網路安全人士喜歡說,組織只有兩種型別——一種是已經遭受攻擊的,另一種是還不知道自己遭受攻擊的。最近的新聞頭條應該證明這個笑話在很大程度上是真實的。網路犯罪分子從包括塔吉特、家得寶和摩根大通在內的公司竊取了數百萬人的信用卡資訊和個人資料。安全研究人員發現了網際網路構建基石中的基本缺陷,例如流行的 OpenSSL 加密軟體庫中所謂的“心臟出血”漏洞。一次大規模的資料破壞攻擊讓索尼影視娛樂公司退回到使用紙和筆辦公。犯罪分子訪問了健康保險巨頭 Anthem 超過 8000 萬客戶的資料。而這些僅僅是我們知道的事件。
在未來幾年,網路攻擊幾乎肯定會加劇,這對我們所有人來說都是一個問題。現在每個人都以某種方式連線到網路空間——透過我們的手機、筆記型電腦、公司網路——我們都很脆弱。被駭客入侵的網路、伺服器、個人電腦和線上賬戶是網路犯罪分子和政府窺探者的基本資源。您的公司網路或個人遊戲 PC 很容易成為犯罪分子或納稅人資助的網路間諜的另一種工具。被入侵的計算機可以用作下一次攻擊的跳板,或成為“殭屍網路”的一部分,這是一個由受控殭屍裝置組成的惡意網路,按小時出租以發起拒絕服務攻擊或散佈垃圾郵件。
為了應對這些威脅,美國和其他地方的政府的自然反應是將網路空間軍事化,試圖使用中央集權的官僚機構和秘密機構來管理數字世界。但這種方法永遠行不通。事實上,由於我們稍後將要談到的原因,它可能會使情況變得更糟。網路安全就像一個公共衛生問題。疾病控制與預防中心等政府機構可以發揮重要作用,但它們無法獨自阻止疾病的傳播。只有當公民盡到自己的職責時,他們才能做好自己的工作。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們今天世界的發現和想法的具有影響力的故事的未來。
網路空間的浩瀚
保護網路空間的挑戰之一是,沒有一個單一的“網路空間”。它是一個龐大、互聯的系統,並且一直在變化和增長。要理解這一事實,我們必須回到半個世紀前,回到麻省理工學院數學教授諾伯特·維納的工作。1948 年,維納借用古希臘人的說法來描述他正在發展的一門新科學學科:控制論,他將其定義為“動物和機器中的控制和通訊”的研究。在古希臘語中,kybernēetēes 是指引航和控制在地中海航行的海軍艦艇的舵手或飛行員的頭銜。透過類比,網路空間應被理解為互聯的電子和數字技術的集合,這些技術使控制和通訊所有支撐現代生活的系統成為可能。網路空間由各種遠端控制和通訊技術組成:從支援無線電的嵌入式胰島素泵到 GPS 衛星。
網路空間不是公共場所;它不像國際水域或月球。它不是政府或軍隊可以有效控制的領土集合——即使我們要求他們這樣做。構成網路空間的大多數技術和網路都由跨國營利性企業集團擁有和維護。
包含在這個空間中的技術的數量和種類正在迅速增長。網路技術供應商思科系統預測,到 2020 年,將有 500 億臺裝置連線到網際網路,其中包括很大一部分與工業、軍事和航空航天相關的裝置和系統。每個連線到網路空間的新事物都可能成為網路攻擊的目標,而攻擊者擅長髮現任何網路中最薄弱的環節。例如,入侵塔吉特銷售點系統並竊取數百萬張支付卡的駭客,首先入侵了一個更容易的目標:Fazio Mechanical Services,這家制冷維護公司負責運營塔吉特的供暖和製冷系統,從而獲得了對該零售商網路的訪問許可權。據稱在 2011 年入侵國防公司洛克希德·馬丁網路的中國間諜,首先入侵了安全公司 RSA,後者為洛克希德·馬丁提供了安全令牌。RSA 本身被攻破僅僅是因為其母公司 EMC 的一名員工打開了一封電子郵件中看似無害的 Excel 檔案附件。
