——2016年1月,克里斯托弗·格雷厄姆
在英国下议院会议上的发言
2017年9月7日,上百万的美国人都收到了一则消息。美国三大个人信用评估机构之一的Equifax公司遭遇了黑客攻击,约有1.43亿美国用户的个人信息面临泄露危险。几天后,Equifax公司声称,有黑客利用web应用框架的Apache Struts漏洞侵入了web接口,获取了数据库。
这听起来很奇怪。3月6日,美国计算机应急准备小组发布了Struts的一个严重的漏洞;3天后,Ars Technica(美国知名科技博客)的丹·古丁表示,“该漏洞正遭受大规模的攻击”。Equifax当时已经了解了该漏洞,根据公司的软件补丁规定,IT小组需要在24小时内修复这个问题。
然而,时任首席执行官的查德·史密斯在美国国会的证词中表示,他们并没有修复这一漏洞。2017年10月,他因未能保护客户信息而辞职。他解释说,尽管公司拥有225人的网络安全团队,但是这一次未能防范黑客攻击,并不是他们的失误。3月8日,美国计算机应急准备小组发布关于Struts漏洞的安全警告时,他们对系统进行了安全扫描,但是没有发现问题。警告发布1周后,IT部门又进行了排查,还是没有发现问题。
显然,黑客更擅长寻找漏洞。尽管很多人感到十分愤怒,但是他们的矛头却没有指向侵入系统的黑客,而是指向了Equifax公司及其高管。据透露,3名Equifax的高管(包括其首席财务官)在这起黑客攻击事件发生后,总共卖出了价值180万美元的股票。虽然公司声称,他们决定出售股票时,对这起黑客攻击事件并不知情,但政客仍旧抓住了这一点,并把矛头指向了公司高管,“如果确实存在股票交易,就要有人进监狱。这极有可能是一起内幕交易”。
值得注意的是,该事件的报道中隐晦地暗示,如果客户不更新自己的系统,被黑客攻击是在所难免的,就像不修理摇摇欲坠的屋顶免不了被雨淋湿一样。黑客盗窃他人身份,偷走数据,以换取金钱或影响力,但很少有人对他们的行为表示愤怒。仿佛黑客只是在做自己的工作—侵入电脑系统,所有过错在于Equifax。
北卡罗来纳大学的副教授泽尼普·图菲茨基一直积极关注用户的权益问题,她在《纽约时报》的一篇文章中表达了自己沮丧的心情,“大多数的软件故障和数据破坏问题都是不可避免的,原因是公司忽视了产品的可靠性、安全性以及相应的开发资金不足等问题”。
本书旨在强调一个事实,在黑客利用这些漏洞的几年前(甚至几十年前),人们就已经知道、识别并且强调过这些漏洞了。资金的短缺给系统及其周边产品的安全问题带来了难题。公司负责人都希望运气能帮助他们逃过一劫,就像一个坐在暴风雨中心的人,期待着闪电不落到自己头上一样。大多数人都能幸免于难,毕竟互联网十分庞大。有的时候,像索尼影业,闪电从天而降,来自一个你想不到的地方;又有的时候,像Mirai事件,由于公司的商业模式和对安全更新的漠不关心,黑客利用漏洞侵入是完全预料当中的事。
还有一个事实值得关注,在黑客侵入事件中,用户对公司几乎没有追索权,这在TalkTalk英国互联网服务供应商案中可见一斑。美国没有数据保护法,所以美国联邦贸易委员会需要争取以数据泄露而起诉公司的权利。目前,委员会的法定权利还不明确。
这是个值得深思的问题,如果技术可以停滞不前,如果我们可以阻止时光的脚步,如果那些泄露了数据的公司可以修复好设备,如果30多年前的代码都能检查出其本身存在的漏洞,也就不会有Shellshock和Qbot僵尸网络了。
事实却不是这样,问题层出不穷。Mirai源代码的发布创造了僵尸网络新的运作方式,僵尸网络使用物联网设备进行攻击的商业模式并没有改变。但对于制造商来说,他们更倾向于生产软件与固件有漏洞的产品,如果出现了问题,再对其进行修复;而若在一开始就解决所有的安全问题,这会增加制造产品的难度。
代码与修正
一个显著的问题是,代码运行着越来越多的设备,可代码本身却没有变得更安全。截至目前,代码没有办法消除所有隐患,所以运行程序的底层软件永远有出错的可能。人类设计的系统有“合理”的SQL查询,然后数据库会照字面解析查询语言,进而产生输出。数据库的解析和人类的意图可能产生偏差,SQL注入攻击就是钻了这个空子。
