中美两大黑客巅峰对话:如何杜绝网络大杀器
新一轮席卷全球的勒索病毒会在何时卷土重来?动辄可以威胁整个互联网安全的“大杀器”该如何应对?人工智能(AI)的安全如何防护?众多全球顶级黑客和安全专家,在第三届中国互联网安全领袖峰会(Cyber Security Summit,简称CSS2017)的一个小型圆桌论坛上,进行了详细解读。
2017年8月15日,主题为“安全新秩序,连接新机遇”的第三届中国互联网安全领袖峰会在北京国家会议中心召开。一个名为“网络大杀器的安全之道”圆桌论坛引起了众多安全圈和人工智能领域人士的关注。
图为世界头号传奇黑客凯文•米特尼克
论坛嘉宾包括世界头号传奇黑客凯文•米特尼克、KEEN公司CEO、GeekPwn大赛发起和创办人王琦、腾讯玄武实验室负责人“TK教主”于旸、美国加州大学伯克利分校教授Dawn Song、卡巴斯基实验室安全专家Vladimir Dashchenk、知道创宇CEO赵伟,论坛期间,中美两大黑客凯文和王琦就勒索病毒等网络“大杀器”的危害和如何应对时下安全热点问题展开精彩对话。
帮助人工智能安全成长才是未来网络“大杀器”的安全之道
当下的网络攻击呈现大规模,大危害的特点,被称作“大杀器”。网络时代“大杀器”横行,不但全球亿万网民遭到袭扰,更威胁着政府、企业、社会各界的正常运转。
如今物联网时时刻刻在面临着网络“大杀器”的威胁,那么在新兴的人工智能领域会不会出现这种“大杀器”级别的安全问题?来自美国加州大学伯克利分校教授Dawn Song在会上给出了肯定的答案。她认为, AI确实会给赋予人们一些新的能力,但是随着AI技术再往前发展,会涉及到很多未知领域,会有很多新的攻击场景,有可能被用做“大杀器”。
同时,她指出,在AI技术不断发展的过程中,应该需要一些有经验的技术人员对此加以防范,帮助人工智能健康发展。同时,整个安全领域和社会各个部门,都需要高度重视。
“大杀器”频频出手中美两大黑客对话安全
针对“大杀器”频发的案例,中国知名黑客王琦在圆桌讨论上和世界头号传奇黑客凯文·米特尼克对进行了对话,寻找解决方案。“我认为在WannaCry勒索病毒这个全球安全事件上,美国CIA应该向GeekPwn的白帽黑客学习,把漏洞给企业用于修复安全威胁,而不是藏着企业的漏洞不曝光。在你看来,政府和企业之间应该如何开放与合作?”王琦对凯文抛出了问题。
图为圆桌论坛嘉宾对话
事实上,业界普遍认为是,CIA手头里私藏的漏洞攻击工具泄漏后导致了WannaCry勒索病毒肆虐全球。凯文则回答道,不同国家都会有各种安全部门,以及各自不同的防卫安全体系,难免会有些员工为了利益或者其他原因而泄密。凯文表示,所以在WannaCry这种大杀器面前,不仅政府相关部门需要了解相关的问题和漏洞出在那里,也最好有专业的安全机构去处理类似的问题。
用黑客思维去预防“大杀器”威胁爆发
有意思的是,两大顶级黑客的观点不谋而合。众多全球顶级黑客参与的极棒大赛,正在成为预防大杀器爆发的重要活动。
“我们做极棒,就是要站在黑客的角度来思考问题,剖析这些危害的来源,从根源做起消灭漏洞”王琦表示。GeekPwn(极棒)作为全球最大关注智能生活的黑客赛事平台,2014年发起至今,已为行业贡献了上百个漏洞,提前制止了潜在大杀器造成的巨大威胁。
2015年极棒上,来自清华大学网络与信息安全实验室的同学发现了 HTTPS设计中的漏洞,利用该漏洞可导致用户机密信息被恶意泄漏或滥用,一举打破了加密传输 HTTPS的安全神话。
2016年极棒赛场上,来自美国加州大学的博士生曹跃展示了惊人的“远程任意TCP劫持连接技术”,这或是世界上第一个做到完全不需要中间人或者执行任何恶意代码就可以远程劫持连接的工作。攻击者在获知世界任意一地方受害者的IP地址后,即可能远程劫持其通讯。该漏洞将会影响超过14亿安卓设备和数以百万计的 Linux系统。
(清华大学网络与信息安全实验室)
在GeekPwn(极棒)2017年5月的比赛现场,其中一位挑战路由器的外国选手“crixer”,利用设备中的内存破坏漏洞,远程获取了网件路由器的root控制权限,同时进行DNS劫持攻击,和DOS(拒绝服务)攻击。“crixer”表示,被劫持的路由器可以形成僵尸网络,发起大规模的DDoS攻击,其破坏力难以估计。而2016年导致美国东部网络大面积瘫痪的元凶正是以摄像头为首的物联网设备。
类似的在极棒上面被发现的“大杀器”级别安全漏洞不胜枚举,王琦表示,极棒黑客比赛中的白帽黑客选手,不是搞破坏的,“我们就是想让‘大杀器’威胁止于极棒,提前发现并弥补更多漏洞。在极棒上面,每个选手成功的背后,我们就成功的避免了一次互联网的瘫痪,避免了千万人隐私的泄露,避免了一次可能难以计数的损失。”
GeekPwn正在与全球顶尖白帽黑客们一起寻找未来人工智能潜藏的风险,帮助人工智能安全成长。据悉,2017年,GeekPwn(极棒)把人工智能安全挑战赛列为全年重点项目,以500万的奖金池,开启了10月24日在上海、11月11日在硅谷的人工智能安全挑战赛的招募,接受全球顶尖AI安全极客的报名。