马俊
网络安全特别是网络战的威胁已经越来越现实地摆在每个人面前。这是记者8月19日在第七届互联网安全大会上,听到的各国网络安全专家一致的声音。网络安全威胁如今到底有多大?我们应该如何应对呢?
听上去挺遥远的网络安全威胁是如何影响到我们每一个人的?前以色列国家信息安全局局长、前以色列国家网络安全委员会主任埃雷兹·科雷尔19日在第七届互联网安全大会上举例说,在最近的大型黑客会议上,与会黑客们探讨的话题是,有没有可能“黑”进民航客机的电脑系统中,进而控制整个客机。他们之所以有这样的想法,是因为此前波音737MAX客机接连的坠毁事故就是由于飞机内部软件错误导致的,很多人设想是否可能在遭遇类似事故时,通过黑客手段去远程控制客机,避免事故发生。
这样的设想并非天方夜谭。以色列交通和道路安全部信息安全负责人奥伦·伊利米勒透露,例如波音787客机就安装有多達1500个电脑系统,它们的安全防御非常脆弱,而且机组与乘客使用的电脑系统没有完全隔离,很容易受到攻击。随着民航客机相继开放“空中接入互联网”功能,黑客就有可能通过乘客使用的电脑系统进而侵入机组的电脑系统,实现对飞机的远程遥控。
更进一步设想,随着现代交通工具与网络的关系日益紧密,通过网络实施交通系统远程恶意操控变得可能。奥伦·伊利米勒表示,当前客机与机场塔台之间仍在使用非常“古老”的AaDS-B通信,非常容易被控制。通过攻击它,完全可能让客机接收到错误数据而失事坠毁。而随着汽车自动化驾驶的应用,雷兹·科雷尔描述说,“可以想象一下,你坐在车里面,突然收到一条信息:‘你好,我刚刚劫持了你的汽车,如果你不给我发四个比特币,你的家人和你自己是无法刹车的。我想没有人希望碰上这样的状况。”
网络安全威胁除了直接关系到每个普通人的安危,还影响到整个国家的安全。中国工程院院士邬贺铨表示,在今年7月,我们看到澳大利亚、美国等国家的一些城市都相继出现了大面积断网停电的重大事故,越来越多的事实表明,安全威胁已经从网络空间蔓延到大型制造、电力、交通、医疗等现代社会的命脉行业中,而且这些行业无不关系到国家的稳定和群众的利益。
更为紧迫的是,随着当前5G网络的蓬勃发展,它的安全问题也成为双刃剑,5G实现了计算与通信的融合,基于大数据人工智能的网络运维,减少了人为的差错,智能化的监控有利于提高网络安全防御水平,但是5G的虚拟化和软件定义能力以及协议的互联网化、开放化也带来新的安全风险,使网络有可能遭到更多的渗透和攻击。以5G为依托的工业互联网也受到更加严峻的安全挑战,发展模糊了物理世界和虚拟世界的界限,由此引发的网络攻击往往会造成比过去更严重的影响。
这样的警告也得到埃雷兹·科雷尔的赞同:“无论是水、电、污水处理系统、通信、金融领域,几乎每个领域一旦遭到网络安全威胁,都有可能造成整个国家崩盘。甚至不用射出一发子弹,就可以使整个国家系统瘫痪。”
据统计,2018年全球发生网络攻击事件至少有200万起。俄罗斯、澳大利亚、印度等国的基础设施、万豪酒店以及其他公司已经发生大量网络入侵事件。可以明显地看到不安全事件未来会越来越多,造成的损失也会越来越大,可能呈几何级增长。根据诺贝尔经济学奖得主托马斯·萨金特的估算,2016年互联网经济规模约4.2万亿美元,而网络安全领域的犯罪就造成6000亿美元的损失。他提醒说,这些掌握高超黑客技能的犯罪分子,很多都是受过专业训练的,最近美国的多起案例显示,很多网络犯罪分子都是国家情报机构或是互联网公司的前员工。
中国最大网络安全公司360公司董事长兼CEO周鸿祎在大会上再次呼吁,“网络战不是科幻小说或美国大片里幻想的未来,网络战就发生在当下”。他强调说,近来被披露的黑客组织APT34使用的网络武器就瞄准了中国12个机构。无论是此前乌克兰的电网攻击、伊朗“震网”病毒事件,还是今年来多次停电事故,媒体披露的南美和俄罗斯电网被植入后门,都证明国家级网络战已经展开。同时各国军方也已明确进入网络战,在2019年DEF CON大赛中,获得五角大楼授权的7名黑客在两天内攻破美国主力战斗机F-15的内部系统;北约今年举办最大的网络安全演习“锁盾2019”中,4000个虚拟军事系统承受了2000多次网络攻击。
周鸿祎表示,网络战让网络安全人员应对的对手变了。过去应对的是窃取商业机密的“网络黑产”,而如今网络战的对手全部是各个国家成立的网军。他表示,目前多国已经成立了超过200支网络战部队,他们都使用军事级的技术,是国家级的黑客力量,国家级的对手开始入场。
