从XPwn 2018未来安全探索盛会,看信息安全的未来
这几天,网友们都被一则新闻揪心了:《华住集团约5亿条用户隐私信息疑遭售卖》,华住旗下的汉庭等酒店的数据全部被“脱裤”。类似于的新闻,几乎每天都会见诸报端,比如同时期就有《超出想象!谷歌在安卓平台上收集用户数据,每小时上传14次》《子弹短信隐私保护条款引争议:信息泄露为何不担责》等类似新闻。
不只是数据泄露的隐私问题,系统漏洞、智能设备攻击,诸多新信息安全问题都在涌现,发生问题的严重性丝毫不比PC时代的病毒木马问题轻微。
信息安全,怎么关注,都不为过。8月30日,“XPwn2018 未来安全探索盛会”在北京召开,未来安全探索盛会由国家信息安全漏洞库(CNNVD)指导,北京未来安全主办,自2016年举办以来,已成为网络安全行业盛会,也是介于网络安全行业和大众消费市场间的桥梁,堪称信息安全行业的CES。
XPwn成为安全业的CES
今年,“XPwn2018 未来安全探索盛会”重点关注智能终端、智能家居、未来安全、公众安全等安全领域。来自蚂蚁金服光年实验室、百度安全实验室、未来安全胖猴实验室、中科院信工所和复旦大学等组成的破解团队,发现不同领域的安全漏洞,在破解的同时还提供解决方案。
百度安全实验室的安全研究员和复旦大学白泽战队选择了破解智能收银系统这一议题,攻破商户的智能收银系统,“免费吃大餐”,甚至还可将商户的钱盗走、篡改订单。
未来安全的胖猴实验室和中科院信工所,则瞄准了物联网设备,胖猴实验室的安全研究员演示了破解智能门锁的过程,被破解后的智能门锁输入任何密码都可以打开,形同虚设。传统门锁被破坏后马上就会被主人发现,然而智能门锁被破解后,黑客却可以不动声色,当成定时炸弹让业主成为“肉鸡”。如果智能门锁被破解就等于将家庭财产和人身安全暴露在坏人面前,想想都后背发凉。
从大会形式来看,XPwn承载的首要价值就是做安全行业交流平台,安全厂商、实验室和从业者在这里交流安全技术和产业趋势,帮助行业发现最需要关注的安全问题,以及找到应对办法。
不过,XPwn还有一个理念就是要帮助大众(消费者、普通企业)认识到各种身边的信息安全隐患,严加防患,同时XPwn希望让大众了解安全从业者在做什么,如何守护着大家的智能生活,进而提高人们的安全感。本次XPwn上,就有人展现了如何用极客方法抓娃娃,引发大众关注。
可以看到,XPwn一边是行业峰会,一边也是大众展会,堪称安全业CES。CES是全世界最大的消费电子展,是消费电子行业的交流盛会,也是消费电子厂商与消费者、流通商、零售商、媒体间的沟通桥梁,XPwn未来安全探索盛会,同样有着行业+大众的双重定位。
和往届相比,本届XPwn不只是关注生活中常见的安全问题,还关注未来信息技术领域开始露出苗头的潜在安全风险,探讨未来安全趋势,就像其名字一样,面向未来。事实上,CES也是全球各大电子产品企业发布产品信息和展示高科技水平及倡导未来生活方式的窗口,同样面向未来。
为什么说XPwn价值巨大?
