隐私

375 文章

二次世界大战情报安全:理查德· 佐尔格与书本加密

所谓的”书本密码“历来受到谍战小说和侦探小说作家的青眯,他们通常会在自己的书中尽量模仿现实中的情形,但却常常忽视了真正的核心技术概念。之所以这些小说中时常会出现有关书本密码的情节,原因在于这是读者所能理解的最简单的一种加密方法。就其本身而言,书本加密似乎并非是一种虚构出来的加密系统,且与将对应序列号代替字母的加密方很相似。

云安全解释:1个技术术语,0个复杂图表

尽管基于云的安全保护措施对于我们早已不再新鲜,但最近却受到了极大的关注—很大程度是因为今天几乎所有数据都”保存在云内。”在如今这个时代,你智能手机内的大部分联系人、照片、电邮、音乐、在线购买的电影和电子书都保存在了”其它地方”,而非你的电脑或移动设备里。

保护用户的五大方式:欢迎来到我们的欧洲研究中心

就在昨天,卡巴斯基实验室中我最喜欢的一个部分—当然就是实验室本身–得到了进一步壮大,我们的首座欧洲研究中心正式成立了。对于那些始终奋战在对抗网络威胁最前线的“战士们”而言,这里将成为他们的家。在每一天临近结束的时候,这一全新的欧洲研究中不仅将有助于更好地保护欧洲用户,同时也包括全球其他地区的用户。

输液泵内的关键安全漏洞

又一个智能医疗设备内存在安全隐患的案例:最近媒体曝光了一批Hospira生产的输液泵内存在一系列远程可利用漏洞,使得网络攻击者能对受影响注射泵进行全面操控或简单地让设备陷入瘫痪。

第二次世界大战情报安全:破译Enigma密码机

我们都曾听说过被称为”Enigma”的德国密码机,这很大程度上因为有关它的传奇故事被写成了小说并搬上了大银幕–讲述”计算机科学之父”艾伦•图灵在二战期间破译德国Enigma密码机的电影-《模仿游戏》最近获得了奥斯卡提名。

大数据是如何帮助抓捕罪犯的

大数据技术可被用于解决诸多难题:治疗罕见疾病、在印度抓捕偷猎者或发现纽约修剪树木的最佳时节。保险代理公司也能利用大数据实现更准确的保险产品定价;而银行、工厂和零售连锁店—同样可以借助大数据提高生产率和增加销售量;警察和安全专家—则能利用它抓捕罪犯。在本篇博文中,我们将重点讨论最后一个方面,即利用大数据抓捕罪犯。 刑事专家确信犯罪也有其独有的模式,就如同其他人类活动一样。尽管要预测个体行为有相当的难度,但通过数据分析却能预测特定人群的反应,且精确度相当之高。 尽管普通用户对于大数据的巨大潜力几乎一无所知,但也会时常讨论大数据的优势或害怕政府监听。有关分析专家正在深入研究这方面的课题,以期对来自真正危险的错误信号加以区分,例如:防范金融犯罪。 警察局时常会利用大数据以更高效的方式处理一些已知信息,例如:对城市中最危险的几个区域进行检查。你可以看到伦敦地图上的’热点’均用红色进行标注: 美国西雅图、纽约和洛杉矶的警察局早已用上了类似的安全解决方案。最新的相关报告显示,这三座城市的犯罪率有明显的下降,其中盗窃案、暴力犯罪和财产犯罪案分别下降了33%、21%和12%。 高科技帮助警察在有人报警之前就能预先采取行动。每一项数据都有其价值所在:在Facebook和其他社交网络上的照片、更新内容和登录状态;当地学校的旷课统计;医学调查结果、购物数据以及公共监视摄像头录像等。 除此之外,数据分析员还能帮助警察确定各种动态,例如:罪犯将枪和子弹作为货币进行交易。犯罪分子会将一些重要数据上传到社交网站(尤其是Facebook和Instagram),从而成为了破案过程中极其宝贵的信息来源。 有关专家表示分析系统能够成功对街头犯罪进行预测,例如汽车盗窃案和谋杀案。此外,在预测街头骚乱以及恐怖活动时也同样表现出色。 Forensic Logic公司曾帮助警察局侦查到数名在逃嫌犯。公司专家将洛杉矶县内80座城镇的数据库进行了比较,发现这些罪犯偷偷从一个警察管辖区潜逃到了另一个管辖区。 来自宾夕法尼亚大学犯罪学系的专家团队基于包括本地警察分局报告在内的各种数据研究出了一种算法。该算法可被用于侦查杀人案的潜在受害者。警察利用该数据对处于危险的人发出警告。 在专门研发此类解决方案的公司中,最知名的一家可能就是Palantir,该公司最近将业务从政府服务领域扩展到商业市场。 Palantir的软件能够处理一大堆零散的信息:DNA数据、各种来源的音频和视频录像(包括公共监视摄像头录像)、监控车辆交易的注册车辆牌照以及许多其它全球选择项。 这项解决方案已在数个国家被用于防止恐怖袭击,在阿富汗则用于对叛军攻击进行预测。该软件也成功定位了之前曾谋杀美国报关代理人的墨西哥贩毒集团成员的位置。 这一软件能在其它许多情况下使用:成功追踪到在达赖喇嘛PC电脑上安装间谍软件的黑客。此外,还能在另一项重大案件中运用:Palantir在猥亵儿童者施暴一小时后成功被捕的案件中起到了作用。该软件利用纽约市公共监视摄像头的视频录像成功侦查到犯罪分子的所在位置。 刊登在《福布斯杂志》中的一篇文章介绍Palantir的首席执行官Alex Carp极其重视个人隐私。公司聘请了一名叫做Mike的身材壮硕的保镖时刻伴随Alex Carp左右,几乎形影不离。Mike的工作是保护Carp的安全,防止那些已向他发送死亡威胁的家伙、阴谋论者、精神分裂者以及所有其他各类有侵犯性的疯子对Carp本人的骚扰。这是成功必须付出的代价,此外,Palantir还在成功抓捕奥萨马•本•拉登的行动中做出了贡献-帮助美国当局成功定位了世界头号恐怖分子的位置。

