人类想额外长出一双手臂的梦想已经基本实现
2018-09-04
现在,人类想额外长出一双手臂的梦想已经基本实现了,其实就是背个背包那么简单。
东京大学和庆应大学的研究人员发明了一种名为“融合”的远程控制机器人系统,该系统有一个头部和两个手臂,可以远程控制。
远程人不仅能看到佩戴者看到的东西,而且还可以控制机器人的手臂,甚至使用机器人来操纵佩戴者的手臂。
科学家形容这个小玩意儿是一个“远程协作系统”,它能帮助朋友或家人一起完成不同的任务。
该系统使用立体相机、拟人化手臂与“力反馈传感器”相结合。
简单地说,运动传感器被连接到远程佩戴者的手上,使自己与被控机器人的手臂融合成整体。
远程用户可以使用一对操纵杆来控制手臂远程用户还戴着一个耳机,透过设备的摄像头,观察佩戴者的臂膀。
研究人员解释说,它可以以“三种不同的模式操作:直接协作、强制身体引导和诱导身体运动。
佩戴者也可以使用带子将装置附在他们的手上,以给远程使用者更大的控制。
所有的组件都集成在背包中,这是一个可穿戴和移动的机器人平台。
它的开发者说,它可以有广泛的应用,从帮助残疾人完成他们无法参与的任务,到教人们如何演奏乐器。
目前,它需要一个人工操作员才能正常工作,但是它的创建者相信,Fusion有朝一日会使用人工智能来自主工作。
该项目的共同创建者Yamen Saraji说,它可以帮助人们学习武术。
小编第一想到的是用这个机器人手臂帮忙拿东西,比如主妇在超市买了太多、太重的东西,它帮着拿。结果人家发明家的目标是教育人,差距不是一星半点。
西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发
以太坊是区块链的未来?
2018-09-04
前言:本文作者Michael K. Spencer认为以太坊是区块链的未来,他从承载的区块链初创项目、开发者数量、对区块链的理想等方面来阐述,他如此旗帜鲜明的看法肯定会带来争议。从蓝狐笔记的角度,区块链还处于早期,未来不可能一条链一统天下,会有新的项目还在路上。不过,目前看,以太坊占据了一定的先发优势。如果其他项目不能有很大的特色,很难超越以太坊,尤其是牺牲去中心化程度的项目,未来可能也会面临一些困难。本文来源于mediu.com,由蓝狐笔记社群“司马青衫”翻译。
承载最多区块链初创项目并吸引大多数开发人员的平台将会最终胜出。最终是最具有实用性、拥有最多的开发人员和最具可扩展性的dApp框架的区块链平台将赢得胜利并接管比特币,成为区块链创新的继承者。
在2018年,很难说这个平台不是以太坊。以太坊催生了无数的ICO,并且迄今为止它拥有的全球的区块链开发人员数量最多。
截至2017年10月,根据CNBC统计,它至少拥有35,000名开发人员。在2018年,一些人认为这个数字现在接近20万。这是加密货币研究员和YouTube大V—Kevin Rooke所说的。
以太坊:去中心化精神的使女
很少有区块链项目像以太坊和Vitalik Buterin一样体现了去中心化的精神。以太坊基于新一代区块链技术,并针对软件工程师进行了优化。随着分片和plasma技术的进步,它有可能很快就克服其可扩展性问题。
据报道,前100个区块链项目中有94个是在以太坊网络上发布。 截至2018年中,以太币的市值为523亿美元(2018年8月15日,下降到270亿美元),但这并没有完全显示出其作为区块链开发者和初创公司的DAPP领先平台的普遍性。
“传统货币的根本问题是使其运作所需的所有信任。必须信任中央银行不会使货币贬值,但法定货币的历史充满了对这种信任的破坏。” - 中本聪
以太坊:区块链平台开发人员希望工作的平台
以太坊对扩展战略和去中心化的承诺,可能是最引起开发者将其作为首选DApp平台的原因。虽然比特币在过去十年中发展成为一个有价值的数字存储,但由于各种原因,它并未就作为支付方式进行扩展。
然而,以太坊越来越成为领先的分布式应用平台。虽然竞争对手已经出现,但没有对这种情况构成任何直接威胁,其中包括:EOS,NEO,Cardano,Stellar,Qtum,ICON,现在Tron已经在全球市场上获得了显著的市场估值和存在,重点放在分布式的应用程序上。
那么,区块链初创公司和开发人员会信任谁呢?
