8月15日,一档聚焦网络安全领域热门话题的对谈节目——《ISC夜谈》,在互联网安全大会(简称“ISC 2020”)官网上线播出。360集团董事长兼CEO周鸿祎,与有着“法学界郭德纲”之称的中国政法大学教授罗翔,及全球知名“白帽黑客”古河,做客节目现场,围绕数字时代的隐私安全、女性安全、网络诈骗等议题,进行了一场深度对话。
该档节目为网络安全领域盛会ISC大会推出,与ISC大会一贯严肃、专业的风格不同,该节目定位“从安全角度看热点,从大众角度看安全”,以推动大众网络安全意识的提升。本期节目由知名主持人马丁担任主持。
夜谈现场,周鸿祎现身为黑客群体“正名”,自爆360以高薪留住白帽子黑客,用技术保护消费者权益;罗翔则指出,大数据时代,隐私泄露成为常态,周鸿祎呼吁“厂商收集用户信息提供服务同时,应让用户享有更多知情权”。
另外,作为顶级白帽黑客,古河现场“解码”白帽黑客这一职业,坦言“挖掘、修补安全漏洞,守护网络安全”是一份“很有成就感的工作。节目最后,嘉宾们则分别从各自领域,畅谈了当下及未来十年个人信息安全应如何保护等话题。
黑客群体被污名化?周鸿祎夜谈现场为其“正名”
近些年影视文化对黑客群体形象的建构,使他们在公众心中留下了“利用技术黑入内网窃取资料”的印象。现在提及“黑客”,往往会联想到入侵、偷窃,长期的污名化,使一般人对这个群体形成了刻板印象。
“但其实,黑客是个很好的词,最早在五六十年代,计算机刚出现,一批极客们被称为黑客,他们探索技术,永无止境”,夜谈现场,周鸿祎为黑客群体进行了“正名”。
“不能因为极少数为非作歹的黑产从业者,就把整个黑客群体给污名化”,周鸿祎现场表示,利用黑客技术做好事的,应该确切称他们为白帽子“黑客”,“我们白帽子黑客挖掘的漏洞,要么上报国家漏洞库,提醒全中国的电脑应该打补丁,防止中国的网络被攻击;要么按照行规,比如发现微软、Google、苹果的漏洞,主动提交给给友商,提醒他们产品存在问题”,也相当于在保护亿万消费者。
近日因授课在网络走红的“刑法学专家”罗翔也表示,黑客群体的二分,如同法律中的人,“一种人是专门钻法律的漏洞,另一种人则是发现法律漏洞,想办法运用所学法律知识,弥补这个漏洞,尽可能追求公平和正义。”
基于此,360以高薪留住了一些白帽子黑客,用技术来保护消费者。“他们要经受巨大的诱惑,因为我们这个行业,近几年薪酬收入水准,已经经过360的推动和努力,炒得比较高了”,周鸿祎坦言,即便给了高薪,但也不如犯罪黑客利用技术非法盈利的诱惑大。
来自360公司的古河,曾荣膺微软发布的“2019 MSRC全球最具价值安全精英榜”第一名。他现场笑道,“周总这边提供了一个很好的环境,待遇已经能够满足我们基本的需求。”他还表示,通过寻找漏洞,帮助厂商修复,保护了广大用户,很有成就感,“同时,很多志同道合的人聚在一起,也挺有干劲。”
罗翔爆隐私泄露普遍,周鸿祎称厂商应让用户享知情权
夜谈现场,罗翔分享了生活中个人隐私泄露的经历,甚至调侃自己“小区电梯看到植发广告,会怀疑隐私是不是遭到了泄露”。
对此,周鸿祎指出,个人数据与个人隐私很难明确界定,“如今想要换取互联网服务,个人数据赋能给厂商,已经成为一个客观存在的事实。”
据此,他主张“服务商在采集用户数据时,应该做到让用户享受知情权和选择权”,它的所有权,应该明确定义属于用户自己所有。此外,厂商没有权利转卖该数据。
罗翔则从法理学角度,举例讲解了我国关于“个人隐私”的概念,是如何逐渐明晰及发展变革的。他介绍,个人隐私的概念,是在诸多个案推动中,渐进确定的。中国第一例网络隐私的泄露案,是发生于2008年的“江岩案”, “此案也是第一次把隐私权跟道德舆论监督两者的矛盾展现出来”,但在当年,法律尚存空白。 直至2010年,《侵权责任法》将个人隐私规定在民事法律中。2015年,《刑法修正案(九)》提出了“侵犯公民个人信息罪”概念。而后的2017年,《网络安全法》明确规定了个人信息的概念。
