比隱私濫用更可怕的,是AI攝像頭的黑灰產(chǎn)之困

原標(biāo)題:比隱私濫用更可怕的,是AI攝像頭的黑灰產(chǎn)之困

刷臉購(gòu)物、智慧停車(chē)、智能考勤……今天計(jì)算機(jī)視覺(jué)技術(shù)已經(jīng)深入到了日常生活的方方面面,也因此讓不少人患上了“攝像頭焦慮癥”。

最近,從人臉識(shí)別進(jìn)課堂引發(fā)的技術(shù)倫理問(wèn)題,到AI換臉應(yīng)用軟件ZAO爆火后的隱私爭(zhēng)議,以及被無(wú)處不在的城市電子眼網(wǎng)絡(luò)鎖定的“監(jiān)控感”,不斷跳動(dòng)著大眾對(duì)個(gè)人數(shù)據(jù)過(guò)度暴露的敏感神經(jīng)。

驚嚇過(guò)后,技術(shù)公司的做法究竟對(duì)不對(duì),采集用戶(hù)數(shù)據(jù)的邊界在哪里,討論這些問(wèn)題無(wú)疑是必然的、應(yīng)該的。其實(shí)吧,無(wú)論是各國(guó)隱私法案的逐漸嚴(yán)格,社會(huì)的輿論壓力,還是從邏輯上推理,科技公司其實(shí)不太可能真的拿用戶(hù)敏感數(shù)據(jù)做一些自毀長(zhǎng)城、后果嚴(yán)重的事情。Facebook、蘋(píng)果等企業(yè)在被公眾責(zé)問(wèn)之后拼命找補(bǔ),就是活生生的例子。

更應(yīng)該警惕的,是那些遠(yuǎn)在普通人感知范圍之外的“叵測(cè)居心”。

隱形的蟑螂:藏在AI攝像頭之后的黑灰產(chǎn)

你不會(huì)在廚房里只看到一只蟑螂——著名的蟑螂理論(cockroach theory),說(shuō)的就是一旦有一點(diǎn)負(fù)面新聞,其背后往往有更多的問(wèn)題被掩蓋起來(lái)了。而隱私問(wèn)題,同理。

就拿應(yīng)用最為廣泛的計(jì)算機(jī)視覺(jué)來(lái)說(shuō),前端的感知硬件智能攝像頭一直是市場(chǎng)的新寵,低功耗的人臉抓拍、識(shí)別、分析等,已經(jīng)廣泛部署到了機(jī)場(chǎng)、車(chē)站、商業(yè)街及旅游景區(qū)等公共區(qū)域。智慧城市的實(shí)時(shí)交通管控離不開(kāi)密布的攝像頭,食衛(wèi)部門(mén)早已將高清攝像頭部署在了餐廳酒店的后廚,校園自不必說(shuō),就連居家場(chǎng)所,也有不少人掏錢(qián)為自己裝上了智能攝像頭。

但黑客界也有一句話——“未知攻,焉知防”。如果我們不知道攝像頭背后的數(shù)據(jù)是如何泄露或被人非法侵占的,又該如何去保障安全呢?殊不知,AI的加持,物聯(lián)網(wǎng)的繁榮,正在讓智能攝像頭成為黑灰產(chǎn)新的溫床。

我們發(fā)現(xiàn),智能攝像頭所收集的隱私數(shù)據(jù),正在從幾個(gè)角度被非法獲利。

最低技術(shù)含量的,就是攻破一些簡(jiǎn)易低廉的智能攝像頭。

這類(lèi)產(chǎn)品的核心訴求是監(jiān)控,應(yīng)用在商鋪、物業(yè)或是家庭內(nèi),在傳統(tǒng)工業(yè)硬件的基礎(chǔ)上搭載一個(gè)AI芯片和云存儲(chǔ)服務(wù),由于門(mén)檻較低,互聯(lián)網(wǎng)企業(yè)、OEM廠商、安防公司等都在搶占這塊市場(chǎng),泥沙俱下的結(jié)果就是給了黑客可乘之機(jī)。

