安吉拉·薩斯說,無論你怎麼評價網路罪犯,“他們的受害者對客戶服務讚不絕口”。
薩斯說的是勒索軟體:這是一種敲詐計劃,駭客會加密使用者計算機上的資料,然後要求支付解鎖的數字金鑰的費用。受害者會收到詳細、易於理解的付款流程說明(接受所有主要信用卡),以及如何使用金鑰的說明。如果他們遇到技術困難,還有 24/7 全天候呼叫中心。
“他們的支援比他們從自己的網際網路服務提供商那裡得到的支援還要好,”薩斯說,她是倫敦大學學院的心理學家和計算機科學家,也是網路安全科學研究所的負責人。她補充說,這就是今天的網路安全挑戰的縮影:“攻擊者遠遠領先於防禦者,這讓我非常擔憂。”
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將有助於確保有關當今世界發現和塑造我們世界的具有影響力的故事的未來。
計算機駭客行為是尋求刺激的青少年和大學生的領域的時代早已過去:自 2000 年代中期以來,網路攻擊變得越來越複雜。如今,一些暗中的、國家支援的組織發起了諸如 2014 年索尼影視娛樂公司遭駭客攻擊以及 2015 年美國人事管理辦公室數百萬條記錄被盜等事件,據稱分別由朝鮮和中國贊助。“駭客活動家”組織(如匿名者)對高調的恐怖分子和名人進行意識形態驅動的攻擊。而且,一個龐大的地下犯罪網路販運從假冒偉哥到公司間諜活動的一切事物。據估計,網路犯罪每年給全球經濟造成的損失在 3750 億美元到 5750 億美元之間。
越來越多的研究人員和安全專家意識到,他們不能僅僅透過在一切事物周圍建立更高、更強的數字圍牆來應對這一挑戰。他們必須向牆內看,在那裡,諸如選擇弱密碼或點選可疑電子郵件等人為錯誤,導致了近四分之一的網路安全故障。他們還必須向外看,追蹤支援駭客的地下經濟,並找到容易受到反擊的薄弱點。
美國國土安全部網路安全研究主管道格拉斯·莫恩說:“我們有太多的計算機科學家關注網路安全,而心理學家、經濟學家和人為因素研究人員卻不夠。”
這種情況正在迅速改變。在過去的五年左右的時間裡,莫恩的機構和其他美國研究資助機構一直在增加在網路安全人性方面的支出。2 月,作為向國會提交的 2017 財年預算申請的一部分,美國總統巴拉克·奧巴馬提議為聯邦網路安全支出超過 190 億美元,比上一年增加 35%,並納入了一項研發計劃,該計劃首次將人為因素研究作為明確的優先事項。
同樣的思維方式正在其他國家紮根。在英國,薩斯的研究所從英國政府獲得了為期多年、價值 380 萬英鎊(550 萬美元)的資助,用於研究企業、政府和其他組織中的網路安全。社會科學的工作正在提供前所未有的視角,瞭解網路犯罪分子如何組織他們的業務,以及如何更好地幫助使用者選擇一個無法破解但又容易記住的密碼。
薩斯說,這些修復並不容易,但並非不可能。“我們實際上在改變習慣方面有了很好的科學依據,可以知道什麼有效,什麼無效,”她說。“將這些想法應用於網路安全是前沿。”
瞭解你的受眾
想象一下,在忙碌的工作日高峰期,一封看起來合法的電子郵件傳送到你的收件箱:它說,公司的計算機團隊檢測到安全漏洞,每個人都需要立即在他們的機器上執行病毒後臺掃描。“有一種傾向是不閱讀就點選‘接受’,”在英國巴斯大學研究線上行為的社會心理學家亞當·喬因森說。然而,這封電子郵件是假的,而匆忙、惱怒的點選會使惡意軟體在公司網路中傳播,竊取密碼和其他資料,並將每個人的計算機轉換為殭屍“殭屍網路”,從而傳送更多的垃圾郵件。
似乎攻擊者比旨在防禦他們的機構更瞭解使用者心理。在上面的場景中,攻擊的成功依賴於人們對權威的本能尊重以及他們在忙碌和分心時對懷疑的降低能力。相比之下,公司往往會強加一些與人們的工作方式嚴重脫節的安全規則。以無處不在的密碼為例,這是計算機使用者證明其身份的最簡單、最常見的方法。薩斯和其他人在 2014 年釋出的一項研究發現,位於馬里蘭州蓋瑟斯堡的美國國家標準與技術研究院 (NIST) 的員工平均每天有 23 次“身份驗證事件”,包括重複登入自己的計算機,這些計算機在 15 分鐘不活動後將它們鎖定。
這些要求大大消耗了員工的時間和精力,尤其是對於那些試圖遵循標準密碼指南的人。這些指南堅持要求人們為每個應用程式使用不同的密碼;避免寫下密碼;定期更改密碼;並且始終使用難以猜測的符號、數字以及大寫和小寫字母的組合。
