安吉拉·萨斯说,无论你怎么评价网络罪犯,“他们的受害者对客户服务赞不绝口”。
萨斯说的是勒索软件:这是一种敲诈计划,黑客会加密用户计算机上的数据,然后要求支付解锁的数字密钥的费用。受害者会收到详细、易于理解的付款流程说明(接受所有主要信用卡),以及如何使用密钥的说明。如果他们遇到技术困难,还有 24/7 全天候呼叫中心。
“他们的支持比他们从自己的互联网服务提供商那里得到的支持还要好,”萨斯说,她是伦敦大学学院的心理学家和计算机科学家,也是网络安全科学研究所的负责人。她补充说,这就是今天的网络安全挑战的缩影:“攻击者远远领先于防御者,这让我非常担忧。”
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将有助于确保有关当今世界发现和塑造我们世界的具有影响力的故事的未来。
计算机黑客行为是寻求刺激的青少年和大学生的领域的时代早已过去:自 2000 年代中期以来,网络攻击变得越来越复杂。如今,一些暗中的、国家支持的组织发起了诸如 2014 年索尼影视娱乐公司遭黑客攻击以及 2015 年美国人事管理办公室数百万条记录被盗等事件,据称分别由朝鲜和中国赞助。“黑客活动家”组织(如匿名者)对高调的恐怖分子和名人进行意识形态驱动的攻击。而且,一个庞大的地下犯罪网络贩运从假冒伟哥到公司间谍活动的一切事物。据估计,网络犯罪每年给全球经济造成的损失在 3750 亿美元到 5750 亿美元之间。
越来越多的研究人员和安全专家意识到,他们不能仅仅通过在一切事物周围建立更高、更强的数字围墙来应对这一挑战。他们必须向墙内看,在那里,诸如选择弱密码或点击可疑电子邮件等人为错误,导致了近四分之一的网络安全故障。他们还必须向外看,追踪支持黑客的地下经济,并找到容易受到反击的薄弱点。
美国国土安全部网络安全研究主管道格拉斯·莫恩说:“我们有太多的计算机科学家关注网络安全,而心理学家、经济学家和人为因素研究人员却不够。”
这种情况正在迅速改变。在过去的五年左右的时间里,莫恩的机构和其他美国研究资助机构一直在增加在网络安全人性方面的支出。2 月,作为向国会提交的 2017 财年预算申请的一部分,美国总统巴拉克·奥巴马提议为联邦网络安全支出超过 190 亿美元,比上一年增加 35%,并纳入了一项研发计划,该计划首次将人为因素研究作为明确的优先事项。
同样的思维方式正在其他国家扎根。在英国,萨斯的研究所从英国政府获得了为期多年、价值 380 万英镑(550 万美元)的资助,用于研究企业、政府和其他组织中的网络安全。社会科学的工作正在提供前所未有的视角,了解网络犯罪分子如何组织他们的业务,以及如何更好地帮助用户选择一个无法破解但又容易记住的密码。
萨斯说,这些修复并不容易,但并非不可能。“我们实际上在改变习惯方面有了很好的科学依据,可以知道什么有效,什么无效,”她说。“将这些想法应用于网络安全是前沿。”
了解你的受众
想象一下,在忙碌的工作日高峰期,一封看起来合法的电子邮件发送到你的收件箱:它说,公司的计算机团队检测到安全漏洞,每个人都需要立即在他们的机器上运行病毒后台扫描。“有一种倾向是不阅读就点击‘接受’,”在英国巴斯大学研究在线行为的社会心理学家亚当·乔因森说。然而,这封电子邮件是假的,而匆忙、恼怒的点击会使恶意软件在公司网络中传播,窃取密码和其他数据,并将每个人的计算机转换为僵尸“僵尸网络”,从而发送更多的垃圾邮件。
似乎攻击者比旨在防御他们的机构更了解用户心理。在上面的场景中,攻击的成功依赖于人们对权威的本能尊重以及他们在忙碌和分心时对怀疑的降低能力。相比之下,公司往往会强加一些与人们的工作方式严重脱节的安全规则。以无处不在的密码为例,这是计算机用户证明其身份的最简单、最常见的方法。萨斯和其他人在 2014 年发布的一项研究发现,位于马里兰州盖瑟斯堡的美国国家标准与技术研究院 (NIST) 的员工平均每天有 23 次“身份验证事件”,包括重复登录自己的计算机,这些计算机在 15 分钟不活动后将它们锁定。
这些要求大大消耗了员工的时间和精力,尤其是对于那些试图遵循标准密码指南的人。这些指南坚持要求人们为每个应用程序使用不同的密码;避免写下密码;定期更改密码;并且始终使用难以猜测的符号、数字以及大写和小写字母的组合。
