你在网上安全吗?

我们得保证自己的安全。但我们在躲避谁呢?毫无疑问，网络犯罪是发生在网上的犯罪。但是它是什么样子的，它现在是什么状态呢?亚当·墨菲(Adam Murphy)会见了剑桥大学安全工程教授罗斯·安德森(Ross Anderson)，后者带他了解了不断变化的网络犯罪世界……

罗斯:大约在10到20年前，犯罪发生了很大的变化，但在过去的十年里，网络犯罪的模式一直非常稳定。我们在2011年做了一项大型调查，在2018年做了另一项调查，调查结果于今年公布，我们惊讶地发现，尽管自2010年代初以来我们的技术发生了彻底的变化，但这些模式是稳定的。我们现在都在使用手机而不是笔记本电脑上网。一切都变得社交化，公司将数据保存在云端，而不是公司内部的服务器上。然而，犯罪的模式是相同的，这基本上告诉我们，犯罪与技术没有多大关系，而是与更广泛的东西有关;环境，动机，这是警方准备调查的，CPS准备起诉的。

亚当:网络犯罪是什么样子的?只是模拟犯罪的数字版本吗?

罗斯:嗯，你能想到的有三种类型的犯罪是类似的犯罪，它们根本没有太大的变化，比如税务欺诈。从技术上讲，这是网络犯罪，因为你觉得你的纳税申报单在网上，这基本上是不变的。还有一些我们过去在模拟世界中遇到的犯罪，随着我们进入网络，这些犯罪已经从根本上改变了自然，比如信用卡欺诈。过去，针对人们银行账户和信用卡的欺诈行为包括在自动取款机上偷拍人们的肩膀，或者从餐馆的垃圾箱里捞信用卡的碳。现在主要是在网上完成的事情。第三种网络犯罪是纯粹的网络犯罪。比如勒索软件。支撑这一切的是网络犯罪基础设施，或僵尸网络，由数千甚至数百万台受感染的计算机组成，这些计算机发送垃圾邮件，其中包含可疑内容，等等。

亚当:有什么趋势吗?即使它保持不变，这些年来网络犯罪是如何变化的呢?

罗斯:生态系统发生了很多变化。首先，在过去的八年里，信用卡犯罪总体上翻了一番。但信用卡支付的总量和价值已经翻了一倍多，几乎翻了三倍。现在的情况是，随着在线部分的增长，信用卡支付系统也在增长，而且效率也在提高。这是一件好事。我们还看到，特别是网络犯罪已经减少。七八年前，你会收到很多试图推销伟哥的垃圾邮件。现在伟哥的专利过期了，你可以在药店买到，所以没有什么大不了的，所以你不会买到那种东西。同样，也没有很多人试图出售盗版软件、电影或音乐，因为现在每个人都只是下载音乐和电影，而软件往往都在云端，而且是免费的。

取而代之的是涉及比特币的犯罪，例如，在狡猾的比特币交易所，你被邀请参与这样或那样的计划，或者投资一种新的硬币，或者投资一些高收益的投资计划。通常情况下，骗子会拿走你的钱，然后消失。

亚当:面对这么多的网络犯罪，你可以想象执法会得到很多重视。嗯…

罗斯:令人震惊的是。尽管现在有一半的获取性犯罪都发生在网上，但在英国，参与打击网络犯罪的警察总数在200到300人之间。这是在总共12万名警察中得出的结论。所以它基本上没有优先级尽管它占总数的一半。

亚当-那我们该怎么办?

基本上就是出来抓人。你看，典型的网络诈骗有点像典型的入室盗窃。很可能没有可用的证据，但如果你仔细观察，就会发现在少数情况下会有一些证据。窃贼可能从你的厨房里拿了一张纸巾擤了擤鼻子，或者他可能在进去的时候从窗户上割伤了自己，等等。有了现代DNA和指纹识别技术，你就能找到它们。同样，从事网络犯罪的人通常在操作安全性方面很差，他们留下的痕迹可以追溯到他们的真实姓名，真实的电子邮件地址等等。原因很简单，因为到目前为止，他们一直可以逍遥法外。他们不需要学会小心。

现在的问题是，许多警察会说“调查1万英镑以下的欺诈行为不是我们的政策”。对吧?骗子们很快就知道你可以从某个社区偷到一大笔钱，一笔几千英镑的钱。警察也永远不会站起来追你。所以这里真正需要的是警察执法的随机化。如果警察说他们总是调查超过1万英镑的欺诈，那么如果有人从900英镑开始，那么警察应该掷骰子，以9%的概率调查这种犯罪。

