中美兩大駭客巔峰對話：如何杜絕網絡大殺器

新一輪席捲全球的勒索病毒會在何時捲土重來？動輒可以威脅整個互聯網安全的“大殺器”該如何應對？人工智能（AI）的安全如何防護？眾多全球頂級駭客和安全專家，在第三屆中國互聯網安全領袖峰會(Cyber Security Summit，簡稱CSS2017)的一個小型圓桌論壇上，進行了詳細解讀。 

 

2017年8月15日，主題為“安全新秩序，連接新機遇”的第三屆中國互聯網安全領袖峰會在北京國家會議中心召開。一個名為“網絡大殺器的安全之道”圓桌論壇引起了眾多安全圈和人工智能領域人士的關注。

 

 

圖為世界頭號傳奇駭客凱文•米特尼克

 

論壇嘉賓包括世界頭號傳奇駭客凱文•米特尼克、KEEN公司CEO、GeekPwn大賽發起和創辦人王琦、騰訊玄武實驗室負責人“TK教主”于旸、美國加州大學伯克利分校教授Dawn Song、卡巴斯基實驗室安全專家Vladimir Dashchenk、知道創宇CEO趙偉，論壇期間，中美兩大駭客凱文和王琦就勒索病毒等網絡“大殺器”的危害和如何應對時下安全熱點問題展開精彩對話。

 

幫助人工智能安全成長才是未來網絡“大殺器”的安全之道

 

當下的網絡攻擊呈現大規模，大危害的特點，被稱作“大殺器”。網絡時代“大殺器”橫行，不但全球億萬網民遭到襲擾，更威脅著政府、企業、社會各界的正常運轉。

 

如今物聯網時時刻刻在面臨著網絡“大殺器”的威脅，那麼在新興的人工智能領域會不會出現這種“大殺器”級別的安全問題？來自美國加州大學伯克利分校教授Dawn Song在會上給出了肯定的答案。她認為， AI確實會給賦予人們一些新的能力，但是隨著AI技術再往前發展，會涉及到很多未知領域，會有很多新的攻擊場景，有可能被用做“大殺器”。

 

同時，她指出，在AI技術不斷發展的過程中，應該需要一些有經驗的技術人員對此加以防範，幫助人工智能健康發展。同時，整個安全領域和社會各個部門，都需要高度重視。

 

“大殺器”頻頻出手中美兩大駭客對話安全

 

針對“大殺器”頻發的案例，中國知名駭客王琦在圓桌討論上和世界頭號傳奇駭客凱文·米特尼克對進行了對話，尋找解決方案。“我認為在WannaCry勒索病毒這個全球安全事件上，美國CIA應該向GeekPwn的白帽駭客學習，把漏洞給企業用於修復安全威脅，而不是藏著企業的漏洞不曝光。在你看來，政府和企業之間應該如何開放與合作？”王琦對凱文拋出了問題。

 

 

圖為圓桌論壇嘉賓對話

 

事實上，業界普遍認為是，CIA手頭裏私藏的漏洞攻擊工具泄漏後導致了WannaCry勒索病毒肆虐全球。凱文則回答道，不同國家都會有各種安全部門，以及各自不同的防衛安全體系，難免會有些員工為了利益或者其他原因而泄密。凱文表示，所以在WannaCry這種大殺器面前，不僅政府相關部門需要了解相關的問題和漏洞出在那裏，也最好有專業的安全機構去處理類似的問題。

 

用駭客思維去預防“大殺器”威脅爆發

 

有意思的是，兩大頂級駭客的觀點不謀而合。眾多全球頂級駭客參與的極棒大賽，正在成為預防大殺器爆發的重要活動。

 

“我們做極棒，就是要站在駭客的角度來思考問題，剖析這些危害的來源，從根源做起消滅漏洞”王琦表示。GeekPwn（極棒）作為全球最大關注智慧生活的駭客賽事平臺，2014年發起至今，已為行業貢獻了上百個漏洞，提前制止了潛在大殺器造成的巨大威脅。

 

2015年極棒上，來自清華大學網絡與信息安全實驗室的同學發現了 HTTPS設計中的漏洞，利用該漏洞可導致用戶機密信息被惡意泄漏或濫用，一舉打破了加密傳輸 HTTPS的安全神話。

 

2016年極棒賽場上，來自美國加州大學的博士生曹躍展示了驚人的“遠程任意TCP劫持連接技術”，這或是世界上第一個做到完全不需要中間人或者執行任何惡意代碼就可以遠程劫持連接的工作。攻擊者在獲知世界任意一地方受害者的IP地址後，即可能遠程劫持其通訊。該漏洞將會影響超過14億安卓設備和數以百萬計的 Linux系統。

 

 

（清華大學網絡與信息安全實驗室）

 

在GeekPwn（極棒）2017年5月的比賽現場，其中一位挑戰路由器的外國選手“crixer”，利用設備中的記憶體破壞漏洞，遠程獲取了網件路由器的root控制權限，同時進行DNS劫持攻擊，和DOS（拒絕服務）攻擊。“crixer”表示，被劫持的路由器可以形成僵屍網絡，發起大規模的DDoS攻擊，其破壞力難以估計。而2016年導致美國東部網絡大面積癱瘓的元兇正是以攝像頭為首的物聯網設備。

 

類似的在極棒上面被發現的“大殺器”級別安全漏洞不勝枚舉，王琦表示，極棒駭客比賽中的白帽駭客選手，不是搞破壞的，“我們就是想讓‘大殺器’威脅止于極棒，提前發現並彌補更多漏洞。在極棒上面，每個選手成功的背後，我們就成功的避免了一次互聯網的癱瘓，避免了千萬人隱私的洩露，避免了一次可能難以計數的損失。”

 

GeekPwn正在與全球頂尖白帽駭客們一起尋找未來人工智能潛藏的風險，幫助人工智能安全成長。據悉，2017年，GeekPwn（極棒）把人工智能安全挑戰賽列為全年重點項目，以500萬的獎金池，開啟了10月24日在上海、11月11日在矽谷的人工智能安全挑戰賽的招募，接受全球頂尖AI安全極客的報名。