄清楚了背后隐藏的利益链条和规则、以及见不得光的秘密,或许也就读懂了阿里和顺丰为何要用用户隐私来说事,站在道德制高点上来为自己的利益代言。
用户隐私,确实是个值得讨论的话题,它和每个人密切相关,但在信息化如此彻底的时代,多数人除了直觉之外,对此却一无所知,甚至连基本的准备都没有。
欧盟司法和消费者委员会曾推出过一个视频:视频里有三个主人公,一位正在办公室从网上预订机票;一位在机场候机大厅玩社交网站打发时间,并准备发布一张自己前天在某处party的照片;另一位是一名父亲,他正在家中往购买页面输入姓名、银行卡、地址等信息。
下一幕的画面是:这三人同时按下回车键,而他们的衣服也自动从身上脱落,女士赤条条坐在办公室的格子间里,小伙在空旷的候机大厅里全身赤裸,那位父亲则光不溜秋地坐在自家沙发上——他们对此浑然不觉,继续做着接下来要做的事情。
视频结尾打出两行字:Online you reveal more than you think. Take controlof your personal data——这条有点黑色幽默的视频希望提醒人们,很多时候,我们都是这样在网上“裸奔”,你的数据早已经泄露了你的一切。
这条广告用充满视觉冲击力的真实裸体,让我们感觉到了暴露身份信息的可怕,但现实中被收集的数据远远多于基本的身份信息,最可怕的事情是,你在不同地方的数据被汇总到一起,它们足以计算出你整个人的生活轨迹,毫无隐私可言。
现实生活中,为什么你的密码总是会被破译?也许你认为你的密码设置得很好,可如果你是黑客,只要黑掉的数据达到一定量,你就会发现一个规律:人们为了图方便,简单好记,看似复杂的密码其实就是他们生活中真实信息的组合,甚至就是单一的信息。学过统计学的都知道,一旦你掌握了这个规律,那么你就多了一条商机。这就是群体隐私。
不妨听个案例,听完后或许你会出一身冷汗:
2015年,美中情局局长约翰·布伦南的邮箱和国土安全部长Johnson的康卡斯特账号先后被黑掉,黑客只是一名高中生。他声称,攻击的技术含量很低,他们只是用了点“小手段”,就修改了布伦南AOL邮箱的登录密码。
他用的是什么“小手段”?据媒体报道,黑客首先通过反向调查,获得了布伦南的手机号码,得知其是运营商Verizon的客户,然后冒充Verizon技术员,声称因为工具都坏掉了所以无法访问用户数据,在向Verizon提供了一个伪造的验证码后,他们就拿到了包括布伦南的账号、四位数的手机PIN码、备份的手机号码、AOL电邮地址以及银行卡的后四位数字,最终,根据这些组合信息,他们成功重置了布伦南AOL邮箱的登录密码,还访问到了一份长达47页的SF-86s表格信息。这个表格包含了军人和合同工等美国政府雇员的多项信息,甚至会关联到这些人的朋友、配偶和其他家庭成员。
这张表格一旦被泄露,黑客则可以利用这些信息骗过联邦官员,盗取更多人的信息。2015年6月,美国联邦政府机构就遭遇了一次这样的黑客攻击,导致2150万美国人的信息被泄露。
在黑客圈,这几名黑客套取信息所利用的技术手段,被称之为“社会工程学”。
“社会工程学”原本是世界第一黑客米特尼克在《反欺骗的艺术》中所提出的概念,其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。然而,由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。但由于不少黑客将其用于非法活动,在很多国家地区被严厉的打击,社会工程学也变成了一个见不得光的学派。
社会工程学是非传统的信息安全,它不是利用软件或系统的漏洞实现入侵的,而是一种通过人际交流,也就是“套话”的方式获得信息的渗透手段。
个人用户或企业用户经常会通过安装硬件防火墙、虚拟专用网络或者其他安全软件产品的方式进行防护,但是这些并不能完全保障安全。我们经常说,“最安全的计算机就是已经拔去了插头的那一台”。然而,即便拔去了插头,你的数据也不一定安全。
