论文部分内容阅读
网络攻击正在呈指数式增长,真正的网络战争的威胁也在上涨。我们从最近发生的几起网络攻击中可以学到一些经验教训,在阻遏网络犯罪、间谍活动和网络战争方面有更多的了解。
俄罗斯的反病毒公司卡巴斯基实验室CEO尤金·卡巴斯基(Eugene Kaspersky)承认,去年的某天,他的脑海里曾闪现一个念头,他可能会死于一场由网络攻击引起的飞机失事。卡巴斯基是个折中主义者,同时还有着孩子气般的幽默。当我去位于莫斯科郊区的卡巴斯基实验室与他会面时,他正在大嚼日本产的用糖腌制的冰冻蟹仔,而后他又想起让我看他在莫斯科一条街道上买的男士短裤,上面印着“由卡巴斯基反病毒软件进行防护”。但是,当我们的话题转到2009年4月1号的前几天时,他的神情变得严肃起来。
2009年4月1日,计算机蠕虫病毒Conficker的创建者之前声称会对ConScker进行升级,但是没人知道升级后的结果。Conficker代码稍稍调整,就可能导致约300万台被感染的计算机(这些计算机构成一个僵尸网络)对公司或政府的网络发起攻击,或发送数以亿计的垃圾邮件,或进一步提高蠕虫的传播速度。“打个比方,如果你有100万真人士兵组成的军队,你可以做什么?”卡巴斯基煞有介事地问我。“任何你想做的!”他沉默了一会儿,给我时间思考这个比方。“我们在等着4月1号的到来——等着发生什么事情。我查了行程表,确认我那天不用坐飞机。我们对Conficker会做什么一点儿谱都没有。国家安全官员们也异常紧张。”那最后呢?“什么也没发生。哎呀!真是松了口气!”卡巴斯基大声地说。他在胸前画着十字,双手交叉,眼睛望向天花板。
2009年春天,人们对Conficker(尚有大量计算机被感染,但此病毒一直处于非活动期)的动向一无所知,那时的情形恰恰反映出人们当前的窘境,对于网络安全将会变得多么糟糕,人们依旧一无所知。未来的趋势并不乐观:参观卡巴斯基实验室,或任何一家计算机安全公司和研究前哨站,你很快就会发现,恶意软件越来越难以检测,垃圾邮件发送速度越来越快,黑客攻击次数越来越多,对金融方面的影响也越来越大。安全专家和黑客之间的对抗就像在搞军备竞赛,谁也不肯妥协。以卡巴斯基为例:其工程师和密码学家不只限于研究更快的自动检测病毒方法,还会搜索本国语言的黑客博客,发掘黑客未来动向的蛛丝马迹。他们愿意尝试任何方式以求得胜利。
黑客攻击不断发生,应对之道也可谓巧妙多样,但前者依然快于后者。同时,带有复杂意义的电子间谍活动也在扩展中。谈到摩尔定律——集成电路上可容纳的晶体管数目,约每隔2年便会增加一倍,美国国家安全局前任总顾问、美国国土安全部前任政策主管斯图尔克·贝克(stewartBaker)说,“在过去的十多年,我们发现摩尔定律更适用于那些心怀恶意的人,”事实是,摩尔的“法外之徒”正在赢取这场战役。代码越来越复杂,意味着入侵代码的机会在增多,能赚到的钱在增多,伺机入侵漏洞的黑客也在增多。如果你观察一下恶意软件、黑客攻击或涉及其中的人数,你会发现其增长是呈指数式的。
在低级冲突持续上演的同时,爆发真正的网络战争的威胁也在上涨。FBI称,100多个国家已成立了从事网络间谍行为的组织,并且据计算机安全公司McAfee于2009年11月发布的报告显示,至少有4个国家——美国,俄罗斯,以色列和法国——正在开发真实的网络武器。(5月,美国参议院确定了由国家安全局局长基思·亚历山大将军担任新近设立的美国网络司令部的部长。)这些网络武器能够击溃军事通信网络或电网等基础设施。网络战争将以光的速度升级,洲际弹道导弹的速度根本不能与它相提并论。“与核武器一样,网络武器会给大批的人带来灾难。但它们之间有个很大的不同,即网络武器非常便宜!几乎不用一分钱。”俄罗斯国家安全委员会委员、莫斯科国立大学信息安全问题研究院院长弗拉得米尔·台斯亚克(Vladimir Sherstyuk)说。
目前,网络战争很大程度上仍是推理性的,未来或许真会出现一些专门的网络武器。但黑客和恶意软件对个人和商业的重重攻击和围困却无时无刻不在发生。这两种形式的冲突都使用网络作为媒介,因此他们将来可能还会使用某些相同的方式。或许最重要的是,在后者创造的黑暗混乱的环境下,前者会更容易发生也更加危险。“打击僵尸网络,打击商业间谍活动等,将不能解除网络战争的威胁。”前白宫安全官员、《网络空间的战略战争》(Strategic War in Cyberspace)一书的作者格雷格·拉特里(Greg Rattray)说。“但一个更加干净的生态体系将使网络战争行为更易被发现,使我们更易抵御其侵袭。”
从根本上说,技术漏洞应对目前的混乱状态负全责。网络的很多组件在最初建构时就不够安全。来自联邦机构、国家研究理事会和各智囊团如兰德公司等的报告一份接着一份,明确表示若要永久修复网络空间的安全,就必须加快硬件、软件和网络技术的研究和开发,使之更具安全性,并且要加速这些安全科技的实际应用。去年11月份,美国国土安全部提交的报告再次总结道:“唯一的长期解决之道……是确保这些技术的下一代从设计到应用的方方面面都是安全的。”