这就意味着，如果有人从900个潜在的学生中，一个接一个，每年几十个，几百个，敲诈一大堆学生的押金，他们就会被追上。这就是做这件事的方法。

我们大多数人在网上可能并不像我们希望的那样安全。但希望并未泯灭。即使是最弱的安全也可以被加固和修补!亚当·墨菲又去找艾德里安·温克尔斯，他给了我们一些关于安全的建议……

阿德里安-遵循一般建议。确保你有杀毒软件，防火墙，反间谍软件，所有你能想到的常用工具。虽然它们可能会变得不那么有效，但它们仍然提供一定程度的保护。但也要时刻保持怀疑。想想你正在访问的网站。网站可以隐藏飞车下载代码，它们可以将你重定向到钓鱼网站，等等。所以一定要检查地址栏，确保有一个绿色的挂锁确保你的数据是加密的。

也要怀疑你收到的东西。在某些时候，每个人都会成为一般或鱼叉式网络钓鱼类型攻击的目标，试图让你访问网站，获得登录凭证或财务详细信息，基本上是欺骗你。所以要对你收到的东西保持怀疑，看看，“这是一个真正的链接吗?”如果你怀疑某人，“这不是我从认识的人那里得到的通常的回答”，准备好给他们打电话，在你按照邮件上的指示去做之前分别联系他们。知道你的银行不应该联系你立即登录。如果可以的话，总是使用其他的交流方式。看看拼写，英语。看起来像真的电子邮件吗?有时很难讲，有时很少讲故事。但如果有疑问，寻求某种形式的确认，这是另一种做事的方式。

Adam:关于usb的建议是:如果你不能完全确定它们是从哪里来的，就不要插进去。

Adrian -很多很多组织会因为数据流出或被留下而禁止在组织内使用usb。你可以得到安全的usb。知道USB是从哪里来的。或者你可以买那些加密程度很高的手机，这样如果你丢了，别人也无法从里面获取数据。

Adam -有一些网站可以告诉你你的数据是否被任何网站破坏或泄露。我们是在办公室里做的，大多数人都是这样。所以很有可能你也遇到过。那么，如果你知道你的信息被泄露了，你该怎么办呢?

艾德里安-如果你发现它被入侵了，显然要更改你的登录凭据。如果你可以更改用户名，当然也要更改密码。这又回到了我之前所说的:不要在每个系统上使用相同的密码。所以如果只有一个系统被入侵了，那就只能访问那个系统，而不是多个系统。如果可以的话，找出哪些数据被泄露了。因此，如果你需要更改必要的信用卡或其他个人信息，那就这样做吧。

亚当-现在有不止一种方法来保护你使用的任何登录。

艾德里安:双因素和多因素认证，这是你知道的东西，你拥有的东西，是你的一部分。因此，无论是手机上的用户名密码加代码，还是生物识别数据，它们本质上更安全——并非万无一失——但肯定更容易保护。

亚当-还有最后一件事要考虑。在制作这篇文章的过程中，我接触过的大多数人都不是计算机专业人士，他们都在自己的计算机上拥有管理员权限。它很方便，你不需要密码就可以安装。但这是个好主意吗?

阿德里安-不。因为如果有人获得登录凭证并可以远程访问，因为大多数计算机系统都有远程访问的形式，无论是远程桌面，还是skype类型的会话或诸如此类的东西。您不应该使用特权帐户进行真正的用户访问。

互联网无处不在。互联网已不再局限于我们的手机和电脑，而是不断扩大。智能手表、智能电视、智能家电都可以连接到互联网。甚至还有智能玩具，智能鞋，智能直发器。这个集合被称为物联网。它基本上是任何可以上网的不是电脑的东西。但像所有新兴技术一样，它也有它的问题。亚当·墨菲采访了来自PenTest Partners的肯·芒罗，看看它有多安全——或者不安全……

Ken:我和同事们花了五年的时间研究物联网，它非常糟糕。我们看到了一些可怕的事情发生，所以我们看到人们通过家庭安全摄像头被监视，我们看到由受感染的物联网设备组成的僵尸网络破坏了互联网的一部分。我们也在智能设备上看到了勒索软件的开始，比如勒索你的恒温器，这样你就不能打开暖气了。

亚当:那么，肯侵入了哪些领域?