凯文米特尼克在《反欺骗的艺术》中就警示,“人为因素”才是安全的软肋,这意味着没有把“人”这个因素放进企业安全管理策略中,就会构成一个很大的安全“裂缝”。社会工程学正是利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。事实上,很多此类安全事件的发生,其方式就是骗取敏感信息管理员或拥有者的信任,从而轻松绕过所有技术上的防护,实现恶意攻击的目的。相比在BIOS芯片中植入病毒木马,攻击漏洞,安装rootkit,利用虚拟机实施攻击,或者通过手机、无线局域网、蓝牙进行无线入侵等更具技术性的手段,社会工程学不仅有效,而且效率很高,已成为企业安全最大的威胁之一。
它的危险之处在于,能够形成庞大甚至数量不可知的“社工库”。
“社工库”,即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人的各种行为记录,包括每个人在各个网站上的账号、密码、照片、信用卡记录、订票记录、通话记录、短信内容、各种社交软件的聊天记录等,包罗万象。京东用户密码泄露,12306火车购票网站用户数据满天飞等,就是典型的社工库的例子。
然而,这些被爆出来的数据泄露,仅仅是冰山一角,真正地下的社工库的数据信息,其丰富程度要远远更大——因为黑客与黑客之间还会合作,将手头的数据汇总,积累越多,价值越大,其详尽的程度已十分可怕,完全可以利用这些数据完整模拟出一个人。
那么,互联网上的用户信息已被扫荡成什么样子了?
业内有句话叫“十墓九空”,还有一个说法是“大数据有多大的潜能,社工库就有多大。”这可能略显夸张,但也可以参考。
被盗的数据有什么用?
百度安全中心表示,黑客千方百计获取用户信息的唯一目的无非是为获利。目前,黑客在获得用户信息后,一般会通过以下几种途径来迅速变现。
一是售卖用户账号中的虚拟货币、游戏账号、装备等变现,也就是俗称的“盗号”;
二是对于金融类账号,比如支付宝、网银、信用卡、股票的账号和密码等,可以用来进行金融犯罪和诈骗;
三是对于一些比较特殊的用户信息,如学生、打工者、老板,会通过发送广告、垃圾短信、电商营销等方式变相获利;
四是会将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。
社工库的潜在危害又有哪些?
首先,让“洗库”变得更加容易。“洗库”,是数据黑产完整链中的一环,其余还包括“脱库”和“撞库”。“脱库”是指入侵有价值的网络站点,把数据库全部盗走的行为。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常也被称作“洗库”。黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以让黑客收获颇丰。
为什么说社工库会让洗库更容易?这是由于数据量很大信息很全,很多账号的虚拟财产的转移就不像之前那么困难,以黑客们了解到的信息之多,他们甚至可以伪装成这个用户去进行操作了。
社工库的危害还在于它会让各种诈骗变得简单:之前大多数诈骗都是广撒网模式,而社工库可以非常有针对性对一些特定的用户进行诈骗。利用数据技术,甚至通过木马分析一些用户QQ聊天的内容,寻找有价值的目标,和相对更信任的关系网络。
最后,“社工库”也成为了地下产业链的基础服务商:全面的社工库基础数据,也是精准的流量获取来源,成为流量获取分发的地下产业链的基础服务和大数据服务商。一些特有的黑色产业目前非常依赖社工库,例如精准定位的赌博平台、一些p2p金融类型的诈骗、或者是一些商业骗术。
面对如此强大的欺诈力量,反欺诈究竟有多难?
2016年,百度发布的《百度安全打击网络黑产白皮书》显示:
2016年上半年涉嫌泄露或窃取用户信息超10.6亿次,其中用户信息被泄露已超5.4亿条,平均每天信息泄露300万条;窃取用户隐私6.3亿次,日均窃取用户隐私348万次;通过使用手机过程中窃取用户隐私4.1亿次,使用电脑窃取用户隐私2.2亿次。
个人信息泄露形势严峻,与之对应的网络黑产大军却在不断“壮大”。在2016阿里安全峰会上,阿里巴巴首席风险官刘振飞表示,目前中国网络黑灰产业链的“从业者”已超过了40万人,依托其进行网络诈骗人数至少有160万,“年产值”超过1100亿元。
而我们只能坐以待毙吗?