然而要实现网络安全,就不能坐等网络重建的那一天。现在,我们还必须解决很多其他的系统问题,包括:常规的安全操作常常被用户忽略,国际合作如同技术一般漏洞百出,网络服务提供商在封堵恶意流量方面无所作为,等等。“无论我们要采取哪些行为,强化目标——健全法律法规和提高执行能力——都是最基本的要求。”白宫网络安全高级主管克里斯多佛·佩恩特(Christopher Painter)在最近一次会议中指出。麻省理工《科技创业》杂志调查了近期发生的两件事——荷兰对本国Shadow僵尸网络的特殊调查,和2007年波罗的海小国爱沙尼亚受到的网络攻击——希望从中汲取教训,学习如何更好地监管和防护漏洞百出的网络空间,并为有可能发生的网络战争做准备,尽管我们希望网络战争永远不会发生。
僵尸网络
来自荷兰斯尼克小城的诺丁·纳西里(Nordin Nasiri)当时年仅19岁,但他已然做到了我们大多数人都无法做到的事:他非法控制了来自全球的约15万台计算机。通过向受害者发送伪装成Windows Live Messenger中的联系人发来的信息,他将不知情的受害者聚拢到一起,组建了一个僵尸网络。那些点击信息中的链接的人会下载到病毒,受感染的电脑就成了僵尸计算机,在2008年夏天,纳西里决定以2.5万欧元出售被他命名为Shadow的僵尸网络,此举受到美国的指控。
网络安全的最大威胁之一便是僵尸网络。它们是垃圾邮件背后的发送引擎,通过欺诈和身份盗窃使垃圾邮件长盛不衰。(网络安全公司MessageLabs的最近一份报告指出,每 天发出的大约1300亿份垃圾邮件中,有92%是僵尸网络所为。)它们还应对拒绝服务攻击等威胁负责,拒绝服务攻击指的是公司或政府的服务器受到大量僵尸计算机的流量冲击时会因流量过大而无法正常工作,甚至最终崩溃。数以千计的僵尸网络蜂拥至数字端,其中不乏由百万台电脑组成的强大僵尸网络。“僵尸网络是真正的祸源,是很大一部分恶意行为的传播媒介。”位于圣塔芭芭拉的加州大学的安全研究员和计算机科学家克里斯多弗·克鲁格尔(Christopher Kruegel)说。
随着纳西里案件的水落石出,可以看出这是一个成功查处跨国僵尸网络的案例。在美国,FBI收到关于纳西里的消息后通知了荷兰国家警察署高科技部,随后该部门抓获了纳西里。荷兰调查人员采取了一种不寻常的做法,他们向反病毒公司寻求协助,删除了受感染计算机中的病毒,随后接手了此僵尸网络(其服务器在荷兰)的命令和控制系统。“他们想换个新方法来对付僵尸网络。”协助荷兰警方完成这项任务的卡巴斯基实验室的反病毒研究员罗尔·受文伯格(Roel Schouwenberg)回忆说,“但这样做是有风险的,黑客可能会偷走这个命令和控制系统。”
问题在于,美国和荷兰只是进行了一次性的合作而已。Shadow遭封闭前后,另一僵尸网络Grum正强大起来。Grum的命令和控制系统由一家名为Steephost的乌克兰公司占有。2009年11月,美国计算机安全公司FireEye的研究员亚历克斯·兰斯顿(Alex Lanstein)给Steeghost滥用(abuse)的通知地址写了一封诚挚的电子邮件。“你好,Abuse,”他说,“我想你应该有兴趣知道有一个犯罪网络的出处是你。”他摆出了Grum和其他恶意网站的诸多证据,但并没有得到回复。几天之后,他发现这个僵尸网络像是给自己罩上了一块遮羞布:其滥用的网络地址指向了伪造的电子商务主页。今年3月,计算机安全公司Symantec表示,整个网络中有24%的垃圾邮件都来自Grum,相比2009年该数字是9%。
我们还无法找到Steephost的持有人对此作出回应,但他们根本不会担心对兰斯顿等安全专家的不屑一顾会招致什么后果。僵尸网络能够自由运行,不受国界限制,而执法还远远落在它后面。目前,旨在加强国际调查合作的网络犯罪欧洲公约已有46个国家签署,大部分签约国是欧洲国家,也包括美国、加拿大、南非和日本。但俄罗斯和巴西还未签署这份公约,这两个国家和美国都是黑客攻击的主要来源国。而一些签约国如乌克兰等,并没有积极努力地对抗僵尸网络。并且,签订全球性公约的尝试已陷入僵局。“僵尸网络是一个重大的威胁,若没有国际协议一致同意各国都应对网络犯罪采取相当严格的对策和执行的话,我们的运气也就到头了。”加州大学伯克利分校的计算机科学家韦恩·帕克森(VernPaxson)说。帕克森专门从事大规模网络攻击的研究。
考虑到达成一项全球协议的前景黯淡,美国正致力于和一些黑客攻击主要来源国达成双边协议,包括俄国。俄国目前只在追捕本国网络罪犯方面与美国保持专案合作——最近协助美国抓获了藏匿在俄罗斯的几名罪犯,这些罪犯对利用网络盗窃苏格兰银行的1000万美元供认不讳——但不允许别国的执法机构进入其网络。而俄罗斯信息安全大亨Sherstyuk依然对我说:“我们希望在信息领域协助相关部门设置法规。我相信我们能够一起完成很多事。”
多数网络服务提供商,虽是另一股起防御作用的潜在力量,但为网络安全所做的努力也只能说是半心半意。网络服务提供商有能力辨别和隔离网络中受感染的计算机,因此可以抑制垃圾邮件和黑客攻击。但实际上,大多数网络服务提供商只会注意那些非常有害的计算机,他们会连同其他网络提供商一起封锁该计算机的流量,给予还击,而对其他危害不大的计算机则全部忽视。提供更多的带宽比直接解决问题要便宜得多,荷兰代尔夫特科技大学的技术与政策专业教授麦克·范伊腾(Michel van Eeten)说。他以澳大利亚的一家网络服务提供商为例证,该提供商曾考虑采用自动切断受感染计算机的技术。但不久,这一计划就被取消,原因是每个月有大概4万名不知情的用户会拨打用户支持热线,怒气冲冲地质问为什么他们不能上网以及如何清除计算机中的病毒。“网络服务提供商一般只对那些对它们采取对抗措施的僵尸计算机有所行动。”范伊腾说,“但这样的行动也不会太多,因为大规模采取行动会受成本因素的影响。”
