黑客組織“影子經紀人”日前再度發出警告稱,將在6月披露更多竊自美國國家安全局的黑客工具, 瞄準Windows 10、路由器、瀏覽器甚至是手機。這意味著,接下來全球可能面臨新的網絡安全威脅。
日前在全球肆掠的勒索軟件“想哭”(WannaCry)據稱即源自該組織外泄的黑客工具,上一波網絡攻擊發生時,全球150個國家的30萬臺電腦遭到攻擊,其中,攻擊對我國很多行業網絡也造成極大影響,包括教育、石油、交通、公安等。
復旦大學網絡空間治理研究中心主任沈逸對此給予了警告般的評估認為,“想哭”勒索軟件是一次準網絡戰級別的攻擊,“如果發生在戰時,敵方對后勤系統及基礎設施發動更為大型和專業化的網絡攻擊,其后果難以想象。”他對澎湃新聞(www.thepaper.cn)說。
“中國此番中招,一方面說明中國互聯網的普及程度正迅速提高,但另一方面也說明從終端用戶到政府部門對網絡安全的重視程度還是不夠,推進網絡安全事業的發展需要科學合理的指導原則與方法。”中國國際戰略學會學術部主任虞爽說。
對國家網絡戰能力的實戰化檢驗
就在黑客組織“影子經紀人”再度發出警告之際,據聯合早報18日報道,國際網絡專家警告,一款名為Adylkuzz的惡意軟件可能會以更隱秘的方式發動襲擊,用戶甚至無法立即發現電腦已受感染。
報道援引網絡安全機構Proofpoint研究員戈迪耶的話報道說,他們發現新一波的網絡攻擊行動,“黑客利用美國國安局最近被揭露的黑客工具,雖然微軟已修復了該漏洞,但(黑客)以更隱秘的方式(發動襲擊),其目的也不同。” 他說,不同的是,Adylkuzz軟件并不會為受感染電腦的文件加密,然后要求用戶支付贖金,而是利用受感染的電腦來“挖掘”虛擬門羅幣,然后把錢轉入自己的戶頭。
Proofpoint還透露,受感染的電腦將無法進入視窗系統的分享資源,電腦和服務器的速度也會減弱,一些用戶或許無法立即發現電腦已受感染。
如果以上警告成真,這將是對全世界網絡安全的又一次新的考驗。而距12日勒索病毒席卷全球150個國家,僅僅不到一周,對于這場網絡襲擊的定性仍有不同看法。
根據中國工業和信息化部國家互聯網應急中心公布的數據顯示,從5月13日9:30到5月14日10:30分的監測期間,監測發現全球約242.3萬個IP地址遭受勒索軟件“想哭”蠕蟲病毒利用SMB漏洞攻擊,被該勒索軟件感染的ip地址數量近3.5萬個,其中中國境內IP約1.8萬個。
“從武器級的網絡攻擊能力擴散、以及對國家維護網絡安全能力的考驗來看,這就是一次準網絡戰級別的攻擊,對所有國家網絡戰能力的一次實戰化檢驗,因為它直接挑戰了國家對網絡攻擊的防御及響應能力。”復旦大學網絡空間治理研究中心主任沈逸對澎湃新聞表示。
不同于大多數學者及研究人員對此次事件黑客犯罪行為的定性,沈逸認為本次由“勒索”病毒引發的網絡危機是一次國家框架下的網絡安全事件,對中國的應對也構成直接挑戰。
“這次事件發生后,不少公共服務機構、加油站隨即紛紛中招。如果發生在戰時,敵方對后勤系統及基礎設施發動更為大型和專業化的網絡攻擊,其后果難以想象。”沈逸進一步說。
在美國著名智庫蘭德公司早在2015年9月發表的名為《美中軍事記分卡:武力、地理和力量平衡的變遷》的報告中,就曾明確指出,美軍如果對中國發起網絡進攻,首選目標很可能就是軍民共用的關鍵基礎設施(如交通運輸、導航、醫療、電力等相關領域的基礎設施,和平時期為民用,戰爭時期可為軍隊提供保障)。
安天實驗室的主要創始人兼首席技術架構師肖新光對澎湃新聞表示,這次事件的嚴重后果源自美國國家安全局(NSA)的網絡武器失竊,這些網絡武器用于攻擊時的穿透性很強,在非戰爭條件下,網絡武器通常是在情報作業中高度定向、謹慎使用的。
“但一旦網絡武器流失到第三方,被大規模使用,就會造成大面積安全災難。”肖新光說。
中國國際戰略學會學術部主任虞爽認為,在過去,我們一些關鍵的基礎設施與部門一直寄希望于內外網分離的方式,但目前看來這種想法已不符合網絡攻防技術的發展潮流。“通過早前伊朗核設施遭遇‘震網’病毒的攻擊一事也可以看出,物理隔離早已非萬全之策。”他說。
不過,肖新光也強調,值得一提的是,在網絡安全主管部門、行業機構和各安全企業的協力應對下,病毒在行業內網的傳播擴散得到了快速遏制,度過了周一的“開機大考”。
網絡領域應加強和民間融合
值得注意的是,在“勒索”病毒于5月12日爆發后,以安天、360等為代表的數家中國網絡安全企業反應迅速,對于病毒特性、感染方式做出詳細分析,并給互聯網用戶提供若干解決方案。
但是,盡管中國互聯網公司近年來發展迅速,如騰訊、阿里巴巴等在市值上已可躋身世界前十,但在網絡安全技術領域,中國企業在世界上排名仍然靠后。根據美國網絡安全風險投資公司(Cybersecurity Ventures)發布的、獲得業內普遍認可的全球安全企業創新500強榜單,在今年第一季度的排名上,一共只有5家中國大陸企業進入榜單,且均在前100名開外。其中,奇虎360位居第126位,其余還有瀚思、安天等。相比之下,美國有上百家企業進入榜單,且排名靠前。
