|
把脉移动互联网新安全主义—赵伟:黑客与隐私
年轻主流用户对手机应用的安全需求正在向手机管理服务迁移。近日,“把脉移动互联网新安全主义”论坛在北京举行,腾讯公司副总裁丁珂、腾讯移动互联网事业群总裁助理乐露萍与金错刀、洪波、李铁军、赵伟等行业专家一起共同探讨了手机安全的重点。会上,腾讯手机管家提出“移动互联网新安全主义”理念。丁珂详细解读了手机管家先锋版是如何深入挖掘用户需求,通过创新体现手机管家新版“年轻有活力,敢为天下先、热衷于创新”的先锋气质。赵伟则指出,普通用户要少越狱,少乱装软件,但是黑客只能用道德来约束。
以下为赵伟主要观点摘要:
1、黑客与隐私,知己知彼百战不殆;
2、黑客的七个层级;
3、三大不安全问题:越狱的ios系统,安卓系统,应用市场;
4、普通消费者怎么办?第一尽量少越狱。第二个是少乱装软件;
5、即使手机是安全的,黑客也可以通过入侵基站来获取你的信息;
6、大家共勉开放的和分享的精神,这种道德行为准则才能让这个世界变得更美好;
------------------------------------------------------
赵伟演讲实录:
我这个议题其实都不知道怎么讲,讲得太多太少都不太好,我尽力。黑客与隐私,我们知己知彼百战不殆,就是我们要知道对手。
但是其实对于黑客这个词儿有一些误读,我稍微给大家解释一下。另外就是在互联网时代,现在你要用各种WEB2.0的服务,还有移动手机端的服务的话,要注意哪些隐私问题。
我先问几个问题看看大家的水平怎么样,我会动态地调整一下我的水平。我探讨的这个黑客是有一个巨大的定点攻击能力的,大家知道ATP这个词儿,就是高级可持续威胁,它会对你人定点攻击,为什么刚才大家没讲iOS呢?都是针对白富美定点攻击的。
另外讲一些相关的词汇。前面的不用说了,我发现我们研究,很多白富美的手机上被装了键盘记录器,它做得非常定制化、更小,可以绕过非常多的安全监测和专业的安全监测。因为他只需要你白富美输什么字儿、发什么微信、发什么短信就行了,不需要更深入地跟踪你。
我最早在瀛海威1997年做网管,当时知道了黑客这个东西,因为我们的服务器被人入侵了。第二个是我在McAfee做了研究科学家,我当时的目标就是研究未来人类在互联网上的一些风险问题,我研究的一个课题就是移动互联网,手机上的。我当时在2005、2006年就做了一个DEMO,影响了McAfee的CEO都过来看,当时还在手机上,还是塞班系统,完成了这个窃听、拍照、录像甚至不通过网络,坐在你附近用蓝牙不让你接听电话,直接就变成窃听器的这种东西。当时我们就注意到了权限和安全风险,因为手机是一个随身的智能电脑,它可以做很多很多的事情。
然后现在我在负责安全联盟和知道创宇公司。安全联盟我们现在是腾讯、百度、金山等知名互联网厂商,除了数字公司。为什么呢?因为我当年在2006年开始做一个反流氓软件的组织,当时数字公司只有几十万下载量,我们到处来告这些大的厂商这个是流氓软件,然后数字公司一直跟着我们,结果我们发现他变大了以后就变坏了。
我们现在做的这个安全联盟就是如果这个网站是恶意的,或者说这个软件是恶意的,我们会在金山、瑞星、腾讯的服务上、百度的搜索上同时拦截。这个效果是前无古人、后无来者的。就是我们以前跟腾讯、百度交流,他对一个软件没有统一的恶意标准,这个都很头疼。现在我们把标准统一了、把接口打通,把数据交换起来,把大家长处发挥起来,如果这个是恶意的网址或者是软件,我们会在第一时间内把它全网封杀掉,这个效果非常好。现在数字公司对我们的覆盖率只有70%,我们对他的覆盖率是100%,在网站恶意监测上面,他们对我们的覆盖是22%,我们对他的覆盖高得多。
另外讲一下就是我干了这么多年,人家都说你这是雷锋,不收钱成天干这些。就是我们有一些原动力,原动力有一句话——“这个世界是一个危险的地方”。这句话是爱因斯坦说的,我把它前面加了一个词,就是“网络世界是一个危险的地方”。不是因为那些邪恶的人,不是因为那些老周还是谁了,是因为那些无动于衷的人。我们作为安全技术的专家,如果我们还无动于衷的话,那这个世界就更邪恶了,所以我们不能让世界更邪恶。
我认为黑客是什么?就是你要做完全不同的自己、做完全不同的事业,你把你的事业推向极限,这是黑客,真正的黑客精神,这几句话是扎克伯格说的。他说黑客这个词儿被媒体误解了、误导了,以为是入侵系统拿人家东西的是叫黑客,其实这根本不是。黑客是能够快速实现一个系统,并且能够把它推向极限,就像他的Facebook一样,他从宿舍里面的一个小软件、小应用,整个传遍了世界,这才是真正的黑客。
我讲一下黑客的层级。你们平常看不到的东西才是最重要、最危险的,这句话非常重要,你看不到的东西才是最危险的。在中国黑客第一层就是只会用一些安全软件的小黑客,他会用一些安全软件,比你们懂的多一些,你们用一样可以比他们用得更好。但是他到处说他是黑客,架不住人多力量大,所以说他们还是挺危险的。
第二层就是他了解系统,他又会用软件。因为了解了系统以后,他知道路线图、对地形更了解,他又会用安全软件,而且用得很熟练的话就可以达到第二层。第二层已经在中国掀起了很大的滔天巨浪,比如说CSDN、当当的数据泄漏。
第三层就是他们会写自己的攻击程序,自己的软件、自己的工具来做安全,不管是防护还是攻击。周围的人他说他是黑客,你问他有没有自己的攻击软件,或者说自己的一些工具,就可以识别出来。
第四层这种人在中国就已经非常少了,他能发现系统的漏洞。比如说他知道Windows是一个什么漏洞情况,Mac OS是什么情况、Linux是什么情况,他知道各个细节,并且他对程序、对编译、对系统底层非常了解,所以他能做到他自己挖掘漏洞,并且攻击这个漏洞。这些人在国内可能不超过几百名是吧?
