普普安全資訊一周概覽(0513-0519)

作者:

時(shí)間:
2023-05-19
01

歐盟將立法嚴(yán)格監(jiān)管人工智能技術(shù)應(yīng)用




歐洲議會(huì)兩個(gè)委員會(huì)11日通過《人工智能法案》提案的談判授權(quán)草案,向立法嚴(yán)格監(jiān)管人工智能技術(shù)的應(yīng)用邁出關(guān)鍵一步。

歐洲議會(huì)當(dāng)天發(fā)表聲明說,議會(huì)內(nèi)部市場委員會(huì)和公民自由委員會(huì)以壓倒多數(shù)通過歐盟委員會(huì)于2021年4月提出的《人工智能法案》提案的談判授權(quán)草案。新文本將嚴(yán)格禁止“對人類安全造成不可接受風(fēng)險(xiǎn)的人工智能系統(tǒng)”,包括有目的地操縱技術(shù)、利用人性弱點(diǎn)或根據(jù)行為、社會(huì)地位和個(gè)人特征等進(jìn)行評價(jià)的系統(tǒng)等。

談判授權(quán)草案還要求人工智能公司對其算法保持人為控制,提供技術(shù)文件,并為 “高風(fēng)險(xiǎn)”應(yīng)用建立風(fēng)險(xiǎn)管理系統(tǒng)。每個(gè)歐盟成員國都將設(shè)立一個(gè)監(jiān)督機(jī)構(gòu),確保這些規(guī)則得到遵守。

這一草案將于6月中旬提交歐洲議會(huì)全會(huì)表決,之后歐洲議會(huì)將與歐盟理事會(huì)就法律的最終形式進(jìn)行談判。歐洲議會(huì)的聲明說,一旦獲得批準(zhǔn),這將成為全世界首部有關(guān)人工智能的法規(guī)。


普普點(diǎn)評

科技是把“雙刃劍”,從實(shí)驗(yàn)室到經(jīng)濟(jì)社會(huì)的廣泛應(yīng)用,中間還需要加一道“安全防護(hù)墻”。對于人工智能技術(shù)及其產(chǎn)品的研發(fā)和使用,從規(guī)范制度體系層面要加強(qiáng)三方面監(jiān)管。一是通過倫理范疇來進(jìn)行規(guī)范,二是通過標(biāo)準(zhǔn)規(guī)范方式來約束技術(shù)的使用,三是通過法律法規(guī)來加強(qiáng)監(jiān)管,讓技術(shù)及其產(chǎn)品在經(jīng)濟(jì)社會(huì)中規(guī)范使用。從組織層面也要加強(qiáng)規(guī)范,一是研發(fā)技術(shù)和產(chǎn)品的企業(yè)對風(fēng)險(xiǎn)要進(jìn)行自控,二是相關(guān)行業(yè)協(xié)會(huì)對人工智能技術(shù)和產(chǎn)品的研發(fā)和使用要進(jìn)行自律,三是政府要通過制定法律法規(guī)來促進(jìn)和約束人工智能及其產(chǎn)品的使用,這是對技術(shù)和產(chǎn)品風(fēng)險(xiǎn)控制的“最后一道防線”。


普普安全資訊一周概覽(0513-0519)

02

智能家居安全性有多重要?



物聯(lián)網(wǎng)(IoT)的興起改變了我們的生活方式以及與家庭的互動(dòng)方式。近年來,恒溫器、相機(jī)和語音助手等智能家居設(shè)備,因其便利性和簡化日常任務(wù)的能力而變得越來越流行。然而,隨著越來越多的智能設(shè)備連接到互聯(lián)網(wǎng),網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)也在增加,這使得這些設(shè)備的安全成為一個(gè)至關(guān)重要的問題。