建立在以太坊上的项目太多,无法完全列出,但即使是最实用的解决方案,比如20亿美元市值的中国物联网区块链网络VeChain,也是基于以太坊网络上的。 Tron正在转型以建立成为NEO的竞争对手,NEO通常被称为“中国的以太坊”。不确定Cardano或EOS是否具有它们声称的在不久的将来或未来几年威胁以太坊的技术优势。
您还会注意到,以太坊还与企业级公司建立了实质性的合作伙伴关系,其中包括云亚马逊云(AWS)。
“虽然大多数技术倾向于使外围工人自动执行琐事,但区块链自动远离中心。区块链不会让出租车司机失业,而是让优步失业,让出租车司机直接与客户合作。” - Vitalik Buterin
随着区块链的发展,它与云服务的交叉,以及智能合约如何与服务业结合、可用性、共享经济和公用事物权力分散化都是相关联,这些都是相关的。一个瑞士小镇将使用基于以太坊的ID在区块链进行投票。区块链在我们生活中的应用甚至还没有从根本上清晰,但采用已经加速并且正在加速。
有了它,软件工程师、开发人员和程序员的兴趣也达到了前所未有的高度。如果黑客和BTC庄家试图压低比特币的价格,以太坊就不会成为这样的先锋,它可以成为企业与分布式组织和区块链初创项目交叉的先行者。虽然I C O监管压力已经减少了2018年的总资金量,但如果对比估值不寻常的EOS和Telegram,那么以太坊将更实际一些。
区块链可能不像人工智能和云一样是商业的未来,但它肯定会成为一个增加投资回报率和明显收益的重要协议。
在开源项目和去中心化的概念中,开发人员被这个领域的动态创新所吸引。即便是华尔街也会看到大量的金融人才与软件工程合作,开始新的激动人心的项目。这不是因为加密货币,而是因为以太坊。
如果I C O在2017年推动加密货币的炒作,那么在2018年企业采用区块链技术正在改变我们看待区块链技术的方式。现在区块链领先于量子计算和超级计算,这种新兴技术如何影响创新和各种新的区块链初创公司将是惊人的。
“比特币的性质是这样的,一旦0.1版本发布,其核心设计在其整个生命周期中都是一成不变的。” - 中本聪
虽然比特币仍然是一个经典和象征,但以太坊是动态发展的,必须发展以满足时代的需求,并作为当前的DApp领导者平台。
理想和信任对开发人员至关重要
Vitalik Buterin也是一位受人尊敬的人物,其明显的理想主义完全把其他加密货币项目还有山寨币的牟取暴利比下去。由于Vitalik的年轻和远见,以太坊并不像Facebook版本的微软。
如果我们看看谷歌上面的趋势,除去旧金山、西雅图和纽约的三巨头,在美国哪些城市,你认为去年对以太坊的搜索正在增加?
所以基本上这些地方都是年轻开发者所在的地方。一些最有才华的开发者和企业家被区块链领域所吸引,这令人兴奋。
然而,在全球范围内,到目前为止中国是以太坊搜索的数量最多的区域。因此,必须得出结论,区块链初创公司的许多重要工作实际上都发生在中国。
在一个日益复杂的世界中,区块链最大的独特价值可能是如何处理和解决无数行业及其子行业交叉点的信任、问责和安全问题。让我们切合实际,这些问题正在加剧,并且在价值链中几乎普遍存在。
“随着社会变得越来越复杂,作弊将在许多方面逐渐变得越来越容易,并且更难以侦查甚至被理解。” - Vitalik Buterin
年轻人、消费者和公民需要对系统、应用程序、服务、政府、政治和企业可持续发展保持另一种信任。区块链可以体现出更大的分散化。以太坊可以成为一种载体。
“世界各地的富裕社会正面临着对既有当局越来越强烈的信任危机。经济停滞不前、不平等加剧、政治腐败以及为了精英的利益而日益增加的技术垄断引发了民粹主义的强烈反抗。” - Vitalik Buterin。
Facebook这个面临最大的信任危机的公司甚至宣布将把区块链整合到其商业模式中。 Coinbase正在争先恐后地确保其应用程序的普及并确保其未来的可行性。更强大的亚洲来领导区块链和加密货币解决方案也是不可避免的。
西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发
TRON非常雄心勃勃,NEO声称比以太坊更有优势。中国可以加速推动区块链项目,并可能在2020年代大力发展。但是,它们能否吸引开发人员远离以太坊的平台呢?
如果比特币陷入争议之中,那么以太坊就有可能被淘汰。在某种程度上,他们是加密货币的阴和阳。在使用5G网络运行智能合约的Web 3.0上,有什么可能的事情发生?在所有事物相连的物联网中,将采用哪种区块链系统?让我们拭目以待。
顺风车“生死局”:模式已变味下一步是停是改?
2018-09-04
警钟又一次敲响,再次以生命的代价。
8月24日,浙江乐清一名20岁女孩在搭乘滴滴顺风车的途中惨遭司机奸杀。而3个多月前的5月6日,刚刚有一名河南郑州的21岁空姐,在乘坐滴滴顺风车时被司机杀害。事件发生后,滴滴当时宣称全面整改,并推出了一系列严厉的安全保障措施。
但是,我们担心的终究还是来了,又一个年轻的生命消逝。
更让外界诟病的是,乐清滴滴事件发生4天后,滴滴出行创始人兼CEO程维和滴滴出行总裁柳青,才联名发出一封致歉信,并宣布滴滴顺风车将无限期下线。
虽然顺风车业务无论在体量还是收入上,在滴滴总体中的占比都不大,但顺风车一直是滴滴所谓的“共享经济”标签最贴切的业务了。这个标签带来了光环,也带来了麻烦。外界对顺风车的质疑和担忧已经从管理层面上升到了模式层面:顺风车应该是个生意吗?顺风车是生意还是社交?