因此,人們會採取顛覆手段。在另一項關於真實世界中密碼使用的系統研究中,薩斯和她的同事記錄了一家大型跨國公司的員工在不完全魯莽(他們希望如此)的情況下繞過官方安全要求的方式。員工的方法(例如,寫下密碼列表,或使用未加密的快閃記憶體驅動器在計算機之間傳輸檔案)在大多數辦公室中都會很常見,但實際上建立了一個“影子安全”系統,使工作得以順利進行。倫敦谷歌研究中心研究安全合規性的本·勞裡說:“大多數人的目標不是安全,而是完成工作。“如果他們必須跨越太多障礙,他們會說,‘見鬼去吧。’”
1. 123456 | 6. 123456789 |
2. 密碼 | 7. 足球 |
3. 12345678 | 8. 1234 |
4. qwerty | 9. 1234567 |
5. 12345 | 10. 棒球 |
2015 年十大最常見密碼
來源:Splashdata
研究人員發現了多種方法來緩解員工和安全管理人員之間的這種僵局。洛裡·克拉諾領導著位於賓夕法尼亞州匹茲堡的卡內基梅隆大學的 CyLab 可用隱私和安全實驗室,該實驗室是全球眾多致力於使密碼策略更符合人性的小組之一。
“我們大約在六七年前開始研究這個問題,當時卡內基梅隆大學將其密碼策略更改為非常複雜的東西,”目前正在休假離開大學擔任華盛頓特區美國聯邦貿易委員會首席技術官的克拉諾說。該大學表示,他們正在嘗試遵守 NIST 的標準密碼指南。但是,當克拉諾調查時,她發現這些指南是基於有根據的猜測。她說,沒有資料作為基礎,因為沒有組織願意透露其使用者的密碼。“所以我們說,‘這是一個研究挑戰。’”
克拉諾和她的同事們透過要求卡內基梅隆大學的 470 名計算機使用者根據不同的長度和特殊符號要求生成新密碼,從而測試了各種密碼策略。然後,他們測試了生成的密碼實際上有多強、建立密碼需要多少精力、它們有多容易記住,以及參與者對系統有多惱火。
一個關鍵發現是,組織應該忘記複雜的亂碼(如 0s7G0*7j%x$a)最安全的標準建議。“對於使用者來說,處理密碼長度比處理密碼複雜性更容易,”克拉諾說。一個安全但使用者友好的密碼示例可能是四個常見但隨機選擇的單詞的串聯,例如使用 woodensuccessfuloutline。它有 28 個字元,比胡言亂語的例子長兩倍多,但更容易記住。克拉諾說,只要系統防止人們做出像 passwordpassword 這樣愚蠢的選擇,那麼字串對於攻擊者來說很難猜到,並且提供了出色的安全性。
是時候改變了
克拉諾說,另一個關鍵發現是,除非有理由認為該組織的安全受到威脅,否則強迫使用者每 30 天、60 天或 90 天更改密碼的標準做法介於無用和適得其反之間(參見 go.nature.com/2vq6r4)。她說,一方面,研究表明,大多數人對這些要求的反應是首先選擇一個較弱的密碼,以便他們可以記住它,然後做出他們可以擺脫的最小的更改。例如,他們可能會將最後一位數字增加 1,因此 password2 變為 password3,依此類推。“因此,如果駭客猜出你的密碼一次,”她說,“他們不需要嘗試很多次就能再次猜出它。”
此外,她說,駭客入侵時做的第一件事之一是安裝鍵盤記錄程式或某些其他惡意軟體,使他們可以竊取新密碼並隨時進入。因此,克拉諾再次表示,“更改密碼沒有幫助”。
薩斯認為,有令人鼓舞的跡象表明,這些批評正在被聽取。“對我來說,去年的里程碑是英國政府通訊總部(GCHQ)改變了其關於密碼的建議,”她說,這裡指的是英國主要的情報機構。英國政府通訊總部發布了一份公開檔案,其中引用了一些研究文獻,放棄了長期以來強制定期更改密碼等做法,而是敦促管理者儘可能體諒那些必須遵守其政策的人。“使用者需要管理一整套密碼,不僅僅是你的密碼,”其中一條建議說。“只有在真正需要的地方才使用密碼。”
來源:參考文獻11;圖:韋斯·費爾南德斯/《自然》
《自然》新聞,2016年5月11日,doi:10.1038/533164a
攻擊攻擊者
如果研究能夠揭示使用者行為中的弱點,或許它也能找到攻擊者中的漏洞。