如何清除CoinVault勒索软件并恢复文件

在多数情况下,一旦你不幸成为勒索软件的受害人,对此可以说是完全束手无策。但幸运的是,警察和网络安全公司时常会采取联合行动,关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用,因为其有助于编写解密工具并恢复用户的文件。最近,德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容,可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话,在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话,请参阅以下操作步骤。 第一步:确定自己的计算机是否真的感染了CoinVault勒索软件。 首先,确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单:如果你的计算机被CoinVault感染的话,你将能看到如下图片: 第二步:获取比特币钱包地址 在CoinVault勒索软件界面的右下角,你将能看到比特币钱包地址(上图中用黑圈标记的地方)。复制并保存这个地址非常重要! 第三步:获取加密文件清单 在该恶意软件窗口的左上角,你将能看到’查看加密文件清单’按钮(上图中用蓝圈标记的地方)。点击这个按钮并保存为一个文件。 第四步:清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后,该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步:访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知,则IV(初始化向量)和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV,后面你将需要用到。 第六步:下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息(如下图所示),进行第七步操作。如果没有错误消息,则跳过第七步直接进行第八步操作。 第七步:下载并安装另外的libraries(库) 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步:打开解密工具 打开该工具后你将能看到以下窗口: 第九步:测试解密程序是否运行正常 在首次运行该工具时,我们强烈建议您对解密程序进行测试。具体操作步序如下: 在”单文件解密”框内点击”选择文件”按钮,并选择你想解密的一个文件; 将来自网页的IV输入到IV框内; 将来自网页的密钥输入到IV框内; 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步:解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话,则能立即恢复你的所有文件。选择从第三步中所获取的文件清单,输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话,这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况,我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话,可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话,应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中,我们将不断实时添加新的密钥。

你的PC电脑是否已成为了僵尸网络的一部分?赶快检查一下吧!

许多人都认为恶意软件是一种完全能破坏PC电脑正常运行功能的软件。如果你的计算机运行良好,这就意味着没有受到病毒感染,对吗?完全错误,恶意软件编写者们已不再是那些烦人的”网络牛仔”了。网络犯罪分子制造网络灾难的主要目的并非只是为了好玩,而是为了赚钱。在许多情况下,这一目的却导致了完全相反的恶意软件行为:最重要的信息永远不会让用户看到。 例如,此类’隐秘’动作通常就是僵尸网络的典型行为。普通僵尸网络通常由数千台PC电脑组成,如果要说是最大的僵尸网络的话,可能操控着数十万台PC电脑。而计算机用户者对于他们的计算机已受到病毒根本毫不知情。他们只能感觉到自己的PC电脑运行速度似乎慢了一些,但这对于PC电脑来说再平常不过了。 设计僵尸网络的目的旨在收集包括:密码、社会保险号、信用卡个人资料、地址以及电话号码在内的各种个人数据。这些数据可能被用于各种网络犯罪,包括:身份盗用、各类网络欺诈、垃圾邮件以及其它恶意软件传播等。僵尸网络还可用于对网站和网络发动攻击。 而摧毁一个大型僵尸网络则需要众多合作方在付出巨大努力下才能完成。近期的例子则是被认为已在190多个国家感染超过77万台电脑的Simda僵尸网络。其中,美国、英国、土耳其、加拿大以及俄罗斯等国受到的影响最大。 Simda作为一种”可供出售的僵尸网络”,被用于传播非法软件以及各种类型的恶意软件,其中有一些则能盗取资金凭证。而具体恶意程序的编写者则在每次安装后简单地支付给Simda僵尸网络所有人一笔费用。换句话说,该僵尸网络是恶意软件’制造商’的一种大型交易链。 僵尸网络横行互联网已有数年之久。为了让恶意软件发挥出更大的”功效”,Simda僵尸网络所有人在不断开发新版本同时,还频繁地每隔几小时就创建和传播一次。就目前而言,卡巴斯基实验室的病毒采集库内包含了属于各个Simda恶意软件版本的26万多个可执行文件。 与此同时,就在4月9日(周二)当天,分别位于荷兰、美国、卢森堡、俄罗斯以及波兰境内的14台Simda僵尸网络命令和控制服务器被关闭。 参与当天”关闭服务器”行动的组织可谓数量众多,因此也表明Simda僵尸网络的复杂程度可见一斑。包括国际刑警组织、微软、卡巴斯基实验室、趋势科技、Cyber Defense Institute、美国联邦调查局、荷兰国家反高技术犯罪机构、卢森堡Nouvelles Technologies公司的Police Grand-Ducale部门以及俄罗斯内政部’K’部门在内的众多组织均联合参与了本次打击网络犯罪分子的行动。 “由于僵尸网络是一种地域分散式网络,因此通常很难将其彻底摧毁。这也是为什么尤其需要私人和公共部门的携手合作–各方都必须尽自己的最大努力为整个联合行动做出贡献。”目前正与国际刑警组织紧密合作的卡巴斯基实验室首席安全研究员Vitaly Kamluk如是说。”在本次行动中,卡巴斯基实验室的职责是提供僵尸网络的技术分析、从卡巴斯基安全网络收集僵尸网络的遥测数据以及为行动策略提供建议。” 由于相关调查依然还在进行当中,因此要找出Simda僵尸网络的幕后黑手还需时日。但对于用户而言最重要的是:网络犯罪分子用来与受感染计算机通讯的操作、命令和控制服务器已被关闭且彻底摧毁。尽管Simda僵尸网络的运行暂时得以终止,但那些PC电脑受感染的用户依然应该尽快清除这一恶意软件。 通过使用从Simda僵尸网络命令和控制服务器恢复的信息,卡巴斯基实验室创建了一个特殊页面可用于检查您的计算机IP地址是否在受感染清单中。 此外,还可使用免费的卡巴斯基安全扫描工具或下载功能更为强大的3个月有效的卡巴斯基安全软件试用版,则可确保您的PC电脑万无一失。当然了,所有卡巴斯基实验室解决方案均能检测出Simda恶意软件。有关Simda僵尸网络的更多信息将访问Securelist作进一步了解。

