互联时代,日常生活越来越离不开各种智能设备。如何使用智能设备才安全?有哪些良好的用户使用习惯?好问是界面旗下的问答频道,我们邀请各路大神做客,在线回答网友提问。在这里,你可以找到各种有用的答案,遇见有趣的人。本期好问邀请白帽黑客宋宇昊解答各种关于互联网安全的问题。
白帽黑客的价值观
Semper奥古斯都:想知道中国白帽黑客的价值观是什么……例如,你们喜欢什么,不喜欢什么。谢谢~
宋宇昊:白帽黑客或者说安全研究者是一种职业,就如同警察、医生是职业一样,从事这职业的人各有各的价值观。如果说共同愿景的话,往低了说就是能糊口,往高了说就是希望这个安全行业更繁荣。
普通用户也能学的安全指南
M飞YOUNG:普通公民怎么样能够预防信息的泄漏啊!
宋宇昊:根据我的理解,你问的信息是指隐私信息。先给个简短回答:无法预防,只能减小泄漏可能。
个人隐私信息通过线上和线下多种渠道流入地下黑产行业,例如:提供公共服务的企事业单位的居民数据被不良职员贩卖;提供互联网在线服务的网站的用户数据被攻击者利用漏洞批量获取等等。一旦这些批量数据流入黑产行业,就会被不断交易、汇总,形成非常大的数据库。黑产从业者还可以通过数据挖掘等方式对汇总的数据进行处理,获取受害者各方面的详细信息,从中牟利。要以普通用户的身份对抗高利润驱动的黑产行业,这是不可能的。所以隐私保护主要得依靠立法、政府、单位等所有相关方联合努力才能推进。
对于个人而言,一些习惯可以减少隐私泄漏的可能性,比如:在法规和业务场景允许的情况下,尽量不提供个人隐私数据,或者提供虚假的隐私数据;在不同的网站使用不同的密码(可以使用lastpass、1password等密码管理软件),以对抗“撞库攻击”;在不同的网站使用不同的ID、昵称、联系方式等个人信息,以对抗数据挖掘;及时升级自己电脑、手机的操作系统和应用软件,不在公共网络中使用涉及个人信息的网站服务,以对抗针对客户端和通讯链路的技术攻击。
Tony.wxQgpGa:私人用的电脑,哪些工具可以有效防止大部分中低档次黑客攻击?(没有遭遇大规模特定攻击和高手的情况下,因为那种情况估计一般也防不住…)
宋宇昊:先给个简单回答:对于新版的主流操作系统,需要杀毒软件和补丁管理工具(如果是新版的Windows系统,这些工具都自带在系统中,当然也可以使用第三方软件),懂技术的用户可以外加沙盒或虚拟机;对于过时的已被淘汰的系统(比如Windows XP),用啥工具都没用。
攻击可以分为两类:一类是基于用户不良使用习惯的攻击,如运行不明来源的程序(恶意程序);另一类是通过技术手段,在用户正常使用的情况下实施攻击,如浏览网页、打开文档。
前一类场景是用户主动授权恶意软件运行,对抗思路是依靠杀毒软件来辅助用户鉴别和阻拦恶意的程序,或者在沙盒或虚拟机中运行不明来历的程序。由于杀毒软件有漏报的可能,沙盒或虚拟机是更加可靠的做法。后一类场景是攻击者利用系统和软件的漏洞来实施攻击,对抗思路是修补系统漏洞,以及通过安全机制阻止漏洞利用(即Exploit Mitigations:http://www.microsoft.com/security/sir/strategy/default.aspx#!section_3_3)。
对于后一类而言,这些对抗措施都是由厂商采取的,普通用户所需要做的是:1.使用新版本的操作系统,因为新版本系统中有更现代更完善的安全机制,这可以对抗新的漏洞利用方式;2.及时安装系统和应用软件的补丁,很多补丁是安全补丁,用于修复已知的漏洞。要安装系统和软件的补丁,可以使用系统和软件自带的自动更新功能,也可以使用第三方的补丁管理工具(例如助手、管家这类工具)。对于已经被淘汰的系统,一方面厂商不再修复任何新发现的漏洞,另一方面它的安全防护机制无法对抗新的漏洞攻击技术。安全是系统的属性而不是被额外提供的功能,在“XP挑战赛”的时候,国内各家安全软件厂商试图把新的防护技术额外地嵌入陈旧的XP,但由于严重影响正常使用,只是推出一些专门应对比赛的专版,无法推广给普通用户使用。
最后还需要强调一下,单单依靠工具和技术是不够的,良好的用户习惯必不可少:设置复杂的账号密码,不运行不明来源的程序。