許多智能攝像頭的生產(chǎn)廠商其實(shí)并不具備云計(jì)算、AI背景下的安全審計(jì)流程,產(chǎn)品缺乏遠(yuǎn)程更新機(jī)制、存在可以控制系統(tǒng)的設(shè)計(jì)缺陷等等,黑客都可以通過(guò)暴力破解手段,直接在IP端進(jìn)行攔截,對(duì)用戶(hù)的登陸秘鑰、影像內(nèi)容等敏感信息一覽無(wú)余。然后通過(guò)售賣(mài)隱私視頻、劫持?jǐn)z像頭“挖礦”等方式來(lái)攫取利益。

在2018年MWC大會(huì)上,捷克網(wǎng)絡(luò)安全公司Avast就演示了15000臺(tái)小件聯(lián)網(wǎng)設(shè)備4天內(nèi)的“挖礦”過(guò)程,挖掘出價(jià)值1000美元的加密貨幣。遍布城市角落的智能攝像頭,無(wú)疑正是攻擊者眼里的香餑餑。

數(shù)據(jù)上云后,就一定安全嗎?

當(dāng)然,對(duì)于這種套路,只要抵抗住低價(jià)的誘惑,選擇一些正規(guī)的智能攝像頭廠商和機(jī)器視覺(jué)方案服務(wù)商,有了基礎(chǔ)的防火墻、代碼審計(jì)、設(shè)備安全模糊測(cè)試、傳輸通訊加密等等,都可以起到一定的防范作用。

而隨著計(jì)算機(jī)視覺(jué)技術(shù)開(kāi)始獲得B端機(jī)構(gòu)的青睞,黑客們也藝高人膽大、富貴險(xiǎn)中求,將目光轉(zhuǎn)向了更具“價(jià)值”的攻擊對(duì)象,開(kāi)始大規(guī)模地入侵學(xué)校、醫(yī)療甚至警署的攝像頭系統(tǒng)。

2017年,就有兩名黑客入侵了美國(guó)首都華盛頓警方部署的戶(hù)外監(jiān)控系統(tǒng),123個(gè)部署在華盛頓哥倫比亞特區(qū)警視廳 (MPDC) 閉路 TV 系統(tǒng)的安全攝像頭,這些系統(tǒng)包含了該城市的所有公共空間實(shí)時(shí)情況,并要求華盛頓警方支付贖金……

為此,警方甚至不得不在“川普”就職總統(tǒng)典禮的前兩周,連續(xù)四天關(guān)閉了該系統(tǒng),可以說(shuō)非常烏龍了。當(dāng)然,這并不是個(gè)例,去年,中國(guó)國(guó)內(nèi)也出現(xiàn)了入侵路由器、智能攝像頭,然后加密文件,要求受害者通過(guò)手機(jī)轉(zhuǎn)帳繳付解密酬金。

上述針對(duì)大規(guī)模機(jī)構(gòu)發(fā)起的攻擊,就不是傳統(tǒng)防火墻+安全軟件可以抵抗的了。因?yàn)檫@樣的智能攝像頭系統(tǒng)網(wǎng)絡(luò),本地難以滿(mǎn)足存儲(chǔ)與計(jì)算需求,需要向云端上傳監(jiān)控視頻、自動(dòng)更新軟件等等,因此需要時(shí)刻和網(wǎng)絡(luò)連接。一些不具備云服務(wù)能力的解決方案廠商,往往會(huì)選擇與第三方云服務(wù)進(jìn)行合作。一旦對(duì)方出現(xiàn)安全漏洞,所有相關(guān)的攝像頭網(wǎng)絡(luò)都會(huì)受到影響。

比如華盛頓市安全攝像頭網(wǎng)絡(luò)的暴露,就是由“安裝在跟攝像頭緊挨著的專(zhuān)門(mén)計(jì)算機(jī)”和 MPDC 網(wǎng)絡(luò)被攻破所導(dǎo)致的。更早一點(diǎn),從事監(jiān)視技術(shù)的意大利安全公司Hacking Team就被黑客偷走了400GB的內(nèi)部數(shù)據(jù)。而海外的Threat Stack網(wǎng)絡(luò)安全團(tuán)隊(duì)也發(fā)現(xiàn),從2016年開(kāi)始,黑客們利用AWS(亞馬遜云服務(wù))進(jìn)行攻擊的復(fù)雜性就驟然上升。

