保护网络安全比建造桥梁更困难
2016-05-17胡德良编译
胡德良/编译
保护网络安全比建造桥梁更困难
胡德良/编译
互联网的分布范围越来越广,激发了人们对其节点和连接进行艺术可视化描绘,如上面这些可视化效果图,分别创建于2003年(左)、2010年(中)和2015年(右)。图中视觉复杂性的显著提高反映了十几年来互联网的发展:2003年有40万个网站,2015年就达到了10亿个网站。在这些网站中,任何一个网站都有可能向你发送恶意软件。那么,怎样才能抵御可能来自十亿个方位的任何攻击呢
● 保护互联网和在线计算机系统,使其不受攻击,是一个既困难又繁杂的问题,以下就是其中的原因。
关于新型网络攻击和黑客们对漏洞利用的报道源源不断,因而不难得出结论:网络安全的整体状况很糟糕。其他工程系统(如桥梁)的开发者似乎已经设计出可靠的方法来确保他们产品的安全。为什么这种相对的稳定性没有出现在互联网计算机中呢?通过检测计算机系统工程师所面临的一系列威胁,并将其与桥梁工程师所面临的威胁进行对比,可以证明两者之间的确存在显著差别,而这些差别有助于解释为何网络安全更加复杂。不过,大幅提高网络的安全性还是有希望的。
问题的严重性
网络安全问题已经成为公众日益关注的问题,该问题也是政府首先考虑解决的问题。最近的报刊头条新闻中包括:美国人事管理办公室的资料泄露危及到2 200万名联邦雇员的机密档案;国歌医疗保健系统的资料泄露事件暴露了7 900万人的个人信息;塔吉特百货公司通过偷盗手段获取了4 000万人的信用卡和借记卡信息;对索尼电影娱乐公司的攻击导致了数据资料和3 000台计算机上启动软件的损毁,而且公开了尚未发行的电影以及高官们令人尴尬的电子邮件。对于电力、供水、通信和交通等关键基础设施的网络攻击,政府官员们公开表示担心。他们的担心是有道理的,例如,2015年12月,对乌克兰电厂的网络攻击使80 000用户停电。研究人员已证明,汽车、飞机以及医疗设备中存在许多漏洞,这些漏洞一旦被利用,可能会带来致命的后果。
关于网络安全事件的范围和动态方面的可靠数据极为罕见。安全公司定期发布安全报告,但是他们的发现一般仅仅限于通过调查或通过监视客户而收集起来的数据,这些报告很少显示某个财政季度或财政年度的动态。NetIQ软件公司的大卫·谢泼德(David Shephard)从众多来源中选出了一份包含84个“最可怕”的事实和趋势的清单。位于清单前列的是:一项调查发现,2014年71%的组织因网络攻击而受害。他的统计显示:检测到的网络事件有所增加,其中包括从2013年到2014年,针对电力和公共事业公司的网络安全事件增加了517%。2013年,各公司处理每个事件的平均花费为350万美元。美国计算机紧急预备小组获取的报告同样显示:网络事件有所增加,从2006年的大约5 500起增加到2014年的超过67 000起,增加了十倍多。战略及国际研究中心和麦咖啡杀毒软件公司指出,由于网络犯罪,他们每年要付出3 750亿美元至5 750亿美元的代价。
美国政府将所有被报道过的在网络攻击中可以被利用的软件漏洞留存在一个国家级数据库中。该数据库表明:从1997年到2006年,软件漏洞呈稳定的上升趋势;之后,软件漏洞的数量平缓下来,每年维持在4 000至7 500个。尽管这种平缓的趋势听起来是个好消息,但是要记住:一个漏洞就可能会影响到数亿个用户。大多数漏洞存在于顶级的操作系统和应用软件中,包括那些来自苹果(2015年存在1 147个漏洞)、微软(1 561个漏洞)、奥多比(1 504个漏洞)等公司的软件。考虑到微软公司的Windows和苹果公司的Macintosh,仅仅两种操作系统就占有台式电脑95%以上的市场份额,那么实际上每台台式电脑的操作系统都是易遭受攻击的。
这种令人感到惋惜的状况并不是由于对网络安全缺乏关注造成的。自20世纪60年代起,计算机和信息安全就一直是让系统设计师和操作人员的感到头痛的事情。到1965年,信息保护被当作操作系统的六个基本问题之一,而且50年来一直是人们倍加关注的问题。这些安全技术反映出几个基本主题:隔离、访问控制、加密、认证和监控。但是,许多网络攻击是直接针对安全技术本身的,例如,猜测密码或对加密协议和防毒软件的漏洞加以利用。