肯:确实有一些不愉快的例子。我们已经看到了一些设备…一种是儿童玩具，叫做“我的朋友凯拉”，附近30-40-50米的任何人都可以在你家里监视和偷听你和你的孩子。更糟糕的是，任何人都可以通过一个无辜的娃娃和你的孩子说话。这太可怕了。

Adam -但成年人的科技产品肯定不受此影响。我们当然不会为了方便而牺牲安全。他能找到什么能做到这一点呢?

肯- Wi-Fi水壶。

亚当:啊。

肯:这个想法是，你可以用手机上的一个应用程序连接到水壶上，然后你就可以远程烧水了。这很好。所以这个想法是你早上醒来，从床上滚下来，按下应用程序上的一个按钮，当你到厨房的时候，你已经有一壶开水了，节省你30秒的时间，我不知道。所以他们可以加入你的Wi-Fi网络，如果你没有更改Wi-Fi路由器的管理员密码，他们可以拦截你所有的流量。这是非常令人讨厌的。所以你可以拦截你的社交媒体，也许可以拦截你的银行账户。你的整个网络生活现在都是他们的了。就因为你想在卧室里用水壶烧水。

亚当-但也有更邪恶的东西，包括一副智能直发器。

肯:我之所以研究这些东西，是因为我想看看是否有一种方法可以让物联网点燃东西。问题是，它没有蓝牙安全保护，所以我们可以远程调高温度还可以告诉它们不要像你想的那么快关机。在对消防部门进行了一些研究后，他们表示，近65万起房屋火灾是由直发器开着引起的。这真的很发人深省。

亚当:如果普通的直发都能引起那么多火灾，那么如果人们能黑进智能手机会发生什么呢?考虑到这一点，物联网是不是一无是处?

不要误解我的意思，我确实认为物联网有很好的用途。例如，为老年人提供辅助生活，这样他们就可以独立生活更长时间。我认为在医疗技术方面，有一些非常好的智能技术可以更好地诊断疾病，帮助我们活得更长。但我真的需要Wi-Fi水壶吗?这对我真的很重要吗?我不知道。

亚当:那你怎么区分好设备和坏设备呢?

每个人都问我这个问题，我不得不说，我不能告诉你。但总的来说，更大、更知名的品牌在发现漏洞时更善于处理。问题是，小品牌不是很有名，他们可能是第一个进入市场的产品，一个创业公司，如果发现问题，他们就会通过召回或修理产品来耗尽资金。所以总的来说，我认为应该选择更大、更知名的品牌，因为它们更有能力解决问题。但如果你走进一家商店问我哪个产品比另一个好，我就不能告诉你了。

Adam:一个优秀的黑客，也被称为白帽黑客，如何以道德的方式去做这件事?

肯:我们不做的是，我们不会去发现漏洞，然后马上告诉全世界，因为那样不公平。突然有人黑了我们的东西，这对我们消费者来说不公平。所以我们要做的就是私下向制造商报告。我们告诉他们，告诉他们哪里出了问题。都是免费的。不要收他们一分钱。告诉他们我们认为他们应该做什么，然后理想情况下，他们应该做的是修复它，他们给我们发一个更新说'看，认为这可以修复它'，我们检查它，然后他们更新他们的客户，然后他们告诉市场。但经常发生的情况是，我们受到了阻碍。许多制造商不喜欢人们告诉他们产品的问题。他们试图忽视我们。 And that's when things get really awkward for us because we've got people buying the product, we've got people using the product that we know is insecure. So at what point do people need to understand there's a problem, that they need to seriously reconsider whether they use the product? And that's often when we’ll go and ask for help from journalists or sometimes government agencies that can help us make these companies listen. Because last we want to happen is for people to be hacked. We want them to be safe. We're the good guys out there, right?

亚当:那我们普通人该怎么做呢?

确保你的应用程序完全是最新的。确保你得到了最新的更新，并确保应用程序也能够更新产品。有时你会在应用程序中获得所谓的“固件更新”，然后手机将这些更新推送到智能产品以保证其安全。

亚当:肯对物联网的最后一句话是什么?

肯:你真的需要把冰箱连上互联网吗?在冰箱里发推特有什么好处?所以一定要问清楚你是否真的需要这个东西，或者它只是一个你想玩的小玩意，你可能会在六个月的时间内忘记它。这非常非常重要。如果你不需要它，就不要额外付钱。你也可以选择不连接东西。很多智能电视都想连接到互联网，但你做不到。你不能把你的洗衣机连到互联网上。这是一件好事。是的，即使它带有连接功能，也要问问自己是否真的需要连接。 Because that way you're breaking the link between the hacker and your stuff. That's a really good spot.