據《北京晚報》16日報道,360企業安全集團總裁吳云坤15日在媒體通氣會上表示,如果沒有這次勒索病毒,大家仍會覺得網絡安全問題離自己非常遠。根據很多咨詢機構的數據,中國政企機構安全投入占整個IT投入只有2%,而發達國家占到9%。所以,根本上還是要解決投入問題、意識問題和廠商的問題。
“目前,我國一些網絡安全企業的生存狀態并不是很樂觀。一部分企業,從市場角度來說,它們能夠獲得的生存土壤是有限的,需要快速盈利的能力。但是,很多網絡安全公司所做的事情是一個長線的問題,并不能獲得短平快的收益,這種情況下國家就應該對網絡安全企業的生態進行主動的塑造。”虞爽表示。
肖新光認為,我國當前網絡安全產業最需要進行的是需求側改革,即如何使我們的網絡安全需求導向轉為能有效應對威脅。從網絡安全的屬性來說,真正的高級威脅和深度威脅的一個特點是具有極大的定向性和隱蔽性,是一種客戶不易看到的威脅。如果我們整個社會的認知與安全建設導向是以“眼不見為凈”為標準,即看不見的威脅就不是威脅,只有產生社會影響的威脅才會收到重視,那將是極其危險的。“因為對手竊取我們相關的技術成果和情報之后,它是不會公開說出來的。”
虞爽也認為,應該從國家層面做一個規劃和扶持。“以美國為例,它有專門的風投公司‘In-Q-Tel’(IQT)代表國家對初創的網絡安全公司進行注資和扶持,例如現在聞名世界的火眼(Fire Eyes)及谷歌地球的前身Keyhole,其發展都離不開國家的扶持。”
此前,虞爽曾在《世界知識》撰文指出,網絡安全博弈的根本在于技術,而技術發展與提升源自互聯網產業。支撐美國在互聯網技術上絕對優勢地位的,既不是美國國防部,也不是白宮,而是像“八大金剛”(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟)、賽門鐵克、火眼這樣的互聯網技術公司。
“中國的網絡安全公司要想取得突破,必須讓敢于并能夠在危機出現時頂上去、抗住威脅壓力的企業和機構獲得支援,取得良好的生存環境。”沈逸表示,“美國網絡技術的真正優勢在于其整體生態,使需要得到支持的公司與機構能夠得到支援。”
此外,虞爽還認為,“網絡安全具有非常強的特殊性,傳統武器的高精尖技術人才一般都在體制內;但在網絡方面,掌握先進的網絡攻防技術、乃至系統漏洞的人才,相當一部分都在民間。這反映了我國網絡領域的官民兩股力量之間需要攜起手來,做到融合發展。”
建立網絡空間防擴散機制的契機
但是,維護國家網絡安全,除了需要在國內建立良好的網絡安全產業整體生態,還需要有效的國際合作。有趣的是,“勒索”病毒肆虐全球后,盡管諸多專業機構及分析人士均把工具的源頭指向美國國安局,但是美國卻矢口否認。
美國國家安全顧問湯姆·波塞特15日對外表示,勒索贖金的代碼不是由美國國安局的工具開發出來的。但是,他卻回避了“勒索”病毒與國安局此前開發的網絡間諜工具之間的關系。到16日,又傳出“勒索”病毒可能與朝鮮有關的消息。
“對比美國政府在之前網絡安全議題上高調的姿態,美國政府此次可以說是非常地低調。”沈逸說,“這說明,美國政府心虛了。”
事實上,對美國政府的指責還包括美國本土的互聯網公司。微軟總裁以及首席律師史密斯14日坦承微軟公司對“勒索”病毒襲擊負有最大責任,但同時指責美國政府存在過失,認為政府在發現系統漏洞后應告知微軟公司,而不是儲備、售賣或者利用它們。
但是,美國《外交政策》網站15日刊文認為,微軟的要求無疑是讓美國國安局單方面解除所有武裝,而這是國安局絕對不可能做的——“就像即便‘戰斧’巡航導彈落入敵手,美國也不會放棄使用‘戰斧’一樣。國安局也不會因為一種網絡武器的遺失而就此放棄。”
“美國政府在此次病毒事件中當然有應被指責之處,但是有效的指責并不應源自康德式的理想主義的出發點。”沈逸強調,“網絡武器的研發是普遍存在的事實,道德主義的口號無助于解決網絡軍控的現實問題。美國政府在網絡空間武器出現擴散后應對不當,才是外界應當抓住的痛點。”
沈逸認為,在原有網絡間諜武器丟失后,美國政府除了應將漏洞告知微軟公司,還應盡到通知各國政府、機構及個體用戶的義務,以防止網絡武器擴散在全球造成不可估量的損失。但是,美國政府的失職,使之成為各方指責的焦點所在。
“這是推進全球網絡空間防擴散機制的好機會。”沈逸表示,“這既是中國彰顯在網絡安全問題上的大國地位的良機,也反襯出中國從2015年開始向全球倡導的建設網絡空間命運共同體的必要性、正當性以及迫切性。”
但是,“網絡空間不同于物理空間,又與物理空間緊密相連,因此地緣政治、大國博弈等物理空間的問題也會映射到網絡空間,使虛擬空間的全球治理更為復雜,也更難。”虞爽認為,“目前,中美歐等國及發展中國家圍繞全球網絡治理體系的討論,還沒發展到怎么治理的議題,而是卡在誰來治的問題上。但這個問題不解決,其余的問題也很難向下延伸。”