黃芳芳
今年4月在杭州舉辦的2017中國(guó)“互聯(lián)網(wǎng)+”數(shù)字經(jīng)濟(jì)峰會(huì)上,娃哈哈集團(tuán)董事長(zhǎng)宗慶后向騰訊公司董事會(huì)主席馬化騰發(fā)問(wèn):“我們互聯(lián)網(wǎng)公司后臺(tái),也就是服務(wù)器,在美國(guó)人手里還是自己手里?”馬化騰卻顧左右而言他。
然而,在宗慶后之問(wèn)的背后,我們不得不面臨另一個(gè)更加駭人的事實(shí)——中國(guó)沒(méi)有自己的互聯(lián)網(wǎng)。
“您如何看待此次WannaCry事件?”記者見(jiàn)到中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室教授、北京知識(shí)安全工程中心主任呂述望時(shí),迫不及待地問(wèn)出第一個(gè)問(wèn)題。
“看重圍棋上的一個(gè)棋子無(wú)妨,但也不能忽視全局?!眳问鐾f(shuō)。
“我不主張把因特網(wǎng)翻譯成互聯(lián)網(wǎng)!可以簡(jiǎn)單地說(shuō),中國(guó)公眾使用的網(wǎng)絡(luò)是美國(guó)因特網(wǎng)的一部分。夸張點(diǎn)說(shuō),中國(guó)億萬(wàn)公眾在美國(guó)因特網(wǎng)上淘寶?!眳问鐾硎?,“中國(guó)沒(méi)有自己的互聯(lián)網(wǎng)。”
目前我們使用美國(guó)人發(fā)明的因特網(wǎng)(Internet),它是由一個(gè)主根控制的網(wǎng)絡(luò),控制權(quán)在美國(guó),因而不是真正意義上的互聯(lián)網(wǎng)?!澳阌幸粡埦W(wǎng),我有一張網(wǎng),二者在平等的基礎(chǔ)上連接起來(lái)才叫互聯(lián)網(wǎng)。”
1994年4月20日,中國(guó)計(jì)算機(jī)信息系統(tǒng)全功能接入Internet。呂述望指出,事實(shí)卻是改造中國(guó)民用網(wǎng)絡(luò)為租用美網(wǎng)的輔助工程。我們租用美國(guó)的網(wǎng),美國(guó)一旦關(guān)閉網(wǎng)絡(luò),中國(guó)百姓什么網(wǎng)都沒(méi)有了。“比如我國(guó)將一對(duì)健康、有繁殖能力的大熊貓送至其他國(guó)家進(jìn)行為期10年的合作研究,其繁殖的后代歸中方所有。若大熊貓意外死亡,其遺體也歸中方所有。這是租和自有的區(qū)別?!本W(wǎng)絡(luò)空間被喻為第五活動(dòng)空間的,雖然虛擬無(wú)形,卻是當(dāng)前最重要的疆域。而美國(guó)用.net.com.cn三個(gè)級(jí)別管理了中國(guó)7億多百姓?!叭魏我粋€(gè)愛(ài)國(guó)的人都可以看出端倪?!眳问鐾?dòng)地說(shuō)。
漏洞是新型“武器”
“在網(wǎng)絡(luò)方面,我們的確受制于人?!敝袊?guó)電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)空間研究所所長(zhǎng)劉權(quán)在接受《經(jīng)濟(jì)》記者采訪時(shí)對(duì)呂述望的觀點(diǎn)表示認(rèn)同?!盎A(chǔ)的操作系統(tǒng)和核心的芯片也不掌握在自己手中,如此一來(lái),類似WannaCry的零日漏洞真是防不勝防?!?/p>
今年5月初,英特爾發(fā)布消息稱其所有具有遠(yuǎn)程控制功能的芯片中都存在一個(gè)嚴(yán)重的漏洞,可以讓攻擊者獲得目標(biāo)電腦的一切權(quán)限?!坝⑻貭柕穆┒矗?年后才發(fā)出補(bǔ)丁修復(fù)?!蓖ǜ抖馨踩靠偨?jīng)理張瑞欽告訴《經(jīng)濟(jì)》記者。國(guó)內(nèi)很多企業(yè)使用國(guó)外制造的網(wǎng)絡(luò)設(shè)備可能存有很多漏洞、后門(mén)。