一路狂奔,垄断了行业九成份额
“安全”踩了急刹车
“悲剧让我们意识到自己是缺乏敬畏之心的。因为我们的无知自大,造成了无法挽回的伤害。归根结底是我们的好胜心盖过了初心。我们靠着激进的业务策略和资本的力量,一路狂奔来证明自己。但是今天,在逝去的生命面前,这一切虚名都失去了意义……”程维和柳青在这封姗姗来迟的道歉信中如是说。这是两起案件发生后,程维和柳青首次发声。
不过,此时,舆论的批评声已如潮水般涌起。截至《中国经济周刊》记者发稿时止,滴滴公司已被北京、天津、南京、广州、深圳、武汉、海口、贵阳、重庆、苏州、兰州等多省市的主管部门约谈。此前,滴滴已经免去了顺风车事业部总经理黄洁莉和客服部副总裁黄金红两位负责人的职务。
滴滴方面还表示,除了在安全保护措施没有获得用户认可前,无限期下线顺风车业务外,而且将不再以规模作为发展的衡量尺度,而是以安全作为核心的考核指标,组织和资源全力向安全和客服体系倾斜。也会进行安全产品整体功能升级,优化紧急求助、行程分享、三方连线拨打110等一系列安全保障举措,并与公安部门深入共建用户安全保护机制。
一路狂奔,资本、巨头、对手,甚至规则都无法阻挡的滴滴,被“安全”踩下了一脚急刹车。
2012年9月,“滴滴打车”上线;2015年2月,滴滴打车与快的打车宣布战略合并; 2015年9月,“滴滴打车”正式更名为“滴滴出行”;2016年8月,滴滴出行全面收购优步中国。短短几年,滴滴一路PK掉了包括国际巨头Uber在内的30多个竞争对手,最终占据了中国网约车市场九成的市场份额。
此前不久,滴滴被传闻将于下半年启动IPO,估值达到了700亿~800亿美元(5000亿元人民币)。一流公司做平台,二流公司做品牌,三流公司做产品。平台公司是所有公司的终极梦想,但这也意味着巨大的风险和责任。
据不完全统计,2015年至今,滴滴司机故意杀人、性侵、性骚扰、猥亵、抢劫等案件已经有数十起,而且绝大多数受害者为女性。但这些事件似乎并未引起滴滴的警觉和重视,外界也不甚了解。到今年4月,滴滴投资人张桓发文称被滴滴司机殴打,并控诉滴滴平台对司机管控不足,客服处理问题不力,拖泥带水、遮遮掩掩,引发了一轮对滴滴安全问题和客服机制的质疑。
一个月后,河南郑州空姐遇害又掀起轩然大波;此后不到3个月,一个高度类似的刑事案件再次发生。
顺风车“玩坏了共享经济”?
“顺风车作为典型意义上的C2C共享经济,供需双方通过第三方连接平台实现交易,其中的细节管理难度远远大于B2C模式。由于顺风车并非专职司机,对于车主的审查不会像网约车司机一样严格。”电子商务研究中心共享经济分析师陈礼腾告诉《中国经济周刊》记者。
相比专车和快车,顺风车车主的资质审核较为宽松,因为对于只是想分担油费的顺风车主来说,过于严格详尽的审核势必会影响车主们接入滴滴的积极性,但这也为顺风车的安全问题埋下了隐患。
陈礼腾还表示,此次事件,滴滴有不可推卸的责任。尤其是安全管理上存在较大的漏洞,管理体系导致事件处理环节冗杂,没有考虑到在危急情况下可能带来的不便等等。
就在乐清事发的前一天,涉事司机已经被另一名女乘客投诉“多次要求乘客坐到前排,开到偏僻的地方,下车后司机继续跟随了一段距离”,但滴滴没有进行任何处理;温州警方通报此案相关情况时也表示,警察曾经向滴滴平台三次索要嫌疑人信息,但前两次均被拒。能够阻止悲剧发生的机会错失了。
“滴滴作为专业机构,在此前已经出现过多起危害乘客人身安全的恶性案件,在其操作系统里的显著位置应该设有一键报警,并明确提示乘客遭遇可能危害人身安全的情况立即报警。这是滴滴在安全管理方面存在的漏洞。另外,滴滴没有及时向乘客披露涉案司机曾遭受投诉,也未采取其他措施,未履行居间人的告知义务,因此滴滴也应承担损害赔偿责任。”北京京师律师事务所许浩律师告诉《中国经济周刊》。
许浩分析,滴滴平台的顺风车模式是居间信息服务。根据滴滴出行的《顺风车服务协议》,滴滴平台在顺风车服务当中,起到的角色仅仅是“居间人”。居间人就意味着滴滴平台仅仅提供信息交互及匹配服务,而不提供承运服务,并非承运人。滴滴作为居间人的法律义务主要有信息审核义务和进行必要的安全管理和保障。除了上述民事法律责任,滴滴平台还有可能承担行政法律责任,就其安全管理等方面的问题,主管部门可对其进行约谈、处罚,监督整改。
8月28日,广东省交通厅副厅长王富民透露,“不仅在广东,滴滴在全国也拒绝将数据接入政府部门监管,滴滴不肯提供详尽的驾驶人员和运营车辆数据,因此无法进行有针对性的执法,只能靠原始的围堵来执法。”
由于很多城市都要求合法合规的网约车必须是本地户口司机和本地号牌车辆,但如果照此标准执行,滴滴平台会有相当大比例的司机和车辆“不合规”,这也是网约车平台不愿接入政府监管平台的一大原因。
赚钱?社交?