第五层就是我们发现,近十几年来,真正的黑客攻击技术不超过二三十种。从九几年的堆溢出、整型溢出,进化到堆溢出。这种通用的攻击方法其实就是几十个人,甚至就这几十种方法,这十几年来都是这样,都没有新的突破。我认为他如果能够在第五层,突破性地找到一些安全、通用的一些攻击方法,或者说一些系统核心的漏洞的话,这种可以算第五层的黑客。
第六层是我们碰到一些人。因为我们也给微软做安全,我们把这几十年的漏洞做了一些整理,并且找到我们的自动挖掘漏洞方法以后,给微软找到了200多个0Day。在Mac OS上,各种Linux上,一共可能找到了七八十个0Day。0Day漏洞就是所有人都不知道,只有我们知道,包括厂商可以随便进入别人电脑,这种漏洞叫0day漏洞,并且我们把这种技术用在了保护电脑核心,Windows程序上面。这个我们认为可能是第六级。
第七层还是我想说的,如果使用这些技术,把这个世界变得更美好,才是第七级,最高级别的,这就是扎克伯格说的这种黑客精神,这种黑客精神是一种分享和开放的。黑客用这种行为准则,你要符合开放、共享的这种精神的话,才能让世界变得更美好。
我另外说几点最重要的,就是刚才有人提到说互联网安全跟手机安全完全不一样,我觉得这个是错误的。如果我们有争论的话,是代表我们还没有站到更高的角度来看这个问题。为什么呢?因为我们研究发现,所有的手机应用它背后连接的,有百分之八九十还是用的Http协议,还是使用了以前Web2.0所用的这种协议。我们又研究发现,随便找Top10或者说Top20的应用来分析它后端的数据,还发现同样存在被脱裤。因为大家知道SQL注入直接拿用户数据,同样存在各种漏洞。我们去连给腾讯找到了500多个安全漏洞,被腾讯誉为漏洞之王,这每个漏洞要是卖,是很贵的。因为360现在开始了一个叫做裤带计划,因为你的裤子会被人扒掉,所以他叫裤带计划,他每个漏洞要收好几万,1万到几万块钱都有。所以手机、移动互联网其实是以前互联网的延续,并不是那么割裂的。如果看到割裂的,还是没有看到它更底层或者说更高层没有看到它的共性。
另外我讲一下数据泄漏。以前WEB2.0时代黑客的手法是应用漏洞,绕过你所有的保护直接连在你的数据库,你的数据库是你的宝藏、保险箱,你的保险箱可以直接连到WEB应用读取你的数据。现在移动互联网同样存在这个问题,我给大家提个醒,因为某人把应用程序的数据库都拖得太多了,其实很多人还没有看到,还以为手机安全和互联网安全无关,有些手法是一致的。
另外攻击目标。在WEB2.0时代攻击目标是社交网络、电商网站、团购网站,还有一些宾馆、速8,还有什么如家,你们的开房记录,还有你们坐飞机的时候的航班记录,你们的身份证号,你们当当网上的号、订书记录这些都被偷了。现在黑客界可能有10亿用户数据都是隐私用户数据。现在下一步移动应用出现以后,这些黑客接着对移动应用进行攻击,移动应用有什么问题呢?它是一个随身携带的电脑,一般隐私就是你的姓名,最多你的家庭住址,你的身份证,你发的一些内容。但是如果他们入侵到移动应用的话,他可以掌握像Google now那种,预测你的行为,知道你的爱好,你周边一切的事情,而且它可以识别你是否在振动,可以识别录音,它可以听你的声音。所以说非常可怕,希望大家能注意。
另外我们做了一些大数据分析,把用户的这种信息进行分析,发现用户的安全问题还是在于意识不够。比如说30%、40%的人都是用纯数字密码,非常非常地多。并且我们一分析这个人群的密码跟其他人群,比如说小清新、文艺人、程序员、一般的商务人员用的密码,从他的密码都能看出他是什么。所以在大数据时代、在移动互联网时代,你的行为被分析了,别人会非常准确地预测到你的下一步行为。
我最后再讲一下根源问题。你们没有看到反倒是最危险的,它是随身携带的威胁,这个手机是随身携带的威胁。我说几个根本问题。
