加载中…聚焦月之暗面 微软可信任计算部门参观探秘
(2014-07-02 10:13:04)
标签:
微软网络安全网络犯罪僵尸网络微软数字犯罪组 |
分类: 他山之石 |
文章来源:爱活网
打开熟悉的网站,用户名密码已经被浏览器自动填写完成,点击登录,朋友们的Timeline、自己的照片、工作的文档都已在云端就绪。云时代,这样的场景每天在我们生活中不断重复。
如果“熟悉的网站”只是钓鱼的假页面,浏览器未能识别依然将你的用户名密码发出,接下来你就会很快被现实教训——你各种隐私从此不复存在,银行帐号会被盗用,你还将接到越来越多的诈骗电话和电子邮件。一个鼠标点击点击却如蝴蝶效应般有着巨大的影响力和相关度,这就是云和大数据时代的现实。
对于所有人来说,在今天要保障自己的隐私和安全都不是件容易的事,对于操作系统和工具软件巨头微软来说更是一件头疼事。斯诺登事件之后的2014年6月,爱活受邀于西雅图探访了微软可信任计算部门,近距离直面隐私、漏洞、攻击、病毒、盗版等数字时代下的敏感话题
无处不在的计算 到处都会泄漏的隐私
2002年比尔盖茨提出可信任计算的时候,肯定想不到今天我们的生活已经被计算设备、传感器、数据所包围。从空调到智能手机,都希望能收集更多关于我们的数据,从而变得更加聪明。我们生活中的各种想法、计划、照片和历史都存储在云端。
从某种意义上说,数据成为了人类生活的另外一个维度——普适计算、自然交互、大数据和数据驱动的创新、社交网络、来自政府和公共部门的数据收集已经成为改进我们生活的重要元素。可惜的是,这些数据并不属于我们,而是被收集和存放在各种服务供应商那,这些供应商如何收集、处理和使用数据,将直接决定我们的隐私安全和生活轨迹。
微软是最早一批任命首席隐私官(Chief Privacy
Officer)的科技公司之一,随后众多大型科技企业也纷纷设立该职位,为旗下产品指定统一的隐私指引。对于我们而言,你每次安装软件、使用某个服务所弹出的法律声明中的大量的篇幅就来自于隐私团队。制定隐私政策不是打几个字,制定一大堆免责条款就万事大吉。斯诺登事件之后,美国科技企业任何关于隐私策略的变动都会被大家放到聚光灯下看个仔细。
就在本月,微软修改了旗下产品的《使用条款和隐私声明》(Terms of Use and Privacy
statements)作出了调整(就是你平时看都不看就打勾点同意的那个文档),整个调整有3大主要内容,其中最重要的变化就是在隐私保护上向Google开炮——在新修订的微软隐私声明中,微软将“尊重用户隐私这个长期承诺的一部分”,该公司不会利用(用户的)文档、照片、其它个人文件、电子邮件、会话、视频/语音邮件等内容,进行广告的投递。”换句话说,Outlook.com将不会像Gmail那样扫描你的邮件,在你提到要吃饭的时候给你提供餐厅选择,在你讨论到旅游的时候给你推荐宾馆。
在斯诺登事件之后,微软首席隐私官Brendon
Lynch也遭遇了巨大的压力,微软的众多客户对其存储在微软云中的数据保密性感到担忧。根据Brendon的说法,微软显然不允许客户的担忧蔓延,在与奥巴马政府的合作又或者保护用户隐私的权衡中,微软选择了后者。在我们到访期间,微软就正式拒绝了一个来自FBI的数据访问请求。微软坚持所有的访问许可都必须公开透明。
另一方面,微软Google等巨头也因为隐私之战罕见的走到了一起。微软和其他互联网巨头已经对奥巴马政府提起了诉讼,要求永久性的禁止NSA棱镜计划和类似的监听。微软非常明白作为商业公司,一旦失去公众信任就意味着失去一切。
网络便利 网络欺凌容易
我们今天已经离不开各种数字科技,同样我们也深陷网中不能自拔。微软在过去的20多年里见证了一个又一个科技浪潮,微软对数字时代暗面的研究也比我们所知道的深入不少。在本次TwC上,微软的首席互联网安全官、微软反数字犯罪小组(Digital
Crime Unit)都与我们就数字时代的月之暗面进行了深入的交流。
在现实中,网络欺凌、漏洞、木马、病毒共同构成了虚拟世界的阴影,微软为此制定了一系列的对策。在网络欺凌方面,微软首先指定了避免网络欺凌的4C策略,4C意思为Content(内容)、Contact(接触)、Conduct(行为守则)、Commerce(商务行为),只要控制住这4个环节,就可以避免各种网络欺凌网络诈骗,这对于儿童而言意义巨大。
要守住4C对普通人来说难度惊人,为此微软将这个策略引入到了旗下所有产品中。Windows 8的家庭安全防护、Windows Phone
