腾讯胡珀:数字时代,每个人的安全都值得被守护

导读:12月8日,在深圳举行的T-DAY2018腾讯用户开放日上,腾讯安全平台部应用运维安全中心总监兼Tencent Blade Team负责人胡珀亮相首场workshop,让用户在体验各种黑科技的同时,近距离参与一场“安全秀”。在互联网和AI技术迅猛发展的今天,各种网络和智能设备极大便利了人们的生活,人们在享受“黑科技”快乐的一面时,往往会忽视其可能存在的安全隐患。

以下为胡珀的现场演讲全文:

腾讯作为一个大公司,有海量用户和海量产品体验官,很多黑客会攻击腾讯公司或者攻击用户,而我们的工作就是阻止这些黑客,并为此建设了很多安全的体系。

我大学毕业之后在网上是一个黑客,当时在网上就是尝试攻击一下人家,当然没有做什么坏事(笑)。正因为有这样的黑客经历,我知道黑客是怎么攻击我们的,所以我们做防护。话不多说,进入我们今天的环节。

(现场互动环节)大家联上wifi之后大家可以访问www.qq.com或者baidu.com,然后有没有发现什么异常?这个wifi是我们自己做的,所以wifi我们可以自己控制。如果真正的黑客我不会让你看到这个网页,可能你访问的时候看到的还是腾讯网,但我可以把你所有的东西经过wifi信息控制。我们下面来看一下它的危害。

这里问体验官一个问题,各位在过去上网应该比较资深,有没有被黑客黑过?QQ号、邮箱、支付宝有没有被攻击过?被攻击过的举手。

在我们的安全圈里面流传着一句话,世界上只有两种人,第一种人是知道自己被黑了,还有一种人不知道自己被黑了,黑客只是拿你一些个人隐私。这个有点危言耸听,但确实是这样,随着互联网的发展,会带来很多安全的问题。

还是回到wifi的话题。我的wifi是怎么回事?黑客黑掉你的路由器,就像我们今天的演示一样,黑客让你连上来,连上之后就可以攻击到各位。

左边的图大家应该经常有遇到,访问网页的时候,可能会弹一个低俗的广告,这里可以澄清一下,我们腾讯是不会有低俗广告的,这是我们跟进的一个真实的案子,客户说你们腾讯怎么会有这么低俗的广告,我们说不可能,后来发现是用户家里的路由器被黑客黑了。

第二个是窃取个人隐私,用户连上wifi之后,我们就把他的QQ号码、姓名、银行卡读出来了。这种事很恐怖,这是wifi带来的一些危害。刚才连接上wifi的不用担心,没有做这些事情。

第三个是我可以让你访问我的网站看到我想让你看到的内容,比如你访问的可能是新闻频道,不好意思,你先要输一下QQ号码和密码,或者你中奖了,中了一个笔记本,你可能要给点钱过来,对用户来说很容易中招。

对于普通用户来说,wifi怎么样去保证安全呢?第一是定期改密码,而且密码要改得很复杂。第二尽量不要连接免费的wifi,收费的也最好不要连接,最好用手机4G。第三可以使用腾讯手机管家和QQ浏览器,可以应对这种攻击,因为腾讯的产品安全性是经过我们团队的测试,可以防御99.99%的攻击。

这是wifi的问题,第二个产品是电话,电话相信大家都用过,我们可以看一下现在电话有些什么样的安全威胁呢?在互联网刚刚盛行的时候,你们也不知道在电脑对面跟你聊天的是人还是一条狗,这个有点夸张,因为狗是不可以聊天的,但现在好像狗也可以聊天了,阿尔法狗可以下围棋。现在我们听到很多电话,你以为它是个人跟你讲话,并不是,它其实是个机器人,你接到这种骚扰电话可以问几个复杂的问题它就答不出来了。一些这种黑色产业链已经把人工智能技术应用到了一些灰色地带,给你发小广告、打骚扰电话,进行攻击我们。

这边的图是变声器,现在已经非常成熟了,很容易把我的声音变成一个女生,让你不知道到底是谁。

再来看以前的电信诈骗,左边的图是以前的电信诈骗,可能在某一个区域,手机突然信号中断一秒钟,然后收到一些短信。这是过去,为什么呢?因为随着产品的完善,现在很多产品其实是可以标记诈骗电话和短信的。

