撰文|李炼
整理|《千人》杂志记者 张玉洁
原题|黑客猖獗,隐私“裸奔”,网络安全何去何从?
注:原文载于《千人》杂志2020年总第75期,转载请注明来源,未注明来源转载视为侵权。
白帽、灰帽、黑帽,在外行人眼里他们统称为黑客,其实媒体所报道的黑客常指黑帽子。作为计算机高手,黑客很神秘,以键盘为战场,十指翻飞之间就能获取自己想要的信息。似乎在他们眼里,我们的隐私毫无避风港。可以说,隐私泄露很大程度上是黑客攻击、窃取所致。
大数据时代,黑客进攻行为更加丰富,各类隐私泄露事件层出不穷,隐私保护问题已经上升到技术层面的网络安全体系维护问题。本期《千人》杂志专访中国科学院计算技术研究所研究员李炼,请他从技术角度给我们讲讲黑客是如何窃取人们隐私以及我们该如何维护网络安全。
李炼
黑客门槛下沉,隐私泄露加剧
记者:据了解,隐私是“不愿告人或不愿公开的个人的私事”。有人说在大数据信息时代,我们的隐私在“裸奔”,您如何看待这种观点?为什么在信息技术越发达的时代,我们的隐私越容易被泄露?
李炼:大数据时代,互联网为人们带来便利的同时,也给大家的隐私保护带来了很大的威胁。具体体现在两个方面:第一,我们的各类数据(特别是隐私数据)因成为容易变现的工具而引起众多正规服务商和灰黑产业的广泛关注;第二,互联网使得我们的隐私传播愈发迅速,使得隐私数据泄露的范围和影响日益增加。随着恶意程序、各类钓鱼和欺诈层出不穷,黑客攻击和大规模的个人信息泄露事件频发,让很多人成为了这些事件的直接的受害者,网络隐私泄露问题也成了大家关注的焦点和社会热议的话题。各类隐私泄露事件频发,也让许多人产生了“我们的隐私在裸奔”的担忧。
信息技术的发达表现在信息技术与各个行业的融合日益加深,渗透到生产、生活的每一个角落,网络终端和应用延伸至每个人手里,这相当于为数据的泄露开辟了更多的潜在通道,不易防范。而技术升级和商业模式创新带给大家便利的同时,往往由于政府监管和相关安全技术的滞后,更易造成用户隐私数据的大范围、更大危害的泄露。例如,当前5G技术比4G快数百倍,如果一个电商网站遭到黑客攻击,短短几秒就会造成用户信息、交易信息的被盗和泄露,造成的损失也是十分严重的。
记者:从技术层面看,隐私泄露和网络安全有什么联系?常见的网络安全漏洞有哪些?
李炼:从技术层面看,隐私泄露可分为两种,主动型泄露与被动型泄露,都与网络安全级别不够有关。主动型泄露是用户安装了一些恶意软件,这些应用在用户不知情的情况下窃取隐私信息如设备注册地、用户SMS、图片等信息。被动型泄露是指正规软件中可能存在安全漏洞,黑客可利用该漏洞获取用户的数据。通过静态分析等方法检测漏洞以及恶意软件,提高网络安全等级,可有效地规避隐私泄露。
常见的网络安全漏洞有很多,美国国土安全局(US Department of Homeland Security)、网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)在2006年列举了一个分类的CWE列表,被广泛采用。我国信息安全漏洞库(CNNVD)最新一期安全漏洞周报(515期)也采用了这个分类。此外影响较大的还有对web 应用的OWASP(开发Web应用安全项目)分类。多种漏洞都可能导致隐私泄露,例如较多跨站脚本注入、SQL注入类漏洞,这些漏洞可能被黑客利用,输入恶意代码从而可以获取用户的敏感信息或权限,造成用户信息泄露。
记者:许多组织、黑客通过互联网攻击并窃取公民隐私信息数据,做非法用途。黑客们是如何通过互联网窃取公民隐私数据的?近年来黑客的攻击行为有什么新变化和新趋势?
李炼:黑客一方面可以通过钓鱼等手法诱导用户安装恶意软件从而窃取隐私信息,另一方面可以攻击在线平台,通过平台上的漏洞窃取平台上大量存储的隐私信息。例如12306网站漏洞危机、某连锁酒店5亿条开房信息被泄露等。
近年来黑客的攻击行为变得更加地自动化、组织化,例如MageCart组织在2018-2019年即组织了针对电商平台包括TicketMaster、 British Airways、新蛋网等近十次大规模攻击。再者,网络上流传的攻击工具越来越多,这些攻击工具能够对网页、软件的漏洞扫描分类,以便开展针对性的攻击,黑客本身的技术门槛逐渐下降。这意味着对黑客的防御再也不能寄希望于对方找不到漏洞,而在于要比黑客先一步找出漏洞并修复它。
完善网络安全体系,将安全漏洞降至最低
记者:隐私一旦被黑客窃取,情节严重或将给国家、社会和个人造成什么后果?
李炼:黑客窃取隐私往往是由于其背后巨大的利益链驱动,而且大多是有组织、有目的的行为,窃取后的数据往往用于非法用途。对于造成的后果而言,轻则让大家经常收到一些购买隐私信息的企业和组织电话推销的骚扰,重则若公民个人位置、卫生医疗、金融财务等数据信息被大范围泄露,可能会造成国家安全方面的威胁。因此,个人隐私数据无论对于公民个人、社会还是国家,都是至关重要的。
记者:在新冠肺炎疫情联防联控背景下,信息化发挥着部分支撑作用。但是,疫情防控平台中存储着大量的公民个人敏感信息,不免让人担忧。请问诸如此类的信息化平台目前存在着哪些安全风险?怎样做才能将隐私泄露和安全漏洞降到最低?
李炼:此类的信息化平台,在隐私泄露方面主要存在着两点风险:一是平台容易泄露敏感信息;二是容易遭受攻击,导致平台无法正常运行,无法发挥对现实工作的支撑作用。
建议相关平台建设单位严格按照《信息安全技术网络安全等级保护基本要求》(等保2.0)的相关标准对平台进行设计、开发、运维和管理,采用源代码检查、渗透测试等多种方式查找修复安全漏洞,再加上防火墙等安全设备的保护,就可以将安全风险降到最低。
记者:我国网络安全体系的现状如何?政府和企业在防范因黑客攻击导致的互联网隐私泄露方面有何举措?
李炼:根据《中国互联网发展报告2019》显示,当前我国网络安全保障能力稳步提升。面对复杂严峻的网络安全态势,我国加强网络安全保障体系建设,构筑全方位网络安全防线,有效应对和防范网络安全风险。
因此,我国网络安全体系正在加快建设和逐步完善的过程中。特别是在推动网络信息安全立法工作、加快完善信息安全审查制度框架、强化信息安全基础设施和技术手段体系化建设、扶持和壮大网络与信息安全产业等方面的成绩越来越突出。
国家相关部门高度重视互联网公民隐私保障问题,并采取了相应措施。一方面正在加大对个人信息保护力度,深入开展App违法违规收集使用个人信息专项治理;另一方面也正在强化信息安全漏洞管理,加快推进出台网络安全法相关配套法规文件。
结语
黑客没有我们想象的那么神秘,黑客离我们也没有想象的那么遥远,也许在浑然不觉之间我们的隐私就被窃取、盗用。对此,除了加强个人的隐私防范意识,我们更需要一批“白帽子”科学家,与黑客斗智斗勇,在技术上维护我们的计算机和互联网安全。
注:文中图片均来自受访者。