為了解決這一問題,包括亞馬遜、蘋果、谷歌和庫德爾斯基物聯(lián)網(wǎng)在內(nèi)的一組科技企業(yè)已經(jīng)聯(lián)合起來創(chuàng)建了Matter標(biāo)準(zhǔn)。Matter是一種開源、免版稅的標(biāo)準(zhǔn),旨在使智能設(shè)備更容易相互協(xié)作并與多個(gè)生態(tài)系統(tǒng)協(xié)同工作。該標(biāo)準(zhǔn)將允許設(shè)備使用通用語言相互通信,使消費(fèi)者更容易設(shè)置和管理智能家居設(shè)備。

Matter還將優(yōu)先考慮安全性,這是任何智能家居設(shè)備的重要組成部分。該標(biāo)準(zhǔn)的主要目標(biāo)之一是確保智能設(shè)備在設(shè)計(jì)上是安全的,這意味著從一開始就在設(shè)備中內(nèi)置安全功能。例如,設(shè)備將被要求具有唯一的身份和連接互聯(lián)網(wǎng)的安全方法,這使得黑客更難獲得未經(jīng)授權(quán)的訪問。


普普點(diǎn)評

智能家居設(shè)備安全的重要性怎么強(qiáng)調(diào)都不為過。智能家居設(shè)備可以收集和存儲(chǔ)敏感數(shù)據(jù),例如我們的日常生活和個(gè)人信息。隨著智能家居設(shè)備越來越融入我們的生活,在設(shè)計(jì)時(shí)考慮到安全性至關(guān)重要。消費(fèi)者必須能夠相信他們的設(shè)備是安全的,他們的數(shù)據(jù)是受保護(hù)的。Matter標(biāo)準(zhǔn)是朝著正確方向邁出的重要一步,因?yàn)樗鼉?yōu)先考慮安全性和互操作性,確保智能家居設(shè)備易于使用且設(shè)計(jì)安全。


普普安全資訊一周概覽(0513-0519)

03

判70年!Twitter 2020 網(wǎng)絡(luò)攻擊案主謀認(rèn)罪



近日,一名英國人已就2020年7月盜取眾多高知名度賬戶和詐騙該平臺(tái)其他用戶的推特攻擊事件表示認(rèn)罪。美國司法部(DoJ)表示,約瑟夫-詹姆斯-奧康納(Joseph James O'Connor)在網(wǎng)上化名為PlugwalkJoe,他承認(rèn) '在網(wǎng)絡(luò)跟蹤和涉及計(jì)算機(jī)黑客的多個(gè)事件中的不法行為,包括2020年7月對Twitter的黑客攻擊'。發(fā)生在2020年7月15日的大規(guī)模黑客攻擊,涉及奧康納和他的同謀者盜取了130個(gè)Twitter賬戶,這些賬戶中包括巴拉克-奧巴馬、比爾-蓋茨和埃隆-馬斯克的賬戶,并通過這些賬戶實(shí)施加密貨幣騙局,在幾個(gè)小時(shí)內(nèi)凈賺12萬美元。

這次攻擊是通過社會(huì)工程技術(shù)獲得對Twitter后臺(tái)的訪問權(quán)限,然后利用這個(gè)入口點(diǎn)來盜取賬戶,并在某些情況下將賬戶訪問權(quán)出售給其他人。奧康納是被指控實(shí)施Twitter黑客攻擊的四個(gè)人之一。尼瑪-法澤里和格雷厄姆-伊萬-克拉克在同一個(gè)月被捕,而奧康納在一年后的2021年7月在埃斯特波納鎮(zhèn)被西班牙當(dāng)局逮捕。據(jù)BBC的Joe Tidy報(bào)道,Mason Sheppard還沒有被逮捕??死嗽?021年3月對30項(xiàng)重罪指控認(rèn)罪后被判處三年監(jiān)禁。

