腾讯胡珀:数字时代,每个人的安全都值得被守护
导读:12月8日,在深圳举行的T-DAY2018腾讯用户开放日上,腾讯安全平台部应用运维安全中心总监兼Tencent Blade Team负责人胡珀亮相首场workshop,让用户在体验各种黑科技的同时,近距离参与一场“安全秀”。在互联网和AI技术迅猛发展的今天,各种网络和智能设备极大便利了人们的生活,人们在享受“黑科技”快乐的一面时,往往会忽视其可能存在的安全隐患。
以下为胡珀的现场演讲全文:
腾讯作为一个大公司,有海量用户和海量产品体验官,很多黑客会攻击腾讯公司或者攻击用户,而我们的工作就是阻止这些黑客,并为此建设了很多安全的体系。
我大学毕业之后在网上是一个黑客,当时在网上就是尝试攻击一下人家,当然没有做什么坏事(笑)。正因为有这样的黑客经历,我知道黑客是怎么攻击我们的,所以我们做防护。话不多说,进入我们今天的环节。
(现场互动环节)大家联上wifi之后大家可以访问www.qq.com或者baidu.com,然后有没有发现什么异常?这个wifi是我们自己做的,所以wifi我们可以自己控制。如果真正的黑客我不会让你看到这个网页,可能你访问的时候看到的还是腾讯网,但我可以把你所有的东西经过wifi信息控制。我们下面来看一下它的危害。
这里问体验官一个问题,各位在过去上网应该比较资深,有没有被黑客黑过?QQ号、邮箱、支付宝有没有被攻击过?被攻击过的举手。
在我们的安全圈里面流传着一句话,世界上只有两种人,第一种人是知道自己被黑了,还有一种人不知道自己被黑了,黑客只是拿你一些个人隐私。这个有点危言耸听,但确实是这样,随着互联网的发展,会带来很多安全的问题。
还是回到wifi的话题。我的wifi是怎么回事?黑客黑掉你的路由器,就像我们今天的演示一样,黑客让你连上来,连上之后就可以攻击到各位。
左边的图大家应该经常有遇到,访问网页的时候,可能会弹一个低俗的广告,这里可以澄清一下,我们腾讯是不会有低俗广告的,这是我们跟进的一个真实的案子,客户说你们腾讯怎么会有这么低俗的广告,我们说不可能,后来发现是用户家里的路由器被黑客黑了。
第二个是窃取个人隐私,用户连上wifi之后,我们就把他的QQ号码、姓名、银行卡读出来了。这种事很恐怖,这是wifi带来的一些危害。刚才连接上wifi的不用担心,没有做这些事情。
第三个是我可以让你访问我的网站看到我想让你看到的内容,比如你访问的可能是新闻频道,不好意思,你先要输一下QQ号码和密码,或者你中奖了,中了一个笔记本,你可能要给点钱过来,对用户来说很容易中招。
对于普通用户来说,wifi怎么样去保证安全呢?第一是定期改密码,而且密码要改得很复杂。第二尽量不要连接免费的wifi,收费的也最好不要连接,最好用手机4G。第三可以使用腾讯手机管家和QQ浏览器,可以应对这种攻击,因为腾讯的产品安全性是经过我们团队的测试,可以防御99.99%的攻击。
这是wifi的问题,第二个产品是电话,电话相信大家都用过,我们可以看一下现在电话有些什么样的安全威胁呢?在互联网刚刚盛行的时候,你们也不知道在电脑对面跟你聊天的是人还是一条狗,这个有点夸张,因为狗是不可以聊天的,但现在好像狗也可以聊天了,阿尔法狗可以下围棋。现在我们听到很多电话,你以为它是个人跟你讲话,并不是,它其实是个机器人,你接到这种骚扰电话可以问几个复杂的问题它就答不出来了。一些这种黑色产业链已经把人工智能技术应用到了一些灰色地带,给你发小广告、打骚扰电话,进行攻击我们。
这边的图是变声器,现在已经非常成熟了,很容易把我的声音变成一个女生,让你不知道到底是谁。
再来看以前的电信诈骗,左边的图是以前的电信诈骗,可能在某一个区域,手机突然信号中断一秒钟,然后收到一些短信。这是过去,为什么呢?因为随着产品的完善,现在很多产品其实是可以标记诈骗电话和短信的。
加上工信部的治理,现在又出来新的诈骗电话,它是通过改号软件给你打电话,通过改号软件可以改成任何一个号码,右边是我们在网上搜到的一家银行客服电话,因为它的号码是银行电话,所以手机会识别这个银行,但事实上并不是,它可以产生任何号码,这是目前一种比较新的诈骗方式。
这是改号诈骗,可以改成任意号码,我可以改变成你的亲戚朋友号码,再利用机器学习的变声技术,让你识别不出来。
这时改号软件可以做什么,可以做很多事情,如果各位已经接到了可疑电话,这个要注意一下。
在有关部门,包括腾讯,我们专门有一个团队,叫守护者计划,专门协助公安打击黑色产业链,也做了很多工作,但仍有漏网之鱼。对改号的欺诈,最好的办法是回拨过去,就可以识别诈骗。
