苹果阻止上架的这款软件,到底有多可恶?
近日备受争议的公司Clearview AI由于涉嫌在互联网上爬取的人脸图像,被美国佛蒙特州总法务官以违反该州消费者保护和数据法为由提起诉讼,要求该公司立即停止收集佛蒙特州居民的照片,并销毁此前收集的数据存档。
在此之前Clearview AI也是争议不断,2019年一名美国亿万富翁就通过女儿在脸书分享的照片,找到其男友的人脸信息,并利用Clearview AI的App直接定位到了准女婿的脸书、推特等社交媒体上的照片集及所在地址,并最终确定他是旧金山的一名风险投资人。而且Clearview AI还被爆出曾与小型超市试验人脸识别系统,来识别已知的商店扒手或其他商店的店主。
其实不光是Clearview AI人脸识别技术在各个国家的应用过程中都存在着很多问题,比如2019年,一夜爆红的AI实时换脸软件ZAO就因“用户协议不规范”和“数据泄露风险”等问题受到工信部约谈,并最终下架;2019年年底杭州野生动物世界启用人脸识别入园,也造成该园的用户不满,引发了人脸识别做为出入凭证,是否涉及强制收集个人面部特征的网上大讨论,最终双方协调未果诉储法院,成为我国“人脸识别第一案”。
近日在信息安全方面还有一个值得关注的事件,就是利用SMB远程代码执行的漏洞(CVE-2020-0796)-“永恒之黑”。由于SMB远程代码执行漏洞与之前“永恒之蓝”系列漏洞极为相似,因此以“永恒”命名。SMB(Server Message Block)协议作为一种局域网文件共享传输协议,常被用来作为共享文件安全传输研究的平台。
由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。“永恒之黑”一旦被成功利用,其危害不亚于永恒之蓝,据估计全球约有10万台服务器都会受到该漏洞的影响。
其实无论是名造一时的“熊猫烧香”、还是最近开始流行的人脸信息泄漏,其背后的核心技术还是信息安全的,我们看到随着IT技术的不断发展,IT从业人员虽在不断增多,但是主要的就业人员的技术栈基本集中在移动、前后端以及人工智能等领域,最流行的编程语言也由面向底层操作的C和C++逐渐演变到托管型的JAVA乃至至脚本型的Python。
而信息安全领域是个直接面向底层的技术,从事底层编程的人员越来越少,也就代表着信息安全的从业者基数是越来越小,这个现象的直接后果就是,IT世界出现了落后的技术可以攻击先进技术的情况,这点与人类社会中落后蛮族对高级文明的侵略非常相像。
而最新出现的人脸信息泄漏情况又与社会工程攻击结合紧密,可以说又形成了信息安全攻防战的新动态。下面笔者就为大家梳理一下信息安全技术发展的历史和趋势。
信息安全技术的前世今生
原始阶段:
最早的信息安全事件出现于1989年,当时一款名为“艾滋病信息木马”的病毒开始流行。该木马通过替换系统文件,在开机时计数,一旦系统启动达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息声称用户的软件许可已过期,要求邮寄189美元以解锁系统。而“艾滋病信息木马”也可以被看做是木马、病毒及流氓软件的共同始祖。
2006年出现的Redplus勒索木马是我国首款本土勒索软件。该木马会隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。据我国计算机病毒应急处理中心统计,全国各地的该病毒及其变种的感染报告有580多例。而实际上用户的文件并未丢失,只是被移动到一个具有隐藏属性的文件夹中。
勒索支付手段升级:
从2013年的CryptoLocker病毒开始,比特币进入了黑客的视野。CryptoLocker可以感染大部分Windows操作系统,通常通过邮件附件传播,附件执行后会对特定类型的文件进行加密,之后弹出付款窗口,也就是从这款软件开始,黑客开始要求机构使用比特币的支付赎金,而就是这款软件为黑客组织带来了近41000枚比特币的收入,按照比特币最新6000美元左右的市价,这款病毒为其幕后的黑客带来了数亿美元的收入。
病毒也开源:
2015年一款名为Tox的勒索软件开发平台正式发布,通过注册服务,任何人都可创建勒索软件,管理面板会显示感染数量、支付赎金人数以及总体收益,Tox的创始人收取赎金的20%。同年土耳其安全专家发布了一款名为Hidden Tear的开源勒索软件。它仅有12KB,虽然体量较小,但是麻雀虽小五脏俱全,这款软件在传播模块,破坏模块等方面的设计都非常出色。
尽管来自土耳其的黑客一再强调此软件是为了让人们更多地了解勒索软件的工作原理,可它作为病毒软件的开源产品,还是引发了诸多争议的,一方面增加技术社区对于勒索软件的认识,另一方面也加快的病毒技术的发展。后来那款由于破坏力超群而抱得大名的勒索病毒,WannaCry(一种“蠕虫式”的勒索病毒软件)据说就从开源的Hidden Tear当中借鉴了很多代码。
结合社会工程攻击,窃取大众隐私信息:
近年来,针对某些快捷酒店住宿系统及私营医院HIS系统的入侵、脱库(脱库指黑客入侵到系统后进行信息窃取)行为层出不穷,而2016年之前黑客一般只会将信息悄然盗出后在黑市上待价而沽,不过目前最新的趋势是黑客在出售掉隐私信息之前还要对涉事机构行勒索。
比如2017年底美国好莱坞某医疗中心就被黑客攻陷,并勒索340万美元的赎金,经过一番讨价还价医院最终支付了1.7万美元想花钱了事,但是不久后该院的就诊记录就出现在了的数据黑市上。
而且最近的病毒明显加强了“用户体验”的建设,会给用户很强的心理暗示,比如某些最新的勒索软件将UI设计成无法退出的界面,而且赎金随时间涨价,还会以倒计时强化紧迫感。
后记
从最新的情况来看,公开兜售人脸数据的情况并不少见,一般每张人脸图片搭配一份数据,包括人脸的各处关键点,甚至还标注了性别、情绪、颜值等具体信息,根据这些信息不但能够换脸,而且还能生成3D人脸模型打印数据。
这样的情况无疑将给人脸信息的滥用带来极大风险,因此在这方面还需要多管齐下,另一方面也要尽快立法,从严打击信息黑市。
作者简介:马超,CSDN博客专家、华为云MVP,金融科技行业资深从业者,著名的国产操作系统及数据库软件的布道者。
推荐阅读
☞连续两天,8 大技术论坛,微软超 60 个烧脑议题等你来战
☞日均 61 亿次攻击、挖矿病毒“卫冕”安全威胁之最,云上安全防御如何“战”?
☞检测、量化、追踪新冠病毒,基于深度学习的自动CT图像分析有多靠谱?