世界顶级黑客凯文:现在所有AI产品都是假的
(原标题:世界顶级黑客凯文・米特尼克:现在所有人工智能产品都是假的)
他曾经上过美国联邦调查局(FBI)的头号通缉名单,现在是FBI的顾问。
他是世界顶级黑客凯文・米特尼克(Kevin David Mitnick)。最近他受腾讯公司邀请来到中国,参加8月15日-16日举行的中国互联网安全领袖峰会。
凯文・米特尼克在中国互联网安全领袖峰会上
曾经的帅小伙现在看上去有些中年发福,但这丝毫不妨碍黑客世界对这位54岁的老炮儿的崇拜。峰会上,当“TK教主”、腾讯安全玄武实验室发起人于�提到一位使他敬重的前辈即将登台,立即有观众呼叫凯文的名字。
凯文的这次中国行行程很赶,基本忙于在大会上做演讲和准备,晚上抽空和包括澎湃新闻在内的几家中国媒体聊聊,但呆不到了几天就要飞回美国。他说自己还没有时间和业内深入交流,目前只是sayhello,他目前帮欧洲、阿联酋等地区的公司做一些顾问,但对中国公司,他坦言还了解不多。
年轻时的凯文・米特尼克
上个世纪90年代,互联网还处在发展初期,15岁的凯文・米特尼克(KevinMitnick)仅凭一台电脑和一部调制解调器,就闯入了北美空中防务指挥部的计算机系统主机;之后他进出全球所有的计算机系统,视五角大楼如无物,最终因为多次入侵事件,被美国联邦调查局(FBI)列为头号通缉犯。30岁他登上《时代》周刊的封面,好莱坞几次把他搬上银幕,最新一部是2016年上映的《你瞧,网络世界的幻想(Loand Behold, Reveries of the Connected World)》。
在一片欢呼声中,凯文・米特尼克回顾了自己的过往。但谁曾想到当初促使这位传奇大咖走上黑客之路的,竟缘起童年时对魔术产生的浓厚兴趣。而他自己最得意的一次黑客经历竟然只是16岁时黑入了麦当劳的点餐系统。
当被问起是否还在从事黑客活动时,凯文表示,“这是一个最好的时代”,随着互联网的普及,各大公司对信息安全越来越重视,很多公司会高价聘请他来做安全系统测试,所以今天他依然会进行黑客活动,但现在是合法地去做,蜕变成世界顶级安全咨询专家,开始了另一种黑客人生。
凯文在峰会现场给大家展示了一张特制读卡器,通过该读卡器可以轻松读取三英尺之内的目标用户信息,伪造一张智能卡从而轻而易举破解被美国各大银行广泛采用的HID门禁控制系统。凯文还向观众展示了通过笔记本电脑的硬件接口,破解读取内存当中的密码有多容易,即使电脑处于锁屏状态。凯文甚至还做了一个隐藏了“WannaCry”勒索界面的假网站。
在和澎湃新闻等中国媒体交流时,凯文谈了更多,比如美国政府如何在暗网锁定嫌犯,人工智能、物联网时代,用户的安全性和厂商的责任,也探讨了互联网去中心化、自由的互联网世界等等。
正在北京召开的第三届中国互联网安全领袖峰会(CyberSecurity Summit2017),由腾讯公司、中国电子技术标准化研究院等企事业单位创办,得到国家网信办、工信部、公安部等支持和指导。卡巴斯基实验室安全专家VladimirDashchenko、Visa副董事长兼首席风险官 Ellen Richey(艾睿琪)、中国联通信息化部总经理孙世臻、国家电网公司信息通信部主任王继业等探讨全球网络安全最新发展趋势。
以下是对凯文・米特尼克(Kevin David Mitnick)的访谈实录:
记者: 对于人工智能(AI)发展是否会威胁人类发展,Facebook创始人扎克伯格和特斯拉创始人马斯克有不同的意见。马斯克认为,人工智能是十分罕见的案例,人类应该在条例法规上先发制人,而不是在发生问题后再采取监管措施。但扎克伯格对人工智能的未来感到十分乐观。作为世界顶级黑客,您怎么看待人工智能的未来?
凯文: 谈到人工智能,我们会想到《终结者》,虽然这是部虚幻的电影。人工智能既是个好的工具也可以被用来作恶。
我对人工智能不会有具体的立场,因为它本身是中立的,它最后到底是好是坏,取决于人类对它的应用。
人工智能可以保护系统,建立一个防卫体系,避免系统遭受袭击,但它也容易被黑客所利用。(上世纪)90年代我曾是一名黑帽的黑客,那时候我侵入了一个系统盗取代码。这是25年前的事了,随着人工智能的发展,它肯定会起到越来越多正面的作用。
记者: 能否谈谈互联网去中心化的问题,当Google、Facebook、亚马逊掌握了大量的用户资料,普通用户如何掌控自己的数字资产?
