网络安全人士喜欢说,组织只有两种类型——一种是已经遭受攻击的,另一种是还不知道自己遭受攻击的。最近的新闻头条应该证明这个笑话在很大程度上是真实的。网络犯罪分子从包括塔吉特、家得宝和摩根大通在内的公司窃取了数百万人的信用卡信息和个人数据。安全研究人员发现了互联网构建基石中的基本缺陷,例如流行的 OpenSSL 加密软件库中所谓的“心脏出血”漏洞。一次大规模的数据破坏攻击让索尼影视娱乐公司退回到使用纸和笔办公。犯罪分子访问了健康保险巨头 Anthem 超过 8000 万客户的数据。而这些仅仅是我们知道的事件。
在未来几年,网络攻击几乎肯定会加剧,这对我们所有人来说都是一个问题。现在每个人都以某种方式连接到网络空间——通过我们的手机、笔记本电脑、公司网络——我们都很脆弱。被黑客入侵的网络、服务器、个人电脑和在线账户是网络犯罪分子和政府窥探者的基本资源。您的公司网络或个人游戏 PC 很容易成为犯罪分子或纳税人资助的网络间谍的另一种工具。被入侵的计算机可以用作下一次攻击的跳板,或成为“僵尸网络”的一部分,这是一个由受控僵尸设备组成的恶意网络,按小时出租以发起拒绝服务攻击或散布垃圾邮件。
为了应对这些威胁,美国和其他地方的政府的自然反应是将网络空间军事化,试图使用中央集权的官僚机构和秘密机构来管理数字世界。但这种方法永远行不通。事实上,由于我们稍后将要谈到的原因,它可能会使情况变得更糟。网络安全就像一个公共卫生问题。疾病控制与预防中心等政府机构可以发挥重要作用,但它们无法独自阻止疾病的传播。只有当公民尽到自己的职责时,他们才能做好自己的工作。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们今天世界的发现和想法的具有影响力的故事的未来。
网络空间的浩瀚
保护网络空间的挑战之一是,没有一个单一的“网络空间”。它是一个庞大、互联的系统,并且一直在变化和增长。要理解这一事实,我们必须回到半个世纪前,回到麻省理工学院数学教授诺伯特·维纳的工作。1948 年,维纳借用古希腊人的说法来描述他正在发展的一门新科学学科:控制论,他将其定义为“动物和机器中的控制和通信”的研究。在古希腊语中,kybernēetēes 是指引航和控制在地中海航行的海军舰艇的舵手或飞行员的头衔。通过类比,网络空间应被理解为互联的电子和数字技术的集合,这些技术使控制和通信所有支撑现代生活的系统成为可能。网络空间由各种远程控制和通信技术组成:从支持无线电的嵌入式胰岛素泵到 GPS 卫星。
网络空间不是公共场所;它不像国际水域或月球。它不是政府或军队可以有效控制的领土集合——即使我们要求他们这样做。构成网络空间的大多数技术和网络都由跨国营利性企业集团拥有和维护。
包含在这个空间中的技术的数量和种类正在迅速增长。网络技术供应商思科系统预测,到 2020 年,将有 500 亿台设备连接到互联网,其中包括很大一部分与工业、军事和航空航天相关的设备和系统。每个连接到网络空间的新事物都可能成为网络攻击的目标,而攻击者擅长发现任何网络中最薄弱的环节。例如,入侵塔吉特销售点系统并窃取数百万张支付卡的黑客,首先入侵了一个更容易的目标:Fazio Mechanical Services,这家制冷维护公司负责运营塔吉特的供暖和制冷系统,从而获得了对该零售商网络的访问权限。据称在 2011 年入侵国防公司洛克希德·马丁网络的中国间谍,首先入侵了安全公司 RSA,后者为洛克希德·马丁提供了安全令牌。RSA 本身被攻破仅仅是因为其母公司 EMC 的一名员工打开了一封电子邮件中看似无害的 Excel 文件附件。