顺风车早已变味
根据滴滴公布的规则,顺风车从业务上定位属于公益性质,滴滴并不会对其抽取佣金,只收取很小比例的服务信息费用。
但据一位滴滴顺风车“老车主”向记者透露,最初滴滴是不收取任何费用的,后来悄悄开始对每笔订单抽取5%的服务费。现在的规则是,同一城市范围内,每笔订单收取10%的服务费,跨城顺风车每笔收取5%的服务费。而对于专车和快车,滴滴作为运营监管平台,每笔订单会抽成20%~25%。
根据滴滴公布的数据显示,其2017年为全国400多个城市的4.5亿用户提供了超过74.3亿次的移动出行服务(不含单车及车主服务),获得收入的司机或车主超过2100万。截至2017年末,滴滴顺风车日均订单量达到200万,约占滴滴总订单业务的十分之一,顺风车乘客数超过3000万,覆盖城市达到351个。
滴滴成立6年来,累计融资超过240亿美元。2017年,滴滴的GMV(交易总额)达到250亿~270亿美元,但并未盈利,整体亏损3亿~4亿美元。据今年3月初滴滴官方透露的消息,预计其2018年主营业务将盈利,净利润有望接近10亿美元。
此前有消息称,顺风车在去年一年给滴滴带去了8亿元人民币的净利润,但滴滴方面从未对此作出回应。
理论上来说,顺风车最能体现共享经济的特征:共享私家车,可以降低乘客和车主的出行成本、减小交通压力、提升出行效率等等。
另外,顺风车的车主众多,车费更加便宜,可以满足那些对出行效率要求不高,但对车费较为敏感的乘客的需求,尤其是在远途路线、上下班高峰和跨城出行等场景下,顺风车非常有吸引力。
不少顺风车主都告诉记者,拉顺风车赚不到多少钱,只是补贴个油费。这显然无法吸引更多的车主加入滴滴,因此“社交”成为滴滴推动顺风车业务的利器。
“就像咖啡馆、酒吧一样,私家车也能成为一个半公开、半私密的社交空间。这是一个非常有未来、非常sexy的场景,我们从一开始就想得非常清楚,一定要往这个方向打。”刚刚因乐清滴滴事件被免职的顺风车事业部总经理黄洁莉的这个言论在网络上备受诟病。
但在社交化的产品逻辑之下,乘客和司机的年龄、性别、照片、爱好习惯等一系列隐私公开可见并成为筛选条件,这无疑让模式本身就自带风险隐患,加大了安全风险。
顺风车模式的变味还不止于此。在滴滴顺风车业务中,一直存在一批并不是为了简单分担油费而顺路接单的车主,尤其是在网约车监管日益严格之后,一些资质偏低或者不合规的快车司机转为了顺风车主,开始以营利为目的专职开顺风车。
据记者了解,滴滴给顺风车主每日最高接单量限制为15单,这显然并未局限其成为“专职顺风车主”。不少快车司机在没有快车订单的情况下,也会选择接下顺风车的订单,聊胜于无。而在两起顺风车乘客遇害案中,嫌疑人都是“专职车主”。
顺风车下一步:是停还是改?
因乐清顺风车事件而黯淡下来的,不只是滴滴的IPO,还有其头上的共享经济光环。事实上,共享经济在全球市场褒贬不一,很大程度上也是因为其安全隐患太多。
比如,自从Uber问世以来,对于其安全性的讨论就从未停止。而Uber在美国、欧洲和印度等地都曾因出现司机枪杀、强奸乘客的事情,被处以高昂罚款,甚至关停下架。而另一个共享经济“代言人”租房网站Airbnb,也曾因住客被杀害而饱受质疑,其在中国市场一直表现平平,也是由于国人担忧住民宿的一系列安全问题。
在乐清事件发生后,除了滴滴,市场上的其他出行平台也纷纷下线了顺风车业务。记者联系高德得到的回复是:“出于安全考虑,高德地图已暂时下线顺风车业务。”至于恢复时间,高德方面没有回应。高德顺风车是今年3月才上线的,坚持不以营利为目的,坚决不会抽取用户佣金。不过,高德只在成都、武汉两地提供了该服务,并未覆盖其他地区。
记者又联系了同样提供顺风车服务的嘀嗒出行,该公司相关负责人表示,目前不便就此事接受采访。但记者发现,嘀嗒出行已经悄悄关闭了顺风车的夜间订单(每日23时至次日5时),而此前具有社交功能的“结伴频道”也已经下线。嘀嗒出行的前身为嘀嗒拼车,曾是单纯的顺风车业务平台。今年1月,嘀嗒拼车宣布品牌升级为“嘀嗒出行”,除顺风车外,也有出租车业务。
对于目前舆论比较集中认为顺风车应该下线、叫停的说法,电子商务研究中心共享经济分析师陈礼腾表达了不同观点:“或许说顺风车模式本身存在较大的漏洞,对于服务提供者来说尚难做到严密的管理。不论是在业务模式上还是管理模式上,都存在重新考量的地方。”
“指责完滴滴,我们还面临着一个网约车市场应该向何处走的问题。我的观点是竞争要比监管有用,相对于监管,竞争者时时刻刻的惦记更能让滴滴真正感到恐惧。”北京大学市场与网络经济研究中心研究员陈永伟告诉《中国经济周刊》记者。
陈永伟表示,对于网约车(包括顺风车),不应该因为这次事件而一举管死。相反,一个更有效的策略可能是鼓励美团、携程、高德这些竞争对手加入顺风车,和滴滴形成充分竞争。现在滴滴的高利润有很大吸引力,很多企业是有积极性进入这个市场的。
“监管部门不应在轴距、车型等一些旁枝末节上面下太多的功夫,而应该将注意力多放在安全服务等关键问题上,一旦安全有保证就准入,那么网约车市场很快就会形成充分竞争。”陈永伟说。
西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发
黑客攻击、木马植入——工业互联网头悬四把利剑
2018-09-04
工业互联,方兴未艾。各路设备,加速入网。
以信息网络技术加速创新与渗透融合为突出特征的新工业革命,正不断加速全球经济数字化转型步伐。世界主要国家竞相把深化制造业与互联网融合、发展工业互联网作为制造业转型升级的重要途径,中国也不例外。
早在2016年2月,我国就成立了工业互联网产业联盟,力推工业互联网产学研用协同发展。据不完全统计,国内有百余家厂商致力于工业互联网平台的技术和生态发展,既包括航天云网、东土科技等信息技术领域的领先者,也包括海尔、徐工等传统制造商孕育的新行家。
不过,在看到工业互联网巨大作用的同时,行业自身也越来越关心工业设备互联后的安全问题。8月3日,台积电(台湾积体电路制造股份有限公司)突遭病毒攻击一事再次震动工业互联网业界。数小时内,这家全世界最大的半导体代工厂的多个芯片制造厂受到波及,多条生产线被迫停产,这也是半导体制造业罕见的安全事故。
这样的安全事件并非第一次,当然更不会是最后一次。从早些年伊朗的“震网事件”到去年肆虐全球的勒索病毒,再到这次台积电遭病毒攻击,一次次看似不同的安全事件,其实隐含着相同的规律,偶然中潜伏着必然,这不能不引起人们对万物互联时代安全的担忧、警惕和应对。
前言 世界又多了个“赛博空间”
与上个世纪相比,今天的世界有了很大变化:世界之上叠加了一个赛博空间。
什么是赛博空间?
