智能服务挑战信息安全——石文昌教授访谈

发布时间:2014-10-30 08:37 浏览量:7788来源:青年人大作者: 袁蔚然 吴乃歆 张凌风 武明媛 李宛真

随着智能技术不断发展,人们对互联网的以来逐渐增强,但信息技术的大幅度发展同时也让信息安全面临越来越大的挑战。我院信息安全专业石文昌教授就此接受了《青年人大》采访,略有删减,转载如下:

在过去,我们每天只花几小时在手机和电脑上。而如今,随着电子科技发展,我们花在电子产品上的时间远大于过去,在智能产品上存储了大量的个人信息。我们对手机电脑的依赖逐渐增强。

而近一年来,随着美国“棱镜”计划、奥斯卡影后艳照曝光后,小龙女李若彤的经纪人被电信诈骗一百万、高校校花的个人信息泄露等网络危机事件出现,互联网在给人们便捷服务的同时也带来了危险的隐患,引起了社会广泛的关注。正如“病毒”之父弗雷德·科恩(Fred Cohen)在中国互联网安全大会(ISC2014)上所说:“苍蝇不会叮一颗无缝的鸡蛋,而互联网上几乎到处都是裂缝。”

海量信息如何泄露

信息学院2012级本科生余霞玉经常受到各种电话和短信的骚扰,比如留学公司经常打来电话向她推销留学服务,对方在电话中不仅能说出她的姓名,还知道她最近参加了托福考试,连考试的时间地点都能说出,这让她感觉很纳闷并且恼怒。那么,我们的私人信息究竟是如何被别人窥探的呢?信息学院信息安全专业石文昌教授介绍了信息泄露的几种途径。

木马病毒

在石文昌教授看来,木马病毒是最普遍的一种信息泄露的途径,因为我们经常会向电脑里下载大量的软件和其他资料。“表面上好玩、好用的软件,比如游戏和电影,(我们下载的时候)往往没有去判断这些东西有没有问题。而大量的网上的这类东西,都是有问题的。”石文昌教授还谈到“木马”这个名字的由来。“‘特洛伊木马’的故事大家都明白,也就是说,表面上看这个软件很好玩,实际上它里面有恶意功能。所谓恶意功能,可能就是很小的一段代码,这就足够了。一小段代码一般人是根本无法察觉的。”

石文昌教授还谈到,木马一旦侵入电脑系统,会自动按照设计者的指令来运行,“下载木马到电脑上,就相当于把一个隐形的坏人引到家里,他能在你不知不觉的情况下干各种事情。比如,复制你电脑上的敏感信息、重要信息,将这些信息传动到设计者指定的地方。”

然而,木马并不一定是要下载下来才能运作,“有时候你可能只点击了某个互联网上的访问链接,而这些链接本身可能也是恶意的。点击链接相当于执行了一个程序,这个链接实际上是连接到远端的服务端程序。而那些程序也可以是恶意的程序。也就是通常大家听到的一个词——网站挂马。点击挂马网站的恶意链接,和你直接下载木马的效果是一样的。”

信息传输泄露信息

石文昌教授认为,这种信息传输的漏洞要追溯到网络协议的根源。“电子信息都是通过网络传输的,而且传输协议规定,网络信息不是一对一的,而是采取广播的方式来传输,这样就容易被‘窃听’。”他打了个比方,“假如我是A,我要传个东西给B,它就说‘我要发一个东西,接受者是B’,然后广播出去。网络初始设置的时候默认大家都是好人,不是B的人会主动拒绝接接收,只有真正的B才会接收文件。但是实际上别人也可以(撒谎)说自己是B来接收文件。所以只要我装一个软件在网络上,就可以嗅探(窃听网络上流经的数据包)一下,把在网络上广播的东西都复制过来,而且不影响别人接收。这样就可以获得在网上传输的所有信息,这比种方式比传统的打电话监听还要容易得多。”

当所有的设备都接入网络以后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的这种可能的入口就会越多。“过去,我们可以把电脑放在一个屋子里,我们可以把一个网络进行隔离,但今天你会发现越来越多的可能不起眼的设备都支持Wi-Fi和蓝牙,这里面有太多可以被别人攻击的点。”

