網絡安全的軍事化不可取
據Google說前不久的網絡間諜攻擊可能來自中國。目前很多神秘的網絡活動都可以追溯到中國境內。有專家認為Stuxnet(超級工廠蠕蟲)蠕蟲針對的是伊朗核設施。在維基解密公布了美國大量機密文件后,該網站也遭到了黑客攻擊。另外,別忘了多年前針對愛沙尼亞政府的大范圍網絡攻擊事件。
在處理網絡上的地緣政治問題上,美國政府采取了軍事化策略和思想實現網絡安全。也就是建立所謂的“網絡司令部”,在美國國防部的監管下應對國家網絡安全事件。
但是安全咨詢公司Cigital 的首席技術官Gary McGraw 卻認為,軍事上常說的進攻是最佳的防御,這一條并不總是對的,尤其是在網絡世界中。在最近的一篇文章《Cyber Warmongering and Influence Peddling》中,McGraw認為互聯網上需要的是更多的安全軟件,而不是好戰分子。
記者針對美國政府采取軍事策略應對網絡威脅的問題,采訪了McGraw 。
美國政府將網絡戰爭狀態設定為戰備等級1(DEFCON 1)的做法存在什么問題?
McGraw: 前不久我和Core Security Technologies 公司的創始人兼首席技術官Ivan Arce 合作寫了一本書。他是阿根廷人。每次我們聊天,他總會問我‘美國人怎么回事,怎么總是提到網絡戰爭,為什么美國人對網絡戰爭那么癡迷。’因為其他國家的人好像并不怎么提及網絡戰爭。我也去過很多國家,確實如他所說,沒有這么多有關網絡戰爭的話題。所以我們就開始討論為什么會有這種現象。最后我們總結出一個主要觀點,即美國把網絡戰爭、網絡間諜以及網絡犯罪等概念混淆了,政府并沒有試圖將這三者區別對待,并通過對話解決相應問題,而是不管網絡另一端的人所處的政治和經濟環境,統統認為是美國的敵人。
這樣做有何危險?
這其中的危險在于,如果我們將所有網絡安全問題都歸結為“網絡戰爭”,那么美國國內的民意傾向就會允許國防部來處理這些問題。五月份美國國防部成立了網絡司令部。網絡司令部強調的就是打擊,它的目的就是通過實施閃電戰術,在對方還未對美國實施網絡攻擊前,首先通過網絡攻擊對敵人進行致命打擊。我不認為這是個明智的做法。比如一個封閉的玻璃房子,網絡司令部正在想辦法快速準確的把石頭從屋里扔出去打別人。與之相反,我覺得我們應當習慣目前這種網絡攻擊,就好像習慣所有的系統都會存在漏洞一樣,我們要做的是努力消除這些漏洞。
是金錢利益驅使政府采取這樣的手段或政策嗎?這么想可能有些玩世不恭。
實際上很多人都是這么認為的。美國的軍工行業非常復雜,他們當然與商業安全行業有著緊密的聯系。這并不令人驚訝,也不是什么壞事。問題在于商業安全行業現在才開始理解安全工程以及軟件安全的重要性。前幾年的終點都放在如何防止壞人進入防火墻,而現在則是如何在外圍建立一個牢固不破的防御。這種策略轉變是正確的。在面對網絡犯罪,網絡間諜,以及網絡戰爭時,如果我們想同時解決這三個問題,那唯一的方法就是建立更強大的更堅固的安全系統。
您提到網絡犯罪和網絡間諜活動比網絡戰爭更重要,為什么是這樣呢?
因為網絡上最多的就是網絡罪犯,其次是網絡間諜,而網絡戰爭的出現幾率很小。而這一切產生的根源都是一樣的,即依靠系統的安全防護性能而定。我們有能力解決這三個問題。其中最重要的問題是網絡犯罪,因為目前來看,解決這個問題所投入的資金最大。不妨讓我們換個角度來看問題:最近很多人都在說維基解密的事情,最近一次維基解密所公布的機密文件對于美國的外交政策有很大的沖擊。
問題在于,就算我們擁有發動網絡戰爭并通過閃電戰獲勝的能力,對于像維基解密這樣的問題該如何解決呢?答案很明顯,我們沒能力解決。再比如,對于源自中國的代號極光(Aurora)的針對Google等企業盜取知識產權的網絡間諜行為,就算我們有網絡戰爭的能力,又能怎樣呢?
而解決網絡犯罪和網絡間諜這兩大問題的方法是什么呢?答案就是加強防御。除了加強軟件的安全性以外,人的因素也非常重要。想一下為什么一個一等兵能夠進入機密的軍用SIPRNET網絡?如果我們能夠嚴格實行安全審查制度,只能允許那些真正需要訪問機密文件的人接入機密網絡,那可能就不會出現維基解密這個網站了。
“網絡(cyber)”這個詞聽上去有些恐怖,其實我們所說的還是以互聯網(Internet)為主吧?這兩者有差別么?
