Yahoo奇摩財經 
蘋果阻止上架的這款軟件,到底有多可惡?
編者按:本文來自微信公眾號“CSDN”(ID:CSDNnews),作者:馬超,責編:胡巍巍;36氪經授權發佈。
日前,美國人臉識別公司Clearview AI的數據洩露事件,引發美國當局關注。據BuzzFeed News獲取的一份洩露名單顯示,美國移民和海關執法局、美國司法部、美國聯邦調查局、梅西百貨和Best Buy、沃爾瑪等 2200多家政府機構和私人公司使用了該公司軟件。目前,美國佛蒙特州司法部長TJ Donovan已對Clearview AI提起訴訟,蘋果也阻止了該公司在iOS上的應用。
那麼,這是系統漏洞,還是故意為之?我們的信息安全,如何從根本上得到保障?一起來看看CSDN博客專家馬超的解讀。
近日備受爭議的公司Clearview AI由於涉嫌在互聯網上爬取的人臉圖象,被美國佛蒙特州總法務官以違反該州消費者保護和數據法為由提起訴訟,要求該公司立即停止收集佛蒙特州居民的照片,並銷毀此前收集的數據存檔。
在此之前Clearview AI也是爭議不斷,2019年一名美國億萬富翁就通過女兒在臉書分享的照片,找到其男友的人臉信息,並利用Clearview AI的App直接定位到了準女婿的臉書、推特等社交媒體上的照片集及所在地址,並最終確定他是舊金山的一名風險投資人。而且Clearview AI還被爆出曾與小型超市試驗人臉識別系統,來識別已知的商店扒手或其他商店的店主。
其實不光是Clearview AI人臉識別技術在各個國家的應用過程中都存在著很多問題,比如2019年,一夜爆紅的AI實時換臉軟件ZAO就因“用戶協議不規範”和“數據洩露風險”等問題受到工信部約談,並最終下架;2019年年底杭州野生動物世界啟用人臉識別入園,也造成該園的用戶不滿,引發了人臉識別做為出入憑證,是否涉及強制收集個人面部特徵的網上大討論,最終雙方協調未果訴儲法院,成為我國“人臉識別第一案”。
近日在信息安全方面還有一個值得關注的事件,就是利用SMB遠程代碼執行的漏洞(CVE-2020-0796)-“永恆之黑”。由於SMB遠程代碼執行漏洞與之前“永恆之藍”系列漏洞極為相似,因此以“永恆”命名。SMB(Server Message Block)協議作為一種區域網路文件共享傳輸協議,常被用來作為共享文件安全傳輸研究的平台。
由於SMB 3.1.1協議中處理壓縮消息時,對其中數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼。“永恆之黑”一旦被成功利用,其危害不亞於永恆之藍,據估計全球約有10萬台服務器都會受到該漏洞的影響。
其實無論是名造一時的“熊貓燒香”、還是最近開始流行的人臉信息洩漏,其背後的核心技術還是信息安全的,我們看到隨著IT技術的不断發展,IT從業人員雖在不斷增多,但是主要的就業人員的技術棧基本集中在移動、前後端以及人工智能等領域,最流行的編程語言也由面向底層操作的C和C++逐漸演變到託管型的JAVA乃至至腳本型的Python。
而信息安全領域是個直接面向底層的技術,從事底層編程的人員越來越少,也就代表著信息安全的從業者基數是越來越小,這個現象的直接後果就是,IT世界出現了落後的技術可以攻擊先進技術的情況,這點與人類社會中落後蠻族對高級文明的侵略非常相像。
而最新出現的人臉信息洩漏情況又與社會工程攻擊結合緊密,可以說又形成了信息安全攻防戰的新動態。下面筆者就為大家梳理一下信息安全技術發展的歷史和趨勢。
信息安全技術的前世今生
原始階段:
最早的信息安全事件出現於1989年,當時一款名為“艾滋病信息木馬”的病毒開始流行。該木馬通過替換系統文件,在開機時計數,一旦系統啟動達到90次時,該木馬將隱藏磁碟的多個目錄,C盤的全部文件名也會被加密,從而導致系統無法啟動。此時,屏幕顯示信息聲稱用戶的軟件許可已過期,要求郵寄189美元以解鎖系統。而“艾滋病信息木馬”也可以被看做是木馬、病毒及流氓軟件的共同始祖。