石文昌教授还指出,在无线网高度覆盖的今天,这种“嗅探”就更容易了。“因为无线信号从你的设备发出去后,所有在这个空间里的设备都能接收,只是能不能识别的问题。”

谈到信息识别,石文昌教授谈到:“大多数情况(信息)都是明文传输的,没有经过加密,谁都能识别。那就意味着,我登陆邮箱,输入账户名和密码,这一切在网络上都是能看得见的。比如说新中关的金逸影城,它的网站就是完全明文的。如果你是会员,在网上充值或者输入账号和身份证号码后,这些信息在传输中都是明文,根据刚才所说的传输的道理,这一切都是在众目睽睽之下。”

“当然加密处理了也并不是绝对的安全,因为加密也可以破解,虽然现在的加密技术很成熟,但是很多公司为了省事和节约成本,就做的比较简单。”石文昌教授认为,在这个层面上用户往往是无能为力的,这也是未来信息安全的挑战。

服务器泄露

“服务端的泄露比刚才说的客户端的泄露要严重得多。因为它存储了大量用户的信息,而且很多信息都是私密的。”石文昌教授说道,“这些服务器一旦被黑客入侵,不仅是企业的内部信息被探知,用户所有的个人注册信息、网站用户资料就全部会被泄露。”他举了一个最近发生的例子,“美国最大家居建材零售商家得宝公司的服务器最近遭到了黑客入侵,导致大量用户的个人信息和信用卡信息被泄露出去,这比其他途径的信息泄露严重得多。”

石文昌教授还指出,在加密技术很成熟的今天,很多公司为了方便,还是直接将用户信息明码储存在服务器上,这是一种很危险的存储方式。

新华网在2011年报道了天涯社区网站用户资料泄露的消息。在其网站的系统服务器受到黑客攻击后,超过4000万用的户信息密码被泄露,就是由于天涯社区将用户信息全部以明码储存(用户输入什么信息,存在数据库里就是什么信息)的方式保存在服务器上。

其他情形

余霞玉在收到快递之后通常会将快递单里姓名和号码一栏涂黑,据她自己解释说,由于快递单上有自己的姓名和电话号码,如果被他人恶意利用,自己可能会接到很多骚扰电话。“由于我本人就是学信息安全专业的,所以在这方面可能会更注意一些,至少不能自己主动泄露个人信息吧。”

个人主动泄露信息的方式还有许多,石文昌教授说:“现在很多人用微信共享,对朋友来说很方便,但是对于坏人来说就是主动些漏了你的位置信息。”

移动设备是否安全

中国互联网络信息中心(CNNIC)发布的数据显示:截至2013 年12 月底,中国网民规模达6.18 亿,同比增长9.6%;手机网民规模达5.0 亿,同比增长19.0%,占总网民数的81.0%。手机支付用户规模达到1.25 亿,同比增长了126.0%,占手机网民总量的25.0%。

移动设备上的信息安全

对于存储在机器上的信息安保护问题,石文昌教授认为不管是手机还是台式机,信息的安全性和它的基本的运行环境是对安全有直接影响的。

“如果你们用安卓系统的话,就会感觉到安卓的手机环境非常乱,东西非常多。而且可能你下载一个软件之后,很多乱七八糟的东西都进来了。那么就是说这个软件所在的系统环境安全性还是不行。而且不同的厂家,他们出的手机配置有所不同。”相比与安卓系统来说,石文昌教授认为苹果的系统比较稳定。“IOS系统里有一套比较严格的检查制度,并不是随便一个软件到那儿都能用,它要经过检测,没有问题才能用。”他还指出,现在国内出现的很多“越狱”行为对IOS的安全机制影响非常大。“所谓‘越狱’,就是破坏它原有的安全机制,逃脱检查,随便一个软件拿过来都可以运行。”

移动安全研究员高雪峰在2014中国互联网安全大会(ISC2014)的分论坛上介绍了iPhone手机所用的IOS系统信息加密的逻辑思维,“只有在非锁屏的情况下,它的数据才是可读的,如果没有解锁的话,它一直处于加密状态。”

