比隱私濫用更可怕的，是AI攝像頭的黑灰產(chǎn)之困

刷臉購物、智慧停車、智能考勤……今天計(jì)算機(jī)視覺技術(shù)已經(jīng)深入到了日常生活的方方面面，也因此讓不少人患上了“攝像頭焦慮癥”。

最近，從人臉識別進(jìn)課堂引發(fā)的技術(shù)倫理問題，到AI換臉應(yīng)用軟件ZAO爆火后的隱私爭議，以及被無處不在的城市電子眼網(wǎng)絡(luò)鎖定的“監(jiān)控感”，不斷跳動著大眾對個(gè)人數(shù)據(jù)過度暴露的敏感神經(jīng)。

驚嚇過后，技術(shù)公司的做法究竟對不對，采集用戶數(shù)據(jù)的邊界在哪里，討論這些問題無疑是必然的、應(yīng)該的。其實(shí)吧，無論是各國隱私法案的逐漸嚴(yán)格，社會的輿論壓力，還是從邏輯上推理，科技公司其實(shí)不太可能真的拿用戶敏感數(shù)據(jù)做一些自毀長城、后果嚴(yán)重的事情。Facebook、蘋果等企業(yè)在被公眾責(zé)問之后拼命找補(bǔ)，就是活生生的例子。

更應(yīng)該警惕的，是那些遠(yuǎn)在普通人感知范圍之外的“叵測居心”。

隱形的蟑螂：藏在AI攝像頭之后的黑灰產(chǎn)

你不會在廚房里只看到一只蟑螂——著名的蟑螂理論（cockroach theory），說的就是一旦有一點(diǎn)負(fù)面新聞，其背后往往有更多的問題被掩蓋起來了。而隱私問題，同理。

就拿應(yīng)用最為廣泛的計(jì)算機(jī)視覺來說，前端的感知硬件智能攝像頭一直是市場的新寵，低功耗的人臉抓拍、識別、分析等，已經(jīng)廣泛部署到了機(jī)場、車站、商業(yè)街及旅游景區(qū)等公共區(qū)域。智慧城市的實(shí)時(shí)交通管控離不開密布的攝像頭，食衛(wèi)部門早已將高清攝像頭部署在了餐廳酒店的后廚，校園自不必說，就連居家場所，也有不少人掏錢為自己裝上了智能攝像頭。

但黑客界也有一句話——“未知攻，焉知防”。如果我們不知道攝像頭背后的數(shù)據(jù)是如何泄露或被人非法侵占的，又該如何去保障安全呢？殊不知，AI的加持，物聯(lián)網(wǎng)的繁榮，正在讓智能攝像頭成為黑灰產(chǎn)新的溫床。

我們發(fā)現(xiàn)，智能攝像頭所收集的隱私數(shù)據(jù)，正在從幾個(gè)角度被非法獲利。

最低技術(shù)含量的，就是攻破一些簡易低廉的智能攝像頭。

這類產(chǎn)品的核心訴求是監(jiān)控，應(yīng)用在商鋪、物業(yè)或是家庭內(nèi)，在傳統(tǒng)工業(yè)硬件的基礎(chǔ)上搭載一個(gè)AI芯片和云存儲服務(wù)，由于門檻較低，互聯(lián)網(wǎng)企業(yè)、OEM廠商、安防公司等都在搶占這塊市場，泥沙俱下的結(jié)果就是給了黑客可乘之機(jī)。

許多智能攝像頭的生產(chǎn)廠商其實(shí)并不具備云計(jì)算、AI背景下的安全審計(jì)流程，產(chǎn)品缺乏遠(yuǎn)程更新機(jī)制、存在可以控制系統(tǒng)的設(shè)計(jì)缺陷等等，黑客都可以通過暴力破解手段，直接在IP端進(jìn)行攔截，對用戶的登陸秘鑰、影像內(nèi)容等敏感信息一覽無余。然后通過售賣隱私視頻、劫持?jǐn)z像頭“挖礦”等方式來攫取利益。

在2018年MWC大會上，捷克網(wǎng)絡(luò)安全公司Avast就演示了15000臺小件聯(lián)網(wǎng)設(shè)備4天內(nèi)的“挖礦”過程，挖掘出價(jià)值1000美元的加密貨幣。遍布城市角落的智能攝像頭，無疑正是攻擊者眼里的香餑餑。

數(shù)據(jù)上云后，就一定安全嗎？

當(dāng)然，對于這種套路，只要抵抗住低價(jià)的誘惑，選擇一些正規(guī)的智能攝像頭廠商和機(jī)器視覺方案服務(wù)商，有了基礎(chǔ)的防火墻、代碼審計(jì)、設(shè)備安全模糊測試、傳輸通訊加密等等，都可以起到一定的防范作用。

