一周海外安全事件回顧(2014.10.27-11.02)
黑客的入侵是否可能威脅到人身安全,甚至導(dǎo)致大規(guī)模的人員傷亡呢?超過60%的人認(rèn)為,在下一個(gè)十年你就可能看到這樣的事件發(fā)生。
網(wǎng)絡(luò)攻擊對機(jī)構(gòu)和企業(yè)會(huì)造成聲譽(yù)和財(cái)產(chǎn)上的損失,甚至威脅到國家的安全,這都是毋庸置疑的共識(shí)。不過,黑客的入侵是否可能威脅到人身安全,導(dǎo)致人員傷亡呢?業(yè)界一直缺乏對此結(jié)論性的評(píng)估和預(yù)測,似乎大家都在有意規(guī)避這個(gè)話題。那么,網(wǎng)絡(luò)攻擊真的會(huì)威脅到人的生命安全嗎?
十年前的預(yù)測
10月29日,美國著名的Pew研究中心(Pew Research Center)與Elon大學(xué)公布了一項(xiàng)歷時(shí)10年的關(guān)于互聯(lián)網(wǎng)安全威脅的 “研究”成果。與其說是“研究”,不如說是“預(yù)測”。在2004年9月,Pew和Elon的研究團(tuán)隊(duì)向眾多學(xué)者、技術(shù)專家、企業(yè)管理者和對安全感興趣的業(yè)界人士發(fā)出了一份有24個(gè)問題的調(diào)查問卷。這24個(gè)問題涉及從2005年到2014年期間互聯(lián)網(wǎng)安全發(fā)展的預(yù)測。今年正好十年過去了,Pew和Elon的研究團(tuán)隊(duì)像打開“時(shí)間膠囊”一樣審視當(dāng)初對24個(gè)問題預(yù)測,并與過去10年中發(fā)生的真實(shí)安全事件進(jìn)行了比較。令人感到驚訝的是,當(dāng)初的很多預(yù)測都實(shí)現(xiàn)了(關(guān)于預(yù)測問題請查詢:http://www.pewinternet.org/2005/01/09/the-future-of-the-internet-i/)。
當(dāng)然,十年前的預(yù)測并不是本文的主題,只是一個(gè)引子。在打開“時(shí)間膠囊”的同時(shí),Pew和Elon又以相同的形式進(jìn)行了下一個(gè)十年,即到2025年之前的互聯(lián)網(wǎng)安全進(jìn)行了預(yù)測。預(yù)測中有一條內(nèi)容讓研究人員感到震驚——61%的調(diào)研對象認(rèn)為在未來十年內(nèi)會(huì)發(fā)生因網(wǎng)絡(luò)攻擊導(dǎo)致重大人員傷亡的事件(http://www.pewinternet.org/2014/10/29/cyber-attacks-likely-to-increase/#)。
迄今為止,還沒有發(fā)生過因黑客攻擊直接導(dǎo)致人員傷亡的事件。Pew和Elon的研究性調(diào)研,恰恰可以在一定程度上反映出學(xué)術(shù)界和商界對本文一開始的那個(gè)問題——網(wǎng)絡(luò)攻擊是否會(huì)威脅到人的生命安全的普遍觀點(diǎn)。不幸的事,結(jié)論是悲觀的——Pew和Elon將一個(gè)令人毛骨悚然的未來場景展示在所有人的眼前。
其實(shí),認(rèn)為黑客入侵會(huì)威脅到人身甚至生命的預(yù)測早已有之。在2011年12月,來自殼牌石油公司的Ludolf
Luehmann在多哈舉辦的World Petroleum Conference大會(huì)上稱,“It will cost lives and it will cost production, it will cost money, cause fires and cause loss of containment, environmental damage – huge, huge damage.” (網(wǎng)絡(luò)攻擊會(huì)帶來人員生命的損失,生產(chǎn)的損失。。。。。非常巨大的損失)(http://www.bbc.com/news/technology-16137573)。不知道Luehmann是不是第一個(gè)在國際性大會(huì)上公開預(yù)測黑客入侵會(huì)造成人員傷亡的人。
有趣的是,在之后媒體對殼牌石油公司的采訪中,殼牌官方并沒有對Luehmann的言論發(fā)表任何評(píng)論。也許當(dāng)時(shí)的輿論環(huán)境比較敏感:震網(wǎng)病毒(Stuxnet)事件曝光僅過去一年,同時(shí)在一個(gè)月前(即2011年11月)剛剛發(fā)生了Duqu病毒事件。不管怎樣,Luehmann對于黑客造成人身傷害的設(shè)想還是多少讓人有些感到恐怖:“If anybody gets into the area where you can control opening and closing of valves,or release valves, you can imagine what happens”(如果一個(gè)人進(jìn)入了一個(gè)區(qū)域,而你可以控制打開和關(guān)閉(通向那個(gè)區(qū)域)的閥門,你可以想像對于其中的那人意味著什么)。如果沒看明白,想象一下輸油管道的場景。其中的那個(gè)“你”就是一個(gè)黑客。
