Zi 字媒體

2050年的世界會變得怎樣？第三屆中國互聯網安全領袖峰會CSS的遙望

2021/12/25

我們常說，我們這代人生活在科技發展的拐點上，就算只說消費科技發展的這 10 年——2007 年的人能否想象現如今人們的生活方式：出門不需要帶錢、每時每刻都有人在拍照發朋友圈、個人視頻直播、用手機 App 叫外賣。如果你穿越到 10 年前，你還能適應當年連微博、智能手機都還沒真正紅起來的時代嗎？
去年的 ISC 大會上，微軟可信賴計算機網路安全戰略總監褚誠雲說，加拿大卡爾加里大學網路遭遇勒索軟體，而這所學校竟然最終選擇了向勒索軟體作者支付贖金——這件事在前兩年引起了廣泛的爭議，即一個正規學府，居然最終向犯罪分子低頭。

而在這兩天電子技術標準化研究院、騰訊安全和信息安全認證中心主辦的 CSS 2017 第三屆互聯網安全領袖峰會上，IBM Security 全球首席資訊安全架構師李承達在主題演講提到的數字舉例中卻說，全球 70% 遭遇了勒索軟體的企業高管的確會支付贖金，以恢複數據，而且不少付出的金錢數額還很高。

在去年看來還會引發社會討論的事情，到了今年卻已經司空見慣。FreeBuf 這半年追蹤了很多遭遇勒索軟體的組織機構，比如前不久韓國主機託管公司 Nayana 遭遇勒索軟體攻擊后，決定支付 100 萬美元贖金；近期 HBO 被黑客攻擊后，據說已經打算給黑客付 25 萬美元來解決問題（雖然並非遭遇勒索軟體）… 這可能也是技術發展帶來的某種問題，即隨著科技的發展，我們是否已經無力解決安全問題？

2050 年的世界會是怎樣？

今年的 CSS 2017 大會，其中一個最火的關鍵詞可能並不是「協作」，雖然這是這兩年安全廠商喊得最為頻繁的一個辭彙，而是「WannaCry」 —— 大會首日主論壇的每一名演講嘉賓幾乎都提到了 WannaCry。這是今年的安全行業，乃至整個電子科技行業和社會，都無法逃避的問題。

大會專門請到的「世界頭號傳奇黑客」，原本是 FBI 通緝犯，現如今已經是 FBI 網路安全顧問的米特尼克（Kevin David Mitnick）就在大會現場，通過 Windows 虛擬機親自演示了通過社工的方式來感染 WannaCry 勒索程序，甚至根本不需要「永恆之藍」發揮作用。（前一陣 FreeBuf 採訪諸葛建偉的時候，他還特別給我們推薦了他翻譯的一本書《線上幽靈》，這本書就是這位傳說中大名鼎鼎的米特尼克大神的自傳，有興趣的各位可以看一看。）

現身會場的米特尼克大神，後面那股眼神是… TK?

可能就是 WannaCry 真正開始讓普通人也知道什麼叫勒索軟體，以及安全行業今年的大量報告都把勒索軟體當成是未來很長一段時間內的頭號大敵，就像騰訊安全雲鼎實驗室負責人董志強說的，黑客們的變現方式已經開始發生轉變（改從木馬轉到勒索程序）。這大概是去年科研院校向黑客支付贖金讓人們嘩然，而到了今年支付贖金成為常態的一大原因。這也是科技的發展帶來的副產品嗎？

這之間的關聯可能還沒有那麼大，在首日最後的圓桌論壇上（題為《網路「大殺器」的安全之道》）知道創宇 CEO 趙偉再度提到了去年年末的 IoT 殭屍網路大熱門「Mirai」。這可以說是科技發展帶來的最直截了當的「禮物」，在人們都還沒有意識到 IoT 時代來臨的時候，Mirai 已經敲響最大規模 DDoS 警鐘。