而隨著計(jì)算機(jī)視覺技術(shù)開始獲得B端機(jī)構(gòu)的青睞，黑客們也藝高人膽大、富貴險(xiǎn)中求，將目光轉(zhuǎn)向了更具“價(jià)值”的攻擊對象，開始大規(guī)模地入侵學(xué)校、醫(yī)療甚至警署的攝像頭系統(tǒng)。

2017年，就有兩名黑客入侵了美國首都華盛頓警方部署的戶外監(jiān)控系統(tǒng)，123個(gè)部署在華盛頓哥倫比亞特區(qū)警視廳 (MPDC) 閉路 TV 系統(tǒng)的安全攝像頭，這些系統(tǒng)包含了該城市的所有公共空間實(shí)時(shí)情況，并要求華盛頓警方支付贖金……

為此，警方甚至不得不在“川普”就職總統(tǒng)典禮的前兩周，連續(xù)四天關(guān)閉了該系統(tǒng)，可以說非常烏龍了。當(dāng)然，這并不是個(gè)例，去年，中國國內(nèi)也出現(xiàn)了入侵路由器、智能攝像頭，然后加密文件，要求受害者通過手機(jī)轉(zhuǎn)帳繳付解密酬金。

上述針對大規(guī)模機(jī)構(gòu)發(fā)起的攻擊，就不是傳統(tǒng)防火墻+安全軟件可以抵抗的了。因?yàn)檫@樣的智能攝像頭系統(tǒng)網(wǎng)絡(luò)，本地難以滿足存儲與計(jì)算需求，需要向云端上傳監(jiān)控視頻、自動更新軟件等等，因此需要時(shí)刻和網(wǎng)絡(luò)連接。一些不具備云服務(wù)能力的解決方案廠商，往往會選擇與第三方云服務(wù)進(jìn)行合作。一旦對方出現(xiàn)安全漏洞，所有相關(guān)的攝像頭網(wǎng)絡(luò)都會受到影響。

比如華盛頓市安全攝像頭網(wǎng)絡(luò)的暴露，就是由“安裝在跟攝像頭緊挨著的專門計(jì)算機(jī)”和 MPDC 網(wǎng)絡(luò)被攻破所導(dǎo)致的。更早一點(diǎn)，從事監(jiān)視技術(shù)的意大利安全公司Hacking Team就被黑客偷走了400GB的內(nèi)部數(shù)據(jù)。而海外的Threat Stack網(wǎng)絡(luò)安全團(tuán)隊(duì)也發(fā)現(xiàn)，從2016年開始，黑客們利用AWS（亞馬遜云服務(wù)）進(jìn)行攻擊的復(fù)雜性就驟然上升。

黑客利用云服務(wù)的特性，比如竊取AWS密鑰獲得開放S3容器中的資源路徑，或是啟動新的Amazon Elastic Compute Cloud(EC2)來挖礦，制造了好幾次敏感信息泄露事件。盡管亞馬遜很快推出了Macie以保護(hù)AWS S3數(shù)據(jù)，并通過Trusted Advisor提供免費(fèi)的容器檢查，但是這類事件仍然頻頻發(fā)生。安全無漏洞的“摘星之旅”依然在路上……

網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)時(shí)代：AI的自我救贖

1999年，MIT提出了“萬物皆可通過網(wǎng)絡(luò)互聯(lián)”，物聯(lián)網(wǎng)概念問世。智能感知的到來，給物聯(lián)網(wǎng)添上了“感知”與“計(jì)算”的雙翼，也就安全問題提出了新的挑戰(zhàn)。美國CenturyLink的2018年威脅報(bào)告顯示，全球每天發(fā)生195000個(gè)實(shí)例，擁有強(qiáng)大或快速增長的IT網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的地區(qū)是網(wǎng)絡(luò)違法活動的主要來源。

之所以更容易被劫持或攻擊，主要出于以下幾個(gè)原因：

首先，從智能攝像頭網(wǎng)絡(luò)面臨的攻擊來看，傳統(tǒng)端到端加密的安全策略，不符合社會智能化合法采集利用數(shù)據(jù)的客觀需求；而引入哈希鎖等加密技術(shù)來保護(hù)隱私，又會帶來較長的計(jì)算時(shí)延，較高的計(jì)算復(fù)雜性也會提升使用者的額外消耗等等，這些權(quán)衡因素交織在一起，也是讓整個(gè)產(chǎn)業(yè)在隱私安全問題上邊界模糊、難以徹底“革命”的原因。