黑客利用云服務(wù)的特性,比如竊取AWS密鑰獲得開(kāi)放S3容器中的資源路徑,或是啟動(dòng)新的Amazon Elastic Compute Cloud(EC2)來(lái)挖礦,制造了好幾次敏感信息泄露事件。盡管亞馬遜很快推出了Macie以保護(hù)AWS S3數(shù)據(jù),并通過(guò)Trusted Advisor提供免費(fèi)的容器檢查,但是這類(lèi)事件仍然頻頻發(fā)生。安全無(wú)漏洞的“摘星之旅”依然在路上……

網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)時(shí)代:AI的自我救贖

1999年,MIT提出了“萬(wàn)物皆可通過(guò)網(wǎng)絡(luò)互聯(lián)”,物聯(lián)網(wǎng)概念問(wèn)世。智能感知的到來(lái),給物聯(lián)網(wǎng)添上了“感知”與“計(jì)算”的雙翼,也就安全問(wèn)題提出了新的挑戰(zhàn)。美國(guó)CenturyLink的2018年威脅報(bào)告顯示,全球每天發(fā)生195000個(gè)實(shí)例,擁有強(qiáng)大或快速增長(zhǎng)的IT網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的地區(qū)是網(wǎng)絡(luò)違法活動(dòng)的主要來(lái)源。

之所以更容易被劫持或攻擊,主要出于以下幾個(gè)原因:

首先,從智能攝像頭網(wǎng)絡(luò)面臨的攻擊來(lái)看,傳統(tǒng)端到端加密的安全策略,不符合社會(huì)智能化合法采集利用數(shù)據(jù)的客觀需求;而引入哈希鎖等加密技術(shù)來(lái)保護(hù)隱私,又會(huì)帶來(lái)較長(zhǎng)的計(jì)算時(shí)延,較高的計(jì)算復(fù)雜性也會(huì)提升使用者的額外消耗等等,這些權(quán)衡因素交織在一起,也是讓整個(gè)產(chǎn)業(yè)在隱私安全問(wèn)題上邊界模糊、難以徹底“革命”的原因。

同時(shí),公有云、私有云、混合云的并存,硬件產(chǎn)業(yè)化部署的標(biāo)準(zhǔn)不明確、本地、云端存儲(chǔ)的多樣性等等,導(dǎo)致了以攝像頭為核心的計(jì)算機(jī)視覺(jué)物聯(lián)網(wǎng)系統(tǒng)在安全上的復(fù)雜局面。將隱蔽的“空門(mén)”留給了黑客,一旦利用分布式攻擊來(lái)引發(fā)大規(guī)模網(wǎng)絡(luò)的連鎖反應(yīng),造成的后果往往難以估量。

另外,在企業(yè)或消費(fèi)者環(huán)境中部署和連接物聯(lián)網(wǎng)系統(tǒng),本質(zhì)上是設(shè)備、軟件、網(wǎng)絡(luò)、人員等多個(gè)端點(diǎn)的相互連接,動(dòng)態(tài)風(fēng)險(xiǎn)也就成了物聯(lián)網(wǎng)系統(tǒng)安全的薄弱之處。因?yàn)槊媾R威脅時(shí),不僅僅要考慮技術(shù)組件,還需要包括系統(tǒng)內(nèi)部的人員與合作伙伴。每個(gè)環(huán)節(jié)的安全策略都不盡相同,而往往是那塊“最短的木板”決定了系統(tǒng)整體的安全性。

缺乏安全培訓(xùn)、員工意識(shí)不強(qiáng)、簡(jiǎn)單的人為錯(cuò)誤等等,都有可能造成即使漏洞在技術(shù)端被修復(fù),也很難快速進(jìn)行全面更新,貽誤挽回?fù)p失的最佳時(shí)機(jī)。