美國(guó)國(guó)家安全局(NSA)有自己的網(wǎng)絡(luò)部隊(duì),專門(mén)挖掘、囤積,甚至在黑市購(gòu)買(mǎi)目前市面上流行的操作系統(tǒng)、軟件的漏洞,作為自己的網(wǎng)絡(luò)武器。此次勒索病毒所使用的工具是NSA制造的。張瑞欽表示,WannaCry讓我們看清美國(guó)在網(wǎng)絡(luò)攻擊方面領(lǐng)先其他國(guó)家很多年。冰山之下的零日漏洞掌握在美國(guó)人手中,有朝一日,他們?cè)诖蚓W(wǎng)絡(luò)戰(zhàn)時(shí)都是致命的“武器”。
“WannaCry最先在歐洲發(fā)起,離得最近的俄羅斯受災(zāi)最為嚴(yán)重?!眲?quán)指出,目前美國(guó)的損失較小,不知后續(xù)是否會(huì)遭到攻擊?!昂诵牡牟僮飨到y(tǒng)、軟件是美國(guó)人的,他們是否提前做了防范,還不好說(shuō)。”
北京永信至誠(chéng)科技股份有限公司副總裁張凱告訴《經(jīng)濟(jì)》記者,一方面,Windows全球市場(chǎng)占有率依然是全球第一,任何一個(gè)可遠(yuǎn)程利用的漏洞都能帶來(lái)巨大危害;另一方面,Windows系統(tǒng)在設(shè)計(jì)之初定位為個(gè)人PC,并沒(méi)有為其在Internet環(huán)境中進(jìn)行應(yīng)用作特別的安全設(shè)計(jì),同時(shí)為了保證在Windows各個(gè)版本之上運(yùn)行軟件的持續(xù)性和兼容性,導(dǎo)致了這次“WannaCry”勒索病毒的微軟MS17-010漏洞在各個(gè)Windows版本中不斷地流傳了下來(lái)。
2014年,OpenSSL心臟出血漏洞導(dǎo)致全球70%的互聯(lián)網(wǎng)網(wǎng)站癱瘓,堪稱網(wǎng)絡(luò)安全里程碑事件。劉權(quán)認(rèn)為,WannaCry也是一次災(zāi)難性的事件,很可能是美國(guó)發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的一次預(yù)演。
誰(shuí)為漏洞買(mǎi)單?
2016年10月21日,為大批知名網(wǎng)站提供技術(shù)服務(wù)的Dyn遭遇了一次大規(guī)模的DDoS(分布式拒絕服務(wù))攻擊,令美國(guó)很多網(wǎng)站癱瘓,也是史上較大規(guī)模的DDoS攻擊事件。香港科技大學(xué)計(jì)算安全實(shí)驗(yàn)室主任張川教授表示,當(dāng)時(shí)黑客控制大量的IoT(物聯(lián)網(wǎng))設(shè)備如路由器、數(shù)字錄像機(jī)(DVRs)、網(wǎng)絡(luò)攝像頭等,形成僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊。
“未來(lái)聯(lián)網(wǎng)的IoT設(shè)備數(shù)量是驚人的,每家都會(huì)有十幾個(gè)IoT設(shè)備,比如智能冰箱、空調(diào)、微波爐。安全問(wèn)題會(huì)尤為嚴(yán)峻?!睆埓ǜ嬖V《經(jīng)濟(jì)》記者,當(dāng)前物聯(lián)網(wǎng)公司過(guò)于追求產(chǎn)品的功能性,安全意識(shí)尤為薄弱?!斑@些日常消費(fèi)品不停地更新迭代,發(fā)展出新的操作模式和商業(yè)模式,導(dǎo)致安全漏洞也會(huì)越來(lái)越多。”去年國(guó)內(nèi)一家IoT企業(yè)生產(chǎn)的攝像頭由于監(jiān)控系統(tǒng)的漏洞被黑客攻擊,“很多監(jiān)控在網(wǎng)上可以隨意看,甚至在家里沖涼、換衣服也能看到,非常可怕?!?/p>