在科技發展如此之快的當下，你知道 2050 年的世界會變得何其不堪一擊嗎？

卡巴斯基實驗室安全專家 Vladimir Dashchenko

卡巴斯基實驗室安全專家 Vladimir Dashchenko 在主論壇上分享的議題《The 2050: Bright Future or Dark Ages（2050年：到來的是光明還是黑暗）》以極為有趣的方式闡述了這一點。他提到了所謂的工業 3.0、4.0 和 5.0 時代。

按照時代的主流說法，我們現在正身處工業 3.0 時代，以機器、自動化和計算機為代表。未來，我們正在向工業 4.0 時代過渡 —— 4.0 時代的特徵包括萬物互聯、通訊、大數據。IoT 設備是萬物互聯的具體實現，不過當代的 IoT 設備，即便已經發展到智能家居也不過是小打小鬧。在 4.0 時代，我們會更廣泛地見識到模擬機械義肢或者帶晶元的隱形眼鏡，這些都是聯網的。

但在現如今的健康醫療領域，IoT 的應用已經比較廣泛，比如說頗為常見的心臟起搏器，還有未來可能更為常見的植入式設備，植入人體。這是時代發展驅使的技術進步，但 MIT 的一份研究顯示，近一年就有 150 萬台此類醫療設施被召回，這個數字聽起來可能沒有什麼。

但請仔細想一想，手機、汽車這類設備的召回似乎可以是輕而易舉的，但醫療健康領域的植入式 IoT 設備如果因為安全問題，而需要召回，就不止是企業損失金錢的問題了，而是人命攸關的大事，更何況這還需要考慮到召回的難度，或者說解決其安全問題需要耗費的成本。

Bright future or dark ages?

到了 2050 年，或許已經發展至工業 5.0 時代。不光是義肢看起來已經和真的差不多，媒體播放器大概都可以直接植入人體內（或隱形眼鏡中），直接在大腦內產生影像；再大膽想象，是否可能產生植入人腦的 IoT 設備；另外結合虛擬現實技術，你大概可以隨時和你的朋友外出逛街，可她可能身處地球另一端，技術也依然有頒發實現；再比如模塊化的汽車，這些都會是信息時代可以想見的未來。

但當這些通通存在安全問題時，如果安全漏洞嚴重到需要對硬體設備作召回，從大腦中取出晶元、拿走義肢，這大概不會比停電來得比對當代人的影響小。

所以其中宣導的理念究竟是什麼？就是在任何一款產品，無論軟硬體，在設計之初就需要將安全問題考慮在內，令安全成為設計開發的一個環節，才有可能將威脅降到最低。如果說植入大腦的晶元在遭遇攻擊后，可以讓用戶產生惡意的念頭和想法；採用虛擬現實或現實增強技術，和你一起逛街走在路上那個人其實根本就不是你朋友，這個黑暗的 2050 是否將顯得尤為邪惡？

真的是技術在推動安全的發展嗎？

實際上卡巴斯基專門做了個 the Project of 2050 Earth 項目，用於暢想人們 2050 年的生活，每個人都可以去其中進行假設，比如大概人們都在操縱飛船，而這些飛船如若成為殭屍網路的組成部分，世界會變成怎樣？

你可能覺得這些事都太遙遠了：在如今這個技術呈指數級發展的時代，前兩年我們還在喊著的很多東西早已成為現實，且服務於我們的生活，比如說雲計算，這在企業市場壓根兒就不是什麼新貨；去年我們提「聚力賦能」「協同聯動」，這不是現在大家都正在做的事情嗎？看看國際市場上形成閉環的安全產品，哪家還沒有在和合作夥伴一起搞「協同聯動」的威脅情報？

VISA 公司副董事長兼首席風險官 Ellen Rickey

VISA 公司副董事長兼首席風險官 Ellen Rickey 在題為《未來的數字化：保衛互聯世界》的演講中提到，上世紀 90 年代，去銀行搶錢還是真正的搶現金，現在則是通過電子支付系統將錢據為己有，移動技術的出現又加深了其中的安全問題。從 1993 年開始做欺詐探測系統，到 EMV 晶元卡問世，以及其後的神經網路分析、機器學習，以及近兩年的生物識別、網路威脅輿情分析共享和深入學習分析。現如今 VISA 有自己的情報網，專門進行惡意程序研究，會和受害用戶溝通，了解犯罪網路的使用情況，了解信用卡信息買賣。