计算机系统和桥梁
其他类型的基础设施(如桥梁)是否也跟网络系统一样易遭受攻击呢?或许,桥梁的物质性质使其看起来更容易被损坏。但是,根据维基百科的统计:自从2000年,全世界的桥梁故障事件不到100起;美国土木工程师协会报告说:在美国607 000座桥梁中,有11%存在缺陷,这些都是经过检查而确定下来的已知缺陷。不管是从绝对的角度还是从相对的角度来讲,这两个数据都比网络安全事件和软件漏洞少得多,桥梁的现状比计算机要好得多。
计算机系统与桥梁有着共同之处。两者都属于通过工程设计由物理构件建立起来的结构,工程师们都要从具体规格入手,根据各自的关键功能,设计出性能目标;两者都跟经济、高效的流量有关,一种是信息流量,另一种是车辆流量;两者都跟可靠性、安全性相关;两者在不同程度上都容易受到构件故障和电力故障的影响,同时也都容易受到外部环境因素,如地震、洪水、龙卷风、飓风、风蚀、老化和流量负载的影响;尽管威胁的性质不同,但两者都要面对威胁。通过对网络安全和桥梁安全构成威胁的一些主要方面进行检测,就可以揭示为什么网络安全问题如此棘手、为什么网络安全问题普遍存在了。
禁止访问
大多数桥梁是向公众开放的。尽管一些桥梁要求司机付费,但是对于绝大多数车辆来说并不禁止通行。相比之下,多数网络系统对公众是关闭的,原因显而易见——这些网络系统是用来储存和处理个人通信、财务数据、医疗记录和商业秘密等敏感信息的,这些信息都跟个人和机构密切相关。为了确保只有经过授权的用户访问,网络系统要求用户通过一个涉及某些验证手段的登录程序,如密码。所有的计算机系统,不管是向公众开放的(如那些图书馆中的系统),还是关闭的,都需要对用户的所作所为加以限制,这样用户才不会有意无意地破坏系统文件,不会在计算机上植入恶意代码。否则,某些用户就会干扰系统的正常运行,进而影响到其他用户。
为了实行这些限制措施,计算机系统利用一系列复杂的访问控制手段,其中不但包括登录机制,而且也包括通过操作系统和硬件实施的隔离技术。这些限制措施要确保用户只能访问经过授权的数字对象,如文件资料和数据库资料,要确保用户只能进行得到许可的操作和交易。而实施这些限制要比在桥梁上安装收费亭和铁丝网复杂得多。
安全技术发展年代表
在计算机内部的数据安全方面,操作系统的访问控制取得了巨大的进步,但是这种控制并不能保护通过网络传输的数据。的确,绝大多数网络数据容易遭到窃取和损坏。保护网络数据需要利用一套完全不同的安全控制措施(如常用的保密方法就是进行数据加密和数据认证),而利用交通监视器便可对可疑的活动实施监控。网络安全造成的监控问题很棘手,而桥梁等公共场所出现的问题却没有那么棘手,因为在这些地方任何人都能够遵守车辆流动规则。
防止攻击
除战争时期外,桥梁是很少遭到公开袭击的。桥梁上有可能被人乱写乱画,或者被示威者封堵,然而即使这样的事件相对于网络攻击来说,也是很少见的。针对网络系统的攻击经常不断地发生,因此我们必须利用防火墙和杀毒程序在每天的每一秒钟都进行实时监控,对入侵病毒和恶意软件进行拦截和检测。
跟桥梁相比,网络空间是更加具有吸引力的攻击目标。原因有好几个,其中最重要的原因是网络系统中包含有价值的数据。正如塔吉特百货公司的泄露事件,入侵者窃取了信用卡和借记卡数据,用以抢劫银行账户。他们窃取商业机密和其他可以出售的数据来当作竞争的优势。他们下载并披露使受害者尴尬的数据资料,或者扬言要披露利用安全漏洞获取的敏感资料,以此向受害者勒索钱财。甚至你认为除了你自己对其他任何人都没有价值的资料,都有可能被勒索软件敲诈一把。这种勒索软件会为你所有的数据资料加密,要求你为解锁支付高额费用。一个民族或国家通常会妥协于敌对方或盟友方系统以获取情报。中国在无数次泄露事件中受到牵连;朝鲜对描绘其国家领导人实施暗杀阴谋的一部电影表示反对,与之相关的一个组织因对索尼公司实施攻击而受到指责。
此外,网络攻击需要的费用相对较低,容易开展,肇事者承担的风险较低,黑客的工具包在互联网上很容易得到。长期以来,年轻的黑客们被侵入他人系统的那种兴奋感所吸引,像“匿名者”这样激进的黑客组织发现,网络攻击是一种表示抗议的便捷手段。对于罪犯来说,网络犯罪比抢劫银行之类的传统劫案风险更低。