周鸿祎承认,在这样国家级的网络战部队面前,不存在“攻不破的系统”。一方面,国家级网络部队掌握着大量外界不知道的网络漏洞与后门。所有软硬件都是人做的,是人做的就会犯错误。相关统计显示,平均每一千行代码里会有四到六个错误。今天大量自动化的系统、云计算、大数据、人工智能的代码动辄数以百万千万计算,其中存在漏洞“不可避免”。此外,无论多么严格的网络安全规定,依然无法完全避免有人会违反网络安全规定,导致出现安全漏洞。
网络战与传统作战最大的不同是“不宣而战”。它往往预先花费相当长时间,通过攻击手段进行潜伏,渗透到对手的基础设施网络里,希望在关键时候发起致命一击。潜伏渗透本身也是网络攻击的一部分,谈不上平时战时,也不分军用民用。网络战即使最后的目标是攻击一个国家基础设施,也往往会从攻击一个个人开始作为跳板,经过一连串的攻击链,最后才能达到目标。甚至就连拥有强大网络战能力的五角大楼也难以完全抵御网络攻击。周鸿祎说,“我曾和美国同行交流过这个问题。他们无奈地说,五角大楼原本只是连上波音、洛·马等安全防护完备的大型军工企业,可后来波音也通过网络连上二级供应商与其他合作伙伴,而后者进一步又与其他的客户相连,这样一步步扩散下去,网络安全性就难以控制了”。
中国国家漏洞库特聘专家、360集团首席安全技术官郑文彬在大会上细数了臭名昭著的美国国家安全局(NSA)武器库里的核武级“重型军火”——包括Stuxnet病毒(震网)、FOXACID(酸狐狸零日漏洞攻击平台)、VALIDATOR(初始化验证和轻量后门)、OLYMPUS&UNITEDRAKE(欧林巴斯& 联合耙)等高危木马,以及TAO(NSA下属特定入侵行动办公室小组网络攻击组织),并全面盘点了十余年来网络空间直线上升式的武器演进史。根据郑文彬公布的网络军火数据,“战争级”攻击遍及全球,其中亚太、欧洲、中东等地区更成为遭受网络“炮火”的重灾区。
周鸿祎总结说,网络战存在“易攻难防”的情况。只要几个黑客拥有电脑、知道几个漏洞就可以任意对一个国家的基础设施发起攻击。而防守方即便有成千上万的技术人员,面对浩如烟海的网络设备也不可能做到面面俱到。另一个严重的攻防不平衡是,“进攻者即使失败100次,只要得手1次就成功了。而防御者挡住了100次攻击,但有1次疏漏被别人攻进来,就失败了。”此外,360公司在实际案例中发现,依托国家级力量的网络战手段非常多元。很多单位觉得通过刻光盘传递数据就可以确保网络安全,但对手可能会在空白光盘制作时就预先放置病毒。或核电站等关键设施物理隔离得再好,但对方不会只用网络攻击手段,可能利用线下间谍的手段买通内贼,把U盘这类存储设备插入内部的电脑网络进而实施感染。
据介绍,在过去的五年里,已独立发现针对中国的境外APT组织40个,涉及上千个重要部门,包括能源、通信、金融、交通、制造、教育、医疗等关键的基础设施和政府部门、科研机构。“我们看到很多国与国的攻击,背后都是其他国家的网军。”
公安部网络安全保卫局巡视员、副局长、总工程师郭启全表示,我们反对网络战,特别反对国家间实施网络战,它破坏世界和平,破坏人民生活的安宁,哪个国家都不应该搞网络战,但是某些国家威胁要向其他国家实施网络战,我们怎么办?他表示,首先要构建网络安全综合防控体系,“防”虽然重要,但更要“打、防、管控一体化”。其次,应对网络战,应做到“三化”:实战化、体系化、常态化。第三,还要做到从被动防御到主动防御,从静态防御到动态防御,从单点防护到整体防控,从粗放防护到精准防护。
邬贺铨表示,如何实现共创共享,网络信息安全企业、政府部门、运营商互相形成大数据协同,获得实时威胁情报和风险通报及解决方案,利用外部力量帮助企业提升工业互联网的安全防御,这都是工业互联网亟待解决的核心问题。此外,互联网的安全问题是国际化的问题,需要加强国际合作,维护全球共同的互联网安全生态。网络安全已经是国家、社会、企业乃至个人绕不開的重要命题,各个领域以及每个个体携手共建互联网安全大生态,发展网络安全行业是当务之急。
新加坡网络安全专员、网络安全局首席执行官许智贤称,2017年、2018年新加坡遇到很多网络安全的威胁,占20%的犯罪比例。这就要求建立强大的网络安全防护体系。新加坡除了立法外,还努力确保行业在出现网络威胁的时候能够具有韧性。新加坡有整个行业乃至全国范围的网络演习。同时,要推动网络安全的合作与信任,需要在各行业开展。新加坡期待与各国合作,希望中国及其他利益相关方在联合国层面取得进展。
(摘自8月20日《环球时报》。作者为该报记者)