Charlo:目前市面上比较流行的智能手机系统,比如安卓,iOS,Windows,哪一种安全性能比较有优势。如果被攻击,会遭受哪些典型的损失,丢失信息?绑定的金融服务,比如支付宝,是否会直接受损。系统内安装的App安全性能是独立于系统,还是与系统共存亡的。如果遭到攻击,有哪些行之有效的补救方法?谢谢。
宋宇昊:从技术角度来说,目前最新的主流操作系统都有很高的代码质量和先进的安全防护机制,因此对于攻击者而言,要用纯技术的手段攻破这些操作系统,都需要付出非常高昂的代价(金钱与精力)。因此从技术上区分他们安全性能伯仲的意义不大,这里更多需要考虑的是用户的使用习惯以及App开发者的能力:iOS系统用户的自由度最低,被强制以安全的方式来使用这个系统(比如不允许从App Store以外的渠道安装软件);而Android和Windows的自由度更高,如果用户的使用习惯不佳,如随意安装不明来源的软件、随意提供root/管理员权限,那么整个系统就会暴露在高风险中;同样,Android和Windows的软件开发者比起iOS的App开发者有更大的自由度(权限)调用系统的各种功能,因此一旦Android和Windows下的App/软件被攻破,对系统带来的干扰也就更大。
从实际案例来看,攻击者偏好于:窃取支付与金融相关的账号和支付信息、操纵支付与金融客户端、控制客户端实施拒绝服务攻击等可以谋利的攻击目的,用户受到相应损失。App的安全是基于系统之上的,App被攻破未必导致系统的损害,而系统被攻破必定导致App暴露在攻击者的威胁中。
亚力大伯:WP不越狱也只能装App store的应用吧。应该安全性等同iOS.
宋宇昊:对,我疏忽了,没注意到问的是智能手机系统,以为说的是桌面版的Windows.
HTTPS:现在每天都要使用各种五花八门的App,如何才能防止隐私泄漏?
宋宇昊:分为两个角度考虑这个问题:保护App不受攻击的角度和限制App自身不耍流氓的角度。
从保护App不受攻击的角度:不在公共Wi-Fi中使用;及时更新手机操作系统和App;不点击来源不明的URL链接,不扫描来源不明的二维码;使用正规可信的输入法。
从限制App自身不耍流氓的角度:不安装来源不明的App;对于Android,安装App时留意提示的所需权限,如果App申请了与它无关的敏感权限,不要安装;对于Android,使用整合有访问控制的手机系统或者额外安装带有访问控制功能的安全软件;对于Android,当App使用过程中提示需要权限时,谨慎考虑,仅在确认需要该权限时赋予权限。
allsmy.weibo:个人信息在不同设备同步时会被黑客窃取吗,怎么管理重要的信息的安全?
宋宇昊:存在被窃取的可能性,主要考虑两个角度:密码或短信验证码被攻击者窃取;同步服务的云端存在漏洞,被攻击者攻破。对于前者,主要措施有:使用复杂密码,不同网站使用不同密码,保护好短信验证码(不主动泄露给第三方,并参考“现在每天都要使用各种五花八门的App,如何才能防止隐私泄漏?”问题的回答)。对于后者,建议选择规模较大,有足够安全实力的同步服务提供商。
哪些终端容易被黑客攻击?
HTTPS:请问未来肯定会出现越来越多的可穿戴设备,它们安全吗?
宋宇昊:就如同我们已经经历过的PC时代、手机时代一样,新产品刚问世的时候是不安全的:一方面厂商还对这新产品新功能的实现焦头烂额,无暇顾及安全;另一方面新产品还没经过市场的充分检验,安全问题还没在使用过程中暴露出来。但随着产品的普及,产品所承载的资产(厂商信誉、用户隐私、用户资金等)越来越高昂,厂商不得不重视安全,并提升产品的安全性。因此当这些可穿戴设备成熟之后,他们就会更安全了。
love win sin(¬з¬)σ:您认为未来智能终端的在信息安全方面应有怎样的改进?对此您有什么期望,是从硬件方面还是软件方面改进可能性更大?
宋宇昊:信息安全并不是一个功能,而是一个属性,它贯穿在智能终端这产品的方方面面,从架构设计到程序开发到产品测试。安全在任何一个环节的缺失都会导致最终产品的安全问题,就如木桶原理。我期望无论在哪个环节哪个方面都能增强对安全的重视,设计者、开发者、测试者除了考虑功能实现、用户体验、性能提升,再多考虑一点:安全吗?