使用社交网络账号密码登陆”免费wifi”将带来严重的后果

从理论上讲,人们都普遍认同”天下没有免费的午餐”,但在实际生活中,有些人则选择性地遗忘这句至理名言,更倾向于另一句谚语”搭顺风车”。就目前的情况来看,人们在不遗余力搜寻服务提供商所提供的”搭顺风车”机会的同时,无意中也将自己的私人数据(例如:社交网络登录凭证)与第三方共享。 有大量的现实案例可以证明你不应该受到”免费午餐”的诱惑。在这里我们不得不提到最近在俄罗斯发生的一起事件,有一家总部位于圣彼得堡的俄罗斯公司通过智能Wi-Fi为咖啡馆提供免费WiFi热点。一些有识之士设法录制了客户登入智能Wi-Fi网络方法的视频,并将这些视频放到了YouTube上。 读者们可以从刊登在Siliconrus.com网站上的这篇文章中了解详细内容(用俄语写的,能用在线翻译器翻译),在这里我们将解释一下这一技术:当客户连接到智能Wi-Fi网络时,提示需要通过其社交网络账户配置文件获得授权。在这个案例中,使用的账号来自于俄罗斯最流行的社交网络VKontakte。 然而,用户并非是在vk.com网页上输入账号和密码,而是通过非加密通讯直接在智能Wi-Fi网站上输入,而这却是最不安全的登入网站的方式。 因此用户一旦用自己的VK配置文件登入,vk.com网站的登录密码也将一并提供给智能Wi-Fi提供商,同时隐藏在附近的网络犯罪分子都能通过笔记本电脑窥探到。 就智能Wi-Fi本身而言,有一篇文章 –以及上述所提到的视频–可以证明该服务提供商保存了用户登录凭证,并将其用于两个目的:其一,在VK.com网站的客户网页上发布广告;其二,凭借大量的权限在vk.com网站上的用户配置文件安装应用程序,包括:访问各种个人数据以及代用户发布更新内容。 就第一种情况而言,用户会被警告有广告发布到他们的’墙’上,而第二种情况下就算安装了应用程序也不会有任何提示或警告。要想找到这些被偷偷安装的应用程序,用户不得不查看他们的Vkontakte应用程序列表。不言而喻,几乎很少有用户会定期检查这些内容。 假冒网页模仿社交网络登陆页面或网银工具的情况也时有发生。事实上,这正是广泛存在的网络骗局’网络钓鱼’的基础。该技术将虚假网页乔装打扮成官网,诱使用户输入登录凭证。一旦得手后,即将其运用于各种网络犯罪活动–例如,未经用户允许访问私人数据。 其中真正让人感兴趣的是服务提供商这种极度存在争议的做法。服务提供商在设计这一行动计划时是否故意为之,这一点我们依然无法确定,但即便不是用户仍将处于数据被盗的威胁之下。 与所有传统意义上的网络钓鱼案例类似的是,我们有一个行之有效的解决方案:预防与警惕。我们一如既往地建议用户要注意官网的URL网址,一旦发现URL网址与你原本认为的网址有出入的话,千万不要输入用户登录凭证。还需要注意的是,所有社交网络网站和网银服务都已采用了更加安全的且对通讯进行加密的HTTPS协议,因此我们强烈建议不要在任何网页头上没有”锁”图标的网页上输入密码。 我们应该注意到最新的卡巴斯基安全软件能够检测到此类不安全的WiFi网络,并警告用户不要连接这样的热点。

网络与基础设施的网络安全

“物联网”一词作为行业专业术语已使用多年。”物联网”开创了一个崭新的时代:越来越多的家用电器和汽车进行了联网。而与此同时,许多企业也同样将目光瞄准了这一潜力巨大的商机。然而,正如你所知,人们不禁开始问道”这些联网的设备与汽车是否足够安全能免于网络威胁的侵扰”。 尤金•卡巴斯基在《美国今日》日报对其的专访中再一次阐述了对于”物联网”的看法。其表达的观点与美国联邦贸易委员会主席Edith Ramirez在美国拉斯维加斯举办的CES消费电子展上所发表的言论完全一致。毫无疑问,网络安全依然是无法回避的问题。专家们依然未能找到最佳方案以解决这一重大的安全问题,就如同我们目前所面临的其它类型网络安全问题一样。 现实中,由于物联网所拥有的巨大潜力,因此被公认为是一个”全新市场”。根据《福布斯杂志》这篇文章的报道,思科(Cisco)公司宣称到2020年,所谓的”万物网”的经济价值将增加到19万亿美元。而高德纳公司估计,到2020年物联网的产品/服务提供商的收入将达到3000亿美元。IDC公司则预测物联网解决方案的市场规模将从2013年的1.9万亿美元扩大到2020年的7.1万亿美元,相当于增加了3.7倍。 用于记录个人生物特征、健康和位置信息的电子设备—例如目前全球流行的可穿戴设备—也同样属于物联网的范畴。然而就风险程度而言,物联网并非遍布荆棘。 由于此类设备完全属于个人范畴,并非是我们日常生活和社会活动所必须用到的基础设施。换句话说,你完全可以不去使用可穿戴设备或云服务,如此便能有效降低数据泄露风险。这完全取决于你自己。 另一方面,真正的物联网主要由系统或服务构成,即传统上被称为”M2M”(机对机)的机制。这些设备借助环境/社会基础设施紧密集成(或预计将被集成),因此网络安全与我们所讨论的关键基础设施同样非常重要。 例如,你们中有些人可能已听说过智能电网或微电网。这些系统能通过对家庭用电量与风能/太阳能或燃气热电联产系统的发电量进行平衡,从而对区域用电量进行管理。而安装在每一户家庭的智能电表则用于对此进行监视。据报道,日本东京电力公司已安装了数千台此类智能电表。因此在不久的将来,我们完全可以说这些初期安装的智能电表为智能电网的最终部署奠定了具有重要意义的基础。 那网络犯罪分子是如何利用这一机制的漏洞实施网络犯罪活动的呢?例如,他们完全可以将错误的用电量数据发到智能电表从而减少或增加所付电费。 我们不难发现的是,还有许多其它针对重要基础设施的网络攻击存在。例如,网络犯罪分子可以通过黑客入侵掌控整个交通控制系统,从而制造交通恐慌、故意引发车祸甚至破坏整个公共交通系统。这些事件不仅会影响到我们的日常生活,甚至还会为整个社会造成经济损失。 诸如此类的服务中断事件在过去常有发生,包括软件/系统内产生的bug/混乱,或者发生自然灾害。就目前而言,网络攻击造成的事故也加入了这一行列。 我们需要从这些事故中吸取经验,随后将更加安全的机制运用到物联网系统中,从而将其作为社会/生活基础设施的一部分使用。更准确地说,物联网系统的运营商和开发商理应扣心自问: 1. 我是否将用户便利性置于安全性之上? 如何有效降低网络攻击者的可利用性十分重要,如此便能提高系统安全性。用户的使用便利性同样能为网络攻击者所利用。去年有关默认设置下使用的网络摄像头造成个人隐私遭侵犯的事件见诸于各大媒体。这一事件告诉我们设备制造商应将安全问题考虑在内。还有不要忘了对数据和通讯进行加密。 2. 我是否认为”只读”系统就是安全的? “只读”系统其实并不安全。应用程序只是在内存中暗暗运行,因此网络攻击者完全可以找到黑客入侵的方法。网络设备通常安装Linux操作系统,而众所周知Linux操作系统内存在大量可被利用的漏洞。一旦网络攻击者完全控制了设备,就能黑客入侵整个物联网系统。 3. 我是否认为我的设备就永远不会被劫持? 每一台设备都有可能被劫持。因此对包括连接节点在内的整个系统安全进行监控就显得十分重要。此外,拥有借助每一个节点检测异常现象的方法也同样重要。是否还记得Stuxnet病毒成功渗透那些保护严密的伊朗核设施? 4. 我是否削减了测试成本? 渗透测试十分重要。应该依照您的系统安全需求认真地组织测试。因此我们强烈建议在你的正常开发过程中进行这些测试。 5. 我是否认为安全其实并不需要? 安全是最重要的要求之一。从规划/部署系统或服务的一开始就应该将其考虑在内。缺少足够安全措施的部署,物联网就无法成为我们安全生活/社会基础设施的一部分。 如果无法给出正面的回答,这不仅对于开发人员或公司是一个非常严重的问题,同样还会危及到其他普通大众。