從技術(shù)上來(lái)說(shuō),越來(lái)越多的白帽子為企業(yè)提供安全服務(wù),將漏洞報(bào)告給廠商,幫助其及時(shí)修復(fù)漏洞。張瑞欽告訴《經(jīng)濟(jì)》記者,從管理上來(lái)說(shuō),企業(yè)也需要建立軟件安全生命周期,從需求調(diào)研時(shí)就把安全納入其中,貫穿設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、部署、運(yùn)維全過(guò)程。同時(shí),物聯(lián)網(wǎng)廠商應(yīng)該提高安全意識(shí),生產(chǎn)的物聯(lián)網(wǎng)設(shè)備應(yīng)達(dá)到功能性與安全性的平衡。設(shè)備使用者也應(yīng)該提高安全意識(shí),理清自己維護(hù)的所有IT資產(chǎn),嚴(yán)格控制網(wǎng)絡(luò)邊界對(duì)外開(kāi)放的端口,關(guān)閉必要的服務(wù)以減少受攻擊的幾率。
“現(xiàn)在為何不能讓軟件生產(chǎn)商為此埋單?WannaCry因微軟漏洞而起,微軟為何不向每個(gè)受影響的人賠錢(qián)呢?”張川希望將來(lái)政府能夠出臺(tái)相關(guān)政策,對(duì)軟件生產(chǎn)商進(jìn)行監(jiān)管。
“軟件不成熟,存在漏洞是很正常的事情。在今年3月微軟為該漏洞制作了一個(gè)補(bǔ)丁,并將其推送給數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)。原則上微軟不應(yīng)承擔(dān)WannaCry事件的責(zé)任?!眲?quán)如是說(shuō)。
預(yù)防網(wǎng)絡(luò)災(zāi)難需釜底抽薪
有媒體稱,英國(guó)受到WannaCry的攻擊主要集中在英國(guó)國(guó)家醫(yī)療服務(wù)體系(NHS),旗下至少有25家醫(yī)院電腦系統(tǒng)癱瘓、救護(hù)車無(wú)法派遣,極有可能延誤病人治療,造成性命之憂。網(wǎng)絡(luò)應(yīng)當(dāng)為生活提供便利,WannaCry卻成了殺人不見(jiàn)血的刀。
黑客組織“影子經(jīng)紀(jì)人”5月17日通過(guò)社交媒體Steemit發(fā)布消息稱,他們將從6月開(kāi)始,以訂閱服務(wù)的形式,每月向付費(fèi)用戶提供更多的國(guó)安局黑客工具和數(shù)據(jù)。這些黑客工具包括了網(wǎng)頁(yè)瀏覽器、路由器和手機(jī)的安全漏洞、微軟Windows10操作系統(tǒng)安全漏洞等。
“網(wǎng)絡(luò)武器是用來(lái)癱瘓整個(gè)網(wǎng)絡(luò)系統(tǒng)的。將來(lái)的核武器可能是軟件漏洞,而不是熱武器。”張川教授在接受《經(jīng)濟(jì)》記者采訪時(shí)表示,現(xiàn)在軟件的規(guī)模呈爆炸式增長(zhǎng),零日漏洞不會(huì)停止,它會(huì)越來(lái)越危險(xiǎn)和普遍。
在愛(ài)德華·斯諾登披露NSA監(jiān)控國(guó)際Web流量丑聞(棱鏡事件)時(shí),便引發(fā)了世界人民的公憤。2014年2月,德國(guó)總理阿格拉·默克爾呼吁歐盟創(chuàng)建自己的區(qū)域互聯(lián)網(wǎng),與美國(guó)隔絕開(kāi)來(lái)。
2014年2月27日,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,習(xí)近平總書(shū)記明確表示,沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)安全的重點(diǎn)是網(wǎng)絡(luò)主權(quán),是解決受制于人的問(wèn)題,要以“兩彈一星”和載人航天精神解決這個(gè)重大問(wèn)題。
