王琦：盡可能消滅漏洞 為大數據安全正本護源

　　大數據安全盲點在哪裡？5月27日，貴陽舉辦的中國大數據安全發展峰會上，來自各領域的專家共同探討了大數據安全的生態問題。國際安全極客大賽GeekPwn創辦人、KEEN公司CEO王琦從白帽黑客的視角提出：大數據安全問題可能發生在數據的產生、儲存、加工、使用以及傳播的任何一步，但我們往往忽略了大數據源頭的安全問題，如果在數據採集終端就產生了問題，攻擊者就可能進行數據污染影響最終的決策﹔或者對數據進行竊聽，盜取核心機密。

　　“因為在黑客看來密碼是最難被攻破的，但是系統是容易攻破的，我們從來不拿密碼開刀。但是在這個生態裡問題嚴重到什麼程度？找到大數據採集終端智能設備的漏洞太簡單了，如果用一個詞形容現在物聯網的現狀就是篩子。難以想象如過它們被“黑完”，黑客將會一下拿到多少東西。”

　　據統計，全球目前共有 84 億 IoT 設備、26 億台智能手機、千萬級的兒童智能手表以及百萬級的家用攝像頭。如果這些設備被黑客完全控制意味著什麼？ Wi-Fi 名稱、IP 地址、訪問的網站、產生的流量、連接的設備、活躍時段、手機號、對講記錄、指紋及密碼這些極其隱私的信息將有可能被“暴露於光天化日之下”。

　　極棒比賽上發現的漏洞影響十億級別IoT

　　路由器、攝像頭、無人機、手機APP、智能家居、智能手表……據王琦介紹，在GeekPwn(極棒)黑客大賽舉辦的四年間，所有市面上能夠看到的智能設備幾乎都被黑了一遍。嚴格意義上來講，在GeekPwn上發現的漏洞已經影響到十億級別的物聯網設備。

　　在極棒實驗室的統計中，來自全球的頂尖黑客共提交超過500個漏洞，其中有超過117個都是高危漏洞，能直接導致黑客全權控制目標設備。獨立的漏洞利用佔 63%，內存級別的漏洞僅佔 29%。換句話說大部分的漏洞都比較低級，但是危害極大。

　　為何物聯網會被黑客頻頻控制？王琦解釋道，眾多的智能設備廠商專注於快速發展，而忽視了產品安全，99%的廠商沒有專門的安全部門。而目前，廠商沒有評判和保障產品安全性的指導和規范，法規和標准尚不完善。

　　源頭威脅不可忽視 為大數據安全正本護源

　　IBM 研究稱“整個人類文明所獲得的全部數據中，90% 是過去兩年產生的。”聚焦大數據領域的安全研究往往聚焦於雲計算平台、網絡行為數據防護、內部威脅等，但是很少有從數據源為切入點。王琦提出“為大數據正本護源”，呼吁廠商和白帽黑客們一起加入消滅終端漏洞的行動當中，避免終端源頭存在漏洞導致的風險，共同做好網絡的主人。