除了能源領(lǐng)域,在其他很多領(lǐng)域都存在類似的風(fēng)險(xiǎn);事實(shí)上,也確實(shí)發(fā)生過很多令人后怕的安全事件。比如在交通領(lǐng)域,去年10月份,連接以色列Haifa市南北、用于緩解地中海港口擁堵的Carmel隧道由于信號(hào)燈被黑客控制,導(dǎo)致20分鐘交通中斷,第二天隧道中斷更是長達(dá)8個(gè)小時(shí)(http://www.itproportal.com/2013/10/28/the-reality-of-cyber-warfare-hits-home-israeli-road-system-taken-down-by-trojan/)。在今年5月份,在美國發(fā)生過高速公路電子公告牌內(nèi)容被篡改的情況
(http://www.hackersnewsbulletin.com/2014/05/funny-hacker-hacked-five-road-signs-display-advertisement-twitter-account.html)(如下圖)。可以設(shè)想,一旦黑客控制交通信號(hào)燈或任意修改電子公告牌的內(nèi)容,本來應(yīng)該顯示紅燈的路口顯示可以通行的綠燈,本來被限速的80KM/h道路標(biāo)示被篡改為120KM/h,本來因道路整修作業(yè)而關(guān)閉的道路被開放,其導(dǎo)致的結(jié)果很可能是車毀人亡。
在醫(yī)療領(lǐng)域,黑客入侵對人身安全的威脅將更為直接。在2013年6月,美國FDA稱所有醫(yī)院使用的關(guān)鍵醫(yī)療監(jiān)控系統(tǒng)都存在被入侵和利用的可能,一旦這些設(shè)備被黑客入侵,將威脅到病人生命安全。這也是FDA第一次要求設(shè)備廠商提供明確的說明闡述如何解決安全的問題,并要求醫(yī)院拒絕對無法提供明確闡述廠商系統(tǒng)的采購。(http://www.washingtonpost.com/national/health-science/facing-cybersecurity-threats-fda-tightens-medical-device-standards/2013/06/12/b79cc0fe-d370-11e2-b05f-3ea3f0e7bb5a_story.html)。
在更為敏感的軍事領(lǐng)域,因網(wǎng)絡(luò)攻擊造成人員傷亡更是不堪設(shè)想。在美軍《3-38號(hào)戰(zhàn)地網(wǎng)絡(luò)電磁行動(dòng)手冊(2014版)》中(https://armypubs.us.army.mil/doctrine/index.html ),網(wǎng)絡(luò)空間作戰(zhàn)是網(wǎng)絡(luò)電磁三位一體戰(zhàn)場的重要組成部分,有效對抗來自網(wǎng)絡(luò)的攻擊威脅是美軍戰(zhàn)地指揮官必須具備的能力。
美軍之所以如此重視網(wǎng)絡(luò)空間戰(zhàn)場正是體現(xiàn)了該戰(zhàn)場的重要性,是涉及生死攸關(guān)的大事。未來的戰(zhàn)場,來自敵人的攻擊一方面是飛機(jī)大炮等常規(guī)威脅,還將面對來自網(wǎng)絡(luò)空間的攻擊。戰(zhàn)場指揮和控制系統(tǒng)本身就是一個(gè)網(wǎng)絡(luò),黑客會(huì)嘗試通過網(wǎng)絡(luò)入侵這些系統(tǒng)來干擾、控制和破壞對方的作戰(zhàn)系統(tǒng)。一旦黑客入侵成功,損失很可能不僅僅是某一個(gè)作戰(zhàn)單元,或是某一支作戰(zhàn)部隊(duì),而是整個(gè)戰(zhàn)場的指揮權(quán)和控制權(quán)。到那時(shí),因此導(dǎo)致的人員傷亡也就不是幾個(gè),幾十個(gè),而是成千上萬。
當(dāng)然,預(yù)測就是預(yù)測,在未來的10年里,是否真如Pew和Elon調(diào)研中61%的人猜想的那樣會(huì)發(fā)生因黑客攻擊導(dǎo)致大規(guī)模人員傷亡的情況,我們還要拭目以待。如果到了2025年再次打開“時(shí)間膠囊”的那一刻,事實(shí)證明上述猜測是杞人憂天,那是再好不過的——畢竟人世間沒有任何一件事物比生命還要寶貴。
最后,對一些朋友私下提出的一個(gè)共性問題做一個(gè)統(tǒng)一的回答——為什么上周發(fā)生了那么重大的安全事件,而“一周海外安全事件回顧”(以下簡稱“一周回顧”)里只字未提?關(guān)于這個(gè)問題的回答首先需要明確一下“一周回顧”的定位。“一周回顧”不是海外安全大事記,更不是大事榜,而更多希望分享給大家是一些有趣的但是并非被公眾普遍關(guān)注的安全事件,有些事件甚至可能被忽略,但并不影響這些事件深遠(yuǎn)的影響力。當(dāng)下不是焦點(diǎn),未必將來不是焦點(diǎn)。