至于荷兰的纳西里案件,则表明哪怕调查过程十分顺利成功,到提起公诉时也会面临不小的麻烦。今天,纳西里正在荷兰等待最后的判决。但其同犯,一名巴西人却逃过了审判。美方控诉称,这名巴西人作为中介,安排了买方和纳西里之间的买卖。他似乎是当场被抓获的。但去年,美国撤销了对他的指控,理由是缺少关键目击证人。荷兰警方称,他们将这名巴西人送到了阿姆斯特丹的史基浦机场,他坐上了回巴西的飞机,从此又是一个自由人。
间谍活动
据渥太华的网络取证公司secDev Group和多伦多大学的研究员(包括沃尔顿)的调查显示,一些间谍锁定目标有印度的各级国家安全机构。受危害数据包括印度和全球人权积极分子的个人、金融和商业信息。帕克森说,“目前,我们缺乏度量间谍行为的工具,但看起来似乎明显的是,间谍活动正变得越来越猖獗,很多的间谍行为,只是我们还没发现而已。”
“随着网络犯罪的指数式增长,私立组织和公共机构查看一下自己的网络,就会发现网络渗透行为。”麻省理工的计算机科学和人工智能实验室的计算机专家约翰·马勒里(John Maullry)表示。“本质上就不安全的网络基础设施和组件都或多或少地影响着所有的组织机构,它们从最初设计时就是有缺陷的,充其量,也只是逐渐在改进一部分安全措施。今天,黑客在网络架构层面占据了优势,其发展比网络防护者还要快。所以组织团体能做的只能是将有价值的信息单独储存,不给黑客窃取的机会。
正如马勒里所说,我们应该做好有所损失的心理准备,并时刻保持警惕,因为没有哪个网络基础设施是真正安全的。虽然可以应用最先进的防火墙,但是防火墙一般用来封堵恶意网站,而一些间谍人员利用了看起来没有问题的媒介,如谷歌论坛(Google Groups)、Twitter、Yahoo电邮等。黑客将恶意软件嵌入微软Word文档或PDF文件中,用看似友好的电子邮件地址(地址可能是伪造的,也可能被黑掉了)发送出去。若接收人用较弱版本的Adobe阅读器或微软办公套装打开附件,其中的间谍软件就扎根于此计算机上了。
幸运的是,一些新兴技术已经针对间谍行为提供了解决方案。网络间谍活动通常包含发送恶意命令给被感染计算机,并使之返回命令要求的数据。检测出这些命令的签名,然后进行封堵,是克鲁格尔的目标。他正在研发的这项技术甚至可以在未发现初始感染的情况下依然找出这些命令。即使黑 客可能危害到计算机,但若能快速及时地发现这些命令,“你就能瞄准目标,击倒他们。”他希望这种技术在一年内能推向市场。
政治方面做出改变也可以改善状况:目前并没有任何公约能够阻止一些间谍行为。尽管联合国条约在人权方面做了强硬的声明,且常被援引来谴责一些国家的行为,但还没有其他类似的公约用来解决政治、商业和人权领域的数字掠夺。“由于没有全球性的公约,网络犯罪正在变形为网络间谍活动,”多伦多大学公民研究技术研究室的负责人罗纳德·德贝特(Ronald Deibert)说,“达成一项全球公约有助于政府对自己的行为负责。你可以说:看,这是公约,你没有遵守规定,但公约上有你的签字。”同时,我们还能预测网络间谍行为盛行的最坏后果。“我们应该把它看成是一个小窗口,我们通过这个窗口会看到更大的问题,看来我们只是伸手触到了整个池塘的一点而已。”
是谁做的?
2007年4月27日早晨,爱沙尼亚政府不顾来自俄罗斯各层的抗议,拆除了为纪念二战阵亡苏军而竖立在首都塔林的一个苏联士兵的青铜雕像。这使得生活在爱沙尼亚的30万俄罗斯族人怒火冲天。不久以后,网络攻击开始上演。僵尸网络袭击了报纸业、电信业、银行和政府网站。整个国家的网络被围攻达数星期之久。显然,俄罗斯像是网络攻击爱沙尼亚的罪魁祸首:俄政府曾警告过拆除雕像的结果将会是“灾难性的”。
如果你曾观察爱沙尼亚网络受攻击期间的数据流量,你肯定注意到了僵尸计算机大军来自四面八方,包括美国、埃及、秘鲁等等。但进一步观察会发现很多僵尸计算机其实是受控于俄罗斯国内的计算机(并且如何利用无意义的“ping”程序冲击爱沙尼亚网站的方法在俄罗斯在线聊天室中随处可见)。尽管如此,也不可能确定俄政府是否在亲自指挥这场网络大战。俄罗斯拒绝对此负责,也拒绝外界对其网络进行任何取证分析。
简言之,找出应对此事负责的肇事者并不容易。在一个支持网络战争发展、推动网络战争发展的世界里,类似的网络攻击事件是各国面对的最大问题之一。当然,还有其他的难题:若不能快速甄别一起网络破坏行为到底是意欲进行间谍活动,还是一场网络攻击的前奏,那么很难确定何时反击属正当行为。同样,要想调查网络武器,计算其生产潜力,或证实在反攻中网络武器是否被摧毁,也是难上加难的。当美国参议院给新上任的网络司令部负责人亚历山大将军施加压力,要求其阐述美国应如何解决这些问题时,他以对比的方式作了回答。“各国政府无一不将网络战争列为机密等级,对比看来,美苏冷战时期倒像是即公开又透明。”白宫的前反恐顾问理查德·克拉克在他的新书中写道。网络战争:国家安全的又一威胁,我们该如何应对。
