微软的安全探索之路 智能时代如何守护用户安全
- 发布时间:2015-10-20 15:16:00 来源:中国新闻网 责任编辑:罗伯特
智能生活普及的当下,黑客入侵和攻击方式也已大大超出人们的想象。从车联网、智能家居到GPS、卫星,从操作系统、浏览器到工控、医疗器械,似乎没什么是不能被黑掉的。
智能时代的安全隐患长什么样子?
首先是隐私安全。智能家居的发展已经为我们描绘了一幅未来生活的美好图景。但当万物联网的时候,或许也意味着安全隐患无处不在。想象一下,如果黑客“黑”了你家监控系统,你的生活状况就可能暴露无遗,假如攻击者潜入网络进入智能电视,你的收看偏好和浏览记录就会被黑客了如指掌了……
再来看财产安全。在美国的黑客大会上,一位计算机黑客向观众展示了不用银行卡就能让ATM机疯狂吐钞的“绝技”,让现场观众看得目瞪口呆。这位黑客名叫杰克,他花了两年的时间研究各种独立ATM机,并找到了这些设备的漏洞。
甚至人身安全。安全研究者Runa Sandvik与其夫Michael Auger已经发现如何黑入某智能步枪,这对已婚黑客伴侣开发了一组技术,可以让攻击者通过Wi-Fi连接入侵该步枪。并利用软件漏洞,改变瞄准镜计算变量,可以把变更精确地送入枪镜瞄准系统,其精确程度足以让子弹命中非射手选择的目标。
经历过对抗 安全才有说服力
如上案例昭示了一个形形色色的联网物件越来越多且容易被黑的未来。黑掉步枪的Sandvik说:“有那么多东西都连在互联网上:汽车、冰箱、咖啡机,现在还有枪。传达出信息就是:当你把技术放到从前没放过的东西上时,你就会遇上从前没想到过的安全挑战.”
网络安全已不是属于某个行业或某个领域的概念了,它已经渗入到我们生活的各个角落。
作为安全的主体,厂商自身需要承担最大责任,证明自己安全可靠。然而现实是,很多厂商对安全知识的了解非常匮乏,甚至完全没有考虑安全,这是最令人担心的。
事实上,厂商在制造这些智能设备时就应当把安全因素排在首位,将保护措施植入到系统中。特别是硬件的安全体系如果在创建之后再进行改变,必将付出更大的代价。
“未知攻,焉知防”,厂商产品的安全性有说服力,很多时候反而体现在对抗过,经历过攻击而不倒。在物联网前的PC时代、移动互联网时代,像谷歌、微软、腾讯等,都曾经历过无数攻击,他们建立了一整套完善的安全体系。除了不断强化自身的安全能力,这些大企业通常都会以非常开放的心态,去支持甚至奖励全社会来挖掘自家产品的漏洞。
微软的安全探索之路
以微软为例,尽管人们对微软安全认知一直被掩盖在其产品功能的光环之下,但是贯穿于软件产品生命的信息安全却一直是微软公司战略的重中之重。
然而,微软的安全之路并非一帆风顺。早在2001年,微软推出了后来被广受的争议的Windows XP,当时的微软对安全还未足够重视,更多关注点在满足用户痛点等体验层面。这导致Windows XP的安全性堪忧。在2003年和2004年,著名的“冲击波”和“震荡波”病毒肆虐,感染了上千万台机器,给微软用户带来了很大损失,也影响了微软的品牌信任度。
从2004年开始,微软开始修炼内功,将安全放在非常重要的位置。在十年的时间里,建立了一整套完善的安全管理策略。他们意识到提前预防永远要比事后解决付出的代价更小。微软建立了一套科学的安全工程方法流程SDL( Security Development Lifecycle),从安全的角度来指导整个软件开发流程;成立微软安全响应中心(Microsoft Security Response Center,MSRC),负责对微软产品的漏洞报告进行调查,并响应这些漏洞报告,MSRC独立于所有产品部门之外,拥有很大的权限,可以要求不达到安全标准的产品延期发布;同时,微软还引入更高级别的信息安全专家进入公司,或是担当安全顾问的角色。
值得一提的是,微软曾将一些披露漏洞的白帽黑客社区视为对立面,而随着其对安全的越来越重视,微软对黑客社区的态度也转变为友好合作,不仅从其社区中引入人才到微软工作,更是会赞助一些黑客社区的活动,表明其重视安全、开放性地接受安全挑战的立场。
如今,微软每个月公布的安全公告,都会向其来自全世界的漏洞提交者致谢,感谢他们为保护用户安全做出的努力。在黑客大会Defcon 上,微软还张贴出了安全贡献榜TOP100,包括TK、yuange、陆吉辉等国内安全专家都榜上有名。
安全不是一劳永逸 是动态完善的
从微软的故事可以看出,企业的信息安全问题不可能一劳永逸,也没有终极解决方案,而是一个长期动态完善的过程。不管是传统的互联网,还是新兴的物联网企业,首先要制定出完善的信息安全体系和策略,构筑强大的防御网,而不是“头痛医头,脚痛医脚”。
“互动社交化的服务观、动态完善的质量观、对抗求衡的安全观“。这是智能安全社区GeekPwn倡导的安全新三观。
互联网+的时代,服务有时甚至会高于产品实体本身,服务模式也从厂商单向提供转向社区互动模式。而安全极客们通过挖掘智能软硬件的漏洞,能够帮助产品完善安全能力,为厂商避免因为漏洞造成经济损失及企业信誉,从而为用户提供极致的体验和服务。
电子产品、信息产品、智能产品由于复杂性决定了其在设计、开发、测试中存在了不同程度的“缺陷”和“问题”,厂商也是在不断地迭代过程中寻求功能与体验的平衡。白帽黑客利用自己的专业知识和能力,通常会发现类似产品的缺陷和问题,这并不说明此些产品质量有问题。
安全是攻防对抗之间的一个平衡,是由动态的博弈对抗所决定。一个被发现漏洞和安全问题越多,并且改进很迅速及时的产品,才是一个更高安全性的产品;一个没有被爆出过安全问题的产品,其安全性是难以令人放心的。勇于接受安全挑战的厂商,并有快速完善及处理的措施,正说明其拥了安全对抗能力并建立了动态安全改进机制。
10月24日,全球首个关注智能生活的安全极客大赛GeekPwn将如期开幕, GeekPwn一如既往坚持科学中立不妥协,负责任的漏洞披露原则,吸纳全球勇于挑战的白帽黑客,发现智能生活可能存在的安全隐患。包括手机、汽车\无人机、智能家居、智能穿戴、指纹支付等8大项目将成为选手们的攻破对象。