前面的场景可能相对大众一些,后面的场景是一些比较新的,我做了一个统计,在座各位有没有体验过一些智能设备,比如智能音响、智能电视、摄像头。但是你们有没有想过,这些智能设备都是连上网的,一旦联上网,全球的互联网黑客都可以访问到它,它是否足够安全能佛抵挡黑客攻击,你们有没有过这个问题?我建议各位体验官要关注这一块。随着智能设备的发展,你的总要说话,说的话要传到音响里去,如果设备被黑客黑了,你说的话就被黑客听到了。如果黑客能够控制汽车,比如汽车在高速运行的时候,黑客下一个指令,然后让你看到发动机熄火会怎么样,就会车毁人亡,这是很物理的方式。在零几年的时候,安全问题一般是黑客黑掉你的电脑。移动互联网时代就是钱被盗了,再到未来,当万物互联的时候,很有可能黑客攻击的就是物理世界本身,有可能就不只是开车的时候被停车了,还有前段时间看到国外有一些心脏起搏器,黑客可以把它停掉,病人就挂了。未来随着物联网的发展,黑客的安全问题是非常危险的,他可以到物理世界把虚拟世界和现实世界打通。
这是我们团队平时的一些研究。我随便挑了几个,在过去几年比较流行的智能软件,比如无人机,无人机在天上飞的时候,我是可以发一个信号,让无人机飞到我这里来,它会脱离机主的控制,这是可以实现的。第二个是智能开锁,用手机APP开门。但有没有想过,它更安全吗?并没有,我们发现只要靠近它,发一个信号,门锁就打开了。这是摄像头,摄像头也是连到网上可以通过APP来控制,但它有些问题,被黑掉之后,本来摄像头是监控区域里的经过的人,黑掉之后可能就看不到了。烤箱就更危险了,把温度调高,最后可能产生爆炸。还有插座、POS机,POS机也有问题,向某个商户支付钱,实际上钱到黑客账户上去了。
这些例子还有很多很多,随着时代的发展,包括现在智慧城市,交通也是用这种智能的方式来控制,还有智慧楼宇,以后大厦也是用这种可以控制的,这是一个真实的例子。我们团队是完全模拟黑客攻击,远程,去黑掉一个楼宇。这个智能楼宇你们应该见过,我们看一下。我们正好选腾讯大楼做实验,因为它是非常智能化的。我用一个无人机挂在信号发射器,攻击36楼的设备,因为它的楼层很高,所有电灯、插座、水利都是远程控制的。我们发射信号,灯光也灭了,然后把它关掉。
另外还有一个场景,因为它的窗帘也是接入了智能控制系统的,这个就是窗帘,这个窗帘其实是由电脑来控制,并不是由人在按,电脑接入了信号发射器。
其实这些是完全模拟真实的攻击场景。大家可以想想,这个智能楼宇还有很多的,比如水力系统,整个电力系统,只要是接到智能控制的,我就可以把它黑掉。
现在很多地方都使用了人脸识别,比如去过门禁的时候,甚至深圳过马路闯红灯会人脸识别,但我们经过了一些研究,它是有些问题的。我是随意篡改过,我可以让这个智能系统识别错误,或者识别成我想让它识别的样子。举个例子,这里有六幅图,上面三幅是正常的图片,人脸识别系统也能正常识别男性女性、年龄等,我们就以第一幅图为例,它会识别成男性,年龄21,表情黯然伤神,我们经过了一些修改,这对人来说好像还是这个人,但是对机器识别系统来说就完全不一样了,比如第一个帅小伙它识别出来性别变成女的了,年龄没什么变化,但这也是可以控制的。大家可以想想,以后我去闯红灯,最后录出来却是其他人在闯红灯,大家回去可以试一下,有些智能手机也是可以用人脸识别开锁,具体就不说了。
前面提到的无人驾驶汽车,它的核心就是,它如果是实时地识别和分析图象,来判断下一步的动作,最主要的是可以通过一些路标来解决。但这是有问题的,举个例子,这三类路标,第一类是正常的,第二类是经过精心处理过的,跟刚才的图像识别一样,但对图象识别系统一样变化是非常大的。最右边就是机器智能系统识别之后的结果,最后变成了可以直行,可以右转,这时候如果正好是无人驾驶模式,很有可能就会右转,就会出问题。包括限速30,我改成了限速80,如果真的是智能驾驶的话就会出问题。
前面提到的智能楼宇,当时我们在欧洲安全会议上做了一个演示,就不说了。
前面提到了智能音响,我们把市面上出货量比较大的几款音响,虽然每家音响有这样那样的防护,我们发现都有这样那样的安全问题可以把它黑掉,黑掉之后可以变成一个窃听器。我们也通知了这些厂家,他们修复了这些漏洞。所以大家还是该买照买,不要因噎废食。
提到人工智能,人工智能其实这两年非常火,随着未来科技的普及,我相信它一定会深入到我们的各大场景里面去。但是人工智能的底层会有一些安全漏洞,我们发现还是有很多问题,不过也没事,已经修复了。大家放心地使用腾讯的产品不会有太大的问题,我们腾讯有专门的团队没有安全,所有产品都会经过我们检测,同时我们会帮助行业大厂解决安全问题。
最后这个图我很喜欢,因为我们做网络安全,得有一些信念来支撑我们跟黑客对抗,简单来说就是我们是守护着各位用户,所以我们感到非常自豪。
感谢大家的聆听!因为这次时间比较仓促,我本来想准备一些黑科技,比如说刷卡的钱包,还有一些只能充电不能传数据的充电线,但这些场景只能明年再见了,希望明年给你们发。没有体验成功的也可以领!
谢谢!