当威胁变得怪异时,安全解决方案会变得更怪异
2018-01-18MikeElgan著杨勇译
Mike+Elgan著+杨勇译
安全世界变得异常怪异,而解决方案可能比威胁更怪异。
上个月周我就说过,一些技术大公司被发现故意把潜在的漏洞放到移动操作系统中,而且丝毫没有让用户知情的意思。
其中一个被谷歌放到了安卓系统中。在这种情况下,安卓系统被发现在传送位置数据,而且不需要电话的GPS系统,甚至也不需要安装SIM卡。谷歌声称从未存储或者使用过这些数据,后来它终止了这种做法。
对于移动应用,跟踪确实是个问题,这个问题在自带设备(BYOD)策略中被低估了。
耶鲁大学法学院的隐私实验室和法国的非营利组织Exodus Privacy研究表明,他们调查的300多个Android应用程序中75%以上都含有某种跟踪器,主要用于广告、行为分析或者位置跟踪。
大部分位置跟踪器依赖于访问GPS信息,而这需要用户选择是否打开GPS。但现在,普林斯顿大学的研究人员开发了一款名为PinMe的应用软件,不使用GPS信息便能够收集智能手机的位置信息,这就说明有可能出现隐私泄露。
总的来说,我们曾认为关闭手机位置功能就能够保护我们不会被定位监视——这种想法已经过时了。
实际上,我们在安全上的很多假设都受到了实际新情况的挑战。以双重身份验证为例。
Javelin Strategy & Research上个月发布的一份报告称,目前多重身份验证的应用正在“遭到破坏”。企业还没有充分利用双重和多重身份验证功能,只有三分之一多点的企业使用了“两重或者多重身份验证功能来保护对其数据和系统的访问。”
因此,我们不能再像以前那样信任双重身份验证——即使我们信任它,其应用也没有完全普及开来。
那我们当然可以信任苹果设备,对吧?苹果因其强大的安全特性而名声赫赫。或者,我应该说,“曾经有过”这样的声誉。
本周,苹果针对一个重大的安全漏洞进行道歉并发布了补丁,由于这一漏洞的存在,任何人只要接触到运行macOS High Sierra的苹果计算机,不需要密码就能够获得完全访问权限(简单地使用“root”做为用户名即可)。
苹果修复了这个漏洞。但事实上,这个漏洞是新出现的,而且很怪异,挑战了我们对苹果安全信誉的看法。
苹果新的Face ID身份验证功能已经被研究人员破解,一些安全专家拒绝使用它。破解Face ID有各种各样的方法,从简单地找一个面貌相似的人,到制作一个逼真的面具来欺骗它,等等。很显然,网络犯罪分子也会制作并带上面具。
在风险面前,一些身份验证系统看起来根本无法保护我们免受风险的威胁。
据报道,脸书正在测试一项身份验证方案,要求用户在登录时自拍。而很多智能手机照片都含有时间和位置信息。
在过去的一两个月里,我们曾经的安全假设被颠覆了。过去我们认为安全的,再也不安全了。而且这变得更糟,不是更好。
软件安全公司McAfee本月指出,2018年将是新一轮更猛烈的攻击,因为“攻击者会更多的利用机器学习进行攻击,试着把机器学习和人工智能(AI)组合起来,竭尽全力去发现并破坏防御方的机器学习模型。”
我们当前的安全系统已经被攻破,“攻击者”变得非常老练。
我们需要的是更好,甚至更极端的安全措施,而且普通用户在实际生活中也可以使用。
但我们有理由乐观。
当威胁变得怪异时,解决方案会变得更怪异
两位谷歌的研究人员已经开发出一种机器学习技术,可以实时检测出是否有人在偷窥您智能手机的屏幕。
该系统结合面部识别(谁在摄像头前)和凝视检测(他们正在看什么),以防止“背后偷窥者”偷窥您的屏幕。
这一检测工作在一秒钟内就完成了,在实际应用中,如果出現背后偷窥事件,会导致屏幕变暗。
面部识别技术的能力类似于HBO电视剧“硅谷”的Not Hotdog应用程序:它并不是要识别每个人,而只是要识别出每个人是授权用户还是非授权用户。如果是非授权用户,则拒绝访问。
这在概念上明显优于目前智能手机上使用的面部识别技术——经过授权的人脸能够解锁设备,而设备一旦解锁,任何人都可以看到屏幕上的内容。
这种技术背后的关键概念是持续的实时认证,而不是一次验证后任何人都能看到或者使用设备。
据最近通过的一项谷歌专利,谷歌也在考虑一种“用户检测笔记本电脑盖”。
该专利描述了一种为授权用户自动打开的笔记本电脑盖,当用户移动头部时,它会随着摆动而直接面对用户的脸部。
它通过使用两个摄像头来工作,一个在盖子外面,一个在里面。这些都用于检测和识别人脸。当授权用户接近Pixelbook(据推测)时,盖子会实际解锁并打开。在授权用户离开房间后的一段时间内,笔记本盖子会自动关闭并进行物理锁定。
该专利还提出了使用其他身份验证方式的可能性,即NFC、蓝牙配对、语音ID、虹膜扫描或者手势识别,以及各种方式的组合。
从安全的角度来看,这种想法是引入物理锁定来进行身份验证,授权用户可以方便的自动解锁。
一些其他形式的身份验证也在不断完善中。例如,语音ID在概念上非常好,因为它很简单——毕竟,我们都要与我们的手机通话,因此自然的可以通过语音进行身份验证。不幸的是,这很容易被欺骗。
佛罗里达大学的研究人员已经开发出了一种验证语音ID的技术。其设计初衷是通过技术手段,根据用户声音模式来验证用户。而这可以被高质量的录音所欺骗,因此,研究人员开发了VoiceGesture,它使用智能手机发出超声波,用户的脸会把这些声波反射回去。它能够确认,被授权的声音实际上是由实体人实时说出的,而不是录音。
当然,所有这些技术都使用了人工智能。人工智能是网络安全更好的向前发展的关键所在。
IT界有一个众所周知的格言,一旦你开发出了傻瓜式的东西,那就造就了一个傻瓜。也就是说:用户通常是任何安全链中最薄弱的环节。这就是为什么人工智能能够帮助用户做出更好决策的原因。例如,一家名为KnowBe4的公司正在开发一款人工智能虚拟助理,为用户提供安全决策建议(例如,“你最好不要下载那个附件,Dave”)。
您应该知道的是,昨天的网络攻击明年将变成奇怪的、意想不到的新威胁,其中很多会采用人工智能。最好(或者唯一)的防御将是基于人工智能的怪异的新解决方案。
一场人工智能军备竞赛即将来临。这将是我们从未见过的。endprint