互聯(lián)時代,日常生活越來越離不開各種智能設(shè)備。如何使用智能設(shè)備才安全?有哪些良好的用戶使用習(xí)慣?好問是界面旗下的問答頻道,我們邀請各路大神做客,在線回答網(wǎng)友提問。在這里,你可以找到各種有用的答案,遇見有趣的人。本期好問邀請白帽黑客宋宇昊解答各種關(guān)于互聯(lián)網(wǎng)安全的問題。
白帽黑客的價值觀
Semper奧古斯都:想知道中國白帽黑客的價值觀是什么……例如,你們喜歡什么,不喜歡什么。謝謝~
宋宇昊:白帽黑客或者說安全研究者是一種職業(yè),就如同警察、醫(yī)生是職業(yè)一樣,從事這職業(yè)的人各有各的價值觀。如果說共同愿景的話,往低了說就是能糊口,往高了說就是希望這個安全行業(yè)更繁榮。
普通用戶也能學(xué)的安全指南
M飛YOUNG:普通公民怎么樣能夠預(yù)防信息的泄漏?。?/p>
宋宇昊:根據(jù)我的理解,你問的信息是指隱私信息。先給個簡短回答:無法預(yù)防,只能減小泄漏可能。
個人隱私信息通過線上和線下多種渠道流入地下黑產(chǎn)行業(yè),例如:提供公共服務(wù)的企事業(yè)單位的居民數(shù)據(jù)被不良職員販賣;提供互聯(lián)網(wǎng)在線服務(wù)的網(wǎng)站的用戶數(shù)據(jù)被攻擊者利用漏洞批量獲取等等。一旦這些批量數(shù)據(jù)流入黑產(chǎn)行業(yè),就會被不斷交易、匯總,形成非常大的數(shù)據(jù)庫。黑產(chǎn)從業(yè)者還可以通過數(shù)據(jù)挖掘等方式對匯總的數(shù)據(jù)進(jìn)行處理,獲取受害者各方面的詳細(xì)信息,從中牟利。要以普通用戶的身份對抗高利潤驅(qū)動的黑產(chǎn)行業(yè),這是不可能的。所以隱私保護(hù)主要得依靠立法、政府、單位等所有相關(guān)方聯(lián)合努力才能推進(jìn)。
對于個人而言,一些習(xí)慣可以減少隱私泄漏的可能性,比如:在法規(guī)和業(yè)務(wù)場景允許的情況下,盡量不提供個人隱私數(shù)據(jù),或者提供虛假的隱私數(shù)據(jù);在不同的網(wǎng)站使用不同的密碼(可以使用lastpass、1password等密碼管理軟件),以對抗“撞庫攻擊”;在不同的網(wǎng)站使用不同的ID、昵稱、聯(lián)系方式等個人信息,以對抗數(shù)據(jù)挖掘;及時升級自己電腦、手機(jī)的操作系統(tǒng)和應(yīng)用軟件,不在公共網(wǎng)絡(luò)中使用涉及個人信息的網(wǎng)站服務(wù),以對抗針對客戶端和通訊鏈路的技術(shù)攻擊。
Tony.wxQgpGa:私人用的電腦,哪些工具可以有效防止大部分中低檔次黑客攻擊?(沒有遭遇大規(guī)模特定攻擊和高手的情況下,因為那種情況估計一般也防不住…)
宋宇昊:先給個簡單回答:對于新版的主流操作系統(tǒng),需要殺毒軟件和補(bǔ)丁管理工具(如果是新版的Windows系統(tǒng),這些工具都自帶在系統(tǒng)中,當(dāng)然也可以使用第三方軟件),懂技術(shù)的用戶可以外加沙盒或虛擬機(jī);對于過時的已被淘汰的系統(tǒng)(比如Windows XP),用啥工具都沒用。
攻擊可以分為兩類:一類是基于用戶不良使用習(xí)慣的攻擊,如運(yùn)行不明來源的程序(惡意程序);另一類是通過技術(shù)手段,在用戶正常使用的情況下實施攻擊,如瀏覽網(wǎng)頁、打開文檔。
前一類場景是用戶主動授權(quán)惡意軟件運(yùn)行,對抗思路是依靠殺毒軟件來輔助用戶鑒別和阻攔惡意的程序,或者在沙盒或虛擬機(jī)中運(yùn)行不明來歷的程序。由于殺毒軟件有漏報的可能,沙盒或虛擬機(jī)是更加可靠的做法。后一類場景是攻擊者利用系統(tǒng)和軟件的漏洞來實施攻擊,對抗思路是修補(bǔ)系統(tǒng)漏洞,以及通過安全機(jī)制阻止漏洞利用(即Exploit Mitigations:http://www.microsoft.com/security/sir/strategy/default.aspx#!section_3_3)。