确实,越来越多的人试图找出系统的空子,并将其转化为利润。要么卖给他人,要么勒索制造产品的公司,这已经日渐形成了一个蓬勃发展的产业。世界各国政府也拥有越来越多的黑客公司,他们会利用“零日漏洞”攻击目标。零日漏洞并不为大众所知,很多容易遭受攻击的公司也不知道它的存在。寻找零日漏洞本身就是一个市场,这也是黑客在不违反法律的前提下谋利的最佳途径。
2015年12月,赛兹·法罗克和他的妻子在加利福尼亚州圣博娜迪诺实施了一次恐怖袭击,杀害了14人。2016年1月,FBI花费近100万美元雇佣职业黑客,利用零日漏洞侵入赛兹·法罗克的iPhone。同样,一家以色列的安全公司与政府机构合作,利用零日漏洞将iPhone变成无声的监视器。
或者,你可以把这些漏洞卖给谷歌、推特、脸书、微软等大公司,他们会支付赏金,私下解决漏洞问题,避免漏洞流传开来。2013年11月,微软和脸书扩大了他们的漏洞计划,为一些支撑互联网发展的重要软件提供漏洞赏金,例如OpenSSL、PHP、Python和Apache。据报道,每个漏洞的赏金约5000美元,业余的漏洞“赏金猎人”通过合法的黑客行为,可以获取一笔可观的收入。漏洞悬赏平台Bugcrowd充当着纽带的角色,致力于为客户找出更多的网络漏洞。Bugcrowd统计数据显示,赏金猎人主要有五类:猎奇者、爱好者、全职工作者、鉴赏家和保护主义者,这种分类同样适用于黑客。
对于各大公司来说,比起漏洞公之于众后造成的损失,私下支付赎金、再按照自己的节奏来解决漏洞问题要划算得多。通过这种方式,越来越多的漏洞浮现,但仍有未知的漏洞潜伏于表面之下。
我和几个安全问题专家交谈过,他们最大的担忧就是物联网愈发广泛的使用。从第一起事件出现之后,葛拉汉·库雷就一直密切关注着计算机病毒产业,他这么说道:
库雷一直在谈论石油和能源行业可能面临的威胁。沙特阿美石油公司(Saudi Aramco)是世界上最大的石油公司,2012年8月15日,它遭到了恶意软件的攻击,联网的3万台电脑遭到了侵入,75%的系统功能受到了影响。所幸,勘探与生产系统使用的是独立的网络,没有受到影响。3万台电脑离线了10天,一个自称“正义之剑”的不知名黑客组织说自己是幕后的策划者,并正确地说出了沙特阿美石油公司受影响的机器数量。
让人费解的是,该组织使用的名叫Shamoon的恶意软件清空了系统硬盘。“如今,具有如此破坏力的恶意软件是很少见的,”卡巴斯基实验室的一位发言人注意到,“网络犯罪人的主要目的应该是钱财。”恶意软件代码中的一个错误阻止了它的进一步破坏。人们根据恶意软件的名称推测其作者的身份,和恶意软件内的文件名一样,“Shamoon”一词在阿拉伯语中很常见,等同于西方英语世界中的“Simon”。电脑安装了恶意软件之后,它会清空机器并发送反馈,因此,黑客组织能知道感染机器的确切数量。
阿美石油公司黑客事件使全世界的能源产业都处于紧张状态。一方面,网络连接能带来便利,它能实时报告与监控极其复杂的系统,迅速做出反应,这能够节省数百万美元的成本。另一方面,它也增加了公司的安全风险。
库雷解释道:
“这会导致明显的可利用的缺口。”他说。
控制局面
高速发展的科技也给黑客带来了很多新的机会。基于现已发生的事件,黑客可能涉及的领域是可以预测的。如今的黑客可以进行多种形式的攻击,数据库注入、网络钓鱼、控制物联网设备、缓冲区溢出漏洞、沙箱逃逸技巧、蛮力登录攻击、分布式拒绝服务(DDOS攻击)、DNS缓存中毒攻击、中间人攻击……在列举攻击的形式时,我们可以清楚地看到,自1986年第一批不能通过重启解决的病毒出现之后,世界就变得更加复杂了。而在它们冲出栅栏前,研究病毒和蠕虫的可能性的论文早已出现了。第一批论文的作者中就有“计算机之父”约翰·冯·诺依曼。维斯·里萨克也发表了一篇德文论文,探讨如何在西门子电脑上编写一种病毒。美国著名黑客弗雷德·科恩在19世纪80年代证明了一种能删除所有潜在病毒的算法,这也是对黑客理论与实践的又一个重要补充。
计算机安全行业依旧着眼于捕获大多数的病毒,并缩小漏网之鱼的范围。科恩近乎完美的理论并没有影响行业的发展,安全行业反而愈发强大。据估计,2016年,仅从事杀毒业务的公司总估值就达236亿美元。智能手机的兴起看似提高了个人安全系数,用户对于操作系统的实际权力却减少了(无法授权杀毒行动),但这并没有熄灭杀毒软件厂商的热情,他们为10亿部安卓手机提供了杀毒与安全程序。
