AI摄像头的黑灰产之困

来源 :科海故事博览·下旬刊 | 被引量 : 0次 | 上传用户:liangsfr
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读

  刷脸购物、智慧停车、智能考勤……今天计算机视觉技术已经深入了日常生活的方方面面,也因此让不少人患上了“摄像头焦虑症”。最近,从人脸识别进课堂引发的技术伦理问题,到AI换脸应用软件ZAO爆火后的隐私争议以及被无处不在的城市电子眼网络锁定的“监控感”,不断挑动着大众对个人数据过度暴露的敏感神经。惊吓过后,技术公司的做法究竟对不对,采集用户数据的边界在哪里,讨论这些问题无疑是必然的、应该的。其实吧,无论是各国隐私法案的逐渐严格化,社会的舆论压力,还是从逻辑上推理,科技公司其实不太可能真的拿用户敏感数据做一些自毁长城、后果严重的事情。Facebook、苹果等企业在被公众责问之后拼命找补,就是活生生的例子。更应该警惕的是那些远在普通人感知范围之外的“叵测居心”。
  藏在AI摄像头之后的黑灰产
  你不会在厨房里只看到一只蟑螂——著名的蟑螂理论,说的就是一旦有一点负面新闻,其背后往往有更多的问题被掩盖起来了,而隐私问题也是同理。就拿应用最为广泛的计算机视觉来说,前端的感知硬件智能摄像头一直是市场的新宠,低功耗的人脸抓拍、识别、分析等,已经广泛部署到了机场、车站、商业街及旅游景区等公共区域。智慧城市的实时交通管控离不开密布的摄像头,食卫部门早已将高清摄像头部署在了餐厅酒店的后厨,校园自不必说,就连居家场所,也有不少人掏钱为自己装上了智能摄像头。但黑客界也有一句话,“未知攻,焉知防”。如果我们不知道摄像头背后的数据是如何泄露或被人非法侵占的,又该如何去保障安全呢?殊不知,AI的加持,物联网的繁荣,正在让智能摄像头成为黑灰产新的温床。我们发现,智能摄像头所收集的隐私数据,正在从几个角度被非法获利。
  技术含量最低的,就是攻破一些简易、低廉的智能摄像头。这类产品的核心诉求是监控,应用在商铺、物业或是家庭内,在传统工业硬件的基础上搭载一个AI芯片和云存储服务,由于门槛较低,互联网企业、OEM厂商、安防公司等都在抢占这块市场,泥沙俱下的结果就是给了黑客可乘之机。许多智能摄像头的生产厂商其实并不具备云计算、AI背景下的安全审计流程,产品缺乏远程更新机制、存在可以控制系统的设计缺陷等,黑客都可以通过暴力破解手段,直接在IP端进行拦截,对用户的登录秘钥、影像内容等敏感信息一览无余。然后通过售卖隐私视频、劫持摄像头“挖矿”等方式来攫取利益。在2018年MWC大会上,捷克网络安全公司Avast就演示了1.5万台小件联网设备4天内的“挖矿”过程,挖掘出价值1000美元的加密货币。遍布城市角落的智能摄像头,无疑正是攻击者眼里的香饽饽。
  数据上云后就一定安全吗
  当然,对于这种套路,只要抵抗住低价的诱惑,选择一些正规的智能摄像头厂商和机器视觉方案服务商,有了基础的防火墙、代码审计、设备安全模糊测试、传输通讯加密等,都可以起到一定的防范作用。而随着计算机视觉技术开始获得B端机构的青睐,黑客们也艺高人胆大、富贵险中求,将目光转向了更具“价值”的攻击对象,开始大规模地入侵学校、医疗甚至警署的摄像头系统。2017年,就有两名黑客入侵了美国首都华盛顿警方部署的户外监控系统,123个部署在华盛顿哥伦比亚特区警视厅(MPDC)闭路TV系统的安全摄像头,这些系统包含了该城市的所有公共空间实时情况,并要求华盛顿警方支付赎金……为此,警方甚至不得不在特朗普就职总统典礼的前两周,连续4天关闭了该系统,可以说非常乌龙了。当然,这并不是个例,2018年,中国国内也出现了入侵路由器、智能摄像头,然后加密文件,要求受害者通过手机转账缴付解密酬金。
  上述针对大规模机构发起的攻击,就不是传统防火墙 安全软件可以抵抗的了。因为这样的智能摄像头系统网络,本难以满足存储与计算的需求,需要向云端上传监控视频、自动更新软件等,因此需要时刻和网络连接。一些不具备云服务能力的解决方案厂商,往往会选择与第三方云服务进行合作。一旦对方出现安全漏洞,所有相关的摄像头网络都会受到影响。比如华盛顿市安全摄像头网络的暴露,就是由“安装在跟摄像头紧挨着的专门计算机”和MPDC网络被攻破所导致的。更早一点,从事监视技术的意大利安全公司Hacking Team就被黑客偷走了400GB的内部数据。而海外的Threat Stack网络安全团队也发现,从2016年开始,黑客们利用AWS(亚马逊云服务)