物聯網的“事物”不僅僅是攻擊者可以潛入的視窗:它們本身也是潛在破壞的目標。早在 2008 年,安全研究人員就演示了他們可以遠端入侵嵌入式心臟起搏器。從那時起,駭客已經表明,他們可以使用無線電訊號劫持植入式胰島素泵,指示這些裝置將胰島素傾倒入患者的血液中,這可能會導致致命的後果。
物理基礎設施也面臨著攻擊的風險,正如我們在 2010 年瞭解到的那樣,當時臭名昭著的計算機病毒 Stuxnet 被發現應對伊朗納坦茲一個秘密設施內鈾濃縮離心機的廣泛破壞負責。Stuxnet 據稱是美國和以色列之間密集且代價高昂的合作成果,它提出了一個歷史性的觀點:數字計算機程式碼可以破壞和摧毀模擬物理系統。此後的其他攻擊也加強了這一觀點。去年 12 月,德國聯邦資訊安全辦公室報告稱,駭客破壞了一家鋼鐵廠的系統,阻止了高爐關閉並對“系統造成了巨大損害”。三個月前,中國駭客攻擊了美國國家海洋和大氣管理局的網站,這些網站處理來自用於航空、災難響應和其他關鍵任務的衛星的資料。
這意味著網路安全不僅僅是保護計算機、網路或 Web 伺服器。當然不僅僅是保護“秘密”(好像谷歌和 Facebook 對我們一無所知)。網路空間中的真正戰鬥是為了保護事物、基礎設施和流程。危險在於顛覆和破壞我們每天依賴的技術。我們的汽車、ATM 和醫療裝置。我們的電網、通訊衛星和電話網路。網路安全是為了保護我們的生活方式。
政府的角色
在保護網路空間方面,政府面臨著深刻的衝突。包括美國國土安全部在內的許多聯邦機構,都真誠地希望保護國家公司和公民免受網路攻擊。然而,其他政府實體可以從保持世界網路漏洞百出中獲益。國家安全域性等秘密組織投入數百萬美元來尋找和管理技術缺陷,這些缺陷可能允許攻擊者控制系統。
一個人的可怕的安全漏洞是另一個人的秘密武器。考慮一下“心臟出血”漏洞。如果您在過去五年中使用過網際網路,您的資訊可能已經由執行 OpenSSL 軟體的計算機加密和解密。SSL 是我們期望在安全網站上看到的那些“鎖”圖示背後的基本技術。“心臟出血”漏洞是 OpenSSL 流行的擴充套件程式之一“Heartbeat”中的一個基本軟體開發錯誤的結果,因此得名。當被利用時,該漏洞使竊聽者可以輕鬆訪問加密金鑰、使用者名稱和密碼,從而使 SSL 加密提供的任何安全性都變得毫無意義。OpenSSL 存在漏洞已有兩年,之後兩個獨立的安全研究團隊(一個由谷歌的安全專家 Neel Mehta 領導,另一個在總部位於芬蘭的 Codenomicon)發現了該漏洞。《彭博商業週刊》幾天後援引匿名訊息來源稱,美國國家安全域性多年來一直在利用該漏洞進行網路間諜活動。
世界上許多主要大國都投入了他們最好的技術人才和數百萬美元來尋找和利用“心臟出血”等漏洞。政府還在公開市場上購買漏洞,幫助維持安全漏洞的交易。越來越多的公司,如法國公司 Vupen Security 和總部位於奧斯汀的 Exodus Intelligence,專門從事這些珍貴漏洞的發現和包裝。事實上,一些政府在研究和開發進攻性網路能力上花費的資金超過了在防禦性網路研究上花費的資金。五角大樓僱傭了大量的漏洞研究人員,據報道,美國國家安全域性在進攻性網路研究上的支出是防禦性網路研究的 2.5 倍。
這一切並不是說政府是邪惡的,或者他們是網路安全的敵人。很容易看出美國國家安全域性等機構的出發點。他們的工作是收集情報以防止可怕的行為;他們會使用他們可以支配的任何工具來實現這一目標是有道理的。然而,確保網路安全的一個重要步驟是誠實地權衡政府機構培養漏洞的成本和收益。另一個關鍵是充分利用政府可以做而其他組織不能做的事情。例如,他們可以促成甚至強制公司和其他組織共享有關網路攻擊的資訊。
