下载掌阅APP,畅读海量书库
立即打开
随着科技的日新月异,各类电子设备已经融入了人类的日常生活当中。人们用文字、照片、语音及视频等记录着自己生活的点点滴滴,这些电子设备不可避免地会存储个人隐私数据。人们不禁产生一个疑问:电子设备中的数据安全吗?
人类的好奇心永远驱使着人们探寻未知事物,在计算机领域也一样。黑客技术的目标就是研究计算机防护机制的各种破解方案,寻找隐秘的资源。当宾夕法尼亚大学在20世纪50年代创建第一台计算机后,麻省理工学院等学府的一些高级工程师就开始了早期的黑客技术研究,其后更是发展迅速。如1979年,年仅15岁的凯文·米特尼克(Kevin Mitnick)入侵了北美空中防务指挥部的计算机主机。1983年,一群年轻黑客攻击了美国政府机构的计算机系统,包括洛斯阿拉莫斯国家实验室等。
2003年,Sobig病毒在全世界传播,并造成了至少50亿美元的损失。该病毒通过局域网扩散,可以定时将用户信息发送到指定邮箱。2006年,28岁的美国人冈萨雷斯(Gonzalez)利用黑客技术,窃取了1.3亿张信用卡和借记卡的账户信息,致使万事达卡国际组织、美国运通公司等机构支付了超过1.1亿美元的相关赔偿。
搜狐新闻网站曾经报道过一起木马程序盗取银行密码的案件。该木马程序名叫“TrojSpy_Banker.YY”,伪造了IE浏览器页面。该木马程序可以监控计算机系统中IE浏览器正在访问网页的情况,如果发现用户正在工商银行网上银行的登录页面上输入自己的银行账号和密码,并且确认提交,那么木马程序就会借机弹出一个和真的IE浏览器窗口一样的伪造IE浏览器窗口,并诱骗用户输入相关信息。此后,木马程序会通过用户的计算机系统中的内部邮件系统将窃取到的密码信息以邮件的形式发送到指定的邮件地址。
近几年,伴随着手机功能的日益强大,因手机被盗而发生信息泄露和经济损失的新闻屡见不鲜。手机不再只是单纯地用于通信,它还链接着我们的各种账号,包括支付宝、京东金融、财付通、云闪付、苏宁金融等耳熟能详的金融支付平台及银行信用卡等。如果我们一不小心丢了手机,这些金融支付平台及银行信用卡就可能被破解和盗刷。这充分说明了手机设备信息安全的重要性及信息保护的急迫性。
攻击和保护是竞争发展的(图2-3),安全人员在操作系统易受攻击的情况下研究出了更为可信的保护技术。典型的如Intel SGX等技术 [9] ,构建一个与操作系统隔离的可信执行环境(trusted execution environment,TEE),以运行对安全至关重要的应用并存储敏感数据。基于硬件辅助的超高权限控制,能避免绝大多数来自网络、操作系统的攻击,从而构建用户数据真正的“保险箱”。
●图2-3 攻击和保护是竞争发展的
然而,在技术革新过程中,如果硬件特性未能及时进行相应的更新,其安全性能就会受到挑战,基于该硬件技术的可信执行环境就可能出现严重问题。例如,在多核系统中,如果系统调试功能存在漏洞,黑客通过普通用户权限就能提取可信区中的保护数据(如用户指纹,图2-4)。对于手机安全芯片,尤其是ARM平台生态系统,这种潜在的漏洞会影响几十亿台终端设备。及时发现这些漏洞,剔除隐患,可防止巨大的损失。
●图2-4 “钉枪”攻击可从手机安全芯片中窃取隐藏的用户指纹信息 [10]
因此,在数字时代,我们的电子设备系统依然存在多样化的安全风险,即便安全研究人员设计了各种防护方案也不能保证百分之百的安全,我们的信息数据仍然有被窃取的风险。保护好我们的电子设备中的数据信息已经是网络空间安全领域最重要的研究方向。对于个人而言,养成良好的网络使用习惯、使用正版的操作系统及应用软件和采用正规的安全防护技术等是避免攻击的最好方法。
张锋巍
南方科技大学计算机科学与工程系副教授。曾任美国韦恩州立大学计算机系助理教授,计算机和系统安全实验室的主任(2015—2019)。2015年获得美国乔治梅森大学计算机专业博士学位。主要研究领域是系统安全。发表50余篇国际会议论文和期刊论文,是2017年ACSAC(Annual Computer Security Applications Conference)杰出论文奖的获得者。
周雷
南方科技大学博士后、中南大学博士,研究方向为系统安全,现在主要研究领域是分析Intel芯片组架构中的硬件特性,构建可信计算环境,对运行时的系统进行检测、修复等方法研究。主要成果已在国际重要学术会议上发表。
葛景全
南方科技大学博士后,获中国科学院信工所博士学位。研究方向:在ARM-FPGA SoC平台上,利用软硬协同技术,构建更安全、更可靠、更高性能的系统运行环境。主要成果已经在ESORICS(European System on Research in ComputerSecurity)、ICCD(International Conference on ComputerDesign)等国际知名的安全和体系结构会议及 TIFS ( IEEE Transactions on Information Forensics and Security )等顶级学术期刊上发表。