  进行攻击的复杂性就骤然上升。黑客利用云服务的特性,比如窃取AWS密钥获得开放S3容器中的资源路径,或是启动新的Amazon Elastic Compute Cloud(EC2)来挖矿,制造了好几次敏感信息泄露事件。尽管亚马逊很快推出了Macie以保护AWS S3数据,并通过Trusted Advisor提供免费的容器检查,但是这类事件仍然频频发生。安全无漏洞的“摘星之旅”依然在路上……
  AI的自我救赎
  1999年,MIT提出了“万物皆可通过网络互联”,物联网概念问世。智能感知的到来,给物联网添上了“感知”与“计算”的双翼,也就安全问题提出了新的挑战。美国一份权威报告显示,全球每天发生19.5万个实例,拥有强大或快速增长的IT网络和基础设施的地区是网络违法活动的主要来源。之所以更容易被劫持或攻击,主要出于以下几个原因:首先,从智能摄像头网络面临的攻击来看,传统端到端加密的安全策略,不符合社会智能化合法采集利用数据的客观需求;而引入哈希锁等加密技术来保护隐私,又会带来较长的计算时延,较高的计算复杂性也会提升使用者的额外消耗等,这些权衡因素交织在一起,也是让整个产业在隐私安全问题上边界模糊、难以彻底“革命”的原因。同时,公有云、私有云、混合云的并存,硬件产业化部署的标准不明确、本地、云端存储的多样性等,导致了以摄像头为核心的计算机视觉物联网系统在安全上的复杂局面。将隐蔽的“空门”留给了黑客,一旦利用分布式攻击来引发大规模网络的连锁反应,造成的后果往往难以估量。另外,在企业或消费者环境中部署和连接物联网的系统,本质上是设备、软件、网络、人员等多个端点的相互连接,动态风险也就成了物联网系统安全的薄弱之处。因为面临威胁时,不仅仅要考虑技术组件,还包括系统内部的人员与合作伙伴。每个环节的安全策略都不尽相同,而往往是那块“最短的木板”决定了系统整体的安全性。缺乏安全培训、员工意识不强、简单的人为错误等,都有可能造成即使漏洞在技术端被修复,也很难快速进行全面更新,贻误挽回损失的最佳时机。更为关键的是,以摄像头网络为代表的物联网系统,已经成为一个智能数据聚合的生态系统,与个人、机构的信息财产安全直接关联,这意味着系统被攻破的风险成本更高。试想一下,如果黑客攻破的是私人汽车上的智能摄像头,引发的很可能就是车联网系统的连锁反应及公共安全危害;伪造人脸欺骗公司的门禁系统,造成重要资料外泄;智慧城市的公共摄像头网络被入侵,那交出的则是所有市民、管理系统的重要数据……
  显然,在如火如荼的智能物联网AIoT建设中,光靠责难科技企业来保护用户隐私还远远不够。金钱的臭味总能吸引非法人员铤而走险,除了在技术上持续斗法外,别无出路。幸好,当物联网在用数据供养智能系统的同时,AI也在保护它。比如,避免传送敏感资料到云端的“边缘计算”正在成为刚需。在嵌入式电子与工业电脑应用展Embedded World上,通過边缘装置处理更多数据以及相关的芯片、处理器等产业链,一直是近两年来的焦点。同时,安全防护也开始与AI 紧密结合,通过对漏洞报告以及程序代码的自动化处理,来实现安全漏洞的自动化研究,从而及早规避一些多元的新攻击手段。将机器学习算法引入入侵检测等过程,能对实时检测得到的信息进行有效的处理,并做出攻击可能性的判断,及时报警,让攻击者的小动作无处遁形。Splunk、Gurucul、赛门铁克、IBM 、360等安全厂商都已经是AI的拥趸了。总体来看,AI与物联网正成为智慧城市建设的大势所趋。互联网公司、智能设备厂商、安全厂商都在纷纷“跨界”转型,AIoT正伴随着技术爆炸与裂变,渗透到千行万业。但同时,其隐私与安全环境也迎来了巨大的变化。每一个个体、每一个硬件、每一次传输,都有可能成为黑客刀下的“肥羊”。当我们为科技厂商的隐私问题而忧心忡忡时,别忘了,先为最基础的数据安全上好第一把锁。
其他文献
摘 要 本文以德国《社交媒体管理法》为基础阐释我国社交媒体监管的主要内容与立法方向。  关键词 社交媒体 管理  一、《社交媒体管理法》的现实背景与相关内容  德国的社交媒体法其产生来源于社交媒体对于社会的巨大影响。由于中东常年战争,从2015年开始,大量难民涌入德国等中欧国家,这些难民在涌入欧洲的同时,所带来的是巨大的民族矛盾与种族冲突情绪,而社交媒体正为这种情绪的发现找到了突破口,作为社交主流