然而,关于归属问题的影响是十分明显的。德国乔治马歇尔欧洲安全研究中心的国际法学院院长兼教授米歇尔·施密特(Michael Schmitt)说,攻击一个北约同盟国会激起其他同盟国的一并反击。若在确定反击目标上出错,后果将是灾难性的。“这不是儿戏,你不能想当然地认为是谁就是谁。”施密特说,“反击前,必须拿出证据来证明肇事者的身份。”而在受到网络威胁时,政府很容易认错其来源,原因是网络地址可能被隐藏或伪造。“一想到我们可能会弄错,我就有点儿心惊胆战。”
修复网络技术缺陷已被提上日程,长期来看,这可能成为最终解决之道。来自乔治亚理工大学、圣地亚哥的加州大学、华盛顿大学及其他学术机构的研究组正在研究建立数据源的各种方法。加州大学和华盛顿大学的研究专家提出使数据包与发送该数据包的源计算机始终保持连接,并对源计算机进行加密,解密“密钥”由可信任的第三方保管可能接到法庭指令,才有权查看密钥。“若找不到攻击方,那么国家的外交力量、军事力量、经济影响力等,都丝毫没有用武之地。”加州大学计算机科学家、从事这一技术研发的斯特凡·萨维奇(Stefan Savage)说。然而,即便这种方法可能告诉我们发动攻击的计算机,也不一定能解决问题,比如说当这台计算机是一台公共场所的计算机时。“能够找出具体的攻击计算机和能够确信‘真正来源’可是两回事儿。”伯克利的韦恩·帕克森(Veto Paxson)说,“即使我们一路追寻并找到了发动攻击的终端系统”——也就是说,攻击行为的真正来源的方位——“你也可能会发现那只是上海的某个咖啡厅。”帕克森还提醒说,一般情况下,在网络空间跟踪目标带有明显的隐私意味。“解决归属问题、监视别国行动的技术是非常强大的。”他说,“但这种技术也是一种‘警察国家’技术。”
解决方法离实现的那一天还很遥远,避免不必要的网络战争爆发或升级将有赖于更传统的情报技术。网络监管有时可提供有用的线索,识别并曝光潜在的黑客,位于加利福尼亚蒙特里的美国海军研究生院德计算机科学家布雷特·米歇尔(Bret Michael)表示。若情报部门能够确认威胁来源,他们就能够“在罪犯发动攻击前或攻击刚发生时就找到他们。”他说,“有时候,只要认出他们就足以阻止一场攻击的发生。”
网络峰会
今年4月,在一个清新的上午,德国的山城加米斯帕腾基辛迎来了世界各地的140多名外交家,政策决策者和计算机科学家。他们是前来参加俄罗斯内务部主持的网络峰会的。
会议主题是:如何确保“信息领域”的安全。俄方提出的这一主题对不同国家来说有着不同的理解和含义。白宫助理帕恩特强调了对抗网络犯罪的重要性。俄罗斯发言人因一心想着近期发生在莫斯科地铁的自杀式爆炸袭击案,谈了如何阻止恐怖分子利用网络培训和组织人员。印度研究员讲述了孟买恐怖分子利用网络犯罪以及印度改进相关法律的应对措施。负责分配域名的互联网名称与数字分配机构的代表则谈到了最新的安全补丁。中国代表团只有区区数人,并且他们选择一言不发。
第二天,支付宝公司的首席信息安全官迈克尔·巴雷特(Michael Barrett)登上演讲台后,给所有与会者都提了个醒,即他们拥有的共同点:技术漏洞。他表示,同其他黑客攻击目标一样,支付宝——在190个国家和地区为网络用户提供安全的付款通道——也在黑客的围攻之中。“我们,事实上可以说任何网络安全的从业者,都愈加清晰地看到,根据网络中的病毒数量、黑客攻击的发生量,等等各种因素绘制出的各条曲线,其形状都是十分相似的,具体说是呈对数益线的,这一点实在让人忧心忡忡。”他边说边在空中划过一条对数曲线。
谈及会议之前提出的促进合作和增加安全补丁等话题时,他补充说:“我不是说做这些事不好。但此时,它们有点让我想到了疯狂和愚蠢这几个字眼,我是说,一直重复来重复去地做着相同的事情,还期待出现不同的结果。而我们认为,要保证网络的安全,就必须思考生态体系层面的安全,就是说我们应重新考虑网络的基础建设。”巴雷特正说得尽兴时,俄方组织人员打断了他,原因是会议的进程已经滞后,且大家该吃饭了。不过俄方的打断象征了一个更大的问题。“基本上,面对我们铺设的网络基础设施给我们带来的种种威胁,我们尚无先进技术加以解决。”麻省理工学院的研究员约翰·马勒里(John Mallery)说。有些研究项目已经创建了新的互联网架构体系的试点,开发了更加安全的操作系统原型和硬件架构,比如将软件存储在隔离区域的芯片。但美国国土安全部的报告仍发现“急需”加快网络空间安全领域的研究和发展。
这场集体讨论有助于促进短期内的工作进展。改变计算机个人用户和企业用户的使用习惯是至关重要的。同样,重要的还有加强执法机构之间的合作,安装最新技术补丁,和拓展外交。但最终,还是有必要转换全新的网络技术。除非我们经历一场重大故障或攻击,否则这不太可能会发生。“我们已经看到,军备竞赛通常以进化的形式向前发展。但它们也会不时地往前跳一步走。”帕克森说,“若一场网络攻击将一座城市搅得一团糟——或将一家大公司搞到崩溃,那么游戏规则就要改变了。我不知如何预测这种情况的发生。因为那就像说,‘未来三年里,海湾地区会不会发生大地震呢?’我可不知道。”
他的话让我想起了卡巴斯基对于坠机的恐惧。总的来说,我们现在还不能预测到何时会发生改变,及如何改变。但正如贝克所说的,“我们从9·11事件、卡特里娜飓风那里得到的教训就是,或早或晚,它终将发生。”