七步操作:免于Facebook账号遭受网络钓鱼攻击

网络钓鱼是一种通过假冒官方电邮或网站旨在窃取个人数据的攻击方式,这些虚假电邮看似发自官方网站–但事实上却并非如此。 例如,用户可能会收到一封无论是标题还是图片均酷似发自Facebook官网的常规消息邮件,唯一区别是该电邮会要求用户重置密码并向用户提供重置密码的登录提示。用户一旦点击提示链接,即会直接转至看似与Facebook官网并无二异的假冒网站,同时还要求用户输入用户名和密码。用户一旦落入陷阱,网络钓鱼者即成功实施了网络钓鱼攻击。 网络钓鱼者之所以屡屡得手,主要利用了人们的信任。Facebook就是一个很好的例子。近些年来,无处不在的社交媒体平台成为了网络钓鱼者普遍利用的一种工具,他们利用Facebook的流行风潮以及人们害怕丢失个人数据的心理– 十足的讽刺– 通过向用户发送看似发自Facebook(事实上并非如此)的虚假重置密码请求以窃取用户个人数据。 绝不要接受任何电邮内的个人信息请求 当然,除了通过假冒Facebook电邮来实施网络钓鱼攻击以外– 网络攻击者还会模仿大型银行和信用卡公司的消息通知格式发送类似的假冒通知邮件,从而达到获取用户资金数据和网银账户的目的。无论是假冒何种网络服务,网络钓鱼攻击的目标总是一致的–那就是利用用户对于知名机构的信任来获取他们的用户名、电邮、密码或PIN码。 目前,有多种方法可免于遭受网络钓鱼攻击。无论是哪一种方法,其核心思想就是永远对个人信息的在线请求保持高度警觉。 1.绝不要接受电邮内的个人信息请求 2.只在安全网站上输入个人信息。如果网址是以’https://‘开头且在浏览器右下角显示”锁”图标的话,你所访问的这个网站就是安全的。点击”锁”图标可以查看网站的安全证书。 3.在请求输入个人信息的电邮内寻找明显的伪造证据– 拼写错误通常就表示电邮是伪造的。如果提示你输入个人数据的网站网址与你期望访问的不一致,则可断定这就是这是一个钓鱼网站。 4.请勿点击请求输入个人信息的链接。而应在浏览器中手动输入网址进入官网。 5.确保你电脑上所安装的反病毒套件拥有防范网络钓鱼的功能。 6.确保你电脑上的网络浏览器、反病毒软件以及所有程序总是升级至最新版本,且打上了最新的安全补丁。 7.一旦发现可疑消息通知,立即向所在银行或社交媒体平台报告。

Windows Hello:Windows 10默认自带的生物特征识别功能

微软宣布了一项宏大的计划,在即将发布的Windows 10操作系统中将生物识别认证取代密码认证。“密码取代”运动已如火如荼地开展了数年,然而此次微软即将推出的”Windows Hello”功能可能是迄今为止最理想的机会:彻底根除陈旧但又无处不在的密码认证方法。 就目前而言,寻找密码认证替代方法的主要难点在于采纳性和实用性的问题。例如将纹身作为密码就是个很荒唐的想法。体内植入芯片的前景似乎一片光明,但我可以想象许多人会因为计算机芯片植入体内而感到身体上的不适。推特的数字系统尽管在实用性方面表现不错,但在采纳性这一块,却需要与开发和维护用户受密码保护的账户和设备的各家组织进行合作。 电脑摄像头采用了红外技术,可在各种光线条件下识别你的脸部特征或虹膜,从而让用户通过验证。 根据Net Marketshare的数据分析,Windows系统(从Windows 95到Windows 8.1)占据91.56%的市场份额。显然即将发布的Windows 10也将在操作系统市场中占有惊人的市场份额。尽管就目前而言,所谓的生物识别技术更多的还是出现在科幻小说中,使用人群也仅限于那些电脑高手和早期尝试者,但随着Windows 10的发布,所有的计算机用户都将能亲身体验这些最尖端的技术。 通过将硬件和软件结合使用,无论是在传统的台式机还是移动设备,各版本的Windows 10均能通过虹膜、指纹和脸部特征进行用户验证。 “在检测脸部特征或虹膜时,Windows Hello通过将专用硬件和软件结合使用以精确验证是否是用户本人–而不是你的照片或试图假扮你的其他人。”微软操作系统小组副总裁Joe Belfiore说道。”电脑摄像头采用了红外技术,可在各种光线条件下识别你的脸部特征或虹膜,从而让用户通过验证。” 内置有指纹扫描器的计算机在安装Windows 10后将能与Windows Hello完美兼容。更新的Windows 10专属电脑将含有Windows专用硬件,其中包括:指纹阅读器、带照明的红外传感器或其它生物传感器。 我们都知道密码验证的局限性。一般来说,高强度密码难以破解,但也难以记住;低强度密码尽管容易记住,但也同样容易被破解。最重要的是,我们不能在不同网络服务之间共享密码。如果我们真的针对不同网络服务设置不同高强度密码的话,最终我们将不得不面对一大堆眼花缭乱的密码,单就一个密码就难以记住,更不用说所有的了。 考虑到Windows 10还未推出,目前并未发布针对该操作系统的大量安全分析报告也不足为奇了。这并不奇怪,因为微软始终在”企业级保护”系统领域走在最前头。 值得称赞的是,微软仅将生物识别数据保存在本地,这意味着你的面部特征、虹膜以及指纹识别数据将仅存在你的个人设备内,而不会出现在微软总部的服务器上。