用户错误
网络系统比桥梁更容易受到用户弱点的影响。在通过桥梁时,粗心的司机可能会阻滞车流或损坏护栏,仅此而已。而无知和粗心的用户会对网络安全带来持续不断的风险,他们会挑选安全性偏弱的密码、打开包含恶意软件的附件、点击通往恶意网站的链接、丢掉笔记本电脑和其他便携设备、陷入骗取用户名和密码的钓鱼网站。在浏览合法网站时,即使细心的用户也会通过“路过式下载”而成为受害者,因为该网站已经受到侵害,被植入了恶意软件,这些软件自动地感染了他们的电脑。
除了用户之外,系统管理员也可能会成为造成漏洞的一个环节,例如,没有设置安全系统、没有安装补丁、没有删除过时的账户、没有对安全报警做出回应,等等。对于新发现的漏洞,管理员需要尽快地安装补丁。但是,管理员并不总是能够做到快速回应。肯纳证券公司发现:漏洞在60天之内被利用的概率会达到90%,但是各公司平均需要100天至120天的时间才能把补丁安装好。
用户达不到要求的原因之一是:通常采取安全措施是不方便的,安全措施会影响他们实现目标的能力。例如,用户通常不喜欢利用像这样的15位密码“7t$xKQ34(2@ad9#”;当忙于其他事情的时候,他们不愿意安装更新软件。他们感觉难以利用加密文件,难以识别带有恶意附件和恶意链接的电子邮件。有些用户没有认识到其中的危害,他们在工作场所不顾安全保护措施和规则,一心只想尽早完成工作。
代码的复杂性
网络系统是非常复杂的。两个主要的桌面操作系统Windows 10和Mac OS 10.4的代码行数分别达到5 000万行和8 600万行。任何桥梁都没有这么多的组成部分。
一个操作系统每行的编码中都包含着潜在的错误,这些错误有可能会危害到安全性。对于研发人员来说,找到并除掉5 000万行操作系统代码中的漏洞是极其困难的,这也就是每年都会揭露数千个新错误的原因。错误加上软件应用,包括浏览器、电子邮件、数据库系统和文件处理工具,问题就很快变得难以对付了。此外,即使软件产品在传送过程中不存在已知的安全漏洞,后门程序和恶意代码也可能会植入到供应链的某个环节中。例如,有人举报,流氓零售商将收集数据的恶意软件安装在使用Android系统的手机上,这种手机是在中国制造的,也主要是在中国销售的。
更糟糕的是,网络系统是动态的,是不断发展的。美国土木工程师协会报告说,桥梁的平均寿命为42年,但是软件系统的寿命要短得多,软件系统是用“年”而不是用“十年”来衡量的。软件系统需要不断地升级,新增的和修改的部分通常含有新的漏洞。相比之下,桥梁在其寿命期限内是稳定的,很少需要更换部件,只是需要定期进行刷漆和检查之类的基本保养。
抛开这一切不讲,网络安全本身也有着理论上的局限性。20世纪80年代,安全先驱兼计算机科学家弗雷德里克·科恩(Frederick B.Cohen)证实:要想开发出一款能够检测出所有计算机病毒的杀毒工具,那是不可能的。对于桥梁的安全架设来说,是否存在理论上的局限性,我们还不清楚。
连通性
几乎可以肯定的是,网络系统相互之间是连接起来的。攻击可能会来自任何方向,其来源是难以寻找的。桥梁之间的连接并不那么直接,一座桥梁遭遇攻击或者发生故障不会殃及另一座桥梁。
20世纪80年代,通过网络互连启动的第一批自动攻击中包括病毒和蠕虫。1988年,臭名昭著的莫里斯蠕虫在几个小时内搞垮了当时10%的互联网,导致计算机紧急响应小组在美国卡内基梅隆大学成立。恶意软件无处不在,杀毒软件的开发成为一个较大的产业。反钓鱼工作组报告指出:2015年第一季度,全球恶意软件的感染率为36%;其中挪威感染率最低,为20%;中国感染率最高,为48%。
对桥梁的攻击需要某种实物的存在,如炸弹、空袭或大规模抗议活动。相比之下,在网络空间中,远程攻击是很常见的。直接攻击你的那个地址很可能不是作恶者的地址,因为多数攻击者都会通过多个主机中转,以混淆攻击源的归属地。