值得庆幸的是,大数据、人工智能、活体识别、人像比对、设备指纹、人脸识别……大量的风控技术,都开始运用到场景之中。人们试图搭建起核心信息数据的安全城堡,守住最后的阵地。
去年9月,山东大学生徐玉玉学费被骗身亡后,国家6部委发起史上最严的打击电信诈骗行动,各个互联网巨头也利用自身的大数据、云计算能力,协助警方进行打击。
比如,电信诈骗中最典型的方式是通过伪基站进行。由于伪基站发现难、抓获难、定罪难,一直是警方的打击难点。去年,公安部刑侦局与蚂蚁金服集团合作开发了“伪基站实时监控平台”,在大数据的支持下,在一张全国地图上就能实时监控,且能精确到50米内定位,目前,这一平台已覆盖全国31个省,一年内协助公安机关打击37个伪基站涉案团伙。
但技术真的能阻挡互联网金融黑产吗?有业内人士不乐观的表示,如今围绕互联网金融进行犯罪“黑色产业”已逐步成型,威胁着整个互联网产业,没有企业或个人能独善其身。要想维护互联网金融的安全,需要企业们联手积极展开社会共治,共同提升安全能力,形成良性循环,为社会营造更安全、更便捷的网络及支付环境。
而更激进的主张也出来了——即呼吁“开放数据入口”。
什么是开放数据入口?其逻辑是,当所有数据人手一份的时候,每个人之间会形成微妙平衡,你可以查阅我的信息,我也可以查阅你的,依靠群体智慧将更加可靠,也可以降低危害。此外,主张开放数据入口的人还认为,全部数据的流传对于追查事情的起源也有所帮助。不同的人根据自己的知识,可以通过数据格式、范围、特征等猜测泄漏的方式,这些碎片的线索组合在一起,就有可能拼凑出泄漏的方式及起源,以及系统的漏洞。
在学界和产业界的呼吁下,这一十分理想化的主张竟得到政府部门的响应。2008年1月21日,奥巴马在就职总统的第一天发表了一份总统备忘录,命令美国联邦机构的负责人公布尽可能多的数据,奥巴马的指令促成了data.org网站的建立,这便是美国联邦政府的公开信息资料库。这个网站从2009年的47个数据集迅速发展起来,到2012年7月三周年时,数据集已达到45万个左右,涵盖了172个机构。
英国随后也做出实质性转变。以往,政府信息都封锁在英国皇家版权手中,使用起来非常困难和昂贵,而现在英国政府已经颁布相关规定鼓励信息公开,并支持创建万维网的发明者蒂姆·伯纳斯参与指导开放式数据中心。
其它国家,如澳大利亚、巴西、智利等也相继出台了并实施了开放数据策略。一些国际组织也加入了开放数据的热潮,如世界银行就公开了数百个之前被限制的关于经济和社会指标方面的数据集。
在甲小姐看来,信息安全和隐私是这个时代不可避免的威胁。解决这个威胁,不能靠情绪化的谩骂和煽动,而是需要确实可行的解决方案。这涉及现实世界、政府、立法等诸多层面,问题的完美解决十分复杂,且需要漫长的时间。而更有效的个人保护方式,是先调整好心态,清楚地知道什么状况下信息有可能被泄漏。
当你每一次提供个人信息的时候,都应该先考虑这些信息泄漏之后会对你造成什么危害,并且想好处理办法。如果会造成不可避免的危害,而且你又想不出办法避免提供这些信息,那么这件事最好干脆不要做。有意识的状态下主动泄露自己的信息,就像一个裸奔的人,拼命保护着身上仅有的一条的领带,并且认为自己衣着整齐。这不是很讽刺吗?
而话题回到阿里和顺丰。企业可以做很多事情,能推动科技进步,能推动社会变革,前提是企业家拥有必要的社会责任感。乔·格兰维尔曾说过“既然真理和坚贞均告徒劳,既然爱情、痛苦和理智的力量都不能将其说服,那么就让榜样作为儆戒吧!”
由衷希望阿里和顺丰能拿出榜样的力量。
好了,这就是今天甲小姐的分享。感谢大家的收听。
用户评论