俄罗斯的反病毒公司卡巴斯基实验室CEO尤金·卡巴斯基(Eugene Kaspersky)承认,去年的某天,他的脑海里曾闪现一个念头,他可能会死于一场由网络攻击引起的飞机失事。卡巴斯基是个折中主义者,同时还有着孩子气般的幽默。当我去位于莫斯科郊区的卡巴斯基实验室与他会面时,他正在大嚼日本产的用糖腌制的冰冻蟹仔,而后他又想起让我看他在莫斯科一条街道上买的男士短裤,上面印着“由卡巴斯基反病毒软件进行防护”。但是,当我们的话题转到2009年4月1号的前几天时,他的神情变得严肃起来。
2009年4月1日,计算机蠕虫病毒Conficker的创建者之前声称会对ConScker进行升级,但是没人知道升级后的结果。Conficker代码稍稍调整,就可能导致约300万台被感染的计算机(这些计算机构成一个僵尸网络)对公司或政府的网络发起攻击,或发送数以亿计的垃圾邮件,或进一步提高蠕虫的传播速度。“打个比方,如果你有100万真人士兵组成的军队,你可以做什么?”卡巴斯基煞有介事地问我。“任何你想做的!”他沉默了一会儿,给我时间思考这个比方。“我们在等着4月1号的到来——等着发生什么事情。我查了行程表,确认我那天不用坐飞机。我们对Conficker会做什么一点儿谱都没有。国家安全官员们也异常紧张。”那最后呢?“什么也没发生。哎呀!真是松了口气!”卡巴斯基大声地说。他在胸前画着十字,双手交叉,眼睛望向天花板。
2009年春天,人们对Conficker(尚有大量计算机被感染,但此病毒一直处于非活动期)的动向一无所知,那时的情形恰恰反映出人们当前的窘境,对于网络安全将会变得多么糟糕,人们依旧一无所知。未来的趋势并不乐观:参观卡巴斯基实验室,或任何一家计算机安全公司和研究前哨站,你很快就会发现,恶意软件越来越难以检测,垃圾邮件发送速度越来越快,黑客攻击次数越来越多,对金融方面的影响也越来越大。安全专家和黑客之间的对抗就像在搞军备竞赛,谁也不肯妥协。以卡巴斯基为例:其工程师和密码学家不只限于研究更快的自动检测病毒方法,还会搜索本国语言的黑客博客,发掘黑客未来动向的蛛丝马迹。他们愿意尝试任何方式以求得胜利。
黑客攻击不断发生,应对之道也可谓巧妙多样,但前者依然快于后者。同时,带有复杂意义的电子间谍活动也在扩展中。谈到摩尔定律——集成电路上可容纳的晶体管数目,约每隔2年便会增加一倍,美国国家安全局前任总顾问、美国国土安全部前任政策主管斯图尔克·贝克(stewartBaker)说,“在过去的十多年,我们发现摩尔定律更适用于那些心怀恶意的人,”事实是,摩尔的“法外之徒”正在赢取这场战役。代码越来越复杂,意味着入侵代码的机会在增多,能赚到的钱在增多,伺机入侵漏洞的黑客也在增多。如果你观察一下恶意软件、黑客攻击或涉及其中的人数,你会发现其增长是呈指数式的。
在低级冲突持续上演的同时,爆发真正的网络战争的威胁也在上涨。FBI称,100多个国家已成立了从事网络间谍行为的组织,并且据计算机安全公司McAfee于2009年11月发布的报告显示,至少有4个国家——美国,俄罗斯,以色列和法国——正在开发真实的网络武器。(5月,美国参议院确定了由国家安全局局长基思·亚历山大将军担任新近设立的美国网络司令部的部长。)这些网络武器能够击溃军事通信网络或电网等基础设施。网络战争将以光的速度升级,洲际弹道导弹的速度根本不能与它相提并论。“与核武器一样,网络武器会给大批的人带来灾难。但它们之间有个很大的不同,即网络武器非常便宜!几乎不用一分钱。”俄罗斯国家安全委员会委员、莫斯科国立大学信息安全问题研究院院长弗拉得米尔·台斯亚克(Vladimir Sherstyuk)说。
目前,网络战争很大程度上仍是推理性的,未来或许真会出现一些专门的网络武器。但黑客和恶意软件对个人和商业的重重攻击和围困却无时无刻不在发生。这两种形式的冲突都使用网络作为媒介,因此他们将来可能还会使用某些相同的方式。或许最重要的是,在后者创造的黑暗混乱的环境下,前者会更容易发生也更加危险。“打击僵尸网络,打击商业间谍活动等,将不能解除网络战争的威胁。”前白宫安全官员、《网络空间的战略战争》(Strategic War in Cyberspace)一书的作者格雷格·拉特里(Greg Rattray)说。“但一个更加干净的生态体系将使网络战争行为更易被发现,使我们更易抵御其侵袭。”
从根本上说,技术漏洞应对目前的混乱状态负全责。网络的很多组件在最初建构时就不够安全。来自联邦机构、国家研究理事会和各智囊团如兰德公司等的报告一份接着一份,明确表示若要永久修复网络空间的安全,就必须加快硬件、软件和网络技术的研究和开发,使之更具安全性,并且要加速这些安全科技的实际应用。去年11月份,美国国土安全部提交的报告再次总结道:“唯一的长期解决之道……是确保这些技术的下一代从设计到应用的方方面面都是安全的。”