赛博空间(Cyberspace)是哲学和计算机领域中的一个抽象概念,指在计算机及计算机网络里的虚拟现实。赛博空间一词是控制论(cybernetics)和空间(space)两个词的组合,是由居住在加拿大的科幻小说作家威廉·吉布森在1982年发表于《omni》杂志的短篇小说《全息玫瑰碎片(Burning Chrome)》中首创造,并在后来的小说《神经漫游者》中被普及。
高度重视赛博空间的美国国防部,早在2009年就组织出版了《赛博力量和国家安全》一书,书中这样定义赛博空间:
赛博空间是一个可操作的领域,由电磁频谱、电子系统及网络化基础设施三部分组成,人类通过电子技术和电磁频谱进入该领域,进行信息的创建、存储、修改、交换和利用。该定义强调赛博空间包含三个基本部分:
1.电磁频谱主要指远程控制与信息承载能力;
2.电子系统主要指计算机所形成的计算能力;
3.网络设施主要指基于网络的互联互通能力。
国内出版的《三体智能革命》一书则是这样定义赛博空间:20世纪的赛博空间是一个抽象的科技概念,指在计算机以及计算机网络里的数字化虚拟现实。
一直以来,很多人认为用一个“数字空间”就可做计算、存储和无线传输,这是不可能实现的。数字空间仅仅是一个二进制数理系统,所有的“1、0”的具体实现,都必须有能量、有载体。目前最方便的能量场是电(做计算)、磁(做存储)和电磁波(无线传输),一切不谈能量场或电磁波的“数字空间”都是虚幻的假说。
正是这个赛博空间,让电磁场以比特数据流的载体形式存在。无形无态的比特数据流可由人来构建和管控,彼此间以数字化信息的方式互联,可以通达并控制与其连接的物理设备,其作用范围伴随着电磁波的运动可以无限延伸,例如人类利用电磁波对人造系统(旅行者1号)的作用已经达到170亿公里。
在赛博空间中,诸多事物的特点是:
1.每一个物理设备都在赛博空间中有了名称、位置、功能等基本数据,甚至建立了与物理设备完全虚实映射的“数字孪生体”;
2.不仅物理设备与数字孪生体之间是彼此互联互通的,而且数字孪生体之间也是互联互通的;
3.工业物联网和工业互联网(统称“工联网”)的迅猛发展,既让越来越多的物理设备成为终端入口,也让这些物理设备成为被侵害的牺牲品。
总而言之,赛博空间,无处不在。原本互不相连的事物经由赛博空间中的数据通道(简称“赛博通道”)联到了一起。因此,正常善意的赛博通道建立了,异常恶意的赛博通道也建立了。天使与魔鬼同在。
实际上,在赛博空间经常发生的4种恶意行为,如同悬在工联网头上的4把达摩克利斯之剑,随时都可能落下。这四把剑是黑客攻击之“暗剑”、木马植入之“毒剑”、软件后门之“阴剑”、为钱卖钥之“鬼剑”,都是经由赛博通道发生。
不管你是否看得到,只要你行走在赛博空间,只要你使用任何一种可以联网的终端产品建立起赛博通道,4把利剑就高悬在那里,是否砍到你的头上,那就要看你的技术与防御能力,还有你的运气。
工业互联网头悬四把利剑
黑客攻击之“暗剑”
2015年12月23日15:30,乌克兰西部伊万诺-弗兰科夫斯克电力控制中心。运维人员猛然发现,计算机屏幕上的光标被一只看不见的“幽灵之手”控制了,光标指向屏幕上的变电站断路器按钮,一个断路器被断开。城外某区域内数以千计的居民立即陷入黑暗和寒冷。随后一个又一个断路器被“幽灵之手”断开,最终导致约30座变电站下线,两座配电中心停摆,23万当地居民无电可用。
虽然变电站在数小时后以手动方式恢复了电力供应,但黑客们对16座变电站的断路器设备固件(指嵌入式软件)进行了改写,用恶意固件替代了合法固件,这些断路器全部失灵,任凭黑客摆布。高大上的供电设备似乎被武功高手点了穴,瘫倒在地。
你看不见它们,但它们却可以接管并攻击你的设备,这就是黑客刺向受害者的“暗剑”。刀光剑影闪过,一片狼藉,设备尸横遍野。
事实上,乌克兰电站拥有强大的安全防火墙,其控制系统的安全水平比美国境内部分设施还要高。可即使在如此强悍防御措施下,经过“完美预谋和精心组织”,黑客仍然攻破了电站防线。
在更早的2008年8月5日,里海石油大动脉“巴库-第比利斯-杰伊汉石油管道”30号阀门站因遭受攻击在土耳其境内发生爆炸。令人奇怪的是,攻击阀门站的武器并非炸弹,而是黑客,而黑客进入控制系统的切入点竟是监控摄像头。
黑客利用监控摄像头存在的通信软件漏洞,用一个恶意程序建立了随时可进入内部系统的赛博通道,接下来的攻击行动就很简单了。在不触动警报的情况下,黑客通过加大石油管道内的压力,当压力大到管道或阀门难以承受时,爆炸就发生了。
2015年,两名黑客查理·米勒和克里斯·瓦拉赛克就曾演示过如何侵入Uconnect车载系统。利用Uconnect软件的缺陷,很容易从任何接入互联网的地方展开攻击,远程获取汽车的关键功能操作权限,利用汽车CAN总线将恶意控制信息发送至电子控制单元,由此而控制汽车的物理系统如启动雨刷、调大冷风、踩下刹车、让引擎熄火、令所有电子设备宕机等。幸好这两位是白帽子黑客(指不做坏事的黑客)他们是在通知了原厂商9个月后才对外公布Uconnect漏洞的。也许在不远的将来,一辆无人驾驶汽车被恐怖分子劫持,加速撞向某个指定目标,这是否有可能发生?