物联网的“事物”不仅仅是攻击者可以潜入的窗口:它们本身也是潜在破坏的目标。早在 2008 年,安全研究人员就演示了他们可以远程入侵嵌入式心脏起搏器。从那时起,黑客已经表明,他们可以使用无线电信号劫持植入式胰岛素泵,指示这些设备将胰岛素倾倒入患者的血液中,这可能会导致致命的后果。
物理基础设施也面临着攻击的风险,正如我们在 2010 年了解到的那样,当时臭名昭著的计算机病毒 Stuxnet 被发现应对伊朗纳坦兹一个秘密设施内铀浓缩离心机的广泛破坏负责。Stuxnet 据称是美国和以色列之间密集且代价高昂的合作成果,它提出了一个历史性的观点:数字计算机代码可以破坏和摧毁模拟物理系统。此后的其他攻击也加强了这一观点。去年 12 月,德国联邦信息安全办公室报告称,黑客破坏了一家钢铁厂的系统,阻止了高炉关闭并对“系统造成了巨大损害”。三个月前,中国黑客攻击了美国国家海洋和大气管理局的网站,这些网站处理来自用于航空、灾难响应和其他关键任务的卫星的数据。
这意味着网络安全不仅仅是保护计算机、网络或 Web 服务器。当然不仅仅是保护“秘密”(好像谷歌和 Facebook 对我们一无所知)。网络空间中的真正战斗是为了保护事物、基础设施和流程。危险在于颠覆和破坏我们每天依赖的技术。我们的汽车、ATM 和医疗设备。我们的电网、通信卫星和电话网络。网络安全是为了保护我们的生活方式。
政府的角色
在保护网络空间方面,政府面临着深刻的冲突。包括美国国土安全部在内的许多联邦机构,都真诚地希望保护国家公司和公民免受网络攻击。然而,其他政府实体可以从保持世界网络漏洞百出中获益。国家安全局等秘密组织投入数百万美元来寻找和管理技术缺陷,这些缺陷可能允许攻击者控制系统。
一个人的可怕的安全漏洞是另一个人的秘密武器。考虑一下“心脏出血”漏洞。如果您在过去五年中使用过互联网,您的信息可能已经由运行 OpenSSL 软件的计算机加密和解密。SSL 是我们期望在安全网站上看到的那些“锁”图标背后的基本技术。“心脏出血”漏洞是 OpenSSL 流行的扩展程序之一“Heartbeat”中的一个基本软件开发错误的结果,因此得名。当被利用时,该漏洞使窃听者可以轻松访问加密密钥、用户名和密码,从而使 SSL 加密提供的任何安全性都变得毫无意义。OpenSSL 存在漏洞已有两年,之后两个独立的安全研究团队(一个由谷歌的安全专家 Neel Mehta 领导,另一个在总部位于芬兰的 Codenomicon)发现了该漏洞。《彭博商业周刊》几天后援引匿名消息来源称,美国国家安全局多年来一直在利用该漏洞进行网络间谍活动。
世界上许多主要大国都投入了他们最好的技术人才和数百万美元来寻找和利用“心脏出血”等漏洞。政府还在公开市场上购买漏洞,帮助维持安全漏洞的交易。越来越多的公司,如法国公司 Vupen Security 和总部位于奥斯汀的 Exodus Intelligence,专门从事这些珍贵漏洞的发现和包装。事实上,一些政府在研究和开发进攻性网络能力上花费的资金超过了在防御性网络研究上花费的资金。五角大楼雇佣了大量的漏洞研究人员,据报道,美国国家安全局在进攻性网络研究上的支出是防御性网络研究的 2.5 倍。
这一切并不是说政府是邪恶的,或者他们是网络安全的敌人。很容易看出美国国家安全局等机构的出发点。他们的工作是收集情报以防止可怕的行为;他们会使用他们可以支配的任何工具来实现这一目标是有道理的。然而,确保网络安全的一个重要步骤是诚实地权衡政府机构培养漏洞的成本和收益。另一个关键是充分利用政府可以做而其他组织不能做的事情。例如,他们可以促成甚至强制公司和其他组织共享有关网络攻击的信息。