摘 要 随着我国教育的深化改革,小组合作教学模式得到了社会各界人士的赞同与认可,逐渐运用到各学科的教育教学中来,国内众多的教育从业者正探寻着小组合作学习在课堂教学中开展的有效方式。通过实践发现在初中体育课堂教学中融入小组合作学习策略能够有效的提高课堂教学效率,所以如何科学合理的将小组合作学习策略运用到初中体育课堂教学中来是初中体育教师迫切需要解决的问题。本篇文章笔者结合自己的多年初中体育教学经验,
摘 要 随着教育改革的深入实施,农村教学课堂中的基础设施也在不断完善和改进,为了培养小学生的自主学习习惯,高效完成小学数学的教学目标,教师在进行农村小学数学教学时,需要充分认识到分组合作学习的重要性,通过正确引导和控制小学生的分组合作学习过程,从而为其合理规划分组合作学习内容,以此来有效加强小学生的课堂主体地位,并进一步提升农村小学数学课堂的教学效果。  关键词 分组合作;农村小学;数学教学;应用
赤潮,人们也许不陌生。这几年,在港湾、近海等地方,人们甚至可以清楚地看到海水出现绿潮甚至白潮的现象。“目前人们还没掌握地球上海洋生物物种的精准数字,但不可否认的是,因为生物多样性下降而导致的生态灾害正在加剧,比如人们熟悉的赤潮以及因水母引起的白潮。”2019年6月8日是第十一个“世界海洋日”和第十二个“全国海洋宣传日”,谈及世界海洋日的主题“珍惜海洋资源,保护海洋生物多样性”,中科院海洋所李新正研
摘 要 王148井位于东营凹陷的王家岗断块,本井地质设计上的完钻层位为中生界,所以关于中生界层位的卡取是本井一项重点工作。而由于本地区新生界古近系孔店组底部岩性与中生界顶部白垩系王氏组均为双红砂泥岩,且邻井与本井之间均有断层,地层的可比性下降,因此本井中生界的深度卡取也是一项难点工作。本文将从岩性、邻井有效地层对比等方面下手,来系统论述本井实钻过程中卡取中生界的方法,为该区域中生界地层的深度卡取提
剪纸是一种平面纸质雕刻镂空的艺术,容易损坏和腐烂,旧时均为日常生活使用的装饰物,用过即弃,极少保存,因为不便于保存,所以在历史典籍上记载很少。剪纸是绞纸,在一定的审美指导下剪成图像并且供人欣赏。剪纸在中国的历史非常悠久。据一些史前艺术、文献记载、考古能发现剪纸艺术的痕迹。在原始社会出现了镂空的艺术形式,例如贝壳穿孔等。后来到新时期时代出现玉器骨器。这些都为剪纸艺术做了铺垫。剪纸艺术相对于其他形式的
摘 要 随着淘宝店数量的增加和竞争的日益激烈,采用有效的营销策略使淘宝店在众多店铺中脱颖而出显得尤为重要。本论文分析了国内淘宝网店营销问题并基于4P营销理论提出淘宝店营销策略及优化建议。本研究有助于淘宝店提升自身竞争力,对于我国电子商务平台的发展有促进作用。  关键词 电子商务;网店营销;策略  一、淘宝网店营销策略的分析  (一)淘宝服饰网店的营销策略  1.产品策略  概念:所谓的产品策略,即
摘 要 现阶段,随着新课改的实施,课程改革这方面令教育部门十分重视。“核心素养”这个词十分受欢迎,在相关文件中写到,要将核心素养与学科进行融合,贯穿到数学课堂的教学中。核心素养是有关于个人的,具有数学特点,适合小学生终身发展,也是社会正需要的。同时也有着数学特点的相关能力和思维品质。笔者对小学核心素养下的课堂创新实践进行了分析,以供参考。  关键词 核心素养;小学数学;创新;分析  引言:小学数学
渐黄昏,归去,街人络绎,叶未眠。  乘公交,倾羲,天滃际染,光暂歇。  投币上车,突然觉得车内布局似乎同以往不大一样,我暗自思忖,算起来,竟是许久没坐过公交车了。  车中男女老少皆有,我坐在最后一排,刚好能看到乘客们的一举一动。我前方的座位上坐着一位老人和他的小孙子。天色渐晚,小孩子估计是有些饿了,便大声地吵闹起来。老人搂着他,告诉他很快就到家了,让他忍一忍,不要打扰了其他人。  坐在窗边的一个中
摘 要 结合北京信息科技大学机电专业的特点,对检测技术课程设计的教学模式进行探讨,从课程设计的内容、选题、教学等多方面进行优化设计,使得学生了解和掌握测试系统的软硬件设计思想、原则、过程、方法,使课程设计符合解决复杂工程问题能力培养的需求,培养具有创新设计能力的学生,提高其综合能力,为以后设计和实现测试系统的搭建与应用打下良好基础。  关键词 课程设计;检测技术;复杂工程问题;创新能力  中图分类