古河现场介绍“黑客术语”,坦言技术确可为黑灰产提供便利
“技术的发展是否增加了个人隐私泄露的风险?”主持人马克向在场嘉宾们,抛出了技术在黑客实施灰黑产业时所起的作用的问题。
古河接过话,“掌握了技术的不法黑客,确实会制作一些窃取信息的工具。”他表示,这些黑产黑客将工具分享出去,或出售给中下游的犯罪分子,“这些犯罪分子获得该技术的成本,实际上变低了,会更加容易实施犯罪行为”,而现在,很多个人隐私泄露可能是大批量的,比如说公司收集了很多数据,在缺乏预防时,遭受黑客组织攻击,也就是所谓的“拖库”。
“用户名、密码存在公司数据库里,黑客组织通过攻击一家企业,将数据库偷回来”,古河现场解释了“拖库”的概念。
除了拖库会造成信息泄露,周鸿祎还现场补充了“撞库”的概念——即用大量的密码库,经过同样的加密算法去对,比如使用生日或熟知的数字用作密码,“现在GPU和服务器的算力又很高,所以,一个拖库,一个撞库,就把很多人的数据泄露了。”
周鸿祎坦言,基本上,70%、60%的密码,在拖完库、撞完库后,便可在其他网站试出来,“今天,黑客攻击单个人的概率不是特别高。”但不可忽视的是,在黑市里面,专人负责偷数据,并进行数据处理、买卖,已成为产业链。
周鸿祎结合2016年山东“徐玉玉案”,讲述了因个人信息泄露遭遇网络诈骗,并由此引发社会悲剧的案例。后经公关机关侦察,背后牵出了一支偷窃数据的黑客团伙。
那么,该如何发挥黑客最大社会效益避免滑向违法犯罪的一边?周鸿祎认为,一方面,应发挥法律的约束,此外,最重要的是道德约束。他补充道,近几年360改变了网络安全行业,先把网络安全行业的价码提起来,随着BAT跟进,整个待遇高后,吸引了很多人,“他们可以走到阳光下,他们高兴地讲自己的成果,去全世界交流,也可以获得很多荣誉感。”
科技、法律视角出发,嘉宾畅谈未来个人信息安全保护
《ISC 夜谈》还设置了“快问快答” 环节,马丁主持。
针对有程序员关于“自己手机被女友查看是否隐私权受到侵犯”的提问,罗翔认为,爱情从来都具有独占性,“这也是其特点,但情感也需要节制,需要尊重对方空间。但从另外一个角度而言,当与对方恋爱时,有些隐私可能也需要自愿让渡。义务是权力的前提,要自觉承担一定的道德义务。”
在该环节,360手机卫士负责人陈宁一现场分享了360手机卫士帮助用户保护隐私,避免个人隐私泄露的功能,如:利用360手机卫士可发现酒店隐藏的针孔摄像头,“因为这些摄像头批量生产,所以我们可以利用它们的规律,探寻踪迹。”
关于未来十年个人信息安全的发展前景,陈宁一坚信“技术会让生活变得更好,而不是更糟糕”。他承认,十年后,数据必定会比现在更多,大数据也会更强大,但本质不会变,“就是哪些是个人数据,哪些是隐私,可能在技术的帮助下,会分得更清楚。”
不过在该话题上,周鸿祎则表示“对未来比较悲观”。他认同研究安全技术来加强个人信息隐私保护的重要性和意义所在,但他也指出,随着大数据汇集,未来将会是一个算力为王的时代,政府、大的互联网公司拥有巨大算力、存储,每个人变得透明,隐私也不再是奢侈品,个人在强大技术面前,则显得无能为力。
与此同时,他还表示,科技不能解决全部问题,但可以赋予无论是政府治理部门,还是司法的执法部门,包括我们个人,都能有一些更有Power的工具,比如大数据的分析,像安全卫士这种工具,能够降低使用的门槛,提升安全的保护水平。
罗翔最后也从法律视角,给出了自己的看法。他认为,法治在本质上就是从无序走向有序,“无论未来怎么发展,我们法律总是希望这个社会从失序走向有序,这是必然。因此,在某种意义上,我们每一天都是在这个失序的社会中去寻找有序,这也是法律安身立命的地方”,他希望“通过法律的完善,来对未来的数据垄断巨头进行约束”。
匿名用户
