本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定代表《大众科学》的观点
在过去几年中,网络战的言论,即使不是实际情况,也在不断升级。似乎每天都有媒体报道据称的网络攻击——来自国家、恐怖组织或犯罪团伙——针对美国政府机构和企业。许多此类指控是由能够从增加网络安全资金中获益的个人或团体提出的,并且由于细节属于机密,他们的说法无法核实。
为了寻求指导,我求助于传奇计算机科学家戴夫·法伯,他是卡内基梅隆大学的教授,也曾在贝尔实验室、兰德公司、FCC、电子前沿基金会和许多其他机构工作过或合作过。法伯有时被称为“互联网之父”,这既是因为他在分布式计算方面的开创性工作,也是因为他指导了帮助构建互联网的研究生。他仍然深入参与关于如何最大化互联网的好处和最小化风险的辩论。(请参阅维基百科上法伯的简历。)
我之所以认识法伯,是因为他是史蒂文斯理工学院的活跃校友,我在那里任教。我也在他主持的一个邮件列表“有趣的人”中。接下来是我对我们最近在纽约市的对话的总结。
关于支持科学新闻业
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻业 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的具有影响力的故事。
法伯说,尽管一些网络威胁可能被夸大了,但互联网“非常脆弱。存在大量潜在威胁。我将其形容为在冰层之上行走在另一层冰层之上。”他和参与创建第一个计算机网络的其他人不可能预料到随着互联网的发展而出现的所有安全问题。
“网络在构建时并未考虑安全性,”他说。“你必须记住互联网是一项实验。在不担心安全性的情况下构建它已经足够困难了。我们早就知道存在一些严重的缺陷。但这就像任何其他系统一样:一旦你打好基础,就几乎没有机会改变它了。”
法伯警告说,许多网络安全“解决方案”,尤其是商业公司提供的那些,都是虚假的。“你必须警惕的是,当人们谈论他们特定的疗法时,这通常可以转化为‘给我们钱,我们就会解决问题。’但事实上,这些疗法可能什么都治不了。” 据称可以提供病毒和恶意软件防护的产品“在业内众所周知是无效的。除了最明目张胆的业余爱好者之外,没有人会编写那些产品能够捕获的病毒。那些复杂的病毒,它们永远无法捕获。”
法伯补充说,“零敲碎打的修补几乎不起作用。我们原则上知道如何构建安全的计算环境,但这并不便宜。部分问题在于,即使我为你构建了一个安全的计算机网络和安全的操作系统,你仍然有数百万台计算机无法进行改造。”
法伯指出了两种可以在不花费巨大努力和费用的情况下提高互联网安全性的方法。一种是加强安全证书的颁发,据称这可以保证在线信息提供商是他们声称的那个人。另一种方法是专注于改革域名系统,该系统现在使黑客能够更容易地对网站发起拒绝服务攻击。
法伯说,最近美国知识产权盗窃委员会(一个私人团体)提出的一个糟糕的想法是,公司应该对涉嫌的网络攻击者进行反击。法伯说,这种策略不仅不会抑制网络攻击,反而可能导致更多的网络攻击。此外,一家公司可能会决定,“那家伙的竞争太激烈了,让我们通过诬告他进行网络攻击并进行反击来让他破产。”
法伯说,美国无疑是包括盟友在内的许多其他国家进行网络间谍活动的目标,目的是获取工业商业机密。“我假设朝鲜、中国、法国、英国和其他所有国家都试图渗透我们的计算机系统。多年来,他们一直在现实世界中从事[间谍活动]。多年前,法国就被抓到这样做,寻求商业优势。”
但法伯怀疑来自中国的威胁被夸大了。“考虑到我们按现状向他们提供一切,我们把工厂搬到那里,我们教他们如何制造东西,我很难相信中国在[工业间谍活动]上投入了很多。” 此外,仅仅因为攻击源于中国,并不意味着政府赞助了它们。“我确信政府正在做一些事情。但有些事情只是因为有很多人拥有做这件事的工具而被做出来。”
法伯将日益升级的网络攻击威胁比作二战结束后出现的核武器军备竞赛。法伯说,正如著名的物理学家曾经领导控制核武器风险的努力一样,顶尖的计算机科学家也应该帮助制定政策来降低信息技术的风险。
法伯说,防止网络战在某些方面是一项更为复杂的任务;很少有国家有资源制造核武器,而且他们知道谁是潜在的核对手,因此可以用报复的威胁来威慑攻击。相比之下,潜在威胁数不胜数,而且你通常无法确定是谁在攻击或威胁你。
“你真的必须做好取证工作,”法伯说,以追踪攻击的实际来源,避免虚假指控和不合理的反击。“如果各国愿意合作,那么在识别攻击者方面可以做更多的事情。”
法伯最担心的是网络攻击不是来自国家,而是来自自由职业的犯罪黑客。“没有办法轻易抓住他们,他们数量庞大,而且他们的动机千差万别。他们可能是为了获取可以出售的信息而这样做。他们可能是受人雇佣而这样做。他们可能是为了抗议某些事情,没有什么比重大事件更能为他们的事业带来宣传效果。”
法伯担心“雇佣黑客的问题可能会变得更糟,因为我们正在培养一些找不到体面工作但训练有素的孩子。” 网络攻击可能对人们的生命构成直接威胁。“现代医院现在都连接到网络。对一家大型医院进行拒绝服务攻击会怎么样?对我们的电力系统进行智能攻击将是一场噩梦。”
如果他是“网络沙皇”——负责所有网络安全——法伯将组建一个专家组来“深入挖掘问题的根源”。该小组将确定网络安全威胁在多大程度上“是真实的,在多大程度上是不真实的”,并将提出如何在“相对较少的工作量下”提高安全性。该小组将由“没有不可告人的动机,没有利益冲突”的人组成。他们可能倾向于年龄较大、经验更丰富的人,这些人不会觉得必须表达自己的观点,无论对错或无关紧要。”
法伯说,国家安全局人员可以提供技术指导。“我是否认为他们有非常优秀的人才?是的。我信任他们吗?没那么信任。但我信任国家安全局胜过信任一家”销售安全服务的公司。法伯和我在有关国家安全局“收集数百万美国Verizon客户的电话记录”的报道发布前不久进行了交谈。
法伯不仅对安全,也对数字隐私表示担忧。“我非常担心谷歌眼镜,”他说。“当你直接连接到网络,并且拥有摄像头时,这有点可怕。” 法伯表示,如果 20 世纪 50 年代领导反共“政治迫害”的参议员乔·麦卡锡拥有“我们现在拥有的工具,他就无需说,‘有人说你和……见过面’。他只需说,‘你 10 年前给这个人写过这张便条。’”
我希望戴夫·法伯的观点能够引发建设性的回应。
图片来源:史蒂文斯理工学院