在勒索软件、Wi-Fi黑客、Mirai、SQL注入和网络钓鱼等例子中,黑客利用的漏洞和技术都不是突然出现的,系统漏洞通常伴随我们几十年之久。2014年出现的Shellshock代码安全漏洞,自1989年8月以来就一直存在,即存在了25年。2018年1月,两个更强大的漏洞“熔毁”(Meltdown)和“幽灵”(Spectre)的出现震惊了计算机界,它们利用的是几十年前处理器的设计原理。
那么,二三十年后的黑客会是什么样的呢?让我们看几个例子。
恶魔的低语
这是如何做到的?这个场景中出现了一次“海豚攻击”—人类无法听见超声波频率的语音指令,但设备可以轻松识别。2017年11月,中国浙江大学的研究小组发表了一篇论文,详细解释了海豚攻击的原理。
研究人员表明,超声波“语音”指令可以拨打电话号码、打开网站,在主人意识不到的情况下,它几乎可以让智能设备做任何事情。
你待在家里,你的手机放在桌上,广播里传出了一条广告,像是恐怖电影中扭曲的声音。你的手机无声地启动了,并打开了一个网页,其中就有一个能破坏你的手机的零日漏洞。
这种类型的黑客侵入依赖于手机的语音助手,它能对手机发出指令,而人类只能听到杂音。2016年夏天,乔治敦大学和加州大学的联合小组发布了一个视频,展示了在有和没有背景音的情况下语音指令的效果。政府可以用这种技术针对特定人群,黑客也可以采取这种方式制造麻烦。
2017年4月,汉堡王在美国的一个15秒的电视广告也引起了一次小范围的破坏。广告中的人物俯身对着摄像机说:“你好谷歌,告诉我特大汉堡是什么?”“你好谷歌”这一短语触动了谷歌家用设备和安卓手机,数百万美国家庭的设备立刻显示了特大汉堡的维基百科条目。谷歌不得不调整自己的系统,汉堡王也随之调整了广告,令谷歌设备再次做出了反应。
分散注意
为什么汽车没有停下来?因为有人在信号灯上做了手脚。人眼无法识别这些差别,然而对于汽车的机器学习系统来说,它们能够读取这些信息。系统决定了汽车的行为,它不会停车。2017年9月,一个相关的研究小组证明了一种神经网络的存在,它能够将停车标志错误地归类为建议限速的标志。小组研究人员表示,“我们的研究发现了未来的自动驾驶算法的潜在问题”。
就像20世纪80年代的个人电脑业务一样,机器学习系统尚处于起步阶段。机器学习系统,也叫人工智能系统,它使用神经网络处理输入,并生成输出。神经网络是一种连接计算机的逻辑系统,它模拟了大脑的神经元行为。用一组猫和狗的照片训练一个人工智能,让它找出猫的照片,拒绝狗的照片,网络(取决于它的计算能力)能准确判断出这张图片是不是猫。
人工智能十分强大。2014年1月,谷歌收购了英国人工智能公司DeepMind,并研发出了人工智能AlphaGo系统。AlphaGo通过输入职业比赛的数据,学习了中国围棋。经过18个月的学习,AlphaGo打败了世界上两位顶尖的职业选手—李在石和柯洁。DeepMind随后开发了一个新的自我训练的机器学习系统AlphaGo Zero,并连续击败了AlphaGo 100次,AlphaGo Zero是已知同类系统中最好的围棋选手。
人工智能成功解决了照片和语音识别等多年来的计算问题,也因此开始被广泛传播。但是,不同于依靠代码和规则的系统,人工智能系统做出的决定不受人为控制,也没有明确的代码分支解释每一个输出。神经网络本质上是个黑匣子,它的输出无法被预测,甚至可能让人类大吃一惊。
在和李在石的比赛中,我们清楚地看到,在第二场比赛中,计算机的一着棋震惊了在场的所有人,包括它的人类对手。“这一招十分奇怪。”一位围棋专家评论员说道。另一个人评论道,“我认为这只是一次失误”。然而欧洲职业选手范辉在输给AlphaGo后,发表了不同的意见,他告诉《连线》杂志,“那不是人类能有的举动”。
换句话说,我们无法预测人工智能系统的行为。这自然吸引了研究者的兴趣,并提出了一个更为广泛的命题:如果将这个系统应用于自动驾驶车辆、家庭周边产品和智能手机,它将如何处理未知的输入,又能有怎样的输出呢?