對于后一類而言,這些對抗措施都是由廠商采取的,普通用戶所需要做的是:1.使用新版本的操作系統(tǒng),因為新版本系統(tǒng)中有更現(xiàn)代更完善的安全機(jī)制,這可以對抗新的漏洞利用方式;2.及時安裝系統(tǒng)和應(yīng)用軟件的補(bǔ)丁,很多補(bǔ)丁是安全補(bǔ)丁,用于修復(fù)已知的漏洞。要安裝系統(tǒng)和軟件的補(bǔ)丁,可以使用系統(tǒng)和軟件自帶的自動更新功能,也可以使用第三方的補(bǔ)丁管理工具(例如助手、管家這類工具)。對于已經(jīng)被淘汰的系統(tǒng),一方面廠商不再修復(fù)任何新發(fā)現(xiàn)的漏洞,另一方面它的安全防護(hù)機(jī)制無法對抗新的漏洞攻擊技術(shù)。安全是系統(tǒng)的屬性而不是被額外提供的功能,在“XP挑戰(zhàn)賽”的時候,國內(nèi)各家安全軟件廠商試圖把新的防護(hù)技術(shù)額外地嵌入陳舊的XP,但由于嚴(yán)重影響正常使用,只是推出一些專門應(yīng)對比賽的專版,無法推廣給普通用戶使用。
最后還需要強(qiáng)調(diào)一下,單單依靠工具和技術(shù)是不夠的,良好的用戶習(xí)慣必不可少:設(shè)置復(fù)雜的賬號密碼,不運(yùn)行不明來源的程序。
Charlo:目前市面上比較流行的智能手機(jī)系統(tǒng),比如安卓,iOS,Windows,哪一種安全性能比較有優(yōu)勢。如果被攻擊,會遭受哪些典型的損失,丟失信息?綁定的金融服務(wù),比如支付寶,是否會直接受損。系統(tǒng)內(nèi)安裝的App安全性能是獨立于系統(tǒng),還是與系統(tǒng)共存亡的。如果遭到攻擊,有哪些行之有效的補(bǔ)救方法?謝謝。
宋宇昊:從技術(shù)角度來說,目前最新的主流操作系統(tǒng)都有很高的代碼質(zhì)量和先進(jìn)的安全防護(hù)機(jī)制,因此對于攻擊者而言,要用純技術(shù)的手段攻破這些操作系統(tǒng),都需要付出非常高昂的代價(金錢與精力)。因此從技術(shù)上區(qū)分他們安全性能伯仲的意義不大,這里更多需要考慮的是用戶的使用習(xí)慣以及App開發(fā)者的能力:iOS系統(tǒng)用戶的自由度最低,被強(qiáng)制以安全的方式來使用這個系統(tǒng)(比如不允許從App Store以外的渠道安裝軟件);而Android和Windows的自由度更高,如果用戶的使用習(xí)慣不佳,如隨意安裝不明來源的軟件、隨意提供root/管理員權(quán)限,那么整個系統(tǒng)就會暴露在高風(fēng)險中;同樣,Android和Windows的軟件開發(fā)者比起iOS的App開發(fā)者有更大的自由度(權(quán)限)調(diào)用系統(tǒng)的各種功能,因此一旦Android和Windows下的App/軟件被攻破,對系統(tǒng)帶來的干擾也就更大。
從實際案例來看,攻擊者偏好于:竊取支付與金融相關(guān)的賬號和支付信息、操縱支付與金融客戶端、控制客戶端實施拒絕服務(wù)攻擊等可以謀利的攻擊目的,用戶受到相應(yīng)損失。App的安全是基于系統(tǒng)之上的,App被攻破未必導(dǎo)致系統(tǒng)的損害,而系統(tǒng)被攻破必定導(dǎo)致App暴露在攻擊者的威脅中。
亞力大伯:WP不越獄也只能裝App store的應(yīng)用吧。應(yīng)該安全性等同iOS.
宋宇昊:對,我疏忽了,沒注意到問的是智能手機(jī)系統(tǒng),以為說的是桌面版的Windows.
HTTPS:現(xiàn)在每天都要使用各種五花八門的App,如何才能防止隱私泄漏?