除了推特事件,被告人還被指控入侵TikTok和Snapchat用戶賬戶的犯罪行為,以及在網(wǎng)上跟蹤一名青少年受害者。


普普點(diǎn)評

隨著威脅形勢的不斷發(fā)展,建立全面的網(wǎng)絡(luò)安全解決方案需要外圍安全性和主動(dòng)的網(wǎng)內(nèi)防御 。首先,需要確保防火墻處于活動(dòng)狀態(tài),配置正確,并且最好是下一代防火墻; 此外,對于個(gè)人密碼,應(yīng)該采取一些措施來強(qiáng)化密碼。例如,密碼短語已經(jīng)被證明更容易跟蹤并且更難以破解。密碼管理器也可用于跟蹤密碼并確保密碼安全。輸入個(gè)人信息以完成金融交易時(shí),請留意地址欄中的“https://”。HTTPS中的“S”代表“安全”,表示瀏覽器和網(wǎng)站之間的通信是加密的。


普普安全資訊一周概覽(0513-0519)

04

法國知名徒步旅游公司90萬客戶信息遭泄露



近日,專為徒步旅行者提供服務(wù)的法國旅游公司La Malle Postale發(fā)現(xiàn)其系統(tǒng)出現(xiàn)了數(shù)據(jù)泄露,泄露的信息包括姓名、電話號碼、電子郵件、通過短信進(jìn)行的私人通信、密碼和員工的憑據(jù)。

La Malle Postale成立于2009年,在許多熱門的徒步路線上為游客提供行李和運(yùn)輸服務(wù),其中包括著名的圣地亞哥德孔波斯特拉朝圣路線。該公司服務(wù)獲得客戶的廣泛好評,在貓途鷹(TripAdvisor)上獲得了四星的總體評價(jià)。

Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)可公開訪問的數(shù)據(jù)存儲(chǔ),其中包含屬于該公司客戶的超過4GB的個(gè)人數(shù)據(jù)。

這些個(gè)人數(shù)據(jù)包括近9萬名客戶的姓名、電子郵件和電話號碼,以及該公司與客戶之間發(fā)送的13000多條短信。

此外,研究人員還偶然發(fā)現(xiàn)了7萬個(gè)客戶憑證。雖然泄露的密碼不是純文本,但密碼均使用了極易破解的WordPress MD5/phpass散列算法進(jìn)行散列。

電子郵件和密碼一旦暴露還是比較危險(xiǎn)的,因?yàn)閻阂庑袨檎呖梢灾苯佑眠@些信息訪問受害者可能正在使用的其他帳戶。


普普點(diǎn)評

客戶姓名、電子郵件、電話號碼以及客戶與公司之間的私人通信一旦被泄露,會(huì)隨之帶來各種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

其一就是身份盜竊。欺詐者可能利用這些泄露的個(gè)人信息,來冒充信息遭遇泄露的個(gè)人,并獲得其財(cái)務(wù)賬戶或其他敏感信息。此外,犯罪分子可以直接用這些數(shù)據(jù)假冒本人去申請貸款或信用卡。

其二就是被泄露信息的客戶個(gè)人信息可能被用來制作有針對性的網(wǎng)絡(luò)釣魚電子郵件,通過這種“看起來很可信的”郵件,去引導(dǎo)收件人上當(dāng)受騙。

最后,威脅行為者還可能利用La Malle Postale在客戶中的信譽(yù)進(jìn)行社會(huì)工程攻擊。犯罪分子可能會(huì)假裝自己是公司的代表,通過打電話的方式直接獲取客戶的敏感信息。


普普安全資訊一周概覽(0513-0519)

05

通過破解Sky ECC加密通信應(yīng)用,歐洲刑警組織成功逮捕三名巴爾干毒梟



近日,塞爾維亞和荷蘭的執(zhí)法部門對巴爾干半島的最大販毒犯罪組織進(jìn)行了協(xié)調(diào)突襲,逮捕了13名嫌疑人,其中包括三名被歐洲刑警組織視為高價(jià)值目標(biāo)的犯罪組織領(lǐng)導(dǎo)人。

