要想打赢随时可能发生的网络安全战争,第一步就是开始自己保护自己。
可以预见,在未来,网络攻击将会越来越多,并且这将影响到我们每一个人。因为现如今几乎我们每一个人都以某种方式和网络空间联系在了一起——通过我们的手机、笔记本电脑,或者公司网络等。所以,所有人都是可能的被攻击对象。被攻陷的网络、服务器、个人电脑以及网络账户对于网络犯罪分子或者政府特工之类的人来说是一种基本资源。犯罪分子或政府雇佣的网络间谍可以轻易将你的公司网络或者平常使用的个人电脑变成武器来发动攻击,沦陷的电脑会被用做发动攻击的中介或成为僵尸网络的一部分。僵尸网络是指一个由受控制的僵尸设备组成的恶意网络,常以小时为单位被出租,供人发动拒绝服务攻击或者散播垃圾邮件。
为了应对诸如此类的威胁,美国以及其他各国政府的第一反应都是“武装化”网络空间,即试图利用集权化的官僚机构和秘密部门来管制整个网络空间。然而这种方式不可能奏效,相反,因为一些会在后文中提及的原因,这也许会让事情变得更糟。在某种意义上,网络安全问题更像是一个公共卫生问题。相关政府部门(比如疾病控制和预防中心)的参与是很重要的,但相关部门也只有在市民们尽到自己义务的前提下才有可能阻止疾病的传播。
网络空间无处不在
保护网络空间的一个主要难点就在于你很难去找出一个单独的“网络空间”。网络空间是一个由各式各样的系统互连而成的巨大系统,并且这个系统还在不停地增长与改变。为了更加深刻地认识到这一点,请大家随我一起将目光投到50年前,回顾一下麻省理工学院数学教授诺伯特·威纳(Norbert Wiener)当时的工作。1948年,威纳从古希腊语中得到启发,用一个新的英语单词“cybernetics”来定义研究“在动物和机器中控制和通信”的科学 (这一学科后来中文翻译为 “控制论”)。在古希腊语中,kybernētēs指的是在地中海上指引和控制船只方向的舵手和引航员。类似地,网络空间应该被认为是一个由各种互连的电子设备与数字技术构成的共同体。这些设备和技术不仅帮助我们控制支撑现代生活的各种系统,另一方面也能在这些系统之间进行通信。网络空间中的远程控制和通信技术所涉及的范围非常广泛:从使用无线电通讯的嵌入式胰岛素泵到GPS卫星均包含在内。
网络空间并非类似于公海或者月球那样传统意义上的公共领域,也并不是一个可以由政府或者军队有效监管的区域——即使我们过去曾经要求政府这样做。组成网络空间的绝大部分技术和网络都是由不同的跨国营利性企业拥有并维护的。
网络空间中技术的数量和种类都在迅速地增长。网络技术供应商思科公司(Cisco Systems)预测,到2050年,将会有500亿台设备连接到互联网,其中很大一部分会是和工业、军事和航空航天有关的设备与系统。然而,每一个连接到网络空间里的新设备都会成为一个潜在的攻击目标,并且攻击者非常善于找到网络中最薄弱的一环。比如,黑客先是从为塔吉特公司维护制冷系统的服务商——法齐奥机器服务公司(Fazio Mechanical Services)下手,然后再侵入塔吉特公司的销售终端(POS)系统并盗走了数百万张信用卡信息。再者,被怀疑在2011年攻陷了洛克希德·马丁公司网络的某国间谍也是采用了类似的手法,先攻破了为洛克希德·马丁公司提供安全令牌的RSA公司。而RSA公司之所以被攻破仅仅是因为其母公司(EMC)的一名雇员打开了一个附在电子邮件中的、看起来无害的Excel文件。
物联网中的“物”不仅是攻击者潜入系统的窗口,它们本身也可以成为破坏活动的目标。早在2008年,研究者们就声称,他们可以远程攻入嵌入式心脏起搏器的系统。在此之后,黑客们又表明他们还可以通过无线电信号操纵已植入人体的胰岛素泵,让它们向患者的血液内倾灌胰岛素,而大剂量的胰岛素注入是可能致人死亡的。
物理基础设施同样可能遭受到来自网络的攻击。比如,2010年,位于伊朗纳坦兹一个秘密设施中的铀浓缩离心机的大规模损坏就是臭名昭著的Stuxnet蠕虫病毒(又称“震网病毒”)的杰作。震网病毒据称是由美国和以色列紧密合作、耗费巨资研发出来的。这款病毒可以说是一款具有里程碑意义的病毒:它的出现表明数字化的计算机代码是可以对模拟化的物理系统造成损害的。其他的类似攻击也不断地证明了这一点。去年12月,德国联邦信息安全办公室公告说,一伙黑客破坏了一家钢厂的系统,让高炉持续运转,对该钢厂造成了巨大的损害。三个月前,某国黑客攻击了美国国家海洋和大气管理局用于处理和航空、灾害响应及其他关键任务有关的卫星数据的网站。