旧之助:智能手表可能会存在什么样的安全隐患?
宋宇昊:智能手表可能会存在和智能手机一样的泄露隐私的问题。比如智能手表上的天气应用可能会请求位置信息,就算手表本身没有GPS功能,智能手表上的App可以通过连接手机请求手机上的位置信息。手表中的恶意应用可以做到和手机App一样收集用户的隐私信息。
phoenix.qq:如果智能汽车产生安全问题该怎么办?自动驾驶汽车死机了咋办?
宋宇昊:意外死机之类的问题在汽车领域属于功能安全范畴。与信息安全不同,信息安全是人与人的对抗,而功能安全是人与机器的对抗。功能安全通常是通过增加冗余的思路来增强的。
GoEcho:媒体报道了大量的关于汽车被黑的事件,汽车会成为黑客攻击的目标吗?飞机呢?
宋宇昊:从技术与理论上来说,装备有车联网的汽车完全可能成为攻击目标。现在不少新车型中的车载AVN设备的功能已经非常丰富,一方面可以与CAN总线通讯,控制车门车窗空调等部件,另一方面这些AVN系统通过TBOX与云端通讯并与手机端App交互。因此攻击者完全可以通过网络通讯、USBhttp://product.it.sohu.com/list/subcate_682_1.html、蓝牙等入口,类似攻击手机一样入侵AVN系统,并进一步进入CAN总线,从而控制汽车。
然而目前见到的报道主要是安全研究者的技术研究,并没有实际针对用户环境的攻击。我认为主要原因是黑产从业者目前还没能从这类攻击中找到盈利方式,没有利益驱动,因此黑产从业者们没有投入精力和资金去研究和实施这些攻击。
蘑菇精:看到geekpwn上有不少关于黑客劫持无人机的项目,劫持无人机会成为未来战争各国的必备武器吗?
宋宇昊:我并没接触过军用无人机,所以只能从信息安全的角度作些推论。在电影中我们经常可以看到的这样的情节:黑客掏出笔记本,敲键盘输入一堆指令,屏幕上显示出一个破解进度滚动条,之后就成功地攻破目标。而实际的攻击场景中,黑客在实施攻击前先要解决的一个问题是--攻击面,即黑客能否与目标进行交互。对于提供公共服务的系统,攻击面不会是个难题,因为这些系统对大众提供服务,任何人都有机会与其进行交互。然而对于军用系统,攻击面就会是个需要克服的问题,即攻击者未必有机会和目标进行交互。就问题中的无人机而言,军用无人机未必像民用的一样,需要从遥控器实时接受控制指令,而可能预先设定在机载电脑中,那这里就分为是否依赖对外通讯两种情况讨论一下。如果不依赖对外通讯,无人机的信息系统就是个封闭的系统,就像一台拔掉网卡、网线、键盘、鼠标、显示器和其他所有外设的自备电源与外界隔离的电脑,很难找到入口去攻击它。如果无人机依赖对外通讯接受控制,那么假如攻击者想要直接与之进行无线通讯就会涉及另一个问题--破解军用级别加密通讯,这攻击成本高得很难衡量;假如攻击者通过渗透进敌方基地的无人机控制系统,间接地控制无人机,那么对这问题的讨论就超出无人机安全的范畴了。如果我是攻击者,从攻击成本考虑,我会倾向于使用电磁干扰阻碍它的通讯,而不是去劫持它。当然,用放空炮或导弹把它打下来也是个不错的选择。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 联想集团助力F1®联想中国大奖赛,以科技之力燃动全球顶级赛事
- 联想发布首款自研足式工业机器人:六足构型设计,融合具身智能
- 真AI PC、智能体、异构智算平台,在2024联想创新科技大会看见AI未来
- 沙特阿美携手阿斯顿-马丁阿美一级方程式®车队在2024年F1中国大奖赛前夕启动“Make A Mark”行动
- 华为ICT大赛2023-2024中国总决赛圆满落幕
- 全业务AI转型、加强自研自创,联想集团吹响第五个十年集结号
- 杨元庆:40不惑之年的联想,立志要成为一棵常青树
- 华为ICT大赛2023-2024中国总决赛圆满落幕 70支队伍晋级全球总决赛
- ICT人才发展高峰论坛在厦门大学成功举办 共探ICT人才发展及培育新方向
- 华为ICT大赛2023-2024中国创新赛总决赛举行 50支高校精英队伍竞逐“人工智能+”
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