然而要实现网络安全,就不能坐等网络重建的那一天。现在,我们还必须解决很多其他的系统问题,包括:常规的安全操作常常被用户忽略,国际合作如同技术一般漏洞百出,网络服务提供商在封堵恶意流量方面无所作为,等等。“无论我们要采取哪些行为,强化目标——健全法律法规和提高执行能力——都是最基本的要求。”白宫网络安全高级主管克里斯多佛·佩恩特(Christopher Painter)在最近一次会议中指出。麻省理工《科技创业》杂志调查了近期发生的两件事——荷兰对本国Shadow僵尸网络的特殊调查,和2007年波罗的海小国爱沙尼亚受到的网络攻击——希望从中汲取教训,学习如何更好地监管和防护漏洞百出的网络空间,并为有可能发生的网络战争做准备,尽管我们希望网络战争永远不会发生。
僵尸网络
来自荷兰斯尼克小城的诺丁·纳西里(Nordin Nasiri)当时年仅19岁,但他已然做到了我们大多数人都无法做到的事:他非法控制了来自全球的约15万台计算机。通过向受害者发送伪装成Windows Live Messenger中的联系人发来的信息,他将不知情的受害者聚拢到一起,组建了一个僵尸网络。那些点击信息中的链接的人会下载到病毒,受感染的电脑就成了僵尸计算机,在2008年夏天,纳西里决定以2.5万欧元出售被他命名为Shadow的僵尸网络,此举受到美国的指控。
网络安全的最大威胁之一便是僵尸网络。它们是垃圾邮件背后的发送引擎,通过欺诈和身份盗窃使垃圾邮件长盛不衰。(网络安全公司MessageLabs的最近一份报告指出,每 天发出的大约1300亿份垃圾邮件中,有92%是僵尸网络所为。)它们还应对拒绝服务攻击等威胁负责,拒绝服务攻击指的是公司或政府的服务器受到大量僵尸计算机的流量冲击时会因流量过大而无法正常工作,甚至最终崩溃。数以千计的僵尸网络蜂拥至数字端,其中不乏由百万台电脑组成的强大僵尸网络。“僵尸网络是真正的祸源,是很大一部分恶意行为的传播媒介。”位于圣塔芭芭拉的加州大学的安全研究员和计算机科学家克里斯多弗·克鲁格尔(Christopher Kruegel)说。
随着纳西里案件的水落石出,可以看出这是一个成功查处跨国僵尸网络的案例。在美国,FBI收到关于纳西里的消息后通知了荷兰国家警察署高科技部,随后该部门抓获了纳西里。荷兰调查人员采取了一种不寻常的做法,他们向反病毒公司寻求协助,删除了受感染计算机中的病毒,随后接手了此僵尸网络(其服务器在荷兰)的命令和控制系统。“他们想换个新方法来对付僵尸网络。”协助荷兰警方完成这项任务的卡巴斯基实验室的反病毒研究员罗尔·受文伯格(Roel Schouwenberg)回忆说,“但这样做是有风险的,黑客可能会偷走这个命令和控制系统。”
问题在于,美国和荷兰只是进行了一次性的合作而已。Shadow遭封闭前后,另一僵尸网络Grum正强大起来。Grum的命令和控制系统由一家名为Steephost的乌克兰公司占有。2009年11月,美国计算机安全公司FireEye的研究员亚历克斯·兰斯顿(Alex Lanstein)给Steeghost滥用(abuse)的通知地址写了一封诚挚的电子邮件。“你好,Abuse,”他说,“我想你应该有兴趣知道有一个犯罪网络的出处是你。”他摆出了Grum和其他恶意网站的诸多证据,但并没有得到回复。几天之后,他发现这个僵尸网络像是给自己罩上了一块遮羞布:其滥用的网络地址指向了伪造的电子商务主页。今年3月,计算机安全公司Symantec表示,整个网络中有24%的垃圾邮件都来自Grum,相比2009年该数字是9%。
我们还无法找到Steephost的持有人对此作出回应,但他们根本不会担心对兰斯顿等安全专家的不屑一顾会招致什么后果。僵尸网络能够自由运行,不受国界限制,而执法还远远落在它后面。目前,旨在加强国际调查合作的网络犯罪欧洲公约已有46个国家签署,大部分签约国是欧洲国家,也包括美国、加拿大、南非和日本。但俄罗斯和巴西还未签署这份公约,这两个国家和美国都是黑客攻击的主要来源国。而一些签约国如乌克兰等,并没有积极努力地对抗僵尸网络。并且,签订全球性公约的尝试已陷入僵局。“僵尸网络是一个重大的威胁,若没有国际协议一致同意各国都应对网络犯罪采取相当严格的对策和执行的话,我们的运气也就到头了。”加州大学伯克利分校的计算机科学家韦恩·帕克森(VernPaxson)说。帕克森专门从事大规模网络攻击的研究。
考虑到达成一项全球协议的前景黯淡,美国正致力于和一些黑客攻击主要来源国达成双边协议,包括俄国。俄国目前只在追捕本国网络罪犯方面与美国保持专案合作——最近协助美国抓获了藏匿在俄罗斯的几名罪犯,这些罪犯对利用网络盗窃苏格兰银行的1000万美元供认不讳——但不允许别国的执法机构进入其网络。而俄罗斯信息安全大亨Sherstyuk依然对我说:“我们希望在信息领域协助相关部门设置法规。我相信我们能够一起完成很多事。”
多数网络服务提供商,虽是另一股起防御作用的潜在力量,但为网络安全所做的努力也只能说是半心半意。网络服务提供商有能力辨别和隔离网络中受感染的计算机,因此可以抑制垃圾邮件和黑客攻击。但实际上,大多数网络服务提供商只会注意那些非常有害的计算机,他们会连同其他网络提供商一起封锁该计算机的流量,给予还击,而对其他危害不大的计算机则全部忽视。提供更多的带宽比直接解决问题要便宜得多,荷兰代尔夫特科技大学的技术与政策专业教授麦克·范伊腾(Michel van Eeten)说。他以澳大利亚的一家网络服务提供商为例证,该提供商曾考虑采用自动切断受感染计算机的技术。但不久,这一计划就被取消,原因是每个月有大概4万名不知情的用户会拨打用户支持热线,怒气冲冲地质问为什么他们不能上网以及如何清除计算机中的病毒。“网络服务提供商一般只对那些对它们采取对抗措施的僵尸计算机有所行动。”范伊腾说,“但这样的行动也不会太多,因为大规模采取行动会受成本因素的影响。”