这说明网络安全不只是指电脑、网络和网站服务器的安全,也不只是指我们的“秘密”的安全。实际上,我们还有什么是谷歌和Facebook不知道的呢?网络空间战的真正核心目标应是保护物品、基础设施以及各种技术的安全。网络空间中最大的危险在于我们日常生活中依赖的各种技术都可能会遭到颠覆或者破坏,我们的汽车、自动取款机以及医用设备,我们的电网、通信卫星以及电话网络都有可能成为被攻击的目标。保护网络安全实质上就是在保护我们的正常生活。
政府的角色
在面对网络安全问题时,政府部门往往会遇到严重的内部利益冲突。很多联邦机构,包括美国国土安全部,在保护国内企业和市民免受网络攻击这一点上抱着积极的态度。然而,另一些政府部门却更希望全球的网络布满漏洞,因为他们可以从中获益。诸多秘密部门,比如美国国家安全局,花费了数百万美元来专门寻找可以让攻击者控制整个系统的技术漏洞。
一方的漏洞正是另一方的武器。“心血”漏洞事件正是论证这点的一个好例子。如果你在近五年来曾使用过因特网,那么你的个人信息就很有可能被运行OpenSSL的计算机加解密过。如今,在访问那些对安全性有要求的网站时,我们都希望在地址栏的左边看到一个“锁”的标志,而SSL(安全套接层协议)正是这些“锁”背后的一项重要基础技术。“心血”漏洞是由OpenSSL里被广泛使用的“心跳”(Heartbeat)扩展中的一个低级软件开发错误导致的,也正是因此得名。窃听者可以利用这一漏洞轻松地获得密钥、用户名和口令字,让任何由SSL加密提供的安全性保证成为泡影。“心血”漏洞是由两个团队分别独立发现的,一个是由谷歌安全专家尼尔·梅塔(Neel Mehta)领导的团队,另一个则是总部位于芬兰的科诺康公司的团队。而在此之前,OpenSSL已经在网络上以这种不安全的状态被使用了两年多了。在“心血”漏洞被发现数天后,彭博商业周刊据匿名信源报道称美国国家安全局在数年前就已经开始利用该漏洞进行网络间谍活动了。
当今世界的很多大国都投入了他们最优秀的技术人才以及数百万计的美金来寻找诸如此类的漏洞。政府部门甚至在公开市场上购买漏洞,安全漏洞市场就是靠这些交易在维持的。越来越多的公司开始专注于寻找并打包贩卖这些“珍贵”的漏洞,法国的Vupen安全公司和总部位于奥斯汀的Exodus Intelligence安全公司就是其中的代表。实际上,相对于研发防御性功能,一些政府部门在攻击性网络功能的研发上投入了更多的资金。五角大楼雇佣了大批的漏洞研究者,而美国国家安全局在攻击性网络研究上投入的资金更是防御性网络研究的2.5倍。
但这绝不意味着政府是恶意的,或者他们站在了网络安全的对立面。美国国家安全局成立的初衷就是聚集力量来防止恶性行为的发生,因此他们会利用任何可供使用的工具来确保他们达成使命。在这一点上,他们是无可厚非的。然而,在保障网络安全的过程中,重要的一步就是实事求是地衡量政府部门培育网络漏洞这一行为的利弊。此外,保护网络安全还有一个关键,那就是应该充分利用政府部门在某些事情上独一无二的优势,比如,政府部门可以促使甚至强迫不同的公司和组织之间共享与网络攻击有关的信息。
银行就是典型的可以从网络攻击信息共享中获利的机构。因为对金融机构的网络攻击往往遵循着一个可以预测的模式:一旦犯罪分子在某家银行的系统中找到可以被利用的漏洞,他们会尝试利用同一漏洞继续对其他银行的系统进行攻击。然而,传统上,银行是不愿意公布针对它们的网络攻击信息的,因为这会引起外界对其安全性的质疑;银行也会避免向它的竞争者透露相关信息,在某些情况下,反垄断法也禁止它们透露信息给竞争者。然而,政府部门却可以促进银行间的信息共享。美国政府已经开始通过FS-ISAC(金融服务信息共享和分析中心)来这样做了。除了为本国的银行,FS-ISAC也为全球的金融机构提供服务。今年二月,奥巴马总统签署了一项行政命令,旨在鼓励各个公司与其他公司以及政府共享类似信息。
黑客的作用