2006年出現的Redplus勒索木馬是我國首款本土勒索軟件。該木馬會隱藏用戶文檔,然後彈出窗口勒索贖金,金額從70元至200元不等。據我國計算機病毒應急處理中心統計,全國各地的該病毒及其變種的感染報告有580多例。而實際上用戶的文件並未丟失,只是被移動到一個具有隱藏屬性的文件夾中。
勒索支付手段升級:
從2013年的CryptoLocker病毒開始,比特幣進入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統,通常通過郵件附件傳播,附件執行後會對特定類型的文件進行加密,之後彈出付款窗口,也就是從這款軟件開始,黑客開始要求機構使用比特幣的支付贖金,而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入,按照比特幣最新6000美元左右的市價,這款病毒為其幕後的黑客帶來了數億美元的收入。
病毒也開源:
2015年一款名為Tox的勒索軟件開發平台正式發佈,通過註冊服務,任何人都可創建勒索軟件,管理面板會顯示感染數量、支付贖金人數以及總體收益,Tox的創始人收取贖金的20%。同年土耳其安全專家發佈了一款名為Hidden Tear的開源勒索軟件。它僅有12KB,雖然體量較小,但是麻雀雖小五臟俱全,這款軟件在傳播模組,破壞模組等方面的設計都非常出色。
儘管來自土耳其的黑客一再強調此軟件是為了讓人們更多地瞭解勒索軟件的工作原理,可它作為病毒軟件的開源產品,還是引發了諸多爭議的,一方面增加技術社區對於勒索軟件的認識,另一方面也加快的病毒技術的發展。後來那款由於破壞力超群而抱得大名的勒索病毒,WannaCry(一種“蠕蟲式”的勒索病毒軟件)據說就從開源的Hidden Tear當中借鑒了很多代碼。
結合社會工程攻擊,竊取大眾隱私信息:
近年來,針對某些快捷酒店住宿系統及私營醫院HIS系統的入侵、脫庫(脫庫指黑客入侵到系統後進行信息竊取)行為層出不窮,而2016年之前黑客一般只會將信息悄然盜出後在黑市上待價而沽,不過目前最新的趨勢是黑客在出售掉隱私信息之前還要對涉事機構行勒索。
比如2017年底美國好萊塢某醫療中心就被黑客攻陷,並勒索340萬美元的贖金,經過一番討價還價醫院最終支付了1.7萬美元想花錢了事,但是不久後該院的就診記錄就出現在了的數據黑市上。
而且最近的病毒明顯加強了“用戶體驗”的建設,會給用戶很強的心理暗示,比如某些最新的勒索軟件將UI設計成無法退出的界面,而且贖金隨時間漲價,還會以倒計時強化緊迫感。
後記
從最新的情況來看,公開兜售人臉數據的情況並不少見,一般每張人臉圖片搭配一份數據,包括人臉的各處關鍵點,甚至還標註了性別、情緒、顏值等具體信息,根據這些信息不但能夠換臉,而且還能生成3D人臉模型打印數據。
這樣的情況無疑將給人臉信息的濫用帶來極大風險,因此在這方面還需要多管齊下,另一方面也要儘快立法,從嚴打擊信息黑市。
作者簡介
馬超,CSDN博客專家、華為雲MVP,金融科技行業資深從業者,著名的國產操作系統及數據庫軟件的佈道者。
本文經授權發布,不代表36氪立場。
如若轉載請註明出處。來源出處:36氪
◤Yahoo購物中心16週年慶◢
👉萬元夯品天天抽 家電8.8折起
👉資訊電玩 超省優惠想不到
👉手機相機/行動娛樂 瘋殺折扣開想
👉舒壓周邊 直降6折起
◤果粉嗨起來◢
👉蘋果超強新機!iPhone 11這裡買最省
👉限量大優惠!AirPods Pro快來這裡挑吧
👉專業必備!蘋果iPad挑戰超低價
👉高效功能!多款蘋果筆電MacBook任你選