连通性还能够使攻击者将受到感染的计算机集合起来,构成大型网络(被称为“僵尸网络”),用来发动攻击和发送垃圾邮件。这些僵尸网络被用来进行分布式拒绝服务(DDoS)攻击的情况特别普遍,也就是利用流量洪泛来攻击选择的目标,并将其关闭。洪泛峰值时的流量达到每秒钟数百吉比特,会造成重大的破坏。在2012年末和2013年初,伊朗的一个组织利用DDoS攻击关闭了好几家银行网站的业务,流量达到每秒钟120吉比特,此次攻击是作为一种抗议手段而实施的。
影响安全最大的因素之一是,出现了通过廉价的无线技术就可以实现的物联网。另一个因素是互联网地址在数量标准上发生了变化,从32位数增加到128位数,可以利用的互联网地址从大约43亿个增加到实际上的无数个——超过了3.4 x 1038个。现在,几乎所有的设备和器械都可以连接到互联网。物联网的快速发展被广泛地认为是一种灾难性的安全隐患,因为一些个性化的设计师为了彰显像无线连接之类的基本性能而常常削减操作系统,不再保留安全技术。跟商业操作系统相比,这些设备包含的漏洞要多得多。
现在,网络系统是每一个基础设施的基本组成部分,深深地扎根于产业控制系统中。如网络系统用于电网运行、运输管理系统、财务处理、油气运输、水源处理与分配、堤坝控制,等等。因此,一旦网络系统遭到攻击,后果可能远远不止是对计算机及其所存储信息的破坏,这可能会成为一种破坏许多物质系统的途径。政府官员和安全专家越来越担心的问题是:针对关键基础设施进行的破坏性网络攻击,可能会造成致命的损失和巨大的经济影响。
市场的力量
通过许可协议免除责任后,网络软件的供应商通常不用为产品中的瑕疵担负法律责任,我们被迫“原封不动”地接受他们的产品。相比之下,桥梁的建设者对于建设失误造成的故障事件要负有法律责任。
此外,软件公司把产品推向市场的时候也承受着巨大的压力。如果在开发产品时花费的时间太多,那么公司将会失去市场份额,其他公司就会赶在前面赢得消费者。这样造成的一个后果是,销售商会对寻找漏洞和修补漏洞所花的时间加以限制。安全软件生产企业Prevoty公司发现,79%的公司发售的应用软件含有已知漏洞。据报道,在公开发布的应用程序中,几乎半数程序在至少80%的时间里含有已知漏洞。超过70%的公司称,由于商业压力通常顾不上考虑安全问题;而85%的公司表示,漏洞修复严重影响了按时发布软件的能力。
另一方面,人们往往认为,如果公司的计算机系统遭受攻击,那么该公司应该为顾客的损失承担责任。为了解决安全漏洞导致的集体诉讼,塔吉特百货公司为客户设立了1 000万美元的基金,用来补偿支付卡数据泄露造成的损失。
解决安全问题还有希望吗?
尽管网络安全问题的现状好像不容乐观,但并不是所有的消息都是坏消息。跟世纪之交的时候相比,现在的软件开发商对待安全问题要严肃得多。这些开发商听从客户的要求,承诺更加严密地保护客户委托的个人资料,他们对破坏性攻击带来的诉讼感到恐惧。例如,微软公司使用安全开发生命周期(SDL),这是该公司创建的一种软件开发管理流程,用来强制执行安全编码操作。采取SDL之后,公司软件中的漏洞大大减少了。据报道,近年来漏洞的数量趋于平缓,毫无疑问,其中的一个原因就是软件行业对安全性更加重视了。即便如此,很多人仍然没有将安全性当作优先考虑的事,仍然在安全性和功能、性能之类的其他目标之间做权衡。
网络安全联盟也对日益增加的威胁做出反应,他们提出安全操作网络系统的新技术和新准则。尽管没有任何一项安全技术可以保证某个系统的安全,但是利用这些技术,同时进行公认的安全操作,会给入侵者和恶意软件造成许多障碍。联邦政府和计算机行业列出20条关键的安全控制措施,如果人人都能够按照这些规程行事,成功的网络攻击事件就会大幅下降。
此外,在计算机行业的帮助下,政府正在采取更多的措施去寻找那些应该为网络攻击事件负责的人,关闭僵尸网络和用来发布恶意软件、支持网络攻击的网站。政府和业界正在共享更多的威胁情报,以便使企业能够更好地保护自己的系统。
尽管网络攻击事件一直在上升,但同时我们对网络系统的利用也一直在增加。加拿大国际治理创新中心的埃里克·贾丁(Eric Jardine)做了一项有趣的研究,该研究发现:跟互联网的发展相比,危险因素的增长正缓慢下来,甚至出现了下降的趋势。这样的结果令人鼓舞,至少表明我们并没有被这些威胁远远甩在后面。
[资料来源:American Scientist][责任编辑:丝 丝]