生化人日记第003篇–如何绕过智能手机密码

自从亲身参与生物芯片试验以来,最令我感到失望的可谓是苹果对于NFC(近场通信)技术的态度。或者更直接地说,苹果公司妄图夺取在其平台使用NFC技术的控制权。 每一部iPhone 6手机均内置有NFC芯片,但除了苹果自身以外不允许任何其他第三方开发者使用,因此也无法针对苹果的NFC开发第三方应用程序。苹果对此的解释可谓意料之中:来自库比蒂诺(苹果总部)的家伙们积极推广其拥有专利的Apple Pay免触支付服务,并使用这一简单的技巧以避免任何可能威胁到其新平台的竞争。在iPhone 6刚刚推出之际,我即了解到了这一情况。但对于植入手内芯片的话,这完全又是一回事了。正如奥斯卡•王尔德(Oscar Wilde)所说的: “梦想家只能在月光下找到自己的路,他的惩罚是第一个看见黎明。” 未来即使一流的生物芯片技术都无法适用于所有人 在偶然发现我手内植入的微芯片无法与我的iPhone手机交互后,我不得不接受这样一个严酷的事实:未来即使一流的生物芯片技术都无法适用于所有人。此外,还有很大可能被用于操控用户。 如今,物联网正蓬勃发展,而专为这一理念而构建的基础设施也正在加紧部署,其中包括但不限于平台、协议和标准。就这一点看来,’先来先得’的规则在这里完全适用。那些刚好目前正在高效开发或与其他公司合作开发这一技术的公司而言,将获得抢先起步的优势,并将其他竞争对手远远甩在身后。没有一家公司将愿意与他人分享这一无可匹敌的优势。 事实上,如今的高科技巨头们并非是想着如何重新定义市场:而是设法”驯服”消费者,并牢牢地将自身产品与用户捆绑,从而占据更大的市场份额。 当然对于一名普通消费者而言,并不会对此关心太多:如果这个不适合的话,就换另一个好了。但对于我自己以及未来将装备更加完美生物和神经植入芯片的仿生人而言将非常关心这一问题–因为这不再是仅仅换一个那么简单。 因此,如果在不久的将来,地铁内的自动控制化认证系统可以与植入我体内的生物芯片兼容,但是公交车站忽然决定部署另一种类型的闸道系统,我将不得不(听起来有些奇怪)决定选择以后应该乘坐哪一种公共交通。 我甚至还没有提到跨境旅行的问题,以及一旦本国居民碰巧与另一国的基础设施’无法兼容’又该怎么办。可能我有意夸大了这些潜在问题的规模性,但我希望你们能明白我想要表达的意思。 为了进行试验,我使用了一部安卓智能手机(HTC One M8)和一部Windows智能手机(Nokia Lumia 1020) 植入生物微芯片的时间越长,我对于未来的展望也更加谨慎。我们将妖怪从瓶子里放出来,但却未准备好迎接伴随而来的结果。为了改变这一状况,我们需要在各个层面付出巨大的努力,包括最高层面的决策。就在我设法利用目前可从Google Play下载的NFC应用程序进行试验时,我突然就有了这样的想法,但却受制于安卓基础设施。 芯片本身运行完美,绝无差错:使用方便且不会产生任何故障或延迟。智能手机却是另一回事了。我再一次建议Google安卓团队应该反复设计在NFC应用程序内使用的代码。有时候,在对芯片内存进行一系列的读/写操作后,智能手机则完全停止对芯片的识别并需要重新启动。有时候,NFC应用程序会卡住或甚至终止运行。换句话说,这一技术目前还相当不成熟(不成熟的地方遍布各个方面)。 但我们今天所要介绍的是关于一个十分重要的使用案例:通过生物芯片解锁智能手机。在试验过程中所发生的种种事情进一步加深了我的担忧。 为了试验的目的在这里我安装了一款小型应用程序— TapUnlock: 我通过对植入我手内的生物芯片进行编程,使得每次触碰智能手机后即可让屏幕自动解锁(例如,从手中拿走时)。这意味着在这种情况下,传统的密码被一种独一无二的密钥所取代,而该密钥却保存在植入你皮肤下的芯片内。我对这一简便且优雅的方法激动不已(尽管只是第一天): 但随后应用程序就卡住了,而且…好吧,可能是设置时出问题了(快速分析后证实包含所有已用密钥的文件奔溃了)。 原因,其实无关紧要。问题的关键是智能手机可能无法进行这样的操作,因为没有要求输入密码就无法解锁。没有一种可替代方法可解锁屏幕,就算重启也无济于事。最终,我手上的只是一块毫无用处的塑料而已。而现在我们找到了一种极具开拓性的方法:可以轻松绕过这一保护措施!你无需是一名黑客–你唯一必须掌握的技巧就是对现代手机操作系统的原理有所了解(这里指的是安卓系统)。安卓就其本身而言是一种相对安全的操作系统,主要原因是不允许第三方开发者篡改其内核。 而现在我们找到了一种极具开拓性的方法:可以轻松绕过这一保护措施!你无需是一名黑客–你唯一必须掌握的技巧就是对现代手机操作系统的原理有所了解(这里指的是安卓系统)。安卓就其本身而言是一种相对安全的操作系统,主要原因是不允许第三方开发者篡改其内核。 通过对开发进程和标准的完全控制,Google可以确保其内核以及本地应用程序的稳定性。但对于第三方开发者,系统总是保持警惕状态,这也是为什么Google允许用户删除任何存在延迟、bug以及烦人的应用程序的原因。