至于荷兰的纳西里案件,则表明哪怕调查过程十分顺利成功,到提起公诉时也会面临不小的麻烦。今天,纳西里正在荷兰等待最后的判决。但其同犯,一名巴西人却逃过了审判。美方控诉称,这名巴西人作为中介,安排了买方和纳西里之间的买卖。他似乎是当场被抓获的。但去年,美国撤销了对他的指控,理由是缺少关键目击证人。荷兰警方称,他们将这名巴西人送到了阿姆斯特丹的史基浦机场,他坐上了回巴西的飞机,从此又是一个自由人。
间谍活动
据渥太华的网络取证公司secDev Group和多伦多大学的研究员(包括沃尔顿)的调查显示,一些间谍锁定目标有印度的各级国家安全机构。受危害数据包括印度和全球人权积极分子的个人、金融和商业信息。帕克森说,“目前,我们缺乏度量间谍行为的工具,但看起来似乎明显的是,间谍活动正变得越来越猖獗,很多的间谍行为,只是我们还没发现而已。”
“随着网络犯罪的指数式增长,私立组织和公共机构查看一下自己的网络,就会发现网络渗透行为。”麻省理工的计算机科学和人工智能实验室的计算机专家约翰·马勒里(John Maullry)表示。“本质上就不安全的网络基础设施和组件都或多或少地影响着所有的组织机构,它们从最初设计时就是有缺陷的,充其量,也只是逐渐在改进一部分安全措施。今天,黑客在网络架构层面占据了优势,其发展比网络防护者还要快。所以组织团体能做的只能是将有价值的信息单独储存,不给黑客窃取的机会。
正如马勒里所说,我们应该做好有所损失的心理准备,并时刻保持警惕,因为没有哪个网络基础设施是真正安全的。虽然可以应用最先进的防火墙,但是防火墙一般用来封堵恶意网站,而一些间谍人员利用了看起来没有问题的媒介,如谷歌论坛(Google Groups)、Twitter、Yahoo电邮等。黑客将恶意软件嵌入微软Word文档或PDF文件中,用看似友好的电子邮件地址(地址可能是伪造的,也可能被黑掉了)发送出去。若接收人用较弱版本的Adobe阅读器或微软办公套装打开附件,其中的间谍软件就扎根于此计算机上了。
幸运的是,一些新兴技术已经针对间谍行为提供了解决方案。网络间谍活动通常包含发送恶意命令给被感染计算机,并使之返回命令要求的数据。检测出这些命令的签名,然后进行封堵,是克鲁格尔的目标。他正在研发的这项技术甚至可以在未发现初始感染的情况下依然找出这些命令。即使黑 客可能危害到计算机,但若能快速及时地发现这些命令,“你就能瞄准目标,击倒他们。”他希望这种技术在一年内能推向市场。
政治方面做出改变也可以改善状况:目前并没有任何公约能够阻止一些间谍行为。尽管联合国条约在人权方面做了强硬的声明,且常被援引来谴责一些国家的行为,但还没有其他类似的公约用来解决政治、商业和人权领域的数字掠夺。“由于没有全球性的公约,网络犯罪正在变形为网络间谍活动,”多伦多大学公民研究技术研究室的负责人罗纳德·德贝特(Ronald Deibert)说,“达成一项全球公约有助于政府对自己的行为负责。你可以说:看,这是公约,你没有遵守规定,但公约上有你的签字。”同时,我们还能预测网络间谍行为盛行的最坏后果。“我们应该把它看成是一个小窗口,我们通过这个窗口会看到更大的问题,看来我们只是伸手触到了整个池塘的一点而已。”
是谁做的?
2007年4月27日早晨,爱沙尼亚政府不顾来自俄罗斯各层的抗议,拆除了为纪念二战阵亡苏军而竖立在首都塔林的一个苏联士兵的青铜雕像。这使得生活在爱沙尼亚的30万俄罗斯族人怒火冲天。不久以后,网络攻击开始上演。僵尸网络袭击了报纸业、电信业、银行和政府网站。整个国家的网络被围攻达数星期之久。显然,俄罗斯像是网络攻击爱沙尼亚的罪魁祸首:俄政府曾警告过拆除雕像的结果将会是“灾难性的”。
如果你曾观察爱沙尼亚网络受攻击期间的数据流量,你肯定注意到了僵尸计算机大军来自四面八方,包括美国、埃及、秘鲁等等。但进一步观察会发现很多僵尸计算机其实是受控于俄罗斯国内的计算机(并且如何利用无意义的“ping”程序冲击爱沙尼亚网站的方法在俄罗斯在线聊天室中随处可见)。尽管如此,也不可能确定俄政府是否在亲自指挥这场网络大战。俄罗斯拒绝对此负责,也拒绝外界对其网络进行任何取证分析。
简言之,找出应对此事负责的肇事者并不容易。在一个支持网络战争发展、推动网络战争发展的世界里,类似的网络攻击事件是各国面对的最大问题之一。当然,还有其他的难题:若不能快速甄别一起网络破坏行为到底是意欲进行间谍活动,还是一场网络攻击的前奏,那么很难确定何时反击属正当行为。同样,要想调查网络武器,计算其生产潜力,或证实在反攻中网络武器是否被摧毁,也是难上加难的。当美国参议院给新上任的网络司令部负责人亚历山大将军施加压力,要求其阐述美国应如何解决这些问题时,他以对比的方式作了回答。“各国政府无一不将网络战争列为机密等级,对比看来,美苏冷战时期倒像是即公开又透明。”白宫的前反恐顾问理查德·克拉克在他的新书中写道。网络战争:国家安全的又一威胁,我们该如何应对。
然而,关于归属问题的影响是十分明显的。德国乔治马歇尔欧洲安全研究中心的国际法学院院长兼教授米歇尔·施密特(Michael Schmitt)说,攻击一个北约同盟国会激起其他同盟国的一并反击。若在确定反击目标上出错,后果将是灾难性的。“这不是儿戏,你不能想当然地认为是谁就是谁。”施密特说,“反击前,必须拿出证据来证明肇事者的身份。”而在受到网络威胁时,政府很容易认错其来源,原因是网络地址可能被隐藏或伪造。“一想到我们可能会弄错,我就有点儿心惊胆战。”
修复网络技术缺陷已被提上日程,长期来看,这可能成为最终解决之道。来自乔治亚理工大学、圣地亚哥的加州大学、华盛顿大学及其他学术机构的研究组正在研究建立数据源的各种方法。加州大学和华盛顿大学的研究专家提出使数据包与发送该数据包的源计算机始终保持连接,并对源计算机进行加密,解密“密钥”由可信任的第三方保管可能接到法庭指令,才有权查看密钥。“若找不到攻击方,那么国家的外交力量、军事力量、经济影响力等,都丝毫没有用武之地。”加州大学计算机科学家、从事这一技术研发的斯特凡·萨维奇(Stefan Savage)说。然而,即便这种方法可能告诉我们发动攻击的计算机,也不一定能解决问题,比如说当这台计算机是一台公共场所的计算机时。“能够找出具体的攻击计算机和能够确信‘真正来源’可是两回事儿。”伯克利的韦恩·帕克森(Veto Paxson)说,“即使我们一路追寻并找到了发动攻击的终端系统”——也就是说,攻击行为的真正来源的方位——“你也可能会发现那只是上海的某个咖啡厅。”帕克森还提醒说,一般情况下,在网络空间跟踪目标带有明显的隐私意味。“解决归属问题、监视别国行动的技术是非常强大的。”他说,“但这种技术也是一种‘警察国家’技术。”
解决方法离实现的那一天还很遥远,避免不必要的网络战争爆发或升级将有赖于更传统的情报技术。网络监管有时可提供有用的线索,识别并曝光潜在的黑客,位于加利福尼亚蒙特里的美国海军研究生院德计算机科学家布雷特·米歇尔(Bret Michael)表示。若情报部门能够确认威胁来源,他们就能够“在罪犯发动攻击前或攻击刚发生时就找到他们。”他说,“有时候,只要认出他们就足以阻止一场攻击的发生。”
网络峰会
今年4月,在一个清新的上午,德国的山城加米斯帕腾基辛迎来了世界各地的140多名外交家,政策决策者和计算机科学家。他们是前来参加俄罗斯内务部主持的网络峰会的。
会议主题是:如何确保“信息领域”的安全。俄方提出的这一主题对不同国家来说有着不同的理解和含义。白宫助理帕恩特强调了对抗网络犯罪的重要性。俄罗斯发言人因一心想着近期发生在莫斯科地铁的自杀式爆炸袭击案,谈了如何阻止恐怖分子利用网络培训和组织人员。印度研究员讲述了孟买恐怖分子利用网络犯罪以及印度改进相关法律的应对措施。负责分配域名的互联网名称与数字分配机构的代表则谈到了最新的安全补丁。中国代表团只有区区数人,并且他们选择一言不发。
第二天,支付宝公司的首席信息安全官迈克尔·巴雷特(Michael Barrett)登上演讲台后,给所有与会者都提了个醒,即他们拥有的共同点:技术漏洞。他表示,同其他黑客攻击目标一样,支付宝——在190个国家和地区为网络用户提供安全的付款通道——也在黑客的围攻之中。“我们,事实上可以说任何网络安全的从业者,都愈加清晰地看到,根据网络中的病毒数量、黑客攻击的发生量,等等各种因素绘制出的各条曲线,其形状都是十分相似的,具体说是呈对数益线的,这一点实在让人忧心忡忡。”他边说边在空中划过一条对数曲线。
谈及会议之前提出的促进合作和增加安全补丁等话题时,他补充说:“我不是说做这些事不好。但此时,它们有点让我想到了疯狂和愚蠢这几个字眼,我是说,一直重复来重复去地做着相同的事情,还期待出现不同的结果。而我们认为,要保证网络的安全,就必须思考生态体系层面的安全,就是说我们应重新考虑网络的基础建设。”巴雷特正说得尽兴时,俄方组织人员打断了他,原因是会议的进程已经滞后,且大家该吃饭了。不过俄方的打断象征了一个更大的问题。“基本上,面对我们铺设的网络基础设施给我们带来的种种威胁,我们尚无先进技术加以解决。”麻省理工学院的研究员约翰·马勒里(John Mallery)说。有些研究项目已经创建了新的互联网架构体系的试点,开发了更加安全的操作系统原型和硬件架构,比如将软件存储在隔离区域的芯片。但美国国土安全部的报告仍发现“急需”加快网络空间安全领域的研究和发展。
这场集体讨论有助于促进短期内的工作进展。改变计算机个人用户和企业用户的使用习惯是至关重要的。同样,重要的还有加强执法机构之间的合作,安装最新技术补丁,和拓展外交。但最终,还是有必要转换全新的网络技术。除非我们经历一场重大故障或攻击,否则这不太可能会发生。“我们已经看到,军备竞赛通常以进化的形式向前发展。但它们也会不时地往前跳一步走。”帕克森说,“若一场网络攻击将一座城市搅得一团糟——或将一家大公司搞到崩溃,那么游戏规则就要改变了。我不知如何预测这种情况的发生。因为那就像说,‘未来三年里,海湾地区会不会发生大地震呢?’我可不知道。”
他的话让我想起了卡巴斯基对于坠机的恐惧。总的来说,我们现在还不能预测到何时会发生改变,及如何改变。但正如贝克所说的,“我们从9·11事件、卡特里娜飓风那里得到的教训就是,或早或晚,它终将发生。”