明枪易躲,暗“剑”难防。人为刀俎,汝为鱼肉。这是“暗剑”的显著特点。
这些安全隐患皆源于软件缺陷、赛博通道以及意想不到的疏漏。设备太多,防护太少。防不胜防。
木马植入之“毒剑”
木马病毒植入最具代表性的案例,当属大规模破坏了伊朗浓缩铀工厂离心机的“震网”病毒。
伊朗浓缩铀工厂的离心机是仿制的法国老产品,加工精度差,承压性差,只能低速运转,而且是完全物理隔离的。但是,美以情报部门通过长时间的研究与合作,设计出了最强的“震网”病毒,通过加速旋转摧毁了大批离心机,“效果比全炸毁还好”,主要步骤可谓精心设计。
无形植入:通过感染所有潜在工作者(如西门子员工)的U盘,病毒不知不觉被带入工厂。伊朗方面会用查杀病毒软件做常规检测,但这种病毒根本查不出来。病毒悄悄嵌入系统,使杀毒软件看不到病毒文件名。如果杀毒软件扫描U盘,木马就修改扫描命令并返回一个正常的扫描结果!
感染传播:利用电脑系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞来传播病毒,8种感染方式确保电脑内网上的病毒都会相互自动更新和互补。
动态隐藏:把所需的代码存放在虚拟文件中,重写系统的API(应用程序接口)以将自己藏入,每当系统有程序访问这些API时就会将病毒代码调入内存。
内存运行:病毒会在内存中运行时自动判断CPU负载情况,只在轻载时运行,以避免系统速度表现异常而被发现。关机后代码消失,开机病毒重启。
精选目标:由于铀浓缩厂使用了西门子S7-315和S7-417两个型号的PLC(可编程逻辑控制器),病毒就把它们作为目标。如果网内没有这两种PLC,病毒就潜伏。如找到目标,病毒利用Step 7软件中漏洞突破后台权限,并感染数据库,于是所有使用该软件连接数据库的人的电脑和U盘都被感染,他们都变成了病毒输送者。
巧妙攻击:在难以察觉中,病毒对其选中的某些离心机进行加速,让离心机承受不可承受的高转速而损毁。初期伊朗人还以为这种损坏仅仅是设备本身的质量问题,直到发现大量设备损毁之后,才醒悟过来,但为时已晚。
2017年5月13日,坊间被一款名为WanaCrypt0r 2.0的比特币勒索病毒爆发的消息刷屏,该病毒大规模集中爆发于英国医疗机构以及中国高校。一时间,人人自危,谈勒索病毒色变。刚刚应对完过去这一波勒索病毒,很多人还没有喘过气来,当年6月27日晚间,一波大规模PetyaWrap勒索蠕虫病毒攻击再度席卷全球。近百个国家的政府部门、银行、电力系统、通信系统、企业以及机场等都不同程度地受到影响。不少依靠网络设备进行“无纸办公”的政府部门,重新用上了纸文件,加油站、医疗设备停止运行,待抢救的病人只能等死。
剑上涂毒,见血封喉;伪装潜伏,择机爆发。这是“毒剑”的显著特点。
由此可见,软件的漏洞让诸如“震网”这类病毒变得无比狡猾,且让病毒攻击变得很有针对性。谁能说赛博通道是安全的?谁又能说在我国某地或某企业的内网中,一定没有类似“震网”病毒存在呢?