人工智能系统对世界有自己的理解,我们不知道系统如何识别出猫和狗的图片,就好像我们也不知道我们的大脑是如何进行识别的。系统完全依靠自我训练的数据,因此,如果输入了微妙的先入为主的偏见,系统就会表现出性别或种族偏见。2017年4月的一项研究发现,在用词中,人工智能系统倾向于将女性、艺术与人文学科联系到一起,而将男性和工程、数学工作联系到一起,这也反映了学习的数据存在着偏见。
如果人工智能系统出了错或被黑了,这一深层次的问题就很难解决。这是理论层面的弱点,也是黑客攻击的关键——利用弱点,无论是人类的弱点,还是系统的弱点。人工智能系统目前似乎没有可供攻击的“界面”,但人类越依赖一个系统,这个系统的弱点就会越多。
停留在理论阶段
剑桥大学计算机科学实验室的罗斯·安德森教授确信,智能仪表会成为一个新的严重的网络漏洞。2010年他与同事谢伦德拉·富罗利亚共同发表了论文,认为任何国家级的网络攻击都会从切断全部电力供应开始,“其相当于一次核武器攻击”。跟核武器攻击不同的是,中子辐射武器能杀死人,建筑物也会遭到破坏;但智能电表攻击会让基础设施陷入瘫痪,而(大多数时候)人类毫发无损。
如果没有电,现代经济将会瘫痪,并且很难复苏。1996年,爱尔兰共和军试图对伦敦的六座大型电力分局发动进攻,如果袭击成功,数百万人将断电数月。2003年,伊拉克发起了对抗美军的行动,其部分原因就是美国人拖延了恢复电力供应。安德森和富罗利亚问道,黑客能否侵入智能电表系统,关闭电源,并命令系统清除或者篡改密钥?这就好像在每个人家中的电表上安装了勒索软件,你甚至都不知道电表可以重置。
业余黑客几乎不会采取这种策略,但是国家却视之为直接进攻的备选方案,毕竟发射导弹风险太大。
2017年6月,乌克兰受到了名为“NotPetya”的恶意软件的严重影响。乌克兰约90%的公司都使用一款名为Medoc的税务会计软件,该软件发布更新版本之后,NotPetya随机在用户的机器上安装了勒索软件,银行、公共交通枢纽和大卖场均受到了影响。
NotPetya恶意软件曾令众多专家闻风丧胆,它能在公司的内部网络间传播,因此在乌克兰设有办事处的跨国公司也受到了影响。安全公司TrustedSec的戴夫·肯尼迪告诉美联社,“如果这次攻击的目标是周边国家,它极有可能造成全球网络系统与环境的灾难性崩盘,其后果是不堪设想的”。
所有的迹象都表明,NotPetya恶意软件的网络攻击行为是某个国家所为,而当时只有俄罗斯与乌克兰在发生边界争端。不同于军队和导弹,人们很难将一次网络侵入和一个国家联系到一起。你可以想象,如果乌克兰的技术更加先进,智能电表系统的利用率更高,情况将会变得更糟。2017年年底,安全服务公司Cybereason估计,在这次网络攻击事件中受到影响的所有公司的总损失达12亿美元。
正如安德森和富罗利亚说的那样,智能电表的基础设施需要操作简便,同时还需要抵御外界的侵入,并能应付未来的软件升级。简单、安全、有保障,这是传统项目管理的三角难题,近似于“优质、便宜、快捷”,安德森鄙视这一构想。
目前,用智能电表来扰乱一个国家的做法只存在于学术论文中,且支持匿名支付系统的密码勒索软件也只是一个构想。未来,国家间的攻击很可能会从互联的基础设施着手,破坏对方的系统比直接的攻击更为简单。未来的网络战争可以实现完全没有硝烟,而被征服的国家可能都不知道自己输给了谁。
保护与存活
综合以上所有的场景,个人和国家都可能遭受黑客攻击,我们该如何应对未来的网络战争呢?