凯文: 这些大公司其实提供的产品都是免费的,之所以不需要付钱,是因为你的个人(信息)就是商品,个人隐私就是价钱,当你读他们用户许可协议时肯定就会看到这一条:“把自己的隐私信息作为交换使用它的服务。”
记者: 您用什么手机和邮箱?
凯文: 手机我用苹果iPhone,搭载最新版本的系统iOS 10.3.3。iOS比Android(安卓)安全。苹果对iOS的安全性很重视,也能付更多报酬,对找出iOS漏洞的白帽黑客最高可以奖励20万美元。邮箱,我用最新版本的Gmail。
记者: 您如何看待暗网的存在?
凯文: 对中国不了解,对于美国政府,我举个例子。他们会利用一些系统的bug进行“去匿名化的处理”(能看到它真实IP地址),但是美国政府如何实现去匿名化本身也是个秘密,政府是不愿意公开的。
之前,美国政府通过破解方式抓到了一个让儿童接触到不良信息的罪犯,但政府最后却放弃起诉这个罪犯。因为如果要在法庭上立案的话,政府首先要公布自己是如何抓到这个人的,但因为政府不愿意公开自己的这种方法,所以不得不撤销指控。
另外,政府有一些情报专员会侵入相关公司体系,看公司是不是有犯罪嫌疑,并且他们也会改变相关编码,进行去匿名化,所以会利用相关漏洞开展相关工作,可以通过植入编码发现漏洞,也可以通过这样的形式挖掘出真实身份,至于最后通过什么样的方式来做,大家也都是心知肚明的。
记者: 您的新书《隐形的艺术》(TheArt ofInvisibility)为什么会在这个时期出版?与前两年在美国沸沸扬扬的网络中立原则有没有关系?(编注:在新书中,凯文教读者如何在“老大哥”时代和大数据时代处于安全状态,通过一些真实的故事来讲述“隐形的艺术”,一步一步地指导你如何用线上线下技术保护你自己及其家人。)
凯文: 我写这本书主要是针对普通大众,帮助他们更好地保护自己的通信资产,当时也是受到“斯诺登事件”的影响,因为美国政府可以自由地拦截和窃取个人用户的一些信息,所以也希望能够帮助普通大众知道如何保护自己的隐私,保护自己的电子邮箱、打电话时如何更好地进行保护。
记者: 互联网时代,我们通过一款杀毒软件就基本能确保安全,但现在到移动互联网,再到物联网(IOT),您认为现在还有安全可言吗?
凯文: 现在出现了越来越多的智能城市、智能家电和智能汽车,但我认为更应该叫“脆弱城市”、“脆弱家电”和“脆弱汽车”,因为所有的设备都是有可能被利用的。
对IoT厂商,不管是开发摄像头还是开发婴幼儿监视器,都应该把安全考虑在首位,否则就容易被坏人所利用。政府应该专门成立一个部门,在这些IoT设备发布之前需要经过安全认证,让他们知道这些代码是否安全,产品是安全的才让他们部署。
记者: 物联网厂商对安全问题是否投入了足够的重视?
凯文: 这个问题也取决于我们是不是要这些厂商来对他们的产品安全来负责。因为在美国这样的系统就没有奏效,我们需要打造激励机制,让这些IoT设备厂商真的关心它的物联网设备是不是安全的,但我现在没有看到行之有效的激励措施来让他们关心自己的产品是否安全。
我唯一能够想到的就是如果媒体报道了他们的产品安全,会给他们的产品形象带来影响,这是我唯一能想到的激励措施,否则他们没有任何动力改善产品的安全性能。毕竟现在提升产品的安全并不能帮助改善利润,而只能够增加成本。
白帽黑客会做很多的研究工作和测试,发现很多产品的bug,把这些bug报告给厂商,让厂商来解决。但即使像白帽黑客把这个bug报告给厂商,厂商也不是自己付钱来改善情况,也是让其他公司来做。
我们也应该让厂商证明,自己是不是开展了相应的代码审查工作,是不是部署了最佳的安全实践。如果已经采取了措施,但产品仍有漏洞的话,就应该免收处罚或较轻的处罚,如果厂商还是无所作为,并带来了相关的影响,那么就要负责了。
记者: 在遭到黑客攻击,安全人员修复漏洞的这段时间内,黑客依然能够利用漏洞侵入系统,肆意掠夺数据。于是一些先行者开始利用人工智能来完成做安全保障。您认为人工智能真的能在未来对抗网络攻击,自主地保护我们的系统吗?
凯文: 其实我还没有真正接触过真正符合人工智能的核心工具和技术。现在都还没有真正的人工智能产品,所有的AI都是假的,也许会有一些AI的产品,但我们还没有进行相应的评估和分析。所以我不能提供建议。
记者 : 您是否仍然认为互联网是自由的世界?
凯文: 这并不是说有机会利用漏洞,就是自由的世界,要说到自由,就不应该有任何限制,但毕竟每个国家有每个国家自己的法律法规要求。从互联网角度来讲,只要能够合法地进行互联网浏览,那就是一个自由的互联网世界。只要你能够合法地(传播)互联网信息并不受到限制的话,它就是个自由的限制。