同時(shí)，公有云、私有云、混合云的并存，硬件產(chǎn)業(yè)化部署的標(biāo)準(zhǔn)不明確、本地、云端存儲的多樣性等等，導(dǎo)致了以攝像頭為核心的計(jì)算機(jī)視覺物聯(lián)網(wǎng)系統(tǒng)在安全上的復(fù)雜局面。將隱蔽的“空門”留給了黑客，一旦利用分布式攻擊來引發(fā)大規(guī)模網(wǎng)絡(luò)的連鎖反應(yīng)，造成的后果往往難以估量。

另外，在企業(yè)或消費(fèi)者環(huán)境中部署和連接物聯(lián)網(wǎng)系統(tǒng)，本質(zhì)上是設(shè)備、軟件、網(wǎng)絡(luò)、人員等多個(gè)端點(diǎn)的相互連接，動態(tài)風(fēng)險(xiǎn)也就成了物聯(lián)網(wǎng)系統(tǒng)安全的薄弱之處。因?yàn)槊媾R威脅時(shí)，不僅僅要考慮技術(shù)組件，還需要包括系統(tǒng)內(nèi)部的人員與合作伙伴。每個(gè)環(huán)節(jié)的安全策略都不盡相同，而往往是那塊“最短的木板”決定了系統(tǒng)整體的安全性。

缺乏安全培訓(xùn)、員工意識不強(qiáng)、簡單的人為錯(cuò)誤等等，都有可能造成即使漏洞在技術(shù)端被修復(fù)，也很難快速進(jìn)行全面更新，貽誤挽回?fù)p失的最佳時(shí)機(jī)。

更為關(guān)鍵的是，攝像頭網(wǎng)絡(luò)為代表的物聯(lián)網(wǎng)系統(tǒng)，已經(jīng)成為一個(gè)智能數(shù)據(jù)聚合的生態(tài)系統(tǒng)，與個(gè)人、機(jī)構(gòu)的信息財(cái)產(chǎn)安全直接關(guān)聯(lián)，這意味著系統(tǒng)被攻破的風(fēng)險(xiǎn)成本更高。

試想一下，如果黑客攻破的是私人汽車上的智能攝像頭，引發(fā)的很可能就是車聯(lián)網(wǎng)系統(tǒng)的連鎖反應(yīng)及公共安全危害；偽造人臉欺騙公司的門禁系統(tǒng)，造成重要資料外泄；智慧城市的公共攝像頭網(wǎng)絡(luò)被入侵，那交出的則是所有市民、管理系統(tǒng)的重要數(shù)據(jù)……

顯然，在如火如荼的智能物聯(lián)網(wǎng)AIoT建設(shè)中，光靠責(zé)難科技企業(yè)來保護(hù)用戶隱私還遠(yuǎn)遠(yuǎn)不夠。金錢的腥味總能吸引非法人員鋌而走險(xiǎn)，除了在技術(shù)上持續(xù)斗法外，別無出路。幸好，當(dāng)物聯(lián)網(wǎng)在用數(shù)據(jù)供養(yǎng)智能系統(tǒng)的同時(shí)，AI也在保護(hù)它。

比如，避免傳送敏感資料到云端的“邊緣計(jì)算”正在成為剛需。在嵌入式電子與工業(yè)電腦應(yīng)用展Embedded World上，通過邊緣裝置(edge device)處理更多數(shù)據(jù)，以及相關(guān)的芯片、處理器等產(chǎn)業(yè)鏈，一直是近兩年來的焦點(diǎn)。

同時(shí)，安全防護(hù)也開始與AI 緊密結(jié)合，通過對漏洞報(bào)告以及程序代碼的自動化處理，來實(shí)現(xiàn)安全漏洞的自動化研究，從而及早規(guī)避一些多元的新攻擊手段。將機(jī)器學(xué)習(xí)算法引入入侵檢測等過程中，能對實(shí)時(shí)檢測得到的信息進(jìn)行有效的處理，并做出攻擊可能性的判斷，及時(shí) 報(bào)警，讓攻擊者的小動作無處遁形。Splunk、Gurucul、賽門鐵克、 IBM 、360等安全廠商都已經(jīng)是AI的擁躉了。

總體來看，AI與物聯(lián)網(wǎng)正成為智慧城市建設(shè)的大勢所趨?；ヂ?lián)網(wǎng)公司、智能設(shè)備廠商、安全廠商都在紛紛“跨界”轉(zhuǎn)型，AIoT正伴隨著技術(shù)爆炸與裂變，滲透到千行萬業(yè)。

但同時(shí)，其隱私與安全環(huán)境也迎來了巨大的變化。每一個(gè)個(gè)體、每一個(gè)硬件、每一次傳輸，都有可能成為黑客刀下的“肥羊”。

當(dāng)我們?yōu)榭萍紡S商的隱私問題而憂心忡忡時(shí)，別忘了，先為最基礎(chǔ)的數(shù)據(jù)安全上好第一把鎖。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。