楊卿,1986年出生在北京,是中國頂級白帽黑客,360無線電安全&黑客研究院、“獨角獸”安全團隊(UnicornTeam)創立者。
楊卿擅長無線局域網、RFID、射頻通信、4G移動網絡、衛星導航安全等研究,曾多次登上Blackhat & DEFCON等國際頂尖的黑客安全峰會,著有《無線電安全攻防大揭秘》、《Inside Radio: An Attack and Defense Guide》等中英文著作。
圖為楊卿。
在2017年全球黑帽大會上,憑借一項4G網絡漏洞研究,楊卿及團隊拿到美國Blackhat黑帽大會“黑客奧斯卡”最具創新研究獎提名,成為GSMA(全球移動通信系統協會)設立安全研究名人堂歷史以來的首位入選者。
他曾兩次登上央視315晚會,揭示Wi-Fi和手機充電樁的安全風險。近日,在接受隱私護衛隊專訪時,楊卿分享了一些隱私保護的小訣竅及其對網絡安全的看法。
談隱私保護:與錢財相關的密碼必須複雜
隱私護衛隊:當下越來越多的個人數據、資訊被放到網上並進行關聯,有人說個人隱私正在裸奔。在網絡世界裡,普通人有可能成為透明人嗎?
楊卿:便捷體驗與安全隱私一直是天平的兩端,從我們個人账號密碼、WiFi密碼的設定就能發現,我們其實並不想被很長很難記的密碼桎梏,但又迫於安全的需要不得不設定複雜的密碼。
我們擁抱科技帶來的便利,同時也就意味著我們要貢獻出更多的個人數據來支撐這種生活方式。比如你網購可以留公司地址用假名,但你在家想叫個外賣就必須要登記你的真實居住地址。買東西可以不用真名,但你網上買保險不用真名那是不行的。不難看到,我們的個人數據資訊,其實早就充斥在了各種互聯網系統內。所以普通人成為網絡世界的隱形人,我覺得這種可能性已經不高了。
隱私護衛隊:現在有很多人喜歡“一碼走天下”,對於密碼設定有何建議?
楊卿:一方面,按複雜度設定密碼組合。結合自己獨有的個性知識積累,設定一些方便自己記憶且複雜的密碼組合方式,有別於我們常見的姓名,生日,姓名加生日等這些組合,比如小說人物的名字,你喜歡的文學名言或影視台詞組成的帶有數字元號的短語。
另一方面,制定資訊數據分級策略。不同的網絡平台账號,用不一樣的密碼策略,與錢財相關的密碼設定能多複雜就多複雜,且絕對要精用。資訊瀏覽類或和錢財關係不大的網站設定次一級的密碼,這樣當某些安全防護能力不足的網站出現安全事件時,你的密碼因為采取了分級,所以不會殃及池魚,全部資訊都被泄露。
隱私護衛隊:有什麽保護個人隱私的竅門?
楊卿:平時注冊一些账號時,會做到不是必須輸入的資訊不輸入,在有地址身份資訊的地方,能不留真名就盡量留代名,盡可能縮減真實資訊暴露在各種互聯網平台上的次數。時刻要有一種“這個網站如果有一天被入侵了,我在上面存放的資訊被泄露會影響我什麽”的“零信任”思考,建議可以使用知名度高體量大的企業產品。
談網絡安全:沒有絕對安全的系統
南都:“大廠家”與“小廠家”在安全防護上有什麽明顯區別嗎?
楊卿:主要有兩方面,即安全防護能力與持續安全服務。擁有知名的網站或產品的廠商,在安全防護能力建設、應急響應更新能力等方面都會投入更多,所以這樣的企業出現安全事件的頻率會很低,產品出現漏洞,也能在小時級甚至更短的時間內發布更新修複。
反之,體量小的企業往往因為安全投入不多或使用外包安全服務的方式,安全無法做的更面面俱到,出現安全事件的概率更高。比如,網上很多賣的很便宜的攝影頭,很多不是廠家自主研發的,而是使用公開方案。
所以這種方案一旦出現安全問題,作為“加工商”的他們,也無能力推出安全補丁給用戶。如果用了這種一直存在漏洞的攝影頭,基本也就確實沒什麽隱私了。
南都:萬聯網時代,如何理解看待無處不在的網絡攻擊?
楊卿:現在我們很多的IoT設備被曝出了漏洞,廠商也因設備不聯互聯網等問題無法對有漏洞的設備進行更新。
未來IoT時代的智能設備的安防設計,我認為重點應從軟硬體安全應用架構、通信數據安全、雲端數據與用戶隱私安全、漏洞應急響應等多方面入手,打造多維度安全體系的頂層設計,持續優化攻防技術,將漏洞的危害影響降到最低,及時推出更新更新彌補漏洞。
其中頂層多維度安全體系設計,是為了保證基礎的穩固。我們現在很多系統之所以總是發現漏洞,就是因為基礎體系不夠健壯,從而需要反覆的修修補補。
而持續優化攻防技術,是指比如當區塊鏈、人工智能等通用型技術不斷出現時,也要與時俱進,將安全防護的技術拿進來,把漏洞的危害影響降到最低。因為沒有絕對安全的系統和體系。
更多報導:
黑客楊卿:高顏值無線電安全大牛,當過“鑒黃師”拍過微電影
采寫:南都記者 李玲(受訪者供圖)
香港九龍灣馬來街興發大廈15樓D室