2015世界移动通信大会:四大前景广阔的IT安全趋势

世界移动通信大会(MWC)总是能让那些关心安全问题的参观者和与会者满意而归。由于是全球移动通信协会(GSMA)举办的大会,因此将安全问题考虑在内是再自然不过的事情了。今年举办的MWC 2015展会也毫不例外,再一次将安全问题作为此次展会的主要主题内容。接下来我将带你们一同领略卡巴斯基实验室在本次展会中所发现的几大安全领域趋势。 趋势1:物联网的安全 在卡巴斯基每日中文博客中,我们会定期写一些有关意想不到的存在漏洞联网设备的文章,原因只是因为有太多的家用电器或电子设备即将被联网:从电冰箱、咖啡机、智能电视机和微波炉到智能健身手环以及其它各种可穿戴设备无所不包,甚至还有遥控飞机。大量的家用电器被联网将造成许多令人意想不到的结果。不幸的是,大多数相关制造商和开发商对物联网安全领域几乎一无所知,缺乏基础的经验。 在反对这一问题的草率态度上,卡巴斯基实验室并非”孤军奋战”:在MWC展会上,许多人也提出了与联网设备保护有关的同样问题。这是一个令人振奋的消息:无论是用户还是开发商越快发现这个问题的严重程度,我们也能越快找到保护联网设备安全的方法。 趋势2:加密手机 在过去的两年里,发生了大量数据外泄事件以及其它”黑客入侵”全球窃听信息的事件,这些事件的幕后黑手包括:政府组织、黑客小组甚至你邻居家的孩子。所有这些新闻让人们对于安全和隐私通讯有了更迫切需求。这也让市场催生出经过严格加密的手机(也许你没有注意到,去年夏天我们曾发布了一篇针对加密手机的详细评论文章)。 在今年的MWC展会上,Silent Circle发布了全新的升级版Blackphone 2和Blackphone Plus —一款以安全为核心功能的平板电脑。两款移动设备均运行PrivatOS操作系统,并配备有不同的安全功能,还加入了一项新的功能:能让用户针对应用程序、数据和账户创建不同独立’空间’的空间虚拟化系统。这就如同一台设备内存放了多台独立智能手机。 巴西公司Sikur也推出了另一款重点考虑安全问题的解决方案,叫做”GranitePhone”。开发者显然走了极端路线:GranitePhone操作系统内没有安装任何浏览器,也无法访问手机摄像头,同时用户也不被允许安装任何其它的应用程序。GranitePhone可以用来发送和接受电邮和短信、打电话以及浏览文档等。 只有在两部GranitePhone之间或与运行公司软件的iOS/安卓移动设备通讯时,才能启用加密通讯。你也可以打电话给其它的手机,但却无法进行加密。正如你所看到的,这并不是一部通用的设备,但却是第二部主要用于处理敏感数据的手机。 还有一款在MWC展会上推出的加密手机叫做”LockPhone”。和另一款LockTab平板电脑一样,都是来自中国香港。采用1024位设备加密保护措施,在打电话、发短信以及发电邮时都能启用加密通讯(但必须是在两部LockPhone之间进行)。我们不清楚为什么开发商将这两部移动设备称为”首款加密的智能手机和平板电脑”,当然这并不是事实。 趋势3:生物识别 作为全球最大的智能手机芯片制造商,高通也在MWC 2015展会上发布了重大生物识别创新技术。其指纹识别技术不再只是基于视觉或电容式传感器。相反,高通采用了一项全新的技术,通过超声波对你的手指表面进行3D图像扫描。 有充分的理由让我们相信这一创新技术的前途将一片光明。首先,它是通过玻璃、铝、不锈钢、蓝宝石和塑料读取你的指纹。从理论上说,制造商完全能够将传感器装到手机或平板电脑的任何位置。 https://instagram.com/p/zuSbwYw5mo/ 其次,高通还承诺新的传感器的工作速度更快且更加精确,几乎不会有读取失败的情况发生。值得注意的是,快速的指纹识别功能使得这一技术能够扫描动态图片并通过检测脉搏来区分手指的真伪。除此之外,就算手指有点干或有些湿的时候,全新的ultrasonic传感器也能正常识别。 就目前而言,还没有任何一款移动设备装备有全新的高通传感器,但毫无疑问我们将能在不久的将来看到。 一些好消息也带给了三星移动设备的疯狂拥护者:公司最终决定做一个全新的指纹传感器。Galaxy S6和Galaxy S6 Edge采用了无需手滑的全新装置。就像iPhone手机一样,只需触摸传感器即可开始使用设备。 趋势4:追踪孩子位置 有许多公司也推出了针对孩子安全的解决方案,其中即包括了一些孩子追踪设备。无论是软件解决方案还是单独的追踪设备均有助于家中监视孩子当前所在位置。 在MWC 2015展会上,卡巴斯基实验室推出了一款beta版的多功能移动应用程序-