因此,人们会采取颠覆手段。在另一项关于真实世界中密码使用的系统研究中,萨斯和她的同事记录了一家大型跨国公司的员工在不完全鲁莽(他们希望如此)的情况下绕过官方安全要求的方式。员工的方法(例如,写下密码列表,或使用未加密的闪存驱动器在计算机之间传输文件)在大多数办公室中都会很常见,但实际上创建了一个“影子安全”系统,使工作得以顺利进行。伦敦谷歌研究中心研究安全合规性的本·劳里说:“大多数人的目标不是安全,而是完成工作。“如果他们必须跨越太多障碍,他们会说,‘见鬼去吧。’”
1. 123456 | 6. 123456789 |
2. 密码 | 7. 足球 |
3. 12345678 | 8. 1234 |
4. qwerty | 9. 1234567 |
5. 12345 | 10. 棒球 |
2015 年十大最常见密码
来源:Splashdata
研究人员发现了多种方法来缓解员工和安全管理人员之间的这种僵局。洛里·克拉诺领导着位于宾夕法尼亚州匹兹堡的卡内基梅隆大学的 CyLab 可用隐私和安全实验室,该实验室是全球众多致力于使密码策略更符合人性的小组之一。
“我们大约在六七年前开始研究这个问题,当时卡内基梅隆大学将其密码策略更改为非常复杂的东西,”目前正在休假离开大学担任华盛顿特区美国联邦贸易委员会首席技术官的克拉诺说。该大学表示,他们正在尝试遵守 NIST 的标准密码指南。但是,当克拉诺调查时,她发现这些指南是基于有根据的猜测。她说,没有数据作为基础,因为没有组织愿意透露其用户的密码。“所以我们说,‘这是一个研究挑战。’”
克拉诺和她的同事们通过要求卡内基梅隆大学的 470 名计算机用户根据不同的长度和特殊符号要求生成新密码,从而测试了各种密码策略。然后,他们测试了生成的密码实际上有多强、创建密码需要多少精力、它们有多容易记住,以及参与者对系统有多恼火。
一个关键发现是,组织应该忘记复杂的乱码(如 0s7G0*7j%x$a)最安全的标准建议。“对于用户来说,处理密码长度比处理密码复杂性更容易,”克拉诺说。一个安全但用户友好的密码示例可能是四个常见但随机选择的单词的串联,例如使用 woodensuccessfuloutline。它有 28 个字符,比胡言乱语的例子长两倍多,但更容易记住。克拉诺说,只要系统防止人们做出像 passwordpassword 这样愚蠢的选择,那么字符串对于攻击者来说很难猜到,并且提供了出色的安全性。
是时候改变了
克拉诺说,另一个关键发现是,除非有理由认为该组织的安全受到威胁,否则强迫用户每 30 天、60 天或 90 天更改密码的标准做法介于无用和适得其反之间(参见 go.nature.com/2vq6r4)。她说,一方面,研究表明,大多数人对这些要求的反应是首先选择一个较弱的密码,以便他们可以记住它,然后做出他们可以摆脱的最小的更改。例如,他们可能会将最后一位数字增加 1,因此 password2 变为 password3,依此类推。“因此,如果黑客猜出你的密码一次,”她说,“他们不需要尝试很多次就能再次猜出它。”
此外,她说,黑客入侵时做的第一件事之一是安装键盘记录程序或某些其他恶意软件,使他们可以窃取新密码并随时进入。因此,克拉诺再次表示,“更改密码没有帮助”。
萨斯认为,有令人鼓舞的迹象表明,这些批评正在被听取。“对我来说,去年的里程碑是英国政府通信总部(GCHQ)改变了其关于密码的建议,”她说,这里指的是英国主要的情报机构。英国政府通信总部发布了一份公开文件,其中引用了一些研究文献,放弃了长期以来强制定期更改密码等做法,而是敦促管理者尽可能体谅那些必须遵守其政策的人。“用户需要管理一整套密码,不仅仅是你的密码,”其中一条建议说。“只有在真正需要的地方才使用密码。”
来源:参考文献11;图:韦斯·费尔南德斯/《自然》
《自然》新闻,2016年5月11日,doi:10.1038/533164a
攻击攻击者
如果研究能够揭示用户行为中的弱点,或许它也能找到攻击者中的漏洞。