银行尤其会从共享有关网络攻击的信息中受益,因为对金融机构的攻击通常遵循可预测的模式:一旦犯罪分子在一个银行中找到有效的方法,他们就会在另一家银行和另一家银行中尝试。然而,银行传统上避免披露有关攻击的信息,因为这会引起对其安全性的质疑。他们也避免与竞争对手交谈;在某些情况下,反垄断法禁止他们这样做。然而,政府可以促进银行之间的信息共享。这已经在美国以金融服务信息共享与分析中心 (FS-ISAC) 的形式发生,该中心也为全球金融组织提供服务。今年 2 月,巴拉克·奥巴马总统签署了一项行政命令,敦促其他公司彼此之间以及与政府共享类似信息。
黑客可以提供帮助
只要人类编写代码,漏洞就会存在。在日益激烈的市场压力驱动下,科技公司以前所未有的速度将新产品推向市场。这些公司明智的做法是利用全球黑客社区庞大的人力资源。在过去一年中,在爱德华·斯诺登国家安全局泄密事件等事件的催化下,科技行业和黑客社区已开始愿意合作。现在,数百家公司看到了通过所谓的漏洞赏金和漏洞奖励计划与黑客合作的价值,这些计划为报告漏洞和安全问题的独立研究人员提供激励。网景通信公司于 1995 年创建了第一个漏洞赏金计划,作为查找 Netscape Navigator Web 浏览器漏洞的一种方式。今天,20 年后,研究表明,该策略是该组织及其继任者 Mozilla 为加强安全性而采取的更具成本效益的措施之一。安全专业人员的私人和公共社区共享有关恶意软件、威胁和漏洞的信息,以创建一种分布式免疫系统。
随着网络空间的扩展,汽车制造商、医疗设备公司、家庭娱乐系统提供商和其他企业将不得不开始像网络安全公司一样思考。这包括将安全性融入研发过程——在设计阶段投资于产品和服务的安全性,而不是作为事后才想到的事情或响应政府的要求。在这里,黑客社区也可以提供帮助。例如,在 2013 年,安全专家 Joshua Corman 和 Nicholas Percoco 发起了一项名为“我是骑兵”的运动,敦促黑客进行负责任的安全研究,从而在世界上发挥作用,重点关注公共基础设施以及汽车、医疗设备和联网家庭技术等关键领域。另一项由著名安全研究人员 Mark Stanislav 和 Zach Lanier 发起的倡议名为“BuildItSecure.ly”,旨在创建一个用于开发安全物联网应用程序的平台。
好消息是,这种分布式免疫系统正在变得更强大。今年 1 月,谷歌启动了一项新计划,以补充其漏洞赏金计划,为鼓励安全研究人员审查该公司产品提供资助。该计划承认,即使是拥有地球上最好内部技术人才的公司,也可以利用友好黑客的外部视角。一些政府甚至也加入了进来。例如,荷兰国家网络安全中心建立了自己的负责任披露计划,允许黑客报告漏洞,而不会面临法律报复的风险。
坏消息是,奥巴马政府正在推行的某些网络安全方法可能会有效地将常见的漏洞研究实践和工具定为犯罪,从而削弱这种正在发展的免疫系统。安全社区中的许多人担心,现行版本的《计算机欺诈和滥用法案》和拟议的法律修改对黑客行为的定义过于宽泛,以至于即使点击包含泄露或被盗信息的网站链接也可能被视为贩运赃物。将独立安全研究人员的工作定为犯罪将损害我们所有人,并且对受利润或意识形态驱动的犯罪分子几乎没有影响。
个人责任
未来几年可能会很混乱。我们将看到更多的数据泄露事件,并且几乎肯定会看到关于我们应该向政府让渡多少对数字领域的控制权以换取安全的激烈辩论。事实是,确保网络安全需要来自多个领域的解决方案:技术、法律、经济和政治。这也取决于我们,公众。作为消费者,我们应该要求公司使其产品更安全。作为公民,当政府有意削弱安全性时,我们应该追究政府的责任。作为潜在失败的个人点,我们有责任保护我们自己的东西。
保护自己包括一些简单的步骤,例如保持我们的软件更新、使用安全的 Web 浏览器以及在我们的电子邮件和社交媒体帐户上启用双因素身份验证。但这还包括意识到我们的每个设备都是更大系统中的一个节点,并且我们做出的小选择可能会产生广泛的影响。再说一次,网络安全就像公共卫生。洗手并接种疫苗,您就可以避免疾病进一步传播。