據(jù)了解,所有這些執(zhí)法成果都建立在對Sky ECC的破解之上。Sky ECC是一款由Sky Global制作的訂閱制端到端加密通訊應(yīng)用程序,安裝在去除了GPS、攝像頭和麥克風(fēng)的Google、Apple、Nokia和BlackBerry手機(jī)上,旨在避免交換的訊息被其他人所窺探。2021年3月,Sky Global首席執(zhí)行官Jean-Francois Eap因向毒販出售加密聊天設(shè)備、幫助他們逃避執(zhí)法部門的追蹤而被起訴,同時(shí)該平臺(tái)也被執(zhí)法部門取締。

比利時(shí)警方后來表示,他們已經(jīng)成功破解了Sky ECC的加密,這使他們能夠監(jiān)控約7萬名該應(yīng)用程序用戶的信息流。所有截獲的信息用于推動(dòng)調(diào)查、逮捕和起訴。歐洲刑警組織還指出了另外兩個(gè)相似的加密通訊服務(wù)EncroChat和ANOM,這些訂閱制通訊應(yīng)用程序同樣也為犯罪分子所青睞,被用于隱藏他們的非法活動(dòng)。上述三個(gè)通訊服務(wù)都已被執(zhí)法部門滲透并取締,其中的數(shù)據(jù)已成為對數(shù)千人的逮捕線索及起訴證據(jù)。


普普點(diǎn)評

不可避免地,使用這類數(shù)據(jù)作為逮捕嫌疑人的證據(jù)會(huì)涉及到一些法律風(fēng)險(xiǎn)(例如侵犯個(gè)人隱私),但到目前為止,法院通常會(huì)傾向于站在警方一邊。就在前不久,英國國家犯罪局(NCA)在一場對用于獲取EncroChat消息的搜查令提出質(zhì)疑的案件中勝訴。對犯罪分子提供設(shè)備幫助其犯罪或隱匿都有可能面臨刑事犯罪。


普普安全資訊一周概覽(0513-0519)

06

谷歌推出了核心大語言模型PaLM 2可與GPT-4相媲美



近期,谷歌推出了PaLM 2,這是一系列核心語言模型(LLM),其功能可與OpenAI的GPT-4相媲美。在加利福尼亞州山景城舉行的谷歌 I/O大會(huì)上,谷歌宣布它已經(jīng)使用PaLM 2為25 種產(chǎn)品提供支持,包括其Bard對話式人工智能助手。

PaLM 2是一個(gè)大型語言模型 (LLM)系列,已經(jīng)過大量數(shù)據(jù)訓(xùn)練,能夠預(yù)測人類輸入后的下一個(gè)單詞。PaLM是“Pathways Language Model”的縮寫,“Pathways”是谷歌創(chuàng)造的一種機(jī)器學(xué)習(xí)技術(shù)。

PaLM 2是 Google于2022年4月宣布的原始PaLM的續(xù)集。據(jù)谷歌稱,PaLM 2支持超過100種語言,可以進(jìn)行推理、代碼生成和多語言翻譯。

在谷歌I/O主題演講中,谷歌首席執(zhí)行官桑達(dá)爾·皮查伊 (Sundar Pichai)表示,PaLM 2有四種型號:壁虎、水獺、野牛和獨(dú)角獸。Gecko是最小的,可以在移動(dòng)設(shè)備上運(yùn)行。除了Bard,PaLM 2還支持文檔、電子表格和幻燈片中的AI功能。PaLM 2技術(shù)報(bào)告指出,PaLM 2在某些數(shù)學(xué)、翻譯和邏輯任務(wù)中優(yōu)于GPT-4。

但現(xiàn)實(shí)可能與谷歌的基準(zhǔn)不符。在對PaLM 2的Bard版本的簡短評估中,以及在各種非正式語言測試中,有專家表示PaLM 2實(shí)際表現(xiàn)出來的性能看起來比GPT-4和Bing差。