2010年,加州大学圣地亚哥分校的计算机科学家斯特凡·萨维奇和他的团队建立了一组计算机,充当他所谓的“有史以来最容易上当的消费者”。这些机器浏览了从几家主要的防垃圾邮件公司收集的大量垃圾邮件,并点击了它们能找到的每一个链接。研究人员专注于非法药品、假冒手表和手提包以及盗版软件——这是垃圾邮件中最常宣传的三类产品——并购买了100多件商品。然后,他们使用专门设计的网络爬虫软件来追踪垃圾邮件发送者的供应链。如果一个非法供应商注册了域名、向供应商付款或使用银行接受信用卡付款,研究人员就能看到。这项研究首次揭露了计算机犯罪的整个商业结构,并揭示了其惊人的复杂性。
“这是一个新奇创业想法的终极温床,”萨维奇说,“是想象中最纯粹的小型企业资本主义形式,因为没有监管。” 然而,即使如此,也存在秩序。“假设你想要从事犯罪活动,”萨维奇解释说,例如,销售假冒药品。你通过创建网站和数据库、与银行达成协议以接受信用卡付款以及创建一个客户服务部门来处理投诉来开店——所有这些都是业务的后端部分(见上面“错综复杂的网络”图)。
“你不会自己发送垃圾邮件,”萨维奇说。“你会把这个外包给联盟商”——那些知道如何发送大量点击式信息来欺骗人们的垃圾邮件过滤器的专家。“他们会从他们带给你的任何订单中获得30-40%的购买价格,”他说。如果这个绝妙的想法被证明是失败的,那么他们就会为其他人发送垃圾邮件。
这种联盟业务模式在萨维奇和许多其他人随后的研究中得到了证实,并且适用于广泛的网络犯罪,从销售仿冒手提包到勒索软件、信用卡盗窃和其他形式的网络盗窃。所有这些都由相同的地下联盟服务经济提供支持,而垃圾邮件生成只是其中之一。其他的还包括印度的公司,人们每天都在那里输入来自验证码符号识别测试的字符——从而“证明”恶意程序是人——以及一种被称为搜索引擎投毒的新兴垃圾邮件替代方案,在这种方案中,点击看似合法的搜索结果的人会被重定向到恶意网站。
不幸的是,对于执法机构来说,追踪这种地下经济的结构很少能帮助他们逮捕相关人员;现实世界中的身份往往受到在线化名的严密保护。而且,在任何情况下,犯罪网络基础设施都具有极强的弹性。例如,2013年10月,联邦调查局成功关闭了丝绸之路,这是一个类似eBay的网站,将买家和卖家联系起来交易包括硬毒品在内的非法商品。一个月后,丝绸之路2.0上线了。当联邦调查局在2014年底关闭该网站时,仍然有其他网站涌现出来。
然而,研究人员已经发现了一些可能更有效的方法来攻击地下经济。萨维奇和他的同事发现,迄今为止最薄弱的环节是向利润中心处理信用卡付款的银行。他们受制于信用卡公司,后者的合同通常规定,任何代表商家的银行必须保证销售是合法的,并且如果客户投诉,则有责任偿还客户。很少有银行愿意承担这样的风险。“结果发现,地球上95%的假冒垃圾邮件都经过了三家银行,”萨维奇说:分别位于阿塞拜疆、拉脱维亚和圣基茨和尼维斯。2011年11月,微软与Visa合作,向这些银行施压,要求它们放弃盗版其产品的供应商。“在18个月里,”萨维奇说,“互联网上没有人销售盗版微软软件。”
然而,这并不是一个永久的解决方案:为那些可疑的软件供应商提供银行支持最终转移到了东亚,西方公司和执法机构在那里拥有的影响力要小得多。尽管如此,希望持续的研究能够在长期内产生重大影响。“我们第一次,”卡内基梅隆大学研究网络安全人性的计算机工程师尼古拉斯·克里斯廷说,“我们拥有关于地下经济的大量数据。”
克里斯廷说,在现实世界中尝试这样做:任何想要了解例如匹兹堡街头毒品交易的人都必须卧底,并冒着被杀的风险。即使这样,他们也只能对整体情况有一个零星的、临时的了解。
但是,在网络世界中,每一笔交易都会留下数字痕迹,克里斯廷说,他领导了关于丝绸之路的研究——尤其是在使用比特币等数字货币付款时。“对于经济学家来说,这是非常美妙的。” 克里斯廷和该领域的其他人已经观察到犯罪系统的发展、成熟和被摧毁,以及其他系统在它们的位置上兴起。他们已经观察到联盟的形成和解散,并跟踪了犯罪分子之间的资金流动如何帮助他们建立信任。
“我们才刚刚开始触及分析的表面,”克里斯廷说。但他预见到,这种数据的涌入将导致计算机科学与社会科学和传统执法的融合。“这实际上可能是提炼和检验现有犯罪行为理论的非常有成效的领域,”他说。
萨维奇也有类似的希望。他说,无论是关注内部还是外部,“安全方面存在太多骗局。很少有决策是基于数据的。” 他说,持续的研究可以帮助人们在证据的基础上做出更多决策。“但是要做到这一点,你必须关注相关人员——他们的动机和激励因素。”
本文经授权转载,并于2016年5月11日首次发表。