撰文|李煉
整理|《千人》雜誌記者 張玉潔
原題|黑客猖獗,隱私“裸奔”,網絡安全何去何從?
注:原文載於《千人》雜誌2020年總第75期,轉載請註明來源,未註明來源轉載視為侵權。
白帽、灰帽、黑帽,在外行人眼裡他們統稱為黑客,其實媒體所報道的黑客常指黑帽子。作為計算機高手,黑客很神秘,以鍵盤為戰場,十指翻飛之間就能獲取自己想要的信息。似乎在他們眼裡,我們的隱私毫無避風港。可以說,隱私洩露很大程度上是黑客攻擊、竊取所致。
大數據時代,黑客進攻行為更加豐富,各類隱私洩露事件層出不窮,隱私保護問題已經上升到技術層面的網絡安全體系維護問題。本期《千人》雜誌專訪中國科學院計算技術研究所研究員李煉,請他從技術角度給我們講講黑客是如何竊取人們隱私以及我們該如何維護網絡安全。
李煉
黑客門檻下沉,隱私洩露加劇
記者:據瞭解,隱私是“不願告人或不願公開的個人的私事”。有人說在大數據信息時代,我們的隱私在“裸奔”,您如何看待這種觀點?為什麼在信息技術越發達的時代,我們的隱私越容易被洩露?
李煉:大數據時代,互聯網為人們帶來便利的同時,也給大家的隱私保護帶來了很大的威脅。具體體現在兩個方面:第一,我們的各類數據(特別是隱私數據)因成為容易變現的工具而引起眾多正規服務商和灰黑產業的廣泛關注;第二,互聯網使得我們的隱私傳播愈發迅速,使得隱私數據洩露的範圍和影響日益增加。隨著惡意程序、各類釣魚和欺詐層出不窮,黑客攻擊和大規模的個人信息洩露事件頻發,讓很多人成為了這些事件的直接的受害者,網絡隱私洩露問題也成了大家關注的焦點和社會熱議的話題。各類隱私洩露事件頻發,也讓許多人產生了“我們的隱私在裸奔”的擔憂。
信息技術的發達表現在信息技術與各個行業的融合日益加深,滲透到生產、生活的每一個角落,網絡終端和應用延伸至每個人手裡,這相當於為數據的洩露開闢了更多的潛在通道,不易防範。而技術升級和商業模式創新帶給大家便利的同時,往往由於政府監管和相關安全技術的滯後,更易造成用戶隱私數據的大範圍、更大危害的洩露。例如,當前5G技術比4G快數百倍,如果一個電商網站遭到黑客攻擊,短短几秒就會造成用戶信息、交易信息的被盜和洩露,造成的損失也是十分嚴重的。
記者:從技術層面看,隱私洩露和網絡安全有什麼聯繫?常見的網絡安全漏洞有哪些?
李煉:從技術層面看,隱私洩露可分為兩種,主動型洩露與被動型洩露,都與網絡安全級別不夠有關。主動型洩露是用戶安裝了一些惡意軟件,這些應用在用戶不知情的情況下竊取隱私信息如設備註冊地、用戶SMS、圖片等信息。被動型洩露是指正規軟件中可能存在安全漏洞,黑客可利用該漏洞獲取用戶的數據。通過靜態分析等方法檢測漏洞以及惡意軟件,提高網絡安全等級,可有效地規避隱私洩露。
常見的網絡安全漏洞有很多,美國國土安全局(US Department of Homeland Security)、網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)在2006年列舉了一個分類的CWE列表,被廣泛採用。我國信息安全漏洞庫(CNNVD)最新一期安全漏洞週報(515期)也採用了這個分類。此外影響較大的還有對web 應用的OWASP(開發Web應用安全項目)分類。多種漏洞都可能導致隱私洩露,例如較多跨站腳本注入、SQL注入類漏洞,這些漏洞可能被黑客利用,輸入惡意代碼從而可以獲取用戶的敏感信息或權限,造成用戶信息洩露。
記者:許多組織、黑客通過互聯網攻擊並竊取公民隱私信息數據,做非法用途。黑客們是如何通過互聯網竊取公民隱私數據的?近年來黑客的攻擊行為有什麼新變化和新趨勢?