人非圣贤,孰能无过。只要代码是由人写的,那么系统中就难以避免地会存在漏洞。迫于日渐沉重的市场压力,科技公司向市场推出新产品的速度也变得前所未有地快。对于这些公司来说,利用好蕴藏在全球黑客社区中的巨大的人力资源无疑是明智的。
去年,经斯诺登泄密NSA“棱镜”计划等事件的催化,技术产业界和黑客社区开始了更加开放的合作。如今,许多公司都开始意识到,通过诸如“bug bounty”(找漏洞,得奖金)之类的项目和黑客们产生紧密的联系是非常有意义的。这些项目旨在奖励那些向这些公司报告其产品潜在薄弱环节和安全问题的独立研究者们。第一个“bug bounty”项目是由网景通信公司(Netscape Communications)在1995年为了检测其“导航者”浏览器(Netscape Navigator Web browser)中的漏洞而创立的。20年后的今天,研究已表明,这种和黑客合作的方式是网景通信公司和其继任者Mozilla采取的多种安全保障策略中性价比较高的一种。通过这种方式,企业里的安全专家和企业外的研究者通力合作,共享关于恶意软件、安全威胁和安全漏洞等方面的信息,建立起了一个分布式的“免疫系统”。
随着网络空间的扩张,汽车制造商、医疗器械生产商、家庭娱乐系统供应商以及其他的各行各业都将不得不开始像网络安全公司那样思考。也就是说,这些厂商在产品研发的全过程中都必须考虑到网络安全问题,即在设计阶段就应该投入资金对产品和服务的网络安全性加以研究,而不应等到出现问题了或是迫于政府压力再去做相关补救。在这些方面,黑客同样可以起到积极的作用。
比如,2013年,网络安全专家乔舒亚·科尔曼(Joshua Corman)和尼古拉斯·佩尔科科(Nicholas Percoco)发起了一项名为“我是骑兵”的活动,鼓励黑客们以负责任的态度在各个领域尤其是在公共基础设施、汽车、医疗器械以及互联家庭技术等关键领域内开展卓有成效的网络安全研究。著名网络安全研究专家马克·斯坦尼斯拉夫(Mark Stanislav)和扎克·拉尼尔(Zach Lanier)也发起了一项名为“BuildItSecure.ly”的类似倡议。该倡议的目标是为研发安全的物联网应用搭建一个开发平台。
好消息是,这种分布式的“免疫系统”正在变得日益强大。在今年1月份,谷歌为它的 “bug bounty”项目增加了一个补充项目,提供赏金以鼓励安全专家们对谷歌产品的安全性进行审查。这表明,即使是拥有世界上最优秀的技术人员的公司,也可以与外界友好的黑客们合作,从不同的视角中获益。一些政府部门也发起了类似的项目,例如,荷兰国家网络安全中心发起了一项“曝光计划”,黑客们可以通过该计划提交他们发现的漏洞而不必担心会被“秋后算账”。
当然,也有坏消息。奥巴马政府正在推行的网络安全保障方法中,某些部分会将常见的漏洞研究和相关工具列为非法,而这对于“免疫系统”的建立是有害的。网络安全界的很多人都担心现行的《计算机欺诈和滥用法案》及其后续的修补条例会将黑客行为定义得过于宽泛,以至于点击一个超链接都有可能被认为是非法交易被窃物品,假如这个超链接指向的网站包含泄露或窃取到的信息的话。将网络安全独立研究者的工作定义为非法,可能会对我们所有人都造成伤害,并且无助于预防受利益或意识形态驱动的犯罪行为。
个人的责任
接下来的数年中,情况也许会更糟。数据泄露事件会更频繁地发生,关于在数字领域我们究竟应该让渡多少权力给政府以保证网络安全,一场激烈辩论也将不可避免。事实上,网络安全需要技术、法律、经济、政治等诸多领域的共同合作来提供解决方案。作为普罗大众,我们也一样有可以做的事情:作为消费者,我们应该要求各个公司生产的产品更加安全;作为市民,我们应该在发现政府有意削弱网络安全时要求他们负责;最后,作为潜在的网络空间薄弱环节,我们也有义务保护好我们自己。
实际上,我们只需要做到很简单的几件事就可以有效地保护自己,比如及时更新软件、使用安全的网络浏览器、在邮件账户和社交网站账户上使用双重认证。更重要的是,我们应该认识到,每个人使用的每一个小设备实际上都是一个更大系统的组成部分,我们所做的哪怕是很微小的选择也可以在很大范围内产生影响。所以,再次强调,网络安全就像公共卫生一样,勤洗手、打疫苗,我们就可以为控制疾病传播贡献自己的一份力量。
请 登录 发表评论
赞(-1)