生化人日记第002篇—”四处移动”的植入芯片

在我”生物芯片体验之旅”的头两周里,我还有时间细细考虑一些问题。但随着来自社区论坛的各种问题如洪水一般涌来时,我有些应接不暇:一两个问题不会影响到你的思考和专注力,但如果不断有问题和建议向你提出,且长时间持续处在与试验有关的方方面面问题的热烈讨论中,这完全又是另一回事了。有时这些问题会引起激烈的争辩,问题从情绪舒适到宗教话题无所不包。 我从未对自己所做的事后悔过。恰恰相反:如此数量众多的问题以及各式各样的讨论主题,足以证明整个试验活动并非是徒劳的工作–原因在于这一技术的确存在一些争议。为了避免电影《银翼杀手》中的剧情发生在现实生活中,我们必须对这一技术认真地进行改进、重新规定和纠错。 首先,我要说的是有关形状因素的话题。对皮下植入芯片存在的感觉是你第一需要习惯的事情。 事实上我并没有常常感到它的存在。可能在大拇指和食指中间的这个位置并没有太多的神经末梢,或者只能说是手术取得了巨大的成功。芯片似乎已在里面”安了家”,即在这个部位的一小块皱皮内”安居了下来”。 但有时候,我还是能真真切切感觉到它就在我的手里面:例如,在举杠铃或搬杂物的时候就能感觉到它的存在。在这种时候,我能感到芯片在我的手里面向一侧移动,可能向食指方向移动了几毫米。 有时候,在我晚上醒来时,会发现芯片又转移到了另一个位置。这并没有什么问题,因为它可移动的最大距离范围相当于一个5美分硬币的直径。 就这样生活了两周后,我必须做出如下声明:这的确是一个了不起的创意(我将在这一系列专题博文的下一篇中介绍其最初的优点),但我们最应该从根本上改变的事情!—是芯片的形状因素。 我们目前所用的生物芯片外观上看起来像这样: 芯片外壳采用光滑且坚硬的USP级别的生物可相容的玻璃材质,不会引起鲜活肉体的腐坏,保存有带基础逻辑功能的小型电路:读写块和记忆块,可在射频识别接收器范围内被激活。 这意味着芯片必须十分靠近目标装置才能被激活,比如地铁闸道口或信用卡读卡器。 通常情况下芯片工作良好。然而,其形状因素更适合于无缝注射,但如果想在皮肤下存放更长的时间,这并不是一个理想的解决方案。 那应该将芯片植入哪个位置呢,可以问问达·芬奇 事实证明大拇指与食指之间的这个位置并不是植入芯片的最佳区域,因为从实践中看并不太方便日常使用。例如,在穿过地铁闸道口时,我本能地想用拳头或手腕做一个滑动的手势或触碰读卡器。 我起码触碰了各种读卡器超过1000次,我可以肯定地告诉你生物芯片也必须经过与移动应用程序类似的可用性测试以及用户体验试验方能广泛应用,其灵感源于很久以前的”奥卡姆剃刀”原则。关于这一点,我喜欢爱因斯坦曾说过的一句话: “事情应该力求简单,不过不能过于简单。” 在将芯片植入我的手内后,这意味着每次用手刷读卡器时都必须扭动自己的手。因此我们将来的设计必须少用这个变扭的动作。芯片植入的部位必须能实现与眼前或手臂伸展长度距离的任何设备舒适地进行交互作用。我认为达•芬奇在他的传世名作《维特鲁威人》中已给出了暗示。 当我走在地铁、办公楼和购物中心时(该芯片仍然无法作为门卡使用,但读卡器会对它做出反应,这引起了周围人的好奇目光),我终于想出了最适合植入芯片的人体部位: 最方便植入芯片的区域应位于手背的最中心位置。如果芯片能够植入到这个位置,被植入者无论是解锁、在POS机终端支付、与智能手机和平板电脑交互还是进入公共交通闸道口(至少是公交车进入闸道口,不是那种安装在地铁进口的装置)都将十分方便。 #2在我个人列出的芯片最佳植入手部区域清单中,小拇指和手腕之间的位置也成为了首选的方案:如果你握紧拳头的话,你正好可以看到一小块起皱的肉,我认为这个地方适合植入芯片。 #3最方便的芯片植入区域通常位于指关节之间。因此这样的话,想要与读卡器进行交互,你只需本能地轻轻用拳头敲一下即可。 实际中,还没有理想的解决方案。想要大力普及某一个固定植入部位,我们需要统一全球世界的读卡器。 尽管我们正在努力之中,但要真正实现并非易事。我们每个人的身体构造都完全不同:无论是身高,左撇子还是右撇子,四肢不健全或者根本已丧失手臂。 想要迎合各种人群的利益,我们应该植入多块芯片,如此这些芯片才能进行交互并执行各种任务(如同小型的局域网),或芯片应该能在数厘米以外的区域运行。 从技术角度讲,第二种方法看似可行,但需要考虑额外的安全风险:潜在的网络攻击者完全可以通过使用定向天线远程访问芯片之间的共享数据—这一方法已被广泛运用于通过蓝牙的黑客入侵。 如果你试试植入芯片后手拎重物,我担保你一定会选择第一个方案。如果在植入芯片之前有人问你选择哪个方案的话,我猜你也会选择第一个。 生物芯片必须扎根体内 但选择芯片植入位置只是其中的一个问题而已。还记得我曾说过芯片时常会在皮肤下移动吗?这一问题也必须得到解决。通过将所有我的产品管理技巧与创造性的问题解决理论相结合,想出了如下解决方案: 为了使芯片变成绝对的用户友好,必须对它的外形进行改造和调整以满足用户的需求。要实现这一目标主要需要芯片能够随条件的不同而变化: 芯片植入之前和植入过程中; 芯片植入之后;

20亿人拥有SIM卡是现实中的”噩梦”

有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息,且内容极度令人震惊:NSA(美国国家安全局)及其英国的”合作伙伴”- GCHQ(英国政府通讯总部)据称对金雅拓的网络进行了病毒感染,同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视,但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话,在这里我可以告诉你,这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道,事实上,该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”,该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据,目前全球人口达71.25亿;而移动设备估计有71.9亿台。据报道,金雅拓的总共450家客户中,其中不乏知名的移动服务提供商:Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务,并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”(IMSI)以及一个加密的验证密钥。该密钥由一串数字组成,主要用来验证你的手机是否真的是你的。这就好比是登录密码配对,但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥,网络攻击者即能够监视移动设备的语音通话和数据通讯,但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话,这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯,且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动,但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息,可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得,但纯文本形式的通讯内容却无从推断。正如上文所说,这些通讯内容都可以实时获取,根本无需进行任何的分析。 据报道,The Intercept将NSA前承包商所窃取的一份机密文件公之于众,其中NSA是这样说的:”[我们]成功将病毒植入多台[金雅拓]计算机,相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的,SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程,以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中,大部分人使用的都是过时且防范薄弱的第二代蜂窝网络,许多用户依然依靠其SIM卡进行转账和微型金融服务操作,就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题:金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商,此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道,金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌(宝马和奥迪等)的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话,那你支付卡内的芯片很有可能就是金雅拓所生产,而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及,作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施,还是安全网络的其它部分,我们都没有发现任何黑客入侵的迹象,因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开,也从未与外部网络连接。”公司在其声明中这样说道。 然而,公司此前的的确确曾挫败过多起黑客入侵尝试,有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意,那就是这份文件注明的日期是2010年。换句话说,这一所谓的SIM卡计划已经实施了5年的时间,而该技术也是在5年开始使用的,而5年已经到了一台计算机使用寿命的期限。 除了个人以外,SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下,如果斯诺登揭露的文件属实的话,这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗,我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否?该网络攻击很有可能是朝鲜政府所为,但事实上幕后却可能另有他人,对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