软件后门之“阴剑”
目前国内在用的工业软件中,国外的软件普遍具有明显优势。在大型央企、国企、民企等关键企业中,国外软件占据垄断地位。这些软件多数为美、欧、日等西方发达国家开发,并且绝大多数对中国客户不开放源代码,特别是近年来这些软件又都融合了互联网技术。
根据笔者多年来在企业调研和在市场上观察到的种种现象,在泄露商业机密和军工机密的案例中,除了国外黑客网络攻击和木马病毒植入之外,国外软件的数据“走后门”现象也十分普遍。这种现象大致源于两种情况:
一是软件原厂商为了改进产品质量,对用户使用软件产品的情况进行跟踪。厂商希望通过收集使用大数据,找出用户的使用习惯和操作不便之处,以便在后期版本中改进软件功能。这种收集数据的出发点是善意的,通常也用“是否愿意加入XX产品的改进计划”的名义问询用户的意愿。
二是完全出于某种不可告人的目的,特定设计的软件“后门”。如果安装使用软件的电脑是联网的,那么某些“厂商所需数据”就在以某种触发机制(如按照累积量)随机或定时发送。如果电脑是不联网(如物理隔绝)的,那么就伺机寻找网络发送。其实这种发送机制已经就是“明偷暗抢”了。只不过,用户可能知道,也可能不知道,即使知道了也没办法制止。因为软件代码都是不可见的二进制执行代码,通常很难查出这种后门发送数据的代码处于软件中的位置。
阴损之剑,杀人无形;每日一剑,伤皮放血。这是“阴剑”的显著特点。
企业里的各种杀毒软件,对软件后门是发现不了的,因为软件后门并非病毒,而是前门紧闭,后门洞开,开门揖盗。长此以往,情况就会变得严重。国外软件厂商(和情报部门)甚至能对央企、国企的人事变动、管理规章、内部报价、产品数据、合同文本、谈判条款等机密数据一清二楚,即使在服务器物理隔绝的状态下,有些数据仍可能外泄。
为钱卖钥之“鬼剑”
6月25日,发生在两年前的国内一个工程领域的盗窃大案宣判,案值涉及近10亿元,首犯仅判4年半,内鬼获刑两年半。
事情起源于2016年3月,国内某工程机械企业不断接到各地分公司反馈称,多台已销售出的设备突然失联,从该企业的控制大屏幕上莫名其妙地“消失”了。随后,“消失”的设备越来越多,数量多达千台,价值近10亿元。
该企业检查发现,连接设备的远程监控系统(简称ECC系统)被人非法解锁破坏,使该企业对在外的工程机械设备失去了网络监控能力。
国内大部分工程机械企业都会在泵车中安装类似的远程操控系统,系统内置的传感器会把泵车的GPS位置信息、耗油、机器运行时间等数据传回总部。因为这类大型设备较为昂贵,客户很难一次全款买断,往往采用“按揭销售”的形式购买:泵车开机干活就付钱,停机就无需付费,这原本是一个对双方都有利的“结果经济”模式。工程机械企业对泵车的基本控制思路是,如果客户每个月正常还款,则泵车运行正常;如果还款延后,泵车的运行效率会降为正常情况下的30%至50%;如果一再拖延,泵车就会被锁死,无法运转。
警方发现,破坏ECC系统的是一群熟知系统后台操作的团伙成员。其中一名成员竟然是该企业在职员工。另一名成员虽然在2013年离职,但同为熟知ECC系统操作的技术人员。他们合伙利用ECC系统的软件漏洞进行远程解锁,几分钟就可以解锁一台设备GPS,非法获利一两万元。该团伙一而再再而三地作案,最终酿成震惊全国的大案。
家有内鬼,鬼必作祟;“鬼剑”刺处,机失难追。这是“鬼剑”的显著特点。
再好、再严密的设备防御措施,也禁不住内鬼为钱卖钥,贪财解锁。其实,无论多么严密的设备上网防护措施,多么完美的加密算法,当人心有鬼时,防护都可以破解。最可靠的加密钥匙,是人心、制度和法律。
如果按照此案的涉案值而不是按照其获利额度来判决的话,首犯起码应该入狱10年以上。乱世用重典,如果此案重判,可能未来鲜有人敢做此事。看来,与工联网相适应的法律条款,仍然在不断完善和修订的路上。
后记 赛博空间,谁主沉浮
设备联网了,数据流通了,控制精准了,管理提升了……工联网仅仅呈现这些正面美好的景象吗?每遇重大判断,笔者常做反向思考:万物互联的反面是什么?或如“祸兮福所倚,福兮祸所伏”。
显然,4把达摩克利斯之剑高悬于工联网之上。如果仔细寻找,恐怕还不止于此。
在对工联网的认知中,太多人都在强调:“网络是基础,平台是核心,安全是保障。”但知行难以合一,人有认知局限和惰性,往往后知后觉。剑不砍在自己身上,并不能体察彻骨之痛,亦难做到未雨绸缪。
病毒、黑客、后门、内鬼,无论哪一把剑都足以让企业鲜血淋漓。4种灾害场景的区别仅仅是,企业感受到身上有多少道伤口,流了多少血,是否致命。
牛顿曾言:“给我一个支点,我可以撬动地球。”今人亦言:“给我一个赛博通道,我可以隔空打牛。”到了工联网时代,一切都可以互联互通互操作,比特数据已经可以往返太阳系边缘,遍布全球的无数终端形成了无数赛博通道。
此间,究竟是谁来操控谁?笔者以为,一定是恶意侵入者操控毫无防范者,黑客高手操控技术菜鸟,赛博强国操控赛博弱国。无他。
若没有技术金盾、严格内控以及法律重典,工联网就难有不破金身,也就难以健康发展。
自主可控是工业互联网安全的核心保障
《中国经济周刊》记者 陈栋栋|北京 报道
台积电遭病毒攻击事件再次敲响了工业互联网安全的警钟。
据台积电方面确认,此次病毒是勒索病毒WannaCry的变种。该病毒自去年5月肆虐全球,对150个国家的用户造成超过80亿美元的损失。
台积电事件主要是因为新机台安装过程中发生的操作失误:未先隔离并确认无病毒的情况下联网,导致病毒快速传播,影响生产。