社交媒体可以把我们推向极端的方向，制造出我们可能陷入其中的泡沫。但如何?社交媒体是由算法运行的，这些程序会把你在网上看到的东西吐出来，在后台工作，得出你看到的东西。Adam Murphy采访了剑桥大学的Beth Singler，她专门研究这些算法的社交方面，并谈到了它们对我们的意义……

贝丝:在最简单的情况下，算法就是将数据输入模型计算，然后再输出数据。当你谈论互联网或社交媒体上的算法时，你谈论的是人们的数据进入一个系统，并从数据输入中重新设计偏好。所以当你在网上表达自己的喜好时，你会一次又一次地看到同样的东西

亚当:那这和很多人听到的词有什么关系，比如“机器学习”和“人工智能”?

贝丝:事情变得复杂了，因为人们用很多不同的方式来使用这些术语。机器学习和强化学习，这些不同方式的不同系统是思考这些级别的数据输入如何相互作用的新模型。人工智能已经成为这些系统以及我们在科幻小说中看到的更人格化的版本的统称。

亚当:算法只是在做它的工作。一些程序员告诉它说“最大化人们在网站上花费的时间”，这就是它所做的。它首先随机地做一些事情，慢慢地提炼出最好的方法，直到你有了一些非常好的方法。通常。那么我们如何与这个算法，这段代码联系起来呢?它能对我们做什么?

Beth:在最简单的层面上，你可以看到，如果你打开Facebook，你可以看到基于你之前对其他事物的兴趣而被推广的故事类型。你可能在网上看到过关于YouTube的故事，以及各种不同的视频是如何被推广给你的，同样，这是基于你之前看过的内容。以我为例，你看了一个之前有《神秘博士》的视频，突然你就有了10个之前有《神秘博士》的视频。也许你想在你的建议中看到一些其他的东西，如果你正在寻找一个特定类型的东西，也会很有用。

亚当-如果它只是向我们展示我们想要的东西，它能把我们推向不同的方向吗?

贝丝-当然。所以现在有很多工作是关于身份形成和在线社区形成的，以及这些算法如何将我们的兴趣推向特定的方向。这是一种元层面的算法;公司的利益助长了你所看到的内容。YouTube, Twitter, Facebook。

他们的目标是让你观看越来越多的在线内容，他们使用算法来指导你，基于你已经表现出兴趣的内容。人们很容易很快就会进入他们所谓的“社交媒体泡沫”，你只会看到那些强化你现有观点的东西，或者把你带进那些观点稍微极端的版本的兔子洞。

在法西斯主义或民粹主义通过社交媒体兴起的问题上，人们做了很多工作，当人们对某个话题只表现出轻微的兴趣时，这些信息就会被宣传给人们。

亚当:有时候很难不觉得算法在思考。它起到了它的作用。即使在裸体科学家这里，我们金宝搏app最新下载也担心算法会如何对待我们的东西，这显然并不罕见。

贝丝:这是我工作的另一个方面，我真的很感兴趣，我已经开始研究一些非常具体的例子，人们对算法概念的反应。他们将算法拟人化，并从算法想要什么以及如何对待他们的角度来思考。我注意到人们在谈论“被算法祝福”，就我个人而言，我对宗教隐喻很感兴趣。但我认为这是一个非常有趣的方式来讨论我们给算法多少代理，甚至是超级代理。我们认为他们真的在为我们做选择吗?他们给了我们有益的时刻吗?

“算法保佑”的整个概念是，我把一些内容放到网上，它做得很好。我得到了算法的祝福。所以这是关于赋予一些东西拟人化的代理权，这些东西并不像我们一样做出决定。它是一种基于现有偏好的强化系统。

亚当:有没有更好的方法来思考这个算法?

贝丝——我想我们很容易就滑倒了。就像我说的，有一种滑向算法人格化的趋势。但也有一种倾向，认为社交媒体平台是某种形式的人权。因为这是公开演讲，我们认为这是我们必须以任何我们想要的方式去做的事情，而没有真正记住这些是私人公司。当你上网使用Twitter或Facebook等网站时，你要签署条款和条件。他们以非常具体的方式拥有你的内容，他们对你的内容也有非常具体的目的。

我并不是说他们是邪恶的，但他们有共同的目标和利益。大卫·朗西曼也在剑桥做了一些非常有趣的研究，他谈到了一个事实，即我们经常谈论人工智能，但我们并不总是那么关注人工智能。这些事情就像公司，或州，或国家，他们有自己的模式，他们正在与之合作，他们自己的思维算法系统。大多数时候，作为资本主义制度，它是关于利润的。