以色列的无人机操作员,那都是精英中的精英,坐在远离战场的控制室里就能操控无人机完成各种任务。但这次出的事真的很值得深思:一名操作员戴着健身手环去上班,手环记录了他的运动数据并同步到了云端。攻击者通过某种方式截获了云端的数据,然后根据手环记录的GPS运动轨迹,反推出了操作员的上班路线和上班地点,从而锁定了无人机控制中心的大致位置。
你想想这是不是细思极恐?一个健身手环,本来是为了记录步数、心率、睡眠这些健康数据的。但它同时也记录着你的GPS位置信息,并且自动上传到云端。一旦这些数据被别人拿到,你的生活规律、上班地点、下班时间、常去的场所,全都暴露无遗。对普通人来说这已经是大问题了,对无人机操作员这种敏感岗位来说,这简直就是把自己的保命信息拱手送人。
来梳理一下整件事。第一,操作员戴着手环去上班,手环记录了他的行走路线和GPS坐标。第二,手环在连接WiFi或者移动网络时自动将数据同步到云端的厂商服务器。第三,攻击者通过一些技术手段——可能是攻破了手环厂商的服务器,可能是窃取了操作员的云账号,可能是通过中间人攻击截获了同步数据——获取了这些GPS轨迹数据。第四,攻击者分析轨迹,发现这条路线每天固定出现,终点落在某栋建筑物。第五,结合其他情报确认这栋楼的用途是以色列无人机操作中心。
那这个问题怎么防?首先,最根本的解决办法就是:在敏感军事单位工作的相关人员,禁止佩戴任何具有GPS数据记录和云端同步功能的可穿戴设备上班。这不是小题大做,而是实实在在的安全需要。操作员的身份本身就是敏感的,他们携带的任何电子设备都可能是泄密的源头。
其次,军事单位应该在入口处设置电子设备检测和安全处置流程。进入工作区域之前,所有个人电子设备——包括手环、手表、手机——都应该被妥善保管或者进行安全处理。不能简单地检查一下就放过去,而要从制度上确保这些设备不会在敏感区域内产生和传输数据。
第三,推广使用军事单位定制的专用可穿戴设备。如果确实有监控身体状况的需要——比如无人机操作员在高强度任务中需要监测心率等指标——应该使用专门定制的、不具备无线数据传输功能的设备。所有数据在本地记录,任务结束后通过安全渠道导出。第四,定期对员工进行安全审计,检查他们使用的消费级电子设备是否在无意中泄露了敏感信息。
以色列无人机操作员健身手环泄密这件事是一个非常好的反面教材。它告诉我们一个残酷的现实:在现代技术面前,没有什么是"小东西",没有什么是"没关系"。一个几百块的健身手环,一个你每天戴着跑步记录步数的小玩意儿,在合适的人手里就能变成致命的泄密工具。安全无小事,管好你身上的每一个电子设备,就是在保护你和你所在机构的安全。