而据他介绍,苹果手机系统的7.0版本有一个加密漏洞,“我们解锁了iPhone手机的屏幕之后,它的文件就不在加密的状态,而我们再一次锁屏之后,按理说它应该又变成一个加密的状态,但实际上没有。”该漏洞在7.1.1已经修复,最新的7.1.2都没有这个问题。

在安全大会上,高雪峰还曝光了一款邪恶iPhone充电器,用这种充电器给手机充电时,仅需从灯亮到灯灭的短短十几分钟时间,就隐秘地在手机上安装软件,并且将iPhone手机特别是越狱手机的通话记录、照片、账户密码等都可被轻松获取,通过一些底层通讯软件被窃取到“充电器”中。

在石文昌教授看来,除了手机之外,当家里的智能家居这些东西有了上网的功能以后,更容易被不法分子利用。“如果在机顶盒里加了一个计算机,有摄像头可以进行交互(即电子产品自动地对用户的行为做出反应),很简单地放一些恶意软件就可以利用它来了解你家里的一些情况。像我们的手机就非常容易就变成了一个窃听器和跟踪器,联网的情况之下那些软件把你的通讯很清楚地传出去。”

移动支付是否可靠

从支付宝的快捷支付,到各类手机银行APP软件,移动支付在最近几年的发展很快。目前,国内外各大银行推出的网银手机客户端应用产品多达170 余款。根据艾瑞咨询提供的数据来看,从2010年到2013年,中国第三方互联网支付交易规模的年均增速接近80%,其中,移动支付交易规模的年均增速接近300%。2013年中国第三方互联网支付市场交易规模达53729.8亿,同比增速46.8%。

由于移动支付的便捷,新闻学院2013级本科生龙虹铭虽然经常使用手机支付宝为自己的购物付款,但是他很担心这种支付安全性的。“我不会在里面留很多钱,一般不超过两百。”

对于移动支付的安全性,国内某安全公司的内部调查报告显示,该安全公司去年共截获Android 平台新增恶意程序样本67.1 万个。其中,约有吸费木马45 万款,占比为67%,吸费木马中包括46%的资费消耗(主要是消耗上网流量)类恶意程序和21%的恶意扣费类恶意程序(主要是暗中发送扣费短信定制增值服务或在后台偷偷拨打吸费电话)。

这种恶意程序的存在往往是由于系统漏洞。石文昌教授表示购物系统的漏洞无法避免,所以安全性无从保障。他举了一个例子,美国学者曾对亚马逊一类的购物系统做过研究,找到了系统的漏洞,入侵后会造成不付钱也能买东西的后果。他解释道:“客户上购物网站买东西付款,是向银行而不是这个购物网站支付,支付完后银行也没有把钱转给这个网站,只是告诉它客户已经付款。所谓漏洞就是客户没有付款,但银行有可能告诉它付过了,这样就会出现恶意消费。”

除了此类不可避免的漏洞外,石文昌教授还指出一些技术含量更低的漏洞,就是欺骗手段,“比如说钓鱼网站,它和购物网站的支付页面看起来都是一样的,地址看起来也很像,链接到它那里之后,你的信息输入进去,它就可以获取你的信息。”为了避免用户察觉,犯罪分子还有其他手段。“本来你输入的信息都是正确的,它会弹出来(对话框)说你输错了,用户肯定认为自己确实输错了,而不会怀疑系统。这种情况下它再给你链接到真的支付宝上去,你再次输入时就正确了,然后你再支付,没有意识的话你就不会知道实际上你的东西已经被拿走了。”

所以,石文昌教授建议移动设备在支付时要确保系统的环境,不要在开着游戏或其他软件网页的时候使用。“这倒不是说支付软件本身有问题,但有时候环境比较乱,可能有木马和病毒,在这种情况下,尽管软件本身没问题,但是木马可以获取你的银行账号支付密码这些非常重要的信息,那么就不安全了。”