第一个是越狱。iOS越狱以后是非常危险的,因为它利用的是本身iOS的缺陷和漏洞。我以前是搞Xbox破解的,我现在也有一些iOS越狱的朋友,他们用的就是一些系统漏洞,就是以前我们找的这种系统漏洞。利用系统漏洞获得系统最高权限以后,当雷锋的人肯定不是很多的。他利用这种权限会给你装很多很多的应用和跟踪的一些东西,他获得最高权限以后,完全把Apple的安全体系构架、安全的防护破坏掉,因为这样才能装盗版软件。大家想想如果他都能任意装盗版软件的话,他也可以给你装任意的文件。所以你把手机越狱后插在别人的电脑上,别人就可以马上给你装一个病毒。
第二个问题是安卓系统本身。安卓是什么?安卓系统谷歌可能在二点几,非常以后才意识到安全问题,但是那个时候已经非常碎片化了。他的安全模型不是很完整,而且它的变化速度太快,安卓的安全非常痛苦,对于我们来说就是非常痛苦,很难做到像咱们现在管家这样,这么好的这个安全的保护的这种软件。因为安卓的版本非常分散,它的安全机制变化很快,而且它现在已经碎片化了,并且很多厂商预装它的时候,改成自己的版本,把很多安全功能去掉了。这是第二个根本问题。
第三个根本问题就是应用市场,中国应用市场太多了,任意市场,没有一个市场是安全的。在这个市场上,因为安卓你可以装任何东西,虽然在装的时候,谷歌在本机实现了对你检测一下,但是这个检测非常薄弱,随便就可以绕过。而且现在的云技术,他根本就不用把恶意代码在当时装的时候传过来,而是在你运行以后才传过来,所以说这个逃避的手段也是非常多样的。
我认为在移动安全现在碰到三个最根本的问题,就像当时我们2005、2006年的时候在塞班上做了一些移动安全验证,但是也还是很容易被绕过的,还有一些证书。我认为谷歌现在做的安全还没有当时塞班做得好,第一个问题就是越狱,越狱以后是破坏了iOS的安全保护体系,第二个是安卓本身自己的碎片化问题,历史遗留问题,第三个就是咱们应用市场的问题,中国的应用市场。虽然谷歌Play稍微安全,我也是从谷歌Play下更放心一些,因为你真的不知道它什么时候有问题。
另外让大家也重视到,从道德经上可以知道,有上必有下、有前必有后,如果你手机端有问题,必定云端也有问题。请大家慎用一些云端的服务,我这样说也不太好。因为它云端的应用安全还不是很好,你想想你的银行号码、你的银行账户、你的什么信誉都是在云端的,很多并不是在手机上,如果攻破了云端,你麻烦更大。
我刚才还跟李铁军聊,有一个朋友说他们给安卓上装了3亿个病毒,专门记录短信,从短信里面分析你的行为,比如说你发个短信我要机票,人家马上知道你是潜在的机票客户。这种隐私侵犯已经让人无法容忍的地步了,就像我们当时2006年做反流氓软件联盟的时候,已经无法忍受流氓软件了。现在是移动互联网,我们对移动互联网的安全已经到达无法忍受的地步了。
普通消费者怎么办呢?第一尽量少越狱。第二个是少乱装软件,因为装软件的时候,安卓市场上的软件都是拿名字来骗你,用这种社会工程学的方法来骗你。第三个就是如果你想监控别人的什么iOS、安卓手机什么的,找李铁军或者我给你推荐一些正式的软件,你不要乱装软件。
给开发者我简短点儿,就建议其实把一些以前的历史安全问题多研究研究,在移动互联网照样存在。另外我举个例子,有一个运营商,前一段时间被黑客入侵了,黑客控制了他这个城市所有的基站,比如说他们这边有世贸天阶的基站,可能腾讯汇附近有一个基站,黑客会登录到基站上来窃取你的隐私,连这种都防不胜防了。所以说你一定要注意自己后端的逻辑,甚至你不要认为用户从手机访问你你就是安全的,其实黑客很多只要知道你的API,知道你后端的数据通讯情况,照样会入侵你的数据库。
最后还是跟大家共勉这种开放的和分享的精神,这种道德行为准则才能让这个世界变得更美好。
|
|