加上工信部的治理,现在又出来新的诈骗电话,它是通过改号软件给你打电话,通过改号软件可以改成任何一个号码,右边是我们在网上搜到的一家银行客服电话,因为它的号码是银行电话,所以手机会识别这个银行,但事实上并不是,它可以产生任何号码,这是目前一种比较新的诈骗方式。

这是改号诈骗,可以改成任意号码,我可以改变成你的亲戚朋友号码,再利用机器学习的变声技术,让你识别不出来。

这时改号软件可以做什么,可以做很多事情,如果各位已经接到了可疑电话,这个要注意一下。

在有关部门,包括腾讯,我们专门有一个团队,叫守护者计划,专门协助公安打击黑色产业链,也做了很多工作,但仍有漏网之鱼。对改号的欺诈,最好的办法是回拨过去,就可以识别诈骗。

前面的场景可能相对大众一些,后面的场景是一些比较新的,我做了一个统计,在座各位有没有体验过一些智能设备,比如智能音响、智能电视、摄像头。但是你们有没有想过,这些智能设备都是连上网的,一旦联上网,全球的互联网黑客都可以访问到它,它是否足够安全能佛抵挡黑客攻击,你们有没有过这个问题?我建议各位体验官要关注这一块。随着智能设备的发展,你的总要说话,说的话要传到音响里去,如果设备被黑客黑了,你说的话就被黑客听到了。如果黑客能够控制汽车,比如汽车在高速运行的时候,黑客下一个指令,然后让你看到发动机熄火会怎么样,就会车毁人亡,这是很物理的方式。在零几年的时候,安全问题一般是黑客黑掉你的电脑。移动互联网时代就是钱被盗了,再到未来,当万物互联的时候,很有可能黑客攻击的就是物理世界本身,有可能就不只是开车的时候被停车了,还有前段时间看到国外有一些心脏起搏器,黑客可以把它停掉,病人就挂了。未来随着物联网的发展,黑客的安全问题是非常危险的,他可以到物理世界把虚拟世界和现实世界打通。

这是我们团队平时的一些研究。我随便挑了几个,在过去几年比较流行的智能软件,比如无人机,无人机在天上飞的时候,我是可以发一个信号,让无人机飞到我这里来,它会脱离机主的控制,这是可以实现的。第二个是智能开锁,用手机APP开门。但有没有想过,它更安全吗?并没有,我们发现只要靠近它,发一个信号,门锁就打开了。这是摄像头,摄像头也是连到网上可以通过APP来控制,但它有些问题,被黑掉之后,本来摄像头是监控区域里的经过的人,黑掉之后可能就看不到了。烤箱就更危险了,把温度调高,最后可能产生爆炸。还有插座、POS机,POS机也有问题,向某个商户支付钱,实际上钱到黑客账户上去了。

这些例子还有很多很多,随着时代的发展,包括现在智慧城市,交通也是用这种智能的方式来控制,还有智慧楼宇,以后大厦也是用这种可以控制的,这是一个真实的例子。我们团队是完全模拟黑客攻击,远程,去黑掉一个楼宇。这个智能楼宇你们应该见过,我们看一下。我们正好选腾讯大楼做实验,因为它是非常智能化的。我用一个无人机挂在信号发射器,攻击36楼的设备,因为它的楼层很高,所有电灯、插座、水利都是远程控制的。我们发射信号,灯光也灭了,然后把它关掉。

另外还有一个场景,因为它的窗帘也是接入了智能控制系统的,这个就是窗帘,这个窗帘其实是由电脑来控制,并不是由人在按,电脑接入了信号发射器。

其实这些是完全模拟真实的攻击场景。大家可以想想,这个智能楼宇还有很多的,比如水力系统,整个电力系统,只要是接到智能控制的,我就可以把它黑掉。

现在很多地方都使用了人脸识别,比如去过门禁的时候,甚至深圳过马路闯红灯会人脸识别,但我们经过了一些研究,它是有些问题的。我是随意篡改过,我可以让这个智能系统识别错误,或者识别成我想让它识别的样子。举个例子,这里有六幅图,上面三幅是正常的图片,人脸识别系统也能正常识别男性女性、年龄等,我们就以第一幅图为例,它会识别成男性,年龄21,表情黯然伤神,我们经过了一些修改,这对人来说好像还是这个人,但是对机器识别系统来说就完全不一样了,比如第一个帅小伙它识别出来性别变成女的了,年龄没什么变化,但这也是可以控制的。大家可以想想,以后我去闯红灯,最后录出来却是其他人在闯红灯,大家回去可以试一下,有些智能手机也是可以用人脸识别开锁,具体就不说了。