从约翰·波德斯塔的双因素认证到TalkTalk庞大的网络系统,显然,这个行业面临两个主要问题——个人数据的泄露与被攻击后的损失控制。
在个人数据层面,黑客攻击所产生的损失本该是服务商的责任,但服务商全部转嫁到了用户的身上。为什么服务商没有在用户被黑后立刻告知的义务?为什么它们不能对受影响的用户做出一定形式的补偿?
相比之下,汽车制造商似乎一直处在强制召回与修复漏洞的漩涡中。当然,失控的汽车可以杀人,而失控的数据(例如Equifax)只会给用户带来麻烦,而我们没有衡量这两种损失的标准。当然,在此次事件中,Equifax表现出了惊人的魄力——用户可以1年不用付钱,1年后再支付。换句话说,如果Equifax在这1年内泄露了数据,用户就不需要再付钱了。这很像一个老掉牙的笑话,小孩杀死了自己的父母,然后说自己不过是个无辜的孤儿,并请求他人的饶恕。作为回应,2018年1月,两名美国参议员通过立法规定,如果信用报告机构遭到黑客攻击,则必须向客户支付赔偿金。
同时,被攻击方往往无法在第一时间缩小损失。正如图菲茨基所言,忽视安全性和资金不足的公司最容易招致这类粗糙的黑客。本书的案例既有有目标的攻击(HBG、索尼影业、约翰·波德斯塔),也有随机的商业攻击(勒索软件、TJX、TalkTalk、Mirai),而新闻中反复报道的黑客事件往往是随机的商业攻击。2017年12月,黑客开始攻击比特币交易。由于虚拟货币的价值不断上升,此次黑客攻击收获了数百万美元。
生活在充满了雷雨和闪电的时代,最佳的应对策略是什么?
我跟一些安全专家谈过,他们都指出,总有人在虎视眈眈,我们必须接受这一点。我们能做的,只是在系统被侵入后确认损失的范围。你能控制侵入者的去向吗?你能阻挡他们损害用户利益吗?
当然,危险难以预料。就像索尼影业一样,危机会突然出现。年轻的黑客丝毫不输15年前受过训练的国家黑客,TalkTalk的服务器漏洞就是一位16岁的年轻人发现的,他说他找漏洞只是为了跟朋友炫耀。如果发现漏洞的是恐怖组织,那会发生什么呢?这类威胁普遍存在,并将持续发生。
对于普通公司来说,黑客事件促使他们重新思考自己的网络安全策略。首先,勒索软件正迅速崛起,这打破了黑客的传统模式。有人掌握了你的数据,而你也无法保证自己的数据安全。恶意软件是个很容易赚钱的方式,有了无法追踪的比特币支付支撑,黑客会危及公司业务的持续发展。
其次,嵌入式系统的应用,也就是物联网的兴起,使黑客进一步发展。我采访过的黑客和安全专家都表示过对物联网系统的担忧,因为它使用范围分布很广,并且安全模式大抵很松懈,这类产品最好的注释就是“适应与遗忘”。但是互联网会记住所有的痕迹,这使得这类联网系统很难做到安全。
最后,各国之间开始恶意破坏对立国家的网络系统安全,并窃取信息。这也说明了公司不能忽视来自其他国家的威胁,贸易、文化都可能与政治挂钩,互联网催生了国家间的隐形战争,它能够轻易摧毁一个国家的贸易和文化,并且很难追溯。
系统安全难以得到百分之百的保证,而黑客的好奇心也永远不会消亡。以前,车祸的致命程度比现在高得多,因此汽车制造商才迫于法规的要求,将安全性能纳入产品指标之中。而网络还是一个相对年轻的产业,比起坚守系统安全,总有更轻松的方式(攻击)能赢得喝彩。
当代的数据泄露就如臭氧层的空洞,需要一定时间的积累。令人担忧的是,就像气候变化一样,每个人都在等待他人采取积极行动。面对如今的局势,我们应该暗自发力,以尽自己的绵薄之力,而不只是期待别人采取行动。