呂述望向記者表示,“講網(wǎng)絡(luò)安全就要講‘近平原則,一講主權(quán),二講不受制于人?!彼J(rèn)為,目前建設(shè)我國(guó)自己的公眾網(wǎng)絡(luò)不能立竿見(jiàn)影,中國(guó)公眾在Internet上淘寶的情景,還需要假以時(shí)日才能改變。
若想從根本上扭轉(zhuǎn)“人為刀俎,我為魚(yú)肉”的局面。呂述望為國(guó)家開(kāi)出了藥方:自建公網(wǎng)和自主開(kāi)展國(guó)際網(wǎng)絡(luò)服務(wù)。一方面,中國(guó)可以自主建設(shè)六七張公眾網(wǎng)絡(luò)供百姓工作和生活使用,擺脫使用美國(guó)因特網(wǎng)受制于人的困局;另一方面,設(shè)立國(guó)際網(wǎng)絡(luò)服務(wù)中心,幫助其他國(guó)家自主建設(shè)網(wǎng)絡(luò),打破美國(guó)的網(wǎng)絡(luò)霸權(quán)。
劉權(quán)指出,中國(guó)還要發(fā)展獨(dú)立自主的基礎(chǔ)產(chǎn)業(yè)?!凹偃绾诵牡牟僮飨到y(tǒng)、芯片是中國(guó)人開(kāi)發(fā)的,美國(guó)要開(kāi)發(fā)病毒工具會(huì)有一定難度,甚至無(wú)法預(yù)設(shè)的后門(mén)或漏洞操縱它,觸發(fā)大面積災(zāi)難性網(wǎng)絡(luò)危害?!盬annaCry事件,可能會(huì)加快世界各國(guó)去美國(guó)產(chǎn)品的步伐。
從國(guó)家安全的角度來(lái)講,我們使用了太多外來(lái)的技術(shù)、軟件,“我們無(wú)法獲得他們最深層的信息,如何保證自身的安全?”張凱表示,這兩年,國(guó)家很多重要的基礎(chǔ)設(shè)施日趨本地化,并把國(guó)內(nèi)自主研發(fā)的系統(tǒng),放到關(guān)系國(guó)計(jì)民生重要的部門(mén)?!拔覀儜?yīng)該兩條腿走路,一條腿是利用現(xiàn)在的Internet,另一條是建設(shè)自己更好的網(wǎng)絡(luò)?!?/p>
網(wǎng)絡(luò)安全防護(hù)秘籍
WannaCry另一個(gè)名字叫“永恒之藍(lán)”,是一種蠕蟲(chóng)惡意代碼。北京郵電大學(xué)信息安全中心主任楊義先教授在接受《經(jīng)濟(jì)》記者采訪時(shí)表示,如今代碼已被植入到幾乎所有通信、控制類設(shè)備之中,絕不再是電腦的專利。
如果說(shuō)普通代碼(或善意代碼)是佛,那么,惡意代碼就是魔。楊義先將代碼的危害編成一段朗朗上口的順口溜:“若佛能使無(wú)人駕駛汽車,在滿大街自如穿梭,那魔就能讓車中的你魂飛魄散,或下河,或砸鍋;佛能使衛(wèi)星上天,魔就能讓火箭轉(zhuǎn)彎;佛能讓飛機(jī)自動(dòng)續(xù)航,魔能讓機(jī)長(zhǎng)撞墻;佛讓數(shù)控車床精準(zhǔn)加工,魔讓機(jī)器失控發(fā)瘋;佛讓你輕松轉(zhuǎn)賬,魔讓你無(wú)法上網(wǎng);……若佛能送你上天堂,魔就送你下地獄,讓你這輩子白忙活?!?/p>
對(duì)于如何防范惡意代碼或軟件,楊義先建議,不要執(zhí)行任何來(lái)歷不明的軟件或程序。用電郵給朋友發(fā)軟件時(shí),記得叮囑對(duì)方先查毒。在自己電腦上沒(méi)有發(fā)作的病毒,也許會(huì)在朋友電腦上復(fù)活。楊義先強(qiáng)調(diào),不要因?yàn)閷?duì)方是你的好友,就輕易執(zhí)行發(fā)過(guò)來(lái)的軟件或程序,因?yàn)槟銦o(wú)法確信對(duì)方是否安裝過(guò)病毒防火墻。(感謝北京知識(shí)安全工程中心李長(zhǎng)紅對(duì)本文的幫助)