這其實已經是協同聯動的一種表徵了，更何況 VISA 甚至並非專門從事安全研究的企業。Rickey 舉了個例子，她說早前有家餐廳數據遭遇泄露，VISA 對惡意軟體分析報告下發給所有可能面臨攻擊的商戶，其中有個商戶將其中信息放入 IPS 系統中，便立即發現其中的相同 IP 並阻止了進一步的數據泄露。

這個時代的發展，大約有了我們剛參加完展會，輪轉一年已非昨日的既視感。當我們在談著人工智慧和機器學習的時候，很多人可能都還以為，AI 「將來」會為安全行業作出貢獻。顯然技術的發展正在推動安全的進步，機器學習不正是佐證嗎？FreeBuf 過去一年的安全快訊報道了那麼多機器學習初創企業被安全公司收購的例子，都表明這是個熱點，或者說人工智慧有沒有可能成為未來消除攻防不對等的一個重要技術？

但請等一等，前不久剛剛結束的 Black Hat USA 2017 大會上，技術專家 Hyrum Anderson 發表了一個有趣的議題，即機器學習如果能夠學會檢測惡意程序，那麼它也可以用來躲避檢測。所以機器學習拉開了新一輪的貓鼠遊戲。

美國加州大學伯克利分校教授宋曉東

在昨天的 CSS 2017 大會上，美國加州大學伯克利分校教授宋曉東擴展了這個議題，《Future of AI and Cybersecurity》。或許以人工智慧來挖洞可能的確是個新興技術議題，但人工智慧為攻擊者創造的價值，卻從來不亞於其為防禦者創造的價值。

新技術究竟推動了安全，還是推動了攻擊者？

宋曉東現如今是人工智慧研究方面的專家，她在演講前半程詳細談到了針對固件挖洞，利用機器學習找出不同產品固件的代碼特性，讓人工智慧最終實現漏洞的自動檢測與修復，還有攻擊檢測防護、軟體安全認證等。這聽起來就是人工智慧在推動安全發展的過程。

Attack AI – 試想對人工智慧本身進行攻擊的場景，可以導致機器學習系統產生錯誤的結果，甚至產生攻擊者想要其產生的結果；
Misuse AI – 而還有一個場景，則是對人工智慧進行濫用，包括利用人工智慧來發現目標系統中的漏洞，然後發動攻擊。

針對其中 Attack AI，現如今的研究其實已經比較多樣了。上周 FreeBuf 的早餐鋪中還提到一種針對深度學習系統的攻擊，即自動駕駛汽車能夠識別路邊的交通標誌，但按照攻擊者意願，只需要在其上貼上些小標籤或者塗鴉，就能欺騙深度學習系統，如將「停」標誌識別為「限速 75」。宋曉東為我們解釋了其中深度學習系統對圖像的理解演算法，及對抗樣本（即被篡改后的圖像）究竟是如何欺騙系統的。

這種交通標誌，在攻擊者看來，只需要修改其中的一小部分，就能讓深度學習系統將其理解為攻擊者期望的內容。再進一步，很多原始圖像和對抗樣本，在肉眼看來幾乎是沒有區別的，但在深度學習系統眼中，它就是個不同的東西。這種攻擊，對於人工智慧的影響將會是非常大的。宋曉東說，現在並沒有有效的防護措施來應對這種對抗樣本攻擊。

除了對抗樣本之外，還有對抗機器學習，即以攻擊者期望的方式讓系統進行機器學習，比如在培訓階段進行攻擊，比如對培訓數據集下手，學習錯誤的模型（微軟先前的 Twitter 聊天機器人就可以認為是這種），還可以選擇性地給出一些培訓數據。

所以解決 AI 學習系統的安全性，需要從軟體層面、學習層面和分發層面著手，且缺其一不可。軟體層面可理解為通常意義上軟體的安全問題，這類問題或許還比較好解決；但學習層面的問題就顯得非常複雜。這一領域的研究原本就還存在著大量尚未掌握的問題，所以宋曉東的這個議題最終是以一連串開放性問題結尾的。包括：