李煉:黑客一方面可以通過釣魚等手法誘導用戶安裝惡意軟件從而竊取隱私信息,另一方面可以攻擊在線平臺,通過平臺上的漏洞竊取平臺上大量存儲的隱私信息。例如12306網站漏洞危機、某連鎖酒店5億條開房信息被洩露等。
近年來黑客的攻擊行為變得更加地自動化、組織化,例如MageCart組織在2018-2019年即組織了針對電商平臺包括TicketMaster、 British Airways、新蛋網等近十次大規模攻擊。再者,網絡上流傳的攻擊工具越來越多,這些攻擊工具能夠對網頁、軟件的漏洞掃描分類,以便開展針對性的攻擊,黑客本身的技術門檻逐漸下降。這意味著對黑客的防禦再也不能寄希望於對方找不到漏洞,而在於要比黑客先一步找出漏洞並修復它。
完善網絡安全體系,將安全漏洞降至最低
記者:隱私一旦被黑客竊取,情節嚴重或將給國家、社會和個人造成什麼後果?
李煉:黑客竊取隱私往往是由於其背後巨大的利益鏈驅動,而且大多是有組織、有目的的行為,竊取後的數據往往用於非法用途。對於造成的後果而言,輕則讓大家經常收到一些購買隱私信息的企業和組織電話推銷的騷擾,重則若公民個人位置、衛生醫療、金融財務等數據信息被大範圍洩露,可能會造成國家安全方面的威脅。因此,個人隱私數據無論對於公民個人、社會還是國家,都是至關重要的。
記者:在新冠肺炎疫情聯防聯控背景下,信息化發揮著部分支撐作用。但是,疫情防控平臺中存儲著大量的公民個人敏感信息,不免讓人擔憂。請問諸如此類的信息化平臺目前存在著哪些安全風險?怎樣做才能將隱私洩露和安全漏洞降到最低?
李煉:此類的信息化平臺,在隱私洩露方面主要存在著兩點風險:一是平臺容易洩露敏感信息;二是容易遭受攻擊,導致平臺無法正常運行,無法發揮對現實工作的支撐作用。
建議相關平臺建設單位嚴格按照《信息安全技術網絡安全等級保護基本要求》(等保2.0)的相關標準對平臺進行設計、開發、運維和管理,採用源代碼檢查、滲透測試等多種方式查找修復安全漏洞,再加上防火牆等安全設備的保護,就可以將安全風險降到最低。
記者:我國網絡安全體系的現狀如何?政府和企業在防範因黑客攻擊導致的互聯網隱私洩露方面有何舉措?
李煉:根據《中國互聯網發展報告2019》顯示,當前我國網絡安全保障能力穩步提升。面對複雜嚴峻的網絡安全態勢,我國加強網絡安全保障體系建設,構築全方位網絡安全防線,有效應對和防範網絡安全風險。
因此,我國網絡安全體系正在加快建設和逐步完善的過程中。特別是在推動網絡信息安全立法工作、加快完善信息安全審查制度框架、強化信息安全基礎設施和技術手段體系化建設、扶持和壯大網絡與信息安全產業等方面的成績越來越突出。
國家相關部門高度重視互聯網公民隱私保障問題,並採取了相應措施。一方面正在加大對個人信息保護力度,深入開展App違法違規收集使用個人信息專項治理;另一方面也正在強化信息安全漏洞管理,加快推進出臺網絡安全法相關配套法規文件。
結語
黑客沒有我們想象的那麼神秘,黑客離我們也沒有想象的那麼遙遠,也許在渾然不覺之間我們的隱私就被竊取、盜用。對此,除了加強個人的隱私防範意識,我們更需要一批“白帽子”科學家,與黑客鬥智鬥勇,在技術上維護我們的計算機和互聯網安全。
注:文中圖片均來自受訪者。