科技圈各种峰会不少,每个科技巨头都有自己的大会,行业也有各种领袖峰会、主题大会,不过,安全行业集大会和展会于一体的盛会却不算多。XPwn自从2016年开办以来,短短两年时间,影响力就从信息安全小圈逐步放大到泛科技的大圈,正是因为它具有多重价值。
1、安全行业可以分享安全行业未来趋势和防御方法。如今的社会高度协同,谁都不能单打独斗,而是要学会用好他山之石。XPwn对于安全行业的价值就是帮助大家发现他山之石,这一个价值很各种行业峰会一样,只不过XPwn主题是聚焦安全,所以更加专业,安全类厂商、实验室、团队和从业者可以在这里开脑洞,涨知识,学技能,以及发现优秀人才、团队和企业。
2、各类企业可以提高安全意识,选择优质服务,加强防患。非安全类企业如今已成为重点攻击对象,互联网平台被“脱裤”这样的事儿都常有,更何况缺乏IT基础能力的普通企业。如今各行各业都在被“互联网+”,企业数据、服务和协作上云,信息安全自然愈发重要,企业要做的就是加强安全投入,参加XPwn就可以了解最新安全问题,甚至直接选择优质安全服务,防患于未然。
3、大众消费者可以提升安全意识,获得安全感。大众消费者如今随时面临信息安全威胁,小到数据被滥用收集、开房信息被泄露,大到家里门锁被攻破,让人防不胜防。XPwn具备信息安全的大众化科普价值,可以帮助大众消费者了解安全风险提高防范意识,获得安全感。
4、安全从业者可以正名黑客精神,工作更有成就感。很多人对安全从业者有很深的误会,将黑客与坏人联系在一起,事实上,黑客只是一种精神,发现问题和解决问题的极客精神。XPwn致力于增进大众对安全的了解和认识,让大众明白安全离生活并不遥远,让大家懂得极客和黑客精神的内涵,理解安全工作人员。
从XPwn洞察未来安全趋势
PC互联网时代,说到信息安全,我们首先会想到病毒,木马,如今这样的概念已经很少见到了,换句话说,病毒、木马在移动互联网时代以及IoT物联网时代,已经不再是核心问题了。不过,信息安全问题没有因此缓解,反而更加严重。
1、物联网时代安全问题更复杂。IoT时代,智能设备数量大爆炸的同时,种类繁多,更加分散,不再局限于PC、手机等少数设备以及系统,而是涉及到智能家居、智能家电、智能门锁、智能路由器、可穿戴设备、无人车、智能交通设备、无人机、工业自动化设备等等成百上千种硬件品类,不同设备面临不同问题,很难像PC防病毒软件一样靠“一招鲜”解决所有问题。
智能门锁攻击方法就各种各样,比如可以通过云端“脱裤”的方法,也可以通过刷固件的方式,在XPwn上胖猴实验室安全研究员如此介绍:
“当智能门锁漏洞被黑客利用后就将形同虚设:黑客利用漏洞将智能门锁的固件变成自己的,他们可以用任意密码打开你的大门,当这种情形发生后,你家中的财物便会不翼而飞,如果在公司,后果更是不堪设想。”
今年7月,网上还有一段“小黑盒”特斯拉线圈秒破智能门锁的视频被广为流传,视频中,有人手持特斯拉线圈在智能门锁前面晃了几下,智能门锁就被打开了,如同拿了门卡一般,经过测试,国产锁六七个中有两个打不开,其余都能轻松打开。
智能汽车的攻击方法说出来更是让人心有余悸,如果智能汽车被黑客操控,不只是可能给驾驶者带来安全风险,甚至可能会成为攻击他人的武器。或许正是因为看到了物联网时代的安全挑战,国内知名的安全巨头三六零在其最新战略中也将IoT当成核心的一环。
2、互联网+趋势下,信息安全一旦出问题,就有很严重的后果。
互联网正在渗透到各行各业,对于消费者来说,从出行到吃饭到住宿到医疗再到金融,一切生活都被互联网渗透;对于生产者来说,各种行业、各种工种、各种职位,每天都要跟各种智能设备/系统/应用打交道。这意味着一旦出现信息安全问题,我们的生活和生产就会被直接、彻底和全面影响,对于个人可能是隐私、财产和人身安全威胁,对于企业可能是完全停止运转,甚至倒闭。
比如XPwn上展示的,对商户智能收银系统的破解,就体现出互联网+环境下,安全问题的新挑战。如今商户收银都采取微信支付等电子支付手段,金融整体都在电子化,在线化和智能化,一旦被攻破后果将不堪设想,甚至可能导致金融灾难。
3、云计算时代,云端安全问题也让人忧心。
越来越多的数据和计算被放在云端,攻击者的供给对象也从过去的设备,变为了如今的设备、系统、应用、云端、传输等诸多环节。特别是云端,只要一出安全问题就是大问题,远的有Facebook被“数据门”搞得焦头烂额,近的有华住集团5亿条用户隐私信息被泄露,一出问题都是超级大问题。
4、隐私被暴露的机会越来越多,让人防不胜防。
如今,智能设备越来越多,App越来越多,我们的生活轨迹被互联网完整记录,从位置移动到生活习惯到社交关系再到消费记录,甚至资产情况,都被云端记录,各种隐私信息的泄露让人防不胜防,互联网平台“不小心”泄露数据,App有意收集数据进行贩卖或用于营销,快递员出于私利将地址信息贩卖……总之,用户隐私被暴露的机会越来越多,让人防不胜防。
正是因为安全挑战越来越多,安全形势十分严峻,所以,XPwn这样的安全盛会将会愈发重要,安全再怎么关注都不为过。政策层面也在积极支持安全产业发展,2016年以来,《网络安全法》《国家网络空间安全战略》、《“十三五”国家网络安全规划》等一系列重大文件相继发布实施,为网络安全产业健康发展提供了政策保障和法律依托,为网络安全技术创新、网络安全企业做大做强提供了宝贵机遇,今年全国网信工作会议提出,要积极发展网络安全产业,做到关口前移,防患于未然。在这样的大环境下,相信XPwn未来规模会越来越大,为我们的智能生活保驾护航。