銀行尤其會從共享有關網路攻擊的資訊中受益,因為對金融機構的攻擊通常遵循可預測的模式:一旦犯罪分子在一個銀行中找到有效的方法,他們就會在另一家銀行和另一家銀行中嘗試。然而,銀行傳統上避免披露有關攻擊的資訊,因為這會引起對其安全性的質疑。他們也避免與競爭對手交談;在某些情況下,反壟斷法禁止他們這樣做。然而,政府可以促進銀行之間的資訊共享。這已經在美國以金融服務資訊共享與分析中心 (FS-ISAC) 的形式發生,該中心也為全球金融組織提供服務。今年 2 月,巴拉克·奧巴馬總統簽署了一項行政命令,敦促其他公司彼此之間以及與政府共享類似資訊。
駭客可以提供幫助
只要人類編寫程式碼,漏洞就會存在。在日益激烈的市場壓力驅動下,科技公司以前所未有的速度將新產品推向市場。這些公司明智的做法是利用全球駭客社群龐大的人力資源。在過去一年中,在愛德華·斯諾登國家安全域性洩密事件等事件的催化下,科技行業和駭客社群已開始願意合作。現在,數百家公司看到了透過所謂的漏洞賞金和漏洞獎勵計劃與駭客合作的價值,這些計劃為報告漏洞和安全問題的獨立研究人員提供激勵。網景通訊公司於 1995 年建立了第一個漏洞賞金計劃,作為查詢 Netscape Navigator Web 瀏覽器漏洞的一種方式。今天,20 年後,研究表明,該策略是該組織及其繼任者 Mozilla 為加強安全性而採取的更具成本效益的措施之一。安全專業人員的私人和公共社群共享有關惡意軟體、威脅和漏洞的資訊,以建立一種分散式免疫系統。
隨著網路空間的擴充套件,汽車製造商、醫療裝置公司、家庭娛樂系統提供商和其他企業將不得不開始像網路安全公司一樣思考。這包括將安全性融入研發過程——在設計階段投資於產品和服務的安全性,而不是作為事後才想到的事情或響應政府的要求。在這裡,駭客社群也可以提供幫助。例如,在 2013 年,安全專家 Joshua Corman 和 Nicholas Percoco 發起了一項名為“我是騎兵”的運動,敦促駭客進行負責任的安全研究,從而在世界上發揮作用,重點關注公共基礎設施以及汽車、醫療裝置和聯網家庭技術等關鍵領域。另一項由著名安全研究人員 Mark Stanislav 和 Zach Lanier 發起的倡議名為“BuildItSecure.ly”,旨在建立一個用於開發安全物聯網應用程式的平臺。
好訊息是,這種分散式免疫系統正在變得更強大。今年 1 月,谷歌啟動了一項新計劃,以補充其漏洞賞金計劃,為鼓勵安全研究人員審查該公司產品提供資助。該計劃承認,即使是擁有地球上最好內部技術人才的公司,也可以利用友好駭客的外部視角。一些政府甚至也加入了進來。例如,荷蘭國家網路安全中心建立了自己的負責任披露計劃,允許駭客報告漏洞,而不會面臨法律報復的風險。
壞訊息是,奧巴馬政府正在推行的某些網路安全方法可能會有效地將常見的漏洞研究實踐和工具定為犯罪,從而削弱這種正在發展的免疫系統。安全社群中的許多人擔心,現行版本的《計算機欺詐和濫用法案》和擬議的法律修改對駭客行為的定義過於寬泛,以至於即使點選包含洩露或被盜資訊的網站連結也可能被視為販運贓物。將獨立安全研究人員的工作定為犯罪將損害我們所有人,並且對受利潤或意識形態驅動的犯罪分子幾乎沒有影響。
個人責任
未來幾年可能會很混亂。我們將看到更多的資料洩露事件,並且幾乎肯定會看到關於我們應該向政府讓渡多少對數字領域的控制權以換取安全的激烈辯論。事實是,確保網路安全需要來自多個領域的解決方案:技術、法律、經濟和政治。這也取決於我們,公眾。作為消費者,我們應該要求公司使其產品更安全。作為公民,當政府有意削弱安全性時,我們應該追究政府的責任。作為潛在失敗的個人點,我們有責任保護我們自己的東西。
保護自己包括一些簡單的步驟,例如保持我們的軟體更新、使用安全的 Web 瀏覽器以及在我們的電子郵件和社交媒體帳戶上啟用雙因素身份驗證。但這還包括意識到我們的每個裝置都是更大系統中的一個節點,並且我們做出的小選擇可能會產生廣泛的影響。再說一次,網路安全就像公共衛生。洗手並接種疫苗,您就可以避免疾病進一步傳播。