宋宇昊:分為兩個角度考慮這個問題:保護(hù)App不受攻擊的角度和限制App自身不耍流氓的角度。
從保護(hù)App不受攻擊的角度:不在公共Wi-Fi中使用;及時更新手機(jī)操作系統(tǒng)和App;不點擊來源不明的URL鏈接,不掃描來源不明的二維碼;使用正規(guī)可信的輸入法。
從限制App自身不耍流氓的角度:不安裝來源不明的App;對于Android,安裝App時留意提示的所需權(quán)限,如果App申請了與它無關(guān)的敏感權(quán)限,不要安裝;對于Android,使用整合有訪問控制的手機(jī)系統(tǒng)或者額外安裝帶有訪問控制功能的安全軟件;對于Android,當(dāng)App使用過程中提示需要權(quán)限時,謹(jǐn)慎考慮,僅在確認(rèn)需要該權(quán)限時賦予權(quán)限。
allsmy.weibo:個人信息在不同設(shè)備同步時會被黑客竊取嗎,怎么管理重要的信息的安全?
宋宇昊:存在被竊取的可能性,主要考慮兩個角度:密碼或短信驗證碼被攻擊者竊?。煌椒?wù)的云端存在漏洞,被攻擊者攻破。對于前者,主要措施有:使用復(fù)雜密碼,不同網(wǎng)站使用不同密碼,保護(hù)好短信驗證碼(不主動泄露給第三方,并參考“現(xiàn)在每天都要使用各種五花八門的App,如何才能防止隱私泄漏?”問題的回答)。對于后者,建議選擇規(guī)模較大,有足夠安全實力的同步服務(wù)提供商。
哪些終端容易被黑客攻擊?
HTTPS:請問未來肯定會出現(xiàn)越來越多的可穿戴設(shè)備,它們安全嗎?
宋宇昊:就如同我們已經(jīng)經(jīng)歷過的PC時代、手機(jī)時代一樣,新產(chǎn)品剛問世的時候是不安全的:一方面廠商還對這新產(chǎn)品新功能的實現(xiàn)焦頭爛額,無暇顧及安全;另一方面新產(chǎn)品還沒經(jīng)過市場的充分檢驗,安全問題還沒在使用過程中暴露出來。但隨著產(chǎn)品的普及,產(chǎn)品所承載的資產(chǎn)(廠商信譽(yù)、用戶隱私、用戶資金等)越來越高昂,廠商不得不重視安全,并提升產(chǎn)品的安全性。因此當(dāng)這些可穿戴設(shè)備成熟之后,他們就會更安全了。
love win sin(¬з¬)σ:您認(rèn)為未來智能終端的在信息安全方面應(yīng)有怎樣的改進(jìn)?對此您有什么期望,是從硬件方面還是軟件方面改進(jìn)可能性更大?
宋宇昊:信息安全并不是一個功能,而是一個屬性,它貫穿在智能終端這產(chǎn)品的方方面面,從架構(gòu)設(shè)計到程序開發(fā)到產(chǎn)品測試。安全在任何一個環(huán)節(jié)的缺失都會導(dǎo)致最終產(chǎn)品的安全問題,就如木桶原理。我期望無論在哪個環(huán)節(jié)哪個方面都能增強(qiáng)對安全的重視,設(shè)計者、開發(fā)者、測試者除了考慮功能實現(xiàn)、用戶體驗、性能提升,再多考慮一點:安全嗎?
舊之助:智能手表可能會存在什么樣的安全隱患?
宋宇昊:智能手表可能會存在和智能手機(jī)一樣的泄露隱私的問題。比如智能手表上的天氣應(yīng)用可能會請求位置信息,就算手表本身沒有GPS功能,智能手表上的App可以通過連接手機(jī)請求手機(jī)上的位置信息。手表中的惡意應(yīng)用可以做到和手機(jī)App一樣收集用戶的隱私信息。
phoenix.qq:如果智能汽車產(chǎn)生安全問題該怎么辦?自動駕駛汽車死機(jī)了咋辦?
宋宇昊:意外死機(jī)之類的問題在汽車領(lǐng)域?qū)儆诠δ馨踩懂牎Ec信息安全不同,信息安全是人與人的對抗,而功能安全是人與機(jī)器的對抗。功能安全通常是通過增加冗余的思路來增強(qiáng)的。
GoEcho:媒體報道了大量的關(guān)于汽車被黑的事件,汽車會成為黑客攻擊的目標(biāo)嗎?飛機(jī)呢?