“台积电事件虽然发生在工控系统内,本质实为一般病毒引起的操作站故障。但这次事件的发生也表明:即使是普通病毒的攻击,也可造成严重的生产事故。如果是更强大的工控系统专有病毒,多数公司是没有抵抗力的。”中控集团创始人褚健接受《中国经济周刊》记者采访时说。
国内工业互联网第一股东土科技董事长李平认为,台积电事件是对全世界、尤其是制造业大国中国的一个警示:“与民用互联网不同,工业互联网牵涉到国家安全等核心利益。因此,与民用通信相比,机器之间的工业通信的安全性要求也更高,除了安全技术标准高,还必须自主可控。”
勒索病毒波及多个行业
在勒索病毒WannaCry的肆虐之下,即使是像法国雷诺这样的大型汽车集团为了防止勒索病毒感染扩散也不得不因此被迫关停。
工业控制系统安全国家联合实验室主任、360企业安全集团副总工程师陶耀东接受《中国经济周刊》记者采访时介绍,超过100个国家的上千万台电脑被WannaCry病毒感染,很多系统瘫痪,“尤其是对工业生产系统造成的破坏尤为严重,法国汽车制造商雷诺集团的部分生产线受到感染,为了防止勒索病毒感染进一步在其生产内网扩散,其世界多处汽车生产线被迫关停。”
不止于此,罗马尼亚汽车制造商达西亚公司位于米奥维尼的生产线部分IT系统也被勒索病毒感染,并随即停止生产,关闭所有生产线,采取隔离、打补丁等各种措施防止病毒扩散;日本汽车制造商NISSAN位于英格兰的桑德兰工厂同样也遭到勒索病毒的攻击,其生产也受到了影响。
在国内,仅360企业处理过的勒索病毒感染事件,就涉及汽车生产、智能制造、电子加工、烟草等领域的10余家单位,规模最大的涉及2000多台工业主机,重要生产线停产。
在陶耀东看来,安全事件暴露出的主要问题是企业的工业资产不清、工业网络连接混乱、移动介质疏于管理、工业网络缺少安全监测防护措施以及员工网络安全意识普遍不强等。
“这也是现状,我国的工业系统普遍处于没有任何防护手段的裸奔状态,企业甚至不了解自己的工业系统资产以及系统之间如何互联,对于勒索软件危害与安全事件发展趋势和应对策略更是缺乏了解。”陶耀东提醒,在勒索软件攻击日益频繁、各类网络危害日益严重的背景下,不排除将来爆发更大范围的勒索类恶意软件或网络危害事件,甚至发展为以商业攻击或破坏为目的、定点投放勒索或破坏类恶意软件的攻击方式,进而可能给企业造成毁灭性打击。
企业对工控病毒有无抵抗力
相较于消费类互联网,工业互联网安全影响面更大。
“台积电遭攻击属于传统互联网威胁对工控系统的一次误伤,而非典型的工控安全事件。”在褚健看来,典型的工控系统安全事件当属2010年伊朗的“震网事件”。外媒报道称,伊朗购买的几十台离心机的工控系统多次被震网病毒攻击而瘫痪,对其国家安全造成严重影响。
褚健说,工控安全不同于传统信息安全,针对工控系统攻击的发起者通常存在一定的战略目的,而非简单的利益需求。工控系统的攻击分显性和隐性两种,显性如破坏关键设备,隐性如长期潜伏,篡改生产工艺,破坏产品品质。前者会导致国家关键基础设施受到破坏,引起社会恐慌,威胁国家安全;后者会对企业造成不可估量的损失,且不易被发现。“两类攻击都会破坏工控系统的原有控制逻辑,多数是有组织、有预谋、有针对性的‘特殊任务’。”
“我国曾经发生过多次生产安全事故,但安全事件一般被认为是操作失误或者设备缺陷导致,很少从工控信息安全的角度去分析。”褚健认为,这恰好符合工控专有病毒(工控专有攻击行为)的特征:以破坏生产安全为目的且十分隐蔽。工控专有病毒可直捣控制系统核心控制区域,在造成破坏的同时不留痕迹。他希望有关方面吸取教训,更加重视工业信息安全。
长期关注工业互联网发展的中发智造总裁邢凤祥对《中国经济周刊》记者说,很多工业领域的安全建设几乎为零,联网后的绝大部分工控系统是“零防护”裸露在互联网中,极易成为病毒的主要攻击目标。
自主可控是安全核心
面对已经到来的数字时代和更多未知的安全威胁,如何构建工业互联网安全体系?
褚健认为,要改变过去“先生产、再安全”的工控安全实施策略,要让安全建设与工业互联网同步发展。与此同时,从国防、工业等战略安全角度去分析问题,从工控系统安全产业与服务一体化的角度去解决问题,防控工业互联网安全风险。
需要注意的是,我国工业控制系统安全产业链尚未形成,缺少符合各层级工业企业和工程的工业信息安全整体解决方案,尤其是针对工控系统的安全。电厂电网、石油炼化、重大水利工程、城市与轨道交通、输油管线、国防装备以及其他重要基础设施,目前仍大量使用国外控制系统。
“当然,工控系统网络安全问题不能一概而论,建议从国家安全需求出发,对工控系统网络安全进行分类;建设国家级工控网络靶场,提供开放的环境体系化、全生命周期研究工控安全。”褚健说。
陶耀东也建议,工业企业要从战略层面高度重视网络安全,制定安全战略,尽快开展企业资产和脆弱性识别,进行威胁建模。根据面临的风险级别和企业的能力,采取措施以消除隐患;政府应加强管理、监督和指导,出台相关安全方面的法律法规;工业控制系统生产商、集成商和服务商,信息安全厂商等要加强工业网络安全研究和投入,提升保障能力。
“网络安全的核心是技术安全。”中国工程院院士倪光南日前在一论坛上指出,我国应将自主可控作为技术安全和网络安全的必要条件。“过去对自主可控没有制度保证,中兴事件是一个教训。”
西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发
同样持“自主可控”观点的还有东土科技董事长李平,他对《中国经济周刊》记者说:“说一千道一万,工业互联网是未来,是必然要做的。其最大的风险是能否做到自主可控。不然,做的越多,风险越大。”