8的儿童乐园、XBOX360、XBOX
One上的安全和隐私控制、Bing上的安全搜索都强力的贯彻了4C策略,你所要做的,不过是点点鼠标开启这些功能。
除了用技术驱动提升旗下产品的安全性,微软在美国还和各个儿童保护组织合作推广儿童使用互联网和电子产品的安全启蒙教育,并且提供了一整套儿童、家长指引工具和方案,让儿童独自面对互联网和其他数字科技时有足够的应变和自我保护能力。
漏洞、病毒、木马 虚拟空间反恐战国策
如果你关注互联网就不难发现每过一段时间就会爆出某个安全漏洞,在今年上半年心血(Heart
Bleed)漏洞就让各个科技公司深陷漩涡。微软在应对安全事件方面同样有着一套严密完整的策略。
微软旗下所有产品都采用1个漏洞汇报邮箱secure@microsoft.com,并且24小时有人职守,邮箱甚至还支持使用广泛的PGP加密。在收到漏洞报告后后微软也会立刻对漏洞进行分级验证重现最后进行更新推送来修订。微软在每一个时区都有安全响应中心,这意味着黑客不可能趁安全人员睡觉休息时发动袭击。时至今日,已经没有任何单一的功能能应对全球的攻击和威胁,为此微软与整个行业合作共同分享漏洞情报,抗击漏洞。
过去黑客多以英雄主义著称,即便发现漏洞也不过做个恶作剧以此扬名立万。但今天,黑客地下产业已经极其发达,几乎所有漏洞、病毒、攻击都以营利为目标,不再是黑客小打小闹的恶作剧。微软反数字犯罪部门(Digital
Crime
Unite)的工作,就是彻底打击黑客地下产业与全球僵尸网络。说实话,在本次的TwC部门探访中,犹如007般神秘DCU部门才是大家的目标所在。
2012年,一支由五百万台电脑组成的”僵尸军团“开始接受一位来自东欧网络犯罪首脑的攻击命令。这些电脑既不在阴冷潮湿的仓库,也不在废弃的商场里,而是隐身于90个国家的家庭和办公室。受感染个人电脑数量浩大,而它们的主人对此却毫无察觉。而当心怀不轨的僵尸军团制造者们发出恶意指令时,“僵尸军团”开始蹒跚而行。
18个月间,绰号为”Citadel”的僵尸网络从学生到银行家、从爷爷奶奶到企业的银行账户共窃取了5亿美元。2013年夏天,美国联邦调查局、银行侦查员、技术研究人员和微软联手打击了这个僵尸网络。
聚焦月之暗面 微软可信任计算部门参观探秘
在法治社会,要解决虚拟世界的犯罪可不是件容易的事情,这不仅需要企业、全球政府的合作与努力,更需要在法律和技术上的创新实践。
微软数字犯罪组(Digital Crimes Unit, 简称DCU)的助理总法律顾问 Richard Boscovich
曾是美国检察官办公室在迈阿密的一名律师,2008年加入微软前还“不怎么用计算机”,因此刚开始新工作时,有点找不到方向。但这一状况并没有持续多久。在短短几个月内,他就利用一种新颖的法律手段阻止了世界上最大的垃圾邮件程序之一,绰号Rustock,该程序一天能感染多达250万台电脑。
简而言之,Boscovich请求法官向垃圾邮件发送者发出一个临时禁制令,该禁制令要求他们出席听证会来为自己辩护。当然,那些垃圾邮件发送者并未到场,微软自然“不战而胜”,并因此取得了几百个被用于感染计算机的域名的控制权。微软随后与互联网服务供应商合作,通知受影响的用户,并推出工具来协助清理他们的计算机。
微软DCU还不断开发出各种新技术和工具来追踪和缉拿各类网络犯罪分子,并与世界各地的执法机构分享。到目前为止,微软已经协助取缔或锁定了7个与犯罪组织相关的僵尸网络。微软研究人员与达特茅斯学院合作开发了PhotoDNA技术,这款软件可为每份数字图像创建独一无二、类似指纹的签名,以帮助识别该图像的副本。PhotoDNA被捐赠给美国国家失踪和失足儿童研究中心,该工具还被Facebook、Twitter和其他公司用来查找、报告和消除成千上万张未被发现的儿童色情网络图片。
尽管DCU每日的工作没有好莱坞大片中那样惊心动魄,但在DCU的努力下已有众多僵尸网络被消灭,我们的数字生活也因此变得更为安全。
结语:建立信任是一件极难的事
在一周的微软TwC可信任计算部门的探访中,我们接触了微软制定应试策略、制定安全策略、打击网络犯罪、为残障人士提升产品可用性的多个团队。在整个探访中,我们深感“可信任”是件长期且艰苦的工作。微软在这方面的投入的人力物力也超过了绝大部分公众的想象。
建立信任很难,破坏信任很易。在我们轻点鼠标享受网络便利的时候,总有那么一些人竭尽全力为我们的数字生活保驾护航。
聚焦月之暗面 微软可信任计算部门参观探秘
喜欢
0
赠金笔