生化人日记第001篇:有关将芯片植入体内的故事

有一天醒来我发现手上的多了一片创可贴,贴在了我的拇指和食指之间的一个小伤口上。那是我前一天参加跆拳道比赛时留下的伤口。前一天我去哪儿了,在我身上到底发生了什么? 慢慢地,一连串的画面在我的脑中一一浮现:闪光灯、观众的欢呼声、刺鼻的防腐剂味道以及手持特殊注射器的纹身男。 “好吧,再没有任何退路了。你不是想改变这个世界吗,就去做吧!”我这样想着。我最终在短短的几分钟内将NFC生物芯片植入到我的皮肤下面。 没错,这些完全是好莱坞式的电影情节: 但在现实中,远没有那么酷和简单,这是我在此次试验中最先体会到的。为了植入芯片,你需要一支3毫米粗针管的特殊注射器。比医用常规针管要粗得多。 在这过程中不使用任何麻醉剂。注射师给了我一个灿烂的微笑并说了些 “如果你能握紧拳头的话就不会感觉痛。让我们开始吧!”诸如此类的话。当我还在努力理解注射师所说的这些话的时候,我发现注射针管已经扎进了我的手。我好像听到了钢制针管在我皮肤下注射的声音。 整个注射过程仅用了5秒钟都不到。其疼痛感就相当于抽血化验的感觉—手指、血管和屁股同时产生疼痛。所以下一次的话,最好还是进行局部的麻醉(起码喷雾麻醉)为妙。 不错,下次必须使用麻醉剂。显然,与芯片植入技术有关的问题不计其数,如果都写在纸上的话,拼起来的话将比整个银河系的面积还要大。为了解决其中大多数的问题,我们将需要开发新一代的芯片,但必须要基于早期接受者的反馈才能不断更新升级。 为那些非专业领域人士以及第一次听说的人准备的补充说明:就在几天前,在SAS2015峰会上我们将来自全球最顶尖的安全信息专家、领导者以及数名卡巴斯基实验室员工聚集到一起,共同参与皮肤下植入芯片的试验。 一同参与试验的还有两名志愿者:我自己和卡巴斯基实验室欧洲人事部主管Povel Torudd。Povel Torudd是瑞典人,但目前居住在伦敦。 这到底是一块什么样的芯片呢?它是一个极小的(大小仅为12 x 2毫米)微型装置,最多可储存880字节内容,一旦植入后能与周边高科技设备进行交互作用,包括智能手机及其应用程序、笔记本电脑、电子锁、公共交通进入闸道以及各类物联网世界的例子。所有交互过程均采用无线技术,触摸即可启动。 正如往常一样,’植入芯片’的主意是大家在酒吧一边喝酒一边讨论互联网发展的时候定下来的。 从某种意义上说,我可能是第一个受大型机构资助的俄罗斯人生控体,该机构与本次试验的结果有着直接的利益关系。 我和Povel是在SAS2015峰会之前3个月才决定参加’芯片植入’试验的。还是在酒吧:我们坐在一起一边喝着啤酒,一边讨论着互联网的发展。谈论的话题包括:互联网的显著优势以及诸如技术陈旧的一大堆互联网缺点,而陈旧的技术之所以还在使用的原因可以引用尼尔•斯蒂芬森在其《编码宝典》科幻小说中一句最经典的台词’摩多不是那么容易进去的’: 道理很简单,老的技术通常已为大多数人所熟知和了解,且上手操作简单;此外所有目前的电子和软件技术在现有框架内建立和测试。在取得成功的同时,公司的利润空间也已被压缩得很小以至于只有采用量子学技术才能计算出来,而一旦新开发技术发生与老技术不兼容的问题,你的公司将立即被打回原型。 举个例子来说,我们长期以来都使用密码认证的方法,关于所存在的缺陷,所有信息安全行业业内人士都已达成了共识。 在酒吧我们一直畅聊到了深夜,最终做出了这个决定。我们认为现在到了表明立场以及改变世界向更美好方向发展的时候了,而且是以一种激进和大众时尚的方式来展示属于我们自己的创新(假设不会受到所谓30年更新循环期的影响)。并没有任何人强迫或要求我们将芯片植入体内,同样参加此次试验也是毫无报酬和自愿的。 对于生物体与计算机之间的协同效应我深表关切–未来不可避免将面对–这将使仿生学成为高科技的一个分支。问题在于许多现代技术在开发时,不可避免地都疏忽了安全和隐私方面的问题。 这样的例子举不胜数:卡巴斯基实验室欧洲研究人员David Jacoby只花了极短的时间就成功入侵了自己的智能家庭。 然而,一台联网的咖啡机或智能电视根本无法与人类生物体相提并论。我对参与该试验志愿者的要求有两个:一是能够了解该技术的优点,二是能发现其缺点和漏洞。随后通过将一些相关保护方法概念化后,在有生之年将其开发成形。 目前最紧要的工作是如何避免我们的后代成为仿生网络犯罪分子手下的受害者—这样的事情迟早将会发生,统计数据将会告诉我们一切。 从理论上说,大范围应用体内植入芯片依然至停留在想象的阶段。未来不仅可能会被用于打开办公室和家里的大门以及车门,还可管理数字钱包以及无需密码的情况下开启设备(芯片本身可以作为标识符使用)。如果高科技继续高速发展的话,密码保护方法将很快消亡。 此外,植入芯片也可用于重要个人数据的加密存储器,包括:医疗记录、个人档案以及护照资料等内容。其好处不言而喻,一旦这些信息被泄露的话,你就能知道是谁在什么时间以及因为什么原因访问了这些内容–当然是为了个人隐私考虑。 对于我自己来说,还确定了本次试验的五大目标: