黄芳芳
今年4月在杭州举办的2017中国“互联网+”数字经济峰会上,娃哈哈集团董事长宗庆后向腾讯公司董事会主席马化腾发问:“我们互联网公司后台,也就是服务器,在美国人手里还是自己手里?”马化腾却顾左右而言他。
然而,在宗庆后之问的背后,我们不得不面临另一个更加骇人的事实——中国没有自己的互联网。
“您如何看待此次WannaCry事件?”记者见到中科院信息安全国家重点实验室教授、北京知识安全工程中心主任吕述望时,迫不及待地问出第一个问题。
“看重围棋上的一个棋子无妨,但也不能忽视全局。”吕述望说。
“我不主张把因特网翻译成互联网!可以简单地说,中国公众使用的网络是美国因特网的一部分。夸张点说,中国亿万公众在美国因特网上淘宝。”吕述望表示,“中国没有自己的互联网。”
目前我们使用美国人发明的因特网(Internet),它是由一个主根控制的网络,控制权在美国,因而不是真正意义上的互联网。“你有一张网,我有一张网,二者在平等的基础上连接起来才叫互联网。”
1994年4月20日,中国计算机信息系统全功能接入Internet。吕述望指出,事实却是改造中国民用网络为租用美网的辅助工程。我们租用美国的网,美国一旦关闭网络,中国百姓什么网都没有了。“比如我国将一对健康、有繁殖能力的大熊猫送至其他国家进行为期10年的合作研究,其繁殖的后代归中方所有。若大熊猫意外死亡,其遗体也归中方所有。这是租和自有的区别。”网络空间被喻为第五活动空间的,虽然虚拟无形,却是当前最重要的疆域。而美国用.net.com.cn三个级别管理了中国7亿多百姓。“任何一个爱国的人都可以看出端倪。”吕述望激动地说。
漏洞是新型“武器”
“在网络方面,我们的确受制于人。”中国电子信息产业发展研究院网络空间研究所所长刘权在接受《经济》记者采访时对吕述望的观点表示认同。“基础的操作系统和核心的芯片也不掌握在自己手中,如此一来,类似WannaCry的零日漏洞真是防不胜防。”
今年5月初,英特尔发布消息称其所有具有远程控制功能的芯片中都存在一个严重的漏洞,可以让攻击者获得目标电脑的一切权限。“英特尔的漏洞,7年后才发出补丁修复。”通付盾安全部总经理张瑞钦告诉《经济》记者。国内很多企业使用国外制造的网络设备可能存有很多漏洞、后门。
美国国家安全局(NSA)有自己的网络部队,专门挖掘、囤积,甚至在黑市购买目前市面上流行的操作系统、软件的漏洞,作为自己的网络武器。此次勒索病毒所使用的工具是NSA制造的。张瑞钦表示,WannaCry让我们看清美国在网络攻击方面领先其他国家很多年。冰山之下的零日漏洞掌握在美国人手中,有朝一日,他們在打网络战时都是致命的“武器”。
“WannaCry最先在欧洲发起,离得最近的俄罗斯受灾最为严重。”刘权指出,目前美国的损失较小,不知后续是否会遭到攻击。“核心的操作系统、软件是美国人的,他们是否提前做了防范,还不好说。”
北京永信至诚科技股份有限公司副总裁张凯告诉《经济》记者,一方面,Windows全球市场占有率依然是全球第一,任何一个可远程利用的漏洞都能带来巨大危害;另一方面,Windows系统在设计之初定位为个人PC,并没有为其在Internet环境中进行应用作特别的安全设计,同时为了保证在Windows各个版本之上运行软件的持续性和兼容性,导致了这次“WannaCry”勒索病毒的微软MS17-010漏洞在各个Windows版本中不断地流传了下来。
2014年,OpenSSL心脏出血漏洞导致全球70%的互联网网站瘫痪,堪称网络安全里程碑事件。刘权认为,WannaCry也是一次灾难性的事件,很可能是美国发动网络战争的一次预演。
谁为漏洞买单?
2016年10月21日,为大批知名网站提供技术服务的Dyn遭遇了一次大规模的DDoS(分布式拒绝服务)攻击,令美国很多网站瘫痪,也是史上较大规模的DDoS攻击事件。香港科技大学计算安全实验室主任张川教授表示,当时黑客控制大量的IoT(物联网)设备如路由器、数字录像机(DVRs)、网络摄像头等,形成僵尸网络进行DDoS攻击。
“未来联网的IoT设备数量是惊人的,每家都会有十几个IoT设备,比如智能冰箱、空调、微波炉。安全问题会尤为严峻。”张川告诉《经济》记者,当前物联网公司过于追求产品的功能性,安全意识尤为薄弱。“这些日常消费品不停地更新迭代,发展出新的操作模式和商业模式,导致安全漏洞也会越来越多。”去年国内一家IoT企业生产的摄像头由于监控系统的漏洞被黑客攻击,“很多监控在网上可以随意看,甚至在家里冲凉、换衣服也能看到,非常可怕。”
从技术上来说,越来越多的白帽子为企业提供安全服务,将漏洞报告给厂商,帮助其及时修复漏洞。张瑞钦告诉《经济》记者,从管理上来说,企业也需要建立软件安全生命周期,从需求调研时就把安全纳入其中,贯穿设计、开发、测试、部署、运维全过程。同时,物联网厂商应该提高安全意识,生产的物联网设备应达到功能性与安全性的平衡。设备使用者也应该提高安全意识,理清自己维护的所有IT资产,严格控制网络边界对外开放的端口,关闭必要的服务以减少受攻击的几率。
“现在为何不能让软件生产商为此埋单?WannaCry因微软漏洞而起,微软为何不向每个受影响的人赔钱呢?”张川希望将来政府能够出台相关政策,对软件生产商进行监管。
“软件不成熟,存在漏洞是很正常的事情。在今年3月微软为该漏洞制作了一个补丁,并将其推送给数百万台计算机。原则上微软不应承担WannaCry事件的责任。”刘权如是说。
预防网络灾难需釜底抽薪
有媒体称,英国受到WannaCry的攻击主要集中在英国国家医疗服务体系(NHS),旗下至少有25家医院电脑系统瘫痪、救护车无法派遣,极有可能延误病人治疗,造成性命之忧。网络应当为生活提供便利,WannaCry却成了杀人不见血的刀。
黑客组织“影子经纪人”5月17日通过社交媒体Steemit发布消息称,他们将从6月开始,以订阅服务的形式,每月向付费用户提供更多的国安局黑客工具和数据。这些黑客工具包括了网页浏览器、路由器和手机的安全漏洞、微软Windows10操作系统安全漏洞等。
“网络武器是用来瘫痪整个网络系统的。将来的核武器可能是软件漏洞,而不是热武器。”张川教授在接受《经济》记者采访时表示,现在软件的规模呈爆炸式增长,零日漏洞不会停止,它会越来越危险和普遍。
在爱德华·斯诺登披露NSA监控国际Web流量丑闻(棱镜事件)时,便引发了世界人民的公愤。2014年2月,德国总理阿格拉·默克尔呼吁欧盟创建自己的区域互联网,与美国隔绝开来。
2014年2月27日,中央网络安全和信息化领导小组成立,习近平总书记明确表示,没有网络安全就没有国家安全。网络安全的重点是网络主权,是解决受制于人的问题,要以“两弹一星”和载人航天精神解决这个重大问题。
吕述望向记者表示,“讲网络安全就要讲‘近平原则,一讲主权,二讲不受制于人。”他认为,目前建设我国自己的公众网络不能立竿见影,中国公众在Internet上淘宝的情景,还需要假以时日才能改变。
若想从根本上扭转“人为刀俎,我为鱼肉”的局面。吕述望为国家开出了药方:自建公网和自主开展国际网络服务。一方面,中国可以自主建设六七张公众网络供百姓工作和生活使用,摆脱使用美国因特网受制于人的困局;另一方面,设立国際网络服务中心,帮助其他国家自主建设网络,打破美国的网络霸权。
刘权指出,中国还要发展独立自主的基础产业。“假如核心的操作系统、芯片是中国人开发的,美国要开发病毒工具会有一定难度,甚至无法预设的后门或漏洞操纵它,触发大面积灾难性网络危害。”WannaCry事件,可能会加快世界各国去美国产品的步伐。
从国家安全的角度来讲,我们使用了太多外来的技术、软件,“我们无法获得他们最深层的信息,如何保证自身的安全?”张凯表示,这两年,国家很多重要的基础设施日趋本地化,并把国内自主研发的系统,放到关系国计民生重要的部门。“我们应该两条腿走路,一条腿是利用现在的Internet,另一条是建设自己更好的网络。”
网络安全防护秘籍
WannaCry另一个名字叫“永恒之蓝”,是一种蠕虫恶意代码。北京邮电大学信息安全中心主任杨义先教授在接受《经济》记者采访时表示,如今代码已被植入到几乎所有通信、控制类设备之中,绝不再是电脑的专利。
如果说普通代码(或善意代码)是佛,那么,恶意代码就是魔。杨义先将代码的危害编成一段朗朗上口的顺口溜:“若佛能使无人驾驶汽车,在满大街自如穿梭,那魔就能让车中的你魂飞魄散,或下河,或砸锅;佛能使卫星上天,魔就能让火箭转弯;佛能让飞机自动续航,魔能让机长撞墙;佛让数控车床精准加工,魔让机器失控发疯;佛让你轻松转账,魔让你无法上网;……若佛能送你上天堂,魔就送你下地狱,让你这辈子白忙活。”
对于如何防范恶意代码或软件,杨义先建议,不要执行任何来历不明的软件或程序。用电邮给朋友发软件时,记得叮嘱对方先查毒。在自己电脑上没有发作的病毒,也许会在朋友电脑上复活。杨义先强调,不要因为对方是你的好友,就轻易执行发过来的软件或程序,因为你无法确信对方是否安装过病毒防火墙。(感谢北京知识安全工程中心李长红对本文的帮助)