宋宇昊:從技術(shù)與理論上來說,裝備有車聯(lián)網(wǎng)的汽車完全可能成為攻擊目標(biāo)?,F(xiàn)在不少新車型中的車載AVN設(shè)備的功能已經(jīng)非常豐富,一方面可以與CAN總線通訊,控制車門車窗空調(diào)等部件,另一方面這些AVN系統(tǒng)通過TBOX與云端通訊并與手機(jī)端App交互。因此攻擊者完全可以通過網(wǎng)絡(luò)通訊、USBhttp://product.it.sohu.com/list/subcate_682_1.html、藍(lán)牙等入口,類似攻擊手機(jī)一樣入侵AVN系統(tǒng),并進(jìn)一步進(jìn)入CAN總線,從而控制汽車。
然而目前見到的報道主要是安全研究者的技術(shù)研究,并沒有實際針對用戶環(huán)境的攻擊。我認(rèn)為主要原因是黑產(chǎn)從業(yè)者目前還沒能從這類攻擊中找到盈利方式,沒有利益驅(qū)動,因此黑產(chǎn)從業(yè)者們沒有投入精力和資金去研究和實施這些攻擊。
蘑菇精:看到geekpwn上有不少關(guān)于黑客劫持無人機(jī)的項目,劫持無人機(jī)會成為未來戰(zhàn)爭各國的必備武器嗎?
宋宇昊:我并沒接觸過軍用無人機(jī),所以只能從信息安全的角度作些推論。在電影中我們經(jīng)??梢钥吹降倪@樣的情節(jié):黑客掏出筆記本,敲鍵盤輸入一堆指令,屏幕上顯示出一個破解進(jìn)度滾動條,之后就成功地攻破目標(biāo)。而實際的攻擊場景中,黑客在實施攻擊前先要解決的一個問題是--攻擊面,即黑客能否與目標(biāo)進(jìn)行交互。對于提供公共服務(wù)的系統(tǒng),攻擊面不會是個難題,因為這些系統(tǒng)對大眾提供服務(wù),任何人都有機(jī)會與其進(jìn)行交互。然而對于軍用系統(tǒng),攻擊面就會是個需要克服的問題,即攻擊者未必有機(jī)會和目標(biāo)進(jìn)行交互。就問題中的無人機(jī)而言,軍用無人機(jī)未必像民用的一樣,需要從遙控器實時接受控制指令,而可能預(yù)先設(shè)定在機(jī)載電腦中,那這里就分為是否依賴對外通訊兩種情況討論一下。如果不依賴對外通訊,無人機(jī)的信息系統(tǒng)就是個封閉的系統(tǒng),就像一臺拔掉網(wǎng)卡、網(wǎng)線、鍵盤、鼠標(biāo)、顯示器和其他所有外設(shè)的自備電源與外界隔離的電腦,很難找到入口去攻擊它。如果無人機(jī)依賴對外通訊接受控制,那么假如攻擊者想要直接與之進(jìn)行無線通訊就會涉及另一個問題--破解軍用級別加密通訊,這攻擊成本高得很難衡量;假如攻擊者通過滲透進(jìn)敵方基地的無人機(jī)控制系統(tǒng),間接地控制無人機(jī),那么對這問題的討論就超出無人機(jī)安全的范疇了。如果我是攻擊者,從攻擊成本考慮,我會傾向于使用電磁干擾阻礙它的通訊,而不是去劫持它。當(dāng)然,用放空炮或?qū)棸阉蛳聛硪彩莻€不錯的選擇。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 2024世界顯示產(chǎn)業(yè)大會啟幕,4K花園自研“滿天星”獲十大創(chuàng)新應(yīng)用
- 哈佛商學(xué)院:2024年全球96%代碼庫包含開源組件 Rust采用率增長500%
- 硅谷1/10程序員在摸魚?基本不干活卻能拿20-30萬美元年薪
- 傳馬斯克的"友商"擔(dān)心被報復(fù) 紛紛示好特朗普
- 數(shù)智龍江向新而行:5G-A與AI等數(shù)智技術(shù)助力龍江打造新質(zhì)生產(chǎn)力
- 加州對特斯拉和SpaceX說不,公報私仇觸怒馬斯克
- 華為Mate品牌盛典盛大舉行,Mate 70等十余款全場景新品重磅亮相
- 支付寶新升級,手機(jī)碰一下就能點餐!全國10萬家餐廳可用
- 華為徐直軍談鴻蒙:10萬個應(yīng)用是鴻蒙生態(tài)成熟的標(biāo)志
- 數(shù)智江蘇 向新而行
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。