前面提到的无人驾驶汽车,它的核心就是,它如果是实时地识别和分析图象,来判断下一步的动作,最主要的是可以通过一些路标来解决。但这是有问题的,举个例子,这三类路标,第一类是正常的,第二类是经过精心处理过的,跟刚才的图像识别一样,但对图象识别系统一样变化是非常大的。最右边就是机器智能系统识别之后的结果,最后变成了可以直行,可以右转,这时候如果正好是无人驾驶模式,很有可能就会右转,就会出问题。包括限速30,我改成了限速80,如果真的是智能驾驶的话就会出问题。

前面提到的智能楼宇,当时我们在欧洲安全会议上做了一个演示,就不说了。

前面提到了智能音响,我们把市面上出货量比较大的几款音响,虽然每家音响有这样那样的防护,我们发现都有这样那样的安全问题可以把它黑掉,黑掉之后可以变成一个窃听器。我们也通知了这些厂家,他们修复了这些漏洞。所以大家还是该买照买,不要因噎废食。

提到人工智能,人工智能其实这两年非常火,随着未来科技的普及,我相信它一定会深入到我们的各大场景里面去。但是人工智能的底层会有一些安全漏洞,我们发现还是有很多问题,不过也没事,已经修复了。大家放心地使用腾讯的产品不会有太大的问题,我们腾讯有专门的团队没有安全,所有产品都会经过我们检测,同时我们会帮助行业大厂解决安全问题。

最后这个图我很喜欢,因为我们做网络安全,得有一些信念来支撑我们跟黑客对抗,简单来说就是我们是守护着各位用户,所以我们感到非常自豪。

感谢大家的聆听!因为这次时间比较仓促,我本来想准备一些黑科技,比如说刷卡的钱包,还有一些只能充电不能传数据的充电线,但这些场景只能明年再见了,希望明年给你们发。没有体验成功的也可以领!

谢谢!

原文发布于微信公众号 - 腾讯技术工程(Tencent_TEG)

原文发表时间:2018-12-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏媒矿工厂

AI赋能媒体工作流程案例-IBM Watson Media

理解视频内容对于媒体公司来说是一个重大挑战。最大的障碍在于视频中的数据大部分是非结构化的,需要复杂的分析。在激烈的竞争环境中,媒体和娱乐公司必须对视频内容有更新...

3833
来自专栏VRPinea

11.1 VR扫描:《笑傲江湖》将于2019年被拍成VR电影;迪士尼推AR换装新应用

近日,韩国初创公司LetinAR宣布其以完成360万美元的A轮融资。据悉,该公司正在开发的AR光学系统,由名为“Pin Mirror(PinMR)”的镜片,以及...

904
来自专栏罗超频道

互联网会让手机号码会消亡吗?想多了

截止4月底,三大运营商先后公布了2015年第一季度财报,财报显示三大运营商传统通信业务均受到OTT业务影响,语音和短信业务继续下滑,与之形成对比的是4G业务显著...

4266
来自专栏CSDN技术头条

CloudFlare:为什么能从富达、谷歌、微软、百度和高通筹到1.1亿美元?

CloudFlare是一家从事网络性能和安全领域的初创公司。创始人兼首席执行官Matthew Prince在7岁的时候就能编写了第一个没有Bug的计算机程序,还...

2347
来自专栏大数据文摘

Nature:中国的科学进步仰赖于数据公开

1826
来自专栏VRPinea

4.11 VR扫描:苹果承认缺陷,将更新Mac Pro支持VR

2784
来自专栏镁客网

车联网正在大跨步发展,如果能解决安全问题就可以飞了

2007
来自专栏BestSDK

未来的云计算战场中,存储将是下一轮战线

在复杂的云环境中,价格削减已经开始逐步局限于虚拟机。这使得服务提供商能够长期在其产品组合的剩余部分中利用其稳定增长的利润率。我们正在目睹的是一个即将扩展到计算之...

3185
来自专栏纯洁的微笑

章文嵩:开源,LVS,以及留下的无数传说

三年前,在中关村的技术沙龙遇到了章文嵩,有技术人员的气质,也有一些文人的感觉,也有一些创业者的软疲态。

2422
来自专栏VRPinea

VRDC Asia 2017延期启事

3256

扫码关注云+社区

领取腾讯云代金券