Akamai首席技术官谈如何在网上合法和非法使用机器人

科技 2020-05-27 11:06:11

CNET和CBS新闻的高级制片人Dan Patterson,与Patrick Sullivan, Akamai CTO,安全策略,谈论了机器人的编程和使用情况。以下是经过编辑的采访实录。Dan Patterson:我认为我们每个人都知道什么是机器人,尤其是当我们在社交媒体上看,或者我们尝试使用电子商务网站的时候,但是很难明确定义什么是机器人。让我们从基础开始。什么是机器人?

Patrick Sullivan:一个机器人只是一个软件,部署了一套可预测的指令来与网站交互。机器人本身确实没有动机,所以它们继承了操作员的动机。

Dan Patterson:谁编程和创建机器人?

Patrick Sullivan:当你看这个的时候,你会发现这里有一个完整的生态系统。有些人构建工具,让机器人操作员可以启动和运行。在这一点上,成为机器人操作员的障碍并不是技术上的——我认为更多的是道德上的。在那里执行一些需要执行的操作,您是否感到满意?

你可以开始运行,你可以购买软件,你可以购买规避工具,你可以购买其他用户名/密码组合列表,你可以在欺诈中使用。实际上,所有的工具和文档、指导性手册、帮助台支持都可以作为交钥匙解决方案使用。

参见:安全意识和培训政策(TechRepublic高级版)

Dan Patterson:我昨天登陆谷歌,最多花了9分钟搜索机器人,我很惊讶地发现,从19.95美元到500美元,我都可以买到自己的机器人服务。这怎么可能?这是违法的吗?

帕特里克:是的,当然。这绝对是一个非常强劲的市场。有些机器人操作员甚至在他们竞争的地方有市场,他们说我们的机器人比机器人b更好。他们有服务水平协议,有支持和帮助。你用机器人做的一些事情可能并不违法。有些人利用机器人进行诈骗的行为是高度违法的,你可以看到时不时会有人因此被捕。

丹·帕特森:如果我没理解错的话,这些机器人,这些代码,可能不是非法的,但是机器人所从事的活动可能是非法的。这样的描述公平吗?

帕特里克:是的。这些机器人在做的事情有很多,对吧?在Akamai,我们看到大约三分之一到一半的网络流量是某种程度的自动化,所以我们每天看到大约一万亿次来自机器人的点击。机器人做的一些事情是完全无害的。想想你的搜索引擎在网站上爬行,帮助人们发现这些网站……共生机器人,帮助你衡量你的网站的性能。

当然,这些事情在本质上都是高度合法和合乎道德的——它们受到了机器人操作员的欢迎。但其中一些行为是冒风险的,比如人们试图侵入别人的个人账户,盗取账户,偷钱,诈骗网站,这些行为都是非法的。使用僵尸网络对目标发起分布式拒绝服务(DDoS)攻击是非法的,你确实会看到人们因为这些指控而被逮捕和定罪。

丹·帕特森:你说了一些非常有趣的事情,那就是我们每天使用的互联网有很大一部分是不真实的。让我们再深入一点。我们怎么知道互联网的哪些部分是假的?

Patrick Sullivan:在这一点上,我们所谈论的是产生请求的人。如果你在运营一个网站,几乎立刻你就会看到机器人流量来到你的网站,其中一些非常棒。当你开始看到搜索引擎索引你的网站时,这是很好的,这有助于人们找到你。你可以利用你自己的服务来建立和运行一个网站来帮助你。自动化可以执行很多任务,但很明显,自动化带来的很多问题都是恶意的。

有些人使用自动化来发现代码中可以利用的漏洞。他们用证书填充攻击攻击您的用户。我认为,确定用户是作为人还是作为机器人访问站点是信息安全最有趣的挑战之一。这是一个适应性很强的猫捉老鼠的游戏,在过去的五六年里经过几代人的进化。

Dan Patterson:为了清楚起见,你是在说请求者,也就是用户,所以很大一部分来自用户的web活动是不真实的。我的下一个问题是,当我们研究社交网络,尤其是那些看起来有很多机器人活动的社交网络时,你是在说这些社交网络的很多用户,很大一部分用户是不真实的,虚假的,不是真实的账户吗?

Patrick Sullivan:我认为任何网络经验都将与机器人打交道。社交媒体,我认为,是很好的记录。你有机器人在他们的机器人操作员的命令下放大一个特定的消息。你可能会让人们使用机器人来产生合成数量的追随者,这就是它在社交媒体上的表现。

但我认为你所看到的机器人故事将是独一无二的。零售和游戏是不同的……媒体看到了与机器人不同的界面。也许最能说明问题的是社交媒体,因为它在上一轮选举中获得了广泛关注。

丹·帕特森:那下一个选举周期呢?如果我现在是一个社交媒体用户,我有可能会与一个专为政治目的设计的机器人互动吗?

帕特里克·苏利文:我认为有动机放大某条信息的人会在他们可以点赞的地方部署机器人,从而产生大量粉丝,这是合理的假设。我认为这是一个非常合理的假设是,当你看有人在社会媒体网站和他们有X数量的追随者,一定比例的可能是机器人也许他们自己支付或者别人只是跟着他们,放大他们的信息。

丹·帕特森(Dan Patterson):当我想到黑客入侵或攻击2016年大选的演员时,有报道显示,一些俄罗斯黑客每月的预算是120万美元。但当我们再次看到机器人是多么便宜,从20美元到500美元,似乎任何人都可以拥有和部署机器人。当我们看到下一个选举周期,谁是可能使用机器人的威胁行为者,他们将如何使用这些机器人来达到政治目的?

帕特里克:这是一个有趣的现象。作为一个机器人进行安装和运行是非常便宜的。如果你的动机是这样的话,你可以花几百美元让自己站起来跑步,但是不同类型的机器人有不同的复杂程度。带有不太熟练的操作人员的低端机器人很容易被发现。

防御方的一些相当简单的机制将能够检测到在会话另一端的是机器人而不是人类。当你进入网站更健壮的防御——金融服务站点,你的高端零售商网站——他们已经非常活跃的安全团队,正在努力找出如果用户会话的另一端是一个人类或如果它是一个机器人。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