更為關(guān)鍵的是,攝像頭網(wǎng)絡(luò)為代表的物聯(lián)網(wǎng)系統(tǒng),已經(jīng)成為一個(gè)智能數(shù)據(jù)聚合的生態(tài)系統(tǒng),與個(gè)人、機(jī)構(gòu)的信息財(cái)產(chǎn)安全直接關(guān)聯(lián),這意味著系統(tǒng)被攻破的風(fēng)險(xiǎn)成本更高。

試想一下,如果黑客攻破的是私人汽車(chē)上的智能攝像頭,引發(fā)的很可能就是車(chē)聯(lián)網(wǎng)系統(tǒng)的連鎖反應(yīng)及公共安全危害;偽造人臉欺騙公司的門(mén)禁系統(tǒng),造成重要資料外泄;智慧城市的公共攝像頭網(wǎng)絡(luò)被入侵,那交出的則是所有市民、管理系統(tǒng)的重要數(shù)據(jù)……

顯然,在如火如荼的智能物聯(lián)網(wǎng)AIoT建設(shè)中,光靠責(zé)難科技企業(yè)來(lái)保護(hù)用戶(hù)隱私還遠(yuǎn)遠(yuǎn)不夠。金錢(qián)的腥味總能吸引非法人員鋌而走險(xiǎn),除了在技術(shù)上持續(xù)斗法外,別無(wú)出路。幸好,當(dāng)物聯(lián)網(wǎng)在用數(shù)據(jù)供養(yǎng)智能系統(tǒng)的同時(shí),AI也在保護(hù)它。

比如,避免傳送敏感資料到云端的“邊緣計(jì)算”正在成為剛需。在嵌入式電子與工業(yè)電腦應(yīng)用展Embedded World上,通過(guò)邊緣裝置(edge device)處理更多數(shù)據(jù),以及相關(guān)的芯片、處理器等產(chǎn)業(yè)鏈,一直是近兩年來(lái)的焦點(diǎn)。

同時(shí),安全防護(hù)也開(kāi)始與AI 緊密結(jié)合,通過(guò)對(duì)漏洞報(bào)告以及程序代碼的自動(dòng)化處理,來(lái)實(shí)現(xiàn)安全漏洞的自動(dòng)化研究,從而及早規(guī)避一些多元的新攻擊手段。將機(jī)器學(xué)習(xí)算法引入入侵檢測(cè)等過(guò)程中,能對(duì)實(shí)時(shí)檢測(cè)得到的信息進(jìn)行有效的處理,并做出攻擊可能性的判斷,及時(shí) 報(bào)警,讓攻擊者的小動(dòng)作無(wú)處遁形。Splunk、Gurucul、賽門(mén)鐵克、 IBM 、360等安全廠商都已經(jīng)是AI的擁躉了。

總體來(lái)看,AI與物聯(lián)網(wǎng)正成為智慧城市建設(shè)的大勢(shì)所趨?;ヂ?lián)網(wǎng)公司、智能設(shè)備廠商、安全廠商都在紛紛“跨界”轉(zhuǎn)型,AIoT正伴隨著技術(shù)爆炸與裂變,滲透到千行萬(wàn)業(yè)。

但同時(shí),其隱私與安全環(huán)境也迎來(lái)了巨大的變化。每一個(gè)個(gè)體、每一個(gè)硬件、每一次傳輸,都有可能成為黑客刀下的“肥羊”。

當(dāng)我們?yōu)榭萍紡S商的隱私問(wèn)題而憂(yōu)心忡忡時(shí),別忘了,先為最基礎(chǔ)的數(shù)據(jù)安全上好第一把鎖。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2019-09-09
比隱私濫用更可怕的,是AI攝像頭的黑灰產(chǎn)之困
這類(lèi)產(chǎn)品的核心訴求是監(jiān)控,應(yīng)用在商鋪、物業(yè)或是家庭內(nèi),在傳統(tǒng)工業(yè)硬件的基礎(chǔ)上搭載一個(gè)AI芯片和云存儲(chǔ)服務(wù),由于門(mén)檻較低,互聯(lián)網(wǎng)企業(yè)、OEM廠商、安防公司等都在搶占這塊市場(chǎng),泥沙俱下的結(jié)果就是給了黑客…

長(zhǎng)按掃碼 閱讀全文