如何更好地理解 AI 學習系統對於安全的意義？
當某個學習系統被攻擊，該如何檢測？
如何緩解 AI 的濫用？
對確保採用安全 AI 的問題上，究竟該採取何種策略？
…

那麼這些高端技術不僅推動了攻擊者的進化，而且還增加了防禦者的難度。人工智慧這類技術的發展還是在推動安全的發展嗎？還是說實際上，所有技術的發展都是在增加這個信息時代的攻擊面呢？這似乎是個不言而喻的問題。

順帶一提，IBM 這些年始終在推廣的認知安全技術，以人工智慧的方式去搜集大量數據，並挖掘、理解，為安全提供解決方案。實際上李承達在去年的 FIT 2017 大會上就詳細介紹過認知安全。我們倒是很想知道，IBM 是如何應對宋曉東教授談到的這些問題的。

安全不應再有邊界

說了這麼多，感覺這世界很難再變得更好，攻防不對稱的情況大約也難以扭轉。技術的發展，讓攻防雙方都在升級，應了我們去年採訪金湘宇時他說的話：安全行業的人才短缺會成為常態，因為技術要求會越來越高。就像人工智慧自身的安全問題，需要掌握的技術又將是更為複雜的。

騰訊公司 CEO 任宇昕

所以騰訊公司 CEO 任宇昕說，信息安全的主體和邊界都在發生變化，安全不再是獨立的東西，而是深入到數字經濟領域的組成部分。這其實是很有意思的一個觀點，就像卡巴斯基 Dashchenko 小哥暢想的 2050，工業 5.0 時代，解決那麼複雜的安全問題，最根本的出發點仍在於，任何一款產品設計之初，就將安全融入其間。

FreeBuf 在《2017 金融行業應用安全報告》中說，越來越多的金融企業將安全作為促進數字業務增長的組成部分，而不再只是降低風險的手段，這是某種表徵；且在《2017 年度移動 App 安全漏洞與數據泄露現狀報告》提到，App 開發設計階段就應該融入安全。

我們可以預見，解決越來越複雜的安全問題，越來越多的企業需要拋棄對安全的成見，即便這是個老生常談的問題，安全不再有邊界會成為他們需要領悟的重要思路之一。或者說，應了前文第二個段落所述，安全和技術本身就是相輔相成的關係，這兩者的共同進步將變得缺一不可。

最後要提的依舊是協同合作的話題，也是解決上述安全問題的另一個方向。但這次騰訊倡導的協同聯動，重點不在安全企業，以及互聯網企業之間的合作互惠 —— 雲計算天生具備的大數據優勢特性，能夠為安全帶來的便利也並非主論壇的重點，即便董志強還是分享了雲鼎實驗室在騰訊雲之上對抗各類安全問題的經驗 —— 這次協同的兩個主體是政府與企業。

這個圓桌會議（題為《新秩序下的安全之道》）大有集合互聯網、金融、電力、通訊等領域的意思，

左起分別為：信息安全測評中心總工程師王軍，國家電網公司信息通信部主任王繼業，聯通信息化部總經理孫世臻，Visa公司副董事長兼首席風險官 Ellen Richey，騰訊公司副總裁丁珂，財訊傳媒集團首席戰略官段永朝

所以《網路安全法》亦成為本次論壇的另一個關鍵詞，如互聯網協會秘書長盧衛在致辭中提到，新興技術如區塊鏈的出現，越來越顛覆傳統的監管概念，這些都是政府需要努力去規劃，幫助和規範私營企業做好網路安全工作的難點。《網路安全法》的全套生態正在建立，包括《網路關鍵設備和網路安全專用產品目錄》《關鍵信息基礎設施安全保護條例》等，都會是當前安全態勢局面下，協同合作的重要組成部分。中央網信辦網路安全協調局副局長、電子技術標準化研究院院長、信息安全認證中心主任也都重申了《網路安全法》在國內建立的意義。

那麼在消除安全邊界，且所有主體協同合作的時代下，2050 年會是怎樣呢？

花絮：米特尼克