本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定代表《大眾科學》的觀點
在過去幾年中,網路戰的言論,即使不是實際情況,也在不斷升級。似乎每天都有媒體報道據稱的網路攻擊——來自國家、恐怖組織或犯罪團伙——針對美國政府機構和企業。許多此類指控是由能夠從增加網路安全資金中獲益的個人或團體提出的,並且由於細節屬於機密,他們的說法無法核實。
為了尋求指導,我求助於傳奇計算機科學家戴夫·法伯,他是卡內基梅隆大學的教授,也曾在貝爾實驗室、蘭德公司、FCC、電子前沿基金會和許多其他機構工作過或合作過。法伯有時被稱為“網際網路之父”,這既是因為他在分散式計算方面的開創性工作,也是因為他指導了幫助構建網際網路的研究生。他仍然深入參與關於如何最大化網際網路的好處和最小化風險的辯論。(請參閱維基百科上法伯的簡歷。)
我之所以認識法伯,是因為他是史蒂文斯理工學院的活躍校友,我在那裡任教。我也在他主持的一個郵件列表“有趣的人”中。接下來是我對我們最近在紐約市的對話的總結。
關於支援科學新聞業
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞業 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。
法伯說,儘管一些網路威脅可能被誇大了,但網際網路“非常脆弱。存在大量潛在威脅。我將其形容為在冰層之上行走在另一層冰層之上。”他和參與建立第一個計算機網路的其他人不可能預料到隨著網際網路的發展而出現的所有安全問題。
“網路在構建時並未考慮安全性,”他說。“你必須記住網際網路是一項實驗。在不擔心安全性的情況下構建它已經足夠困難了。我們早就知道存在一些嚴重的缺陷。但這就像任何其他系統一樣:一旦你打好基礎,就幾乎沒有機會改變它了。”
法伯警告說,許多網路安全“解決方案”,尤其是商業公司提供的那些,都是虛假的。“你必須警惕的是,當人們談論他們特定的療法時,這通常可以轉化為‘給我們錢,我們就會解決問題。’但事實上,這些療法可能什麼都治不了。” 據稱可以提供病毒和惡意軟體防護的產品“在業內眾所周知是無效的。除了最明目張膽的業餘愛好者之外,沒有人會編寫那些產品能夠捕獲的病毒。那些複雜的病毒,它們永遠無法捕獲。”
法伯補充說,“零敲碎打的修補幾乎不起作用。我們原則上知道如何構建安全的計算環境,但這並不便宜。部分問題在於,即使我為你構建了一個安全的計算機網路和安全的作業系統,你仍然有數百萬臺計算機無法進行改造。”
法伯指出了兩種可以在不花費巨大努力和費用的情況下提高網際網路安全性的方法。一種是加強安全證書的頒發,據稱這可以保證線上資訊提供商是他們聲稱的那個人。另一種方法是專注於改革域名系統,該系統現在使駭客能夠更容易地對網站發起拒絕服務攻擊。
法伯說,最近美國智慧財產權盜竊委員會(一個私人團體)提出的一個糟糕的想法是,公司應該對涉嫌的網路攻擊者進行反擊。法伯說,這種策略不僅不會抑制網路攻擊,反而可能導致更多的網路攻擊。此外,一家公司可能會決定,“那傢伙的競爭太激烈了,讓我們透過誣告他進行網路攻擊並進行反擊來讓他破產。”
法伯說,美國無疑是包括盟友在內的許多其他國家進行網路間諜活動的目標,目的是獲取工業商業機密。“我假設朝鮮、中國、法國、英國和其他所有國家都試圖滲透我們的計算機系統。多年來,他們一直在現實世界中從事[間諜活動]。多年前,法國就被抓到這樣做,尋求商業優勢。”
但法伯懷疑來自中國的威脅被誇大了。“考慮到我們按現狀向他們提供一切,我們把工廠搬到那裡,我們教他們如何製造東西,我很難相信中國在[工業間諜活動]上投入了很多。” 此外,僅僅因為攻擊源於中國,並不意味著政府贊助了它們。“我確信政府正在做一些事情。但有些事情只是因為有很多人擁有做這件事的工具而被做出來。”
法伯將日益升級的網路攻擊威脅比作二戰結束後出現的核武器軍備競賽。法伯說,正如著名的物理學家曾經領導控制核武器風險的努力一樣,頂尖的計算機科學家也應該幫助制定政策來降低資訊科技的風險。
法伯說,防止網路戰在某些方面是一項更為複雜的任務;很少有國家有資源製造核武器,而且他們知道誰是潛在的核對手,因此可以用報復的威脅來威懾攻擊。相比之下,潛在威脅數不勝數,而且你通常無法確定是誰在攻擊或威脅你。
“你真的必須做好取證工作,”法伯說,以追蹤攻擊的實際來源,避免虛假指控和不合理的反擊。“如果各國願意合作,那麼在識別攻擊者方面可以做更多的事情。”
法伯最擔心的是網路攻擊不是來自國家,而是來自自由職業的犯罪駭客。“沒有辦法輕易抓住他們,他們數量龐大,而且他們的動機千差萬別。他們可能是為了獲取可以出售的資訊而這樣做。他們可能是受人僱傭而這樣做。他們可能是為了抗議某些事情,沒有什麼比重大事件更能為他們的事業帶來宣傳效果。”
法伯擔心“僱傭駭客的問題可能會變得更糟,因為我們正在培養一些找不到體面工作但訓練有素的孩子。” 網路攻擊可能對人們的生命構成直接威脅。“現代醫院現在都連線到網路。對一家大型醫院進行拒絕服務攻擊會怎麼樣?對我們的電力系統進行智慧攻擊將是一場噩夢。”
如果他是“網路沙皇”——負責所有網路安全——法伯將組建一個專家組來“深入挖掘問題的根源”。該小組將確定網路安全威脅在多大程度上“是真實的,在多大程度上是不真實的”,並將提出如何在“相對較少的工作量下”提高安全性。該小組將由“沒有不可告人的動機,沒有利益衝突”的人組成。他們可能傾向於年齡較大、經驗更豐富的人,這些人不會覺得必須表達自己的觀點,無論對錯或無關緊要。”
法伯說,國家安全域性人員可以提供技術指導。“我是否認為他們有非常優秀的人才?是的。我信任他們嗎?沒那麼信任。但我信任國家安全域性勝過信任一家”銷售安全服務的公司。法伯和我在有關國家安全域性“收集數百萬美國Verizon客戶的電話記錄”的報道釋出前不久進行了交談。
法伯不僅對安全,也對數字隱私表示擔憂。“我非常擔心谷歌眼鏡,”他說。“當你直接連線到網路,並且擁有攝像頭時,這有點可怕。” 法伯表示,如果 20 世紀 50 年代領導反共“政治迫害”的參議員喬·麥卡錫擁有“我們現在擁有的工具,他就無需說,‘有人說你和……見過面’。他只需說,‘你 10 年前給這個人寫過這張便條。’”
我希望戴夫·法伯的觀點能夠引發建設性的回應。
圖片來源:史蒂文斯理工學院