2010年,加州大學聖地亞哥分校的計算機科學家斯特凡·薩維奇和他的團隊建立了一組計算機,充當他所謂的“有史以來最容易上當的消費者”。這些機器瀏覽了從幾家主要的防垃圾郵件公司收集的大量垃圾郵件,並點選了它們能找到的每一個連結。研究人員專注於非法藥品、假冒手錶和手提包以及盜版軟體——這是垃圾郵件中最常宣傳的三類產品——併購買了100多件商品。然後,他們使用專門設計的網路爬蟲軟體來追蹤垃圾郵件傳送者的供應鏈。如果一個非法供應商註冊了域名、向供應商付款或使用銀行接受信用卡付款,研究人員就能看到。這項研究首次揭露了計算機犯罪的整個商業結構,並揭示了其驚人的複雜性。
“這是一個新奇創業想法的終極溫床,”薩維奇說,“是想象中最純粹的小型企業資本主義形式,因為沒有監管。” 然而,即使如此,也存在秩序。“假設你想要從事犯罪活動,”薩維奇解釋說,例如,銷售假冒藥品。你透過建立網站和資料庫、與銀行達成協議以接受信用卡付款以及建立一個客戶服務部門來處理投訴來開店——所有這些都是業務的後端部分(見上面“錯綜複雜的網路”圖)。
“你不會自己傳送垃圾郵件,”薩維奇說。“你會把這個外包給聯盟商”——那些知道如何傳送大量點選式資訊來欺騙人們的垃圾郵件過濾器的專家。“他們會從他們帶給你的任何訂單中獲得30-40%的購買價格,”他說。如果這個絕妙的想法被證明是失敗的,那麼他們就會為其他人傳送垃圾郵件。
這種聯盟業務模式在薩維奇和許多其他人隨後的研究中得到了證實,並且適用於廣泛的網路犯罪,從銷售仿冒手提包到勒索軟體、信用卡盜竊和其他形式的網路盜竊。所有這些都由相同的地下聯盟服務經濟提供支援,而垃圾郵件生成只是其中之一。其他的還包括印度的公司,人們每天都在那裡輸入來自驗證碼符號識別測試的字元——從而“證明”惡意程式是人——以及一種被稱為搜尋引擎投毒的新興垃圾郵件替代方案,在這種方案中,點選看似合法的搜尋結果的人會被重定向到惡意網站。
不幸的是,對於執法機構來說,追蹤這種地下經濟的結構很少能幫助他們逮捕相關人員;現實世界中的身份往往受到線上化名的嚴密保護。而且,在任何情況下,犯罪網路基礎設施都具有極強的彈性。例如,2013年10月,聯邦調查局成功關閉了絲綢之路,這是一個類似eBay的網站,將買家和賣家聯絡起來交易包括硬毒品在內的非法商品。一個月後,絲綢之路2.0上線了。當聯邦調查局在2014年底關閉該網站時,仍然有其他網站湧現出來。
然而,研究人員已經發現了一些可能更有效的方法來攻擊地下經濟。薩維奇和他的同事發現,迄今為止最薄弱的環節是向利潤中心處理信用卡付款的銀行。他們受制於信用卡公司,後者的合同通常規定,任何代表商家的銀行必須保證銷售是合法的,並且如果客戶投訴,則有責任償還客戶。很少有銀行願意承擔這樣的風險。“結果發現,地球上95%的假冒垃圾郵件都經過了三家銀行,”薩維奇說:分別位於亞塞拜然、拉脫維亞和聖克里斯多福及尼維斯。2011年11月,微軟與Visa合作,向這些銀行施壓,要求它們放棄盜版其產品的供應商。“在18個月裡,”薩維奇說,“網際網路上沒有人銷售盜版微軟軟體。”
然而,這並不是一個永久的解決方案:為那些可疑的軟體供應商提供銀行支援最終轉移到了東亞,西方公司和執法機構在那裡擁有的影響力要小得多。儘管如此,希望持續的研究能夠在長期內產生重大影響。“我們第一次,”卡內基梅隆大學研究網路安全人性的計算機工程師尼古拉斯·克里斯廷說,“我們擁有關於地下經濟的大量資料。”
克里斯廷說,在現實世界中嘗試這樣做:任何想要了解例如匹茲堡街頭毒品交易的人都必須臥底,並冒著被殺的風險。即使這樣,他們也只能對整體情況有一個零星的、臨時的瞭解。
但是,在網路世界中,每一筆交易都會留下數字痕跡,克里斯廷說,他領導了關於絲綢之路的研究——尤其是在使用比特幣等數字貨幣付款時。“對於經濟學家來說,這是非常美妙的。” 克里斯廷和該領域的其他人已經觀察到犯罪系統的發展、成熟和被摧毀,以及其他系統在它們的位置上興起。他們已經觀察到聯盟的形成和解散,並跟蹤了犯罪分子之間的資金流動如何幫助他們建立信任。
“我們才剛剛開始觸及分析的表面,”克里斯廷說。但他預見到,這種資料的湧入將導致計算機科學與社會科學和傳統執法的融合。“這實際上可能是提煉和檢驗現有犯罪行為理論的非常有成效的領域,”他說。
薩維奇也有類似的希望。他說,無論是關注內部還是外部,“安全方面存在太多騙局。很少有決策是基於資料的。” 他說,持續的研究可以幫助人們在證據的基礎上做出更多決策。“但是要做到這一點,你必須關注相關人員——他們的動機和激勵因素。”
本文經授權轉載,並於2016年5月11日首次發表。