石文昌教授还指出,这种犯罪手法十分常见。比如上网买机票,犯罪分子通过这样的途径欺骗用户。“像刚才那个例子,它在你不知情时获取你的密码(等重要信息),偷取你的资金,进行转账等(犯罪活动)。这种案例很多,报道很多,法院判的也不少。”

“官方”号码骗财有道

外国语学院 2013级本科生杨栋曾在买机票的过程中损失了将近2000块钱。“我买票付款完以后,有条短信通知我说航班取消,我就按照上面的电话打过去问。”短信号码是以400开头的,所以他并未怀疑过这条短信的真实性。“对方说要补偿给我赔偿金,要我提供银行账号。但是还要手续费,让我先转一笔钱。等我把钱转出去,对方说我那张卡不行,还要去ATM机用另一张卡操作。这时候我就觉得不对劲了,才意识到被骗了。后来去派出所报案,但也没有结果。”

据记者了解,这种以“400”开头的短信号码是用伪基站设备来生成的,通常被犯罪分子用来迷惑用户。伪基站设备是一种实施电信诈骗的高科技仪器。它主要由无线电收发设备和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的手机卡信息,并可以任意冒用他人手机号码或公用服务号码向范围内的手机发送短信息和拨打电话。

据调查显示,伪基站经常伪装成“10086”号码或者与其相似的号码,例如1008611888,还有的冒充银行短信号码,例如95588567898,或者冒充“400”系列的客服号码,例如4000316091。诈骗的惯用手法是告诉用户“您的电子密码器将于次日失效”或者“您的XX信用卡积分可以兑换奖品”,然后附上一个链接,当用户点开链接输入登录信息和密码时,犯罪分子就能将信息全部获取。而这属于主动泄露密码的情况,保险公司将不予赔偿。

图说:石文昌教授在2014年中央和国家机关司级干部选学班上做信息安全讲座

安全防御:最重要的是提高个人意识

石文昌教授提到了最近自己收到的一封邮件,标识的姓名写的是Apple,邮件内容大概是说收件人的Apple账户有问题,让收件人修改用户信息。“你看,他虽然叫‘Apple’,但是你只要把光标移到发件人上,它就会显示这个邮件的具体的Email信息,这个Email地址一看就知道和Apple根本没有关系。那你立马就可以判断这样的邮件是有问题的。”

“这种东西叫社会工程学,实际上就是一种欺骗手段。还有冒充工商银行的给你发短信,说你的密码器要过期了,也是指引你要怎么做。工商银行的号码是95588,而诈骗号码的尾号是95588,前面还有一串东西,那你只要稍微有一点意识的话,也不难看出。”

除了避免诈骗外,石文昌教授还指出,还要避免主动泄露敏感信息,例如社交软件的账号和通讯录。新闻学院2013级本科生龙虹铭就曾接到过诈骗电话,对方声称自己是他哥哥的同学。“我哥当时在广州上学,他在电话里说我哥出车祸了,已经送去医院急救,需要好几万块钱。”他说自己当时年龄尚小,不知道该怎么办,“我特别地着急,就把我妈妈的电话号码告诉他了,我妈一听到这个消息都哭了。”然而,全家人都联系不到哥哥,“我爸去找了我哥在广州的朋友,最终才联系到我哥,之后才发现那人是骗子。”

一家人沟通后才知道,骗子提前一天冒充中国移动的工作人员,以信号检修为由,让龙虹铭的哥哥第二天关闭手机。“他说如果不把手机关掉的话,就会无限制扣话费。我哥就相信了他。所以那天就联系不到我哥。”这就是通讯录泄露造成的后果。

石文昌教授还建议我们不要在网上乱下载东西,在网上传输重要信息的时候得想一想会不会泄露,“我就发现有很多人,对方说要他的身份证号码,他直接就发过去了,这就属于安全意识不强(的情况)。我一般就不会把我的信息用邮件之类的直接传过去,起码要做一下简单的加密。”他还说出一个判别网站是否明文传输的方法,“通常情况下,如果网址显示http,那么就是明文传输的;如果显示https的就是加密传输。以上这些小的技巧也没有太多的技术方面的东西,只要你留意了,有意识的,就做得到。”