主页 > 评论关于 >终结网路犯罪(2-2) >

终结网路犯罪(2-2)

2020-07-29 评论关于 274 ℃
正文

終結網路犯罪(2/2)

第一步:不要想靠别人来保护你。

(续前文)

政府的角色

说到保护网路空间的安全,各国政府就面临深层的冲突。很多政府机构(包括美国的国土安全部)都想保护国内企业和民众不受网路攻击的威胁,但全球网路充满弱点,可能为政府某些单位带来好处。美国国家安全局(NSA)等机构秘密投资了数百万美元,寻找与利用技术瑕疵,让网路攻击人士可以控制系统。

一个人害怕的网路安全弱点会是另一个人的秘密武器,「心淌血」漏洞就是一例。如果你在过去五年用过网路,你的资料可能经由执行OpenSSL软体的电脑加密和解密。现在我们越来越常在网站上看到的锁头图案,背后的基础技术就是SSL。「心跳」(Heartbeat)是OpenSSL受欢迎的扩充元件,因为在软体开发过程犯了基本错误而产生漏洞,因此才有「心淌血」之名。想窃取资料的人可以利用这个漏洞,轻易取得加密钥匙、帐号和密码,让SSL加密所保证的安全失效。OpenSSL的这个弱点存在了两年,才由两组网路安全研究人员发现,一组是由Google的网路安全专家梅塔(Neel Mehta)领军,另一组人员则任职于总部设在芬兰的科诺康公司。几天之后,《彭博商业週刊》引述匿名来源指出,NSA已利用这漏洞进行网路窥探多年。

许多大国已经投入杰出科技人才和数百万美元的经费,想要寻找和利用「心淌血」这样的弱点。各国政府也会在公开市场购买安全漏洞,让此类交易方兴未艾。越来越多公司专门找出并包装这些重要的程式错误,例如法国Vupen Security以及美国Exodus Interlligence。事实上,有些政府虽然会研发网路防卫能力,但投资在网路攻击能力的经费更高。美国五角大厦雇用一群人研究网路弱点,而据说NSA投资在网路攻击的研发经费,是防卫能力的2.5倍。

这不代表政府一定是穷凶极恶,或是网路安全的敌人。像NSA这类机构的存在其来有自,他们的任务是蒐集情报、避免恐怖行动;为了达到目的,他们会使用任何工具。不过要确保网路空间的安全,很重要的一步就是诚实衡量政府机构培养网路弱点的成本与利益;另一个关键是充份利用政府的特权,举例来说,政府能促成或强迫企业与组织分享网路攻击的资讯。

分享网路攻击的资讯对银行特别有帮助,因为金融机构的网路攻击通常有迹可寻:网路罪犯一旦在某家银行发现某样事物有用,就会到其他银行尝试。但传统上,银行会避免揭露网路攻击的资讯,因为这样会让人怀疑这家银行的安全,也不会通知同业;在某些情形下,美国反托拉斯法甚至禁止他们这样做。然而,政府可以促进银行间的资讯交换,美国已经透过金融服务资讯分享与分析中心做到这点,服务对象包括全球的金融机构。今年2月,美国总统欧巴马签署行政命令,要求其他企业不但要把类似资讯提供给政府,也要彼此分享。

骇客帮得上忙

只要是人类撰写的程式,就存有弱点。在市场压力越来越紧迫的情况下,科技公司推出新产品的速度更胜以往。这些公司若有智慧,就该好好利用某项庞大的人力资源,那就是全球的骇客社群。去年,受史诺登(Edward Snowden)揭密NSA这类事件的影响,科技产业和骇客社群逐渐愿意携手合作。

数百家公司现在看到了骇客相助的价值,透过「漏洞悬赏」和「弱点回报」计画,提供诱因吸引个别的研究人员回报弱点和网路安全问题。1995年,网景(Netscape)公司设立第一个漏洞悬赏计画,藉此找出网景领航员(Navigator)网页浏览器的缺陷。20年后,研究显示网景与后继者谋智(Mozilla)公司在强化网路安全的众多措施中,这个策略深具成本效益。如今,网路安全专家组成各种秘密和公开的社群,分享关于恶意软体、威胁、弱点的资讯,形成某种分散式免疫系统。

随着网路空间的扩张,汽车製造商、医疗器材公司、家庭娱乐系统业者和其他产业,必须开始像网路安全公司一样思考。换句话说,研发过程就要考虑网路安全问题,在设计阶段要对产品和服务的网路安全进行投资,而不是事后补强或应付政府的命令。同样地,骇客社群也帮得上忙。举例来说,在2013年,网路安全专家科曼(Joshua Corman)和珀可可(Nicholas Percoco)发起一项称为「我是骑兵」的运动,鼓励骇客进行网路安全研究以改变世界,并且把重点放在关键领域,例如公共基础建设、车辆、医疗设备与连网家庭技术。另外,由知名的网路安全研究人员斯塔尼斯洛夫(Mark Stanislav)和蓝尼尔(Zach Lanier)发起的一项名为BuildItSecure.ly的计画,要为无安全疑虑的物联网应用程式来建立一个平台。

好消息是,这个分散式免疫系统越来越强。今年1月,Google发起新的计画,提供奖金鼓励网路安全研究人员仔细检查该公司的产品,让他们的漏洞悬赏计画更加完备。这项计画等于承认,公司即使拥有全球顶尖的科技人才,还是能利用友善骇客的外部观点。一些政府机关也不落人后,例如,荷兰国家网路安全中心制订了一项免责的揭露计画,让骇客在举报弱点时不必担心法律责任。

坏消息是,欧巴马政府在网路安全方面所採取的做法,有些在实务上可能会把研究网路弱点的常见行为与工具视为犯罪,进而弱化这个发展中的免疫系统。网路安全社群里有很多人担心,现行的「资讯诈骗与滥用法案」及修正版本对骇客的定义太广泛。若某个网站含有外洩或遭窃的资讯,你即使只是点击网站上的连结,按照该法案,你可能已经涉及赃物的非法交易。把个别的网路安全研究人员视为罪犯,会伤害我们全体,却几乎不会影响到受利益或意识型态驱使的网路罪犯。

个人才是关键

接下来几年会很混乱。我们会看到更多资料外洩,对于该交出多少数位领域的控制权给政府以换取安全,也必定会有更多激辩。事实上,要确保网路空间的安全,各个领域(科技、法律、经济、政治)都要有解决方案才行。我们一般大众也有责任。身为消费者,我们应该要求企业提高产品的安全性。做为公民,当政府刻意弱化网路安全时,我们应该要求政府负起责任。在可能发生的资料外洩中,我们或许是其中的环节,因此有责任各自做好网路安全工作。

保护自己很简单,例如随时更新软体、使用安全的网页浏览器、启用电子邮件和社交媒体帐号的双重认证。另外,我们也要意识到,每个装置都是庞大系统里的一根螺丝,任何选择都可能会有深远的影响。容我重申,网路安全就像公共卫生。勤洗手、接种疫苗,就能避免疾病进一步扩散。(完)