是的,美國一直在強調網絡戰爭,而不是互聯網戰爭。問題在于傳說中的網絡安全的問題要比它的實際情況更加神秘,恐怖和夸張。這使得政策制定者,企業CEO以及公眾難以認清真相,比如2007年愛沙尼亞的DDoS攻擊。而我們都知道的超級工廠蠕蟲,就只針對工業網絡環境。
超級工廠蠕蟲是真實存在的,這算是網絡戰爭嗎?
它可以算是一種網絡戰爭的武器,我們稱之為網絡武器。我認為這算是網絡戰爭行為了。根據我的標準,網絡戰爭的攻擊行為需要有實體破壞力,也就是說,被攻擊一方有物理損壞。 Stuxnet的攻擊代碼可以入侵伊朗核電站的濃縮鈾離心機控制設備和離心機設備本身,并造成機械故障。如果你關注過當時伊朗核電站的發電量,就會發現被攻擊后出現的發電量巨大落差。伊朗總統Ahmadinejad也承認伊朗核電站的離心設備遭到網絡攻擊。
那么針對愛沙尼亞的那次攻擊為什么不算網絡戰爭?
實體破壞性是一個要素,另一個要素是,戰爭是全國性的。愛沙尼亞那次遭受的攻擊并不符合這一點。而且國家也沒有收到真正的沖擊。雖然該國的網絡掛了,但是說實話,誰又在意呢?如果把相同規模的攻擊拿來攻擊Google或者Amazon,可能根本都不會引起任何異常狀況。我覺得發動這次攻擊的位于俄羅斯的某個黑客,只是一次個人行為,并不算是發動了一場戰爭。其實,據我在華盛頓的朋友透露,類似愛沙尼亞這樣的攻擊事件還在不斷地上演著。
您是怎么看待網絡戰爭和美國的策略呢?
今年我大部分時間都是在華盛頓工作。我去過白宮,也去過五角大樓,與政府的智囊團一起討論過。現在政府中談論太多有關網絡戰爭的問題了,這讓我有些擔心。我們要做的應該是節制網絡戰爭,網絡間諜以及網絡犯罪的發生,將重點放在建立更好的安全系統上,走出玻璃房子,而不是像Hayden將軍(CIA局長)提議的那樣建立新的網絡快速反應部隊。政策制定者們對于我們所熟悉的網絡安全概念的理解,可謂是一塌糊涂。
我所擔心的是政府根本不在互聯網安全防護上給予任何經費。對于網絡來說,沒有什么分而治之的說法。也就是說,我們不能只為軍隊網絡或者SIPRNET 進行防護,而對互聯網放任不管,因為九成的風險都來自互聯網。在美國,超過九成網絡架構是由企業或民間團體控制的,政府管轄的網絡架構大約只有一成。只保護政府所控制的網絡,而不保護其它部分,顯然是沒有道理的。這是我擔心的問題之一。
另一個問題是美國習慣利用空軍的空中優勢,在第一時間打擊并破壞掉敵人的進攻力量。由此而形成的所謂“禁飛區”對于防御來說非常有效。不幸的是,在網絡空間上這么做是無效的,因為網絡是個完全不同的物理環境,軍隊不可能對敵對勢力進行包圍或者奪取制空權。在網絡上,“物體”運行的速度遠比現實世界的物體運行的速度快,因此現實中的軍事專家在面對網絡戰爭時,基本上沒有時間制定戰略戰術,也沒時間分析和布置防御措施。
您在文章中寫道“最終有人會因為忽視安全問題而付出代價,有人會因為重視安全問題而得到好處。” 您是認為軟件開發商該承擔軟件安全的責任嗎?
我不知道答案是什么。但是我覺得人們需要將討論的重點轉移到如何激勵生產商開發更安全的軟件系統,以及討論不安全的系統會給我們帶來什么風險。等我們都開始討論這些問題的時候,政策制定者們就會轉到正確的道路上來。我們并不是提供什么明確的方案,比如誰該承擔責任。我們只是試著將討論的話題從戰爭轉向安全工程。
您對此還有什么觀點嗎?
我確實認為我們正面臨風險,而且我也認為網絡戰爭確實是我們需要解決的問題。盡管如此,我們也應該理性的進行對話。太多的某某威脅論并不能幫助我們解決問題。如果我們在政策層面進行錯誤的討論,就會給政策制定者們造成困擾,使得他們無法制定出理性的政策。
【編輯推薦】