普普點(diǎn)評

GPT是一種基于深度學(xué)習(xí)的自然語言處理模型,它可以根據(jù)給定的文本數(shù)據(jù)生成自然流暢的文本內(nèi)容。GPT的應(yīng)用場景非常廣泛,包括:自動(dòng)文本生成、語義理解、自然語言處理工具、數(shù)學(xué)和代碼,也可以作為AI生活助手、AI售后客服、辦公場景助手等場景的智能對話系統(tǒng),提供各種信息查詢、建議、推薦等服務(wù)。隨著更深層次的開發(fā),未來一定會(huì)給生活和工作帶來巨大的變化。


普普安全資訊一周概覽(0513-0519)

07

豐田數(shù)據(jù)庫公開近十年,數(shù)百萬車主車輛信息面臨泄露風(fēng)險(xiǎn)



上周五,日本知名汽車制造商豐田公司發(fā)布了一則通知:由于“云環(huán)境配置錯(cuò)誤”,兩百多萬輛汽車的信息被公開了近十年。此次數(shù)據(jù)泄露事件涉及使用T-Connect 、G-Link、G-Link Lite、G-BOOK服務(wù)的215萬客戶,豐田在通知中向這部分客戶致以歉意。

據(jù)豐田官網(wǎng)公告,泄露的信息包括車輛終端ID、底盤號和帶有時(shí)間數(shù)據(jù)的車輛位置信息,以及車載攝像頭的錄制視頻。豐田表示,雖然這些數(shù)據(jù)從2013年11月6日到2023年4月17日一直公開可見,但沒有跡象表明它們被未經(jīng)授權(quán)的人收集或使用。并且,值得慶幸的是,即使真發(fā)生了泄露,僅憑泄露的數(shù)據(jù)本身不足以識別到個(gè)人。

豐田公司認(rèn)為此次事故的主要原因是對數(shù)據(jù)處理規(guī)則的解釋不充分,豐田承諾會(huì)徹底教育員工并努力防止類似事件再次發(fā)生。關(guān)于為何長時(shí)間都沒發(fā)現(xiàn)這一錯(cuò)誤,豐田解釋為其云服務(wù)缺乏“積極檢測機(jī)制”,豐田表示今后會(huì)引入系統(tǒng)來審核云設(shè)置,進(jìn)行云環(huán)境的配置調(diào)查,并構(gòu)建一個(gè)系統(tǒng)來持續(xù)監(jiān)控設(shè)置的狀態(tài)。

值得注意的是,豐田這些年來多次遭遇數(shù)據(jù)泄露事件。2018年,豐田曾因數(shù)據(jù)泄露事件被罰款180萬美元。2019年,豐田的澳大利亞分公司也曾因數(shù)據(jù)泄露事件被罰款200萬澳元。這類數(shù)據(jù)泄露事件對企業(yè)的影響是巨大的,既會(huì)導(dǎo)致企業(yè)聲譽(yù)受損,也會(huì)對客戶信任產(chǎn)生負(fù)面影響。


普普點(diǎn)評

防止公司商業(yè)機(jī)密泄露需要企業(yè)從信息安全意識、網(wǎng)絡(luò)安全管理制度、數(shù)據(jù)防泄密技術(shù)應(yīng)用等各個(gè)層面入手,構(gòu)建立體式、系統(tǒng)化、多維度、細(xì)粒度、多舉措聯(lián)合并用的方式來嚴(yán)防公司數(shù)據(jù)文件的泄密。首先,建立規(guī)范明細(xì)的企業(yè)數(shù)據(jù)安全管理制度和員工電腦使用行為規(guī)范。其次,從技術(shù)層面進(jìn)行多維度、細(xì)粒度、全過程、多舉措的商業(yè)機(jī)密保護(hù)舉措。