NSA欲借互聯網漏洞打擊犯罪,但填補漏洞任務艱巨專欄
近日,NSA(美國國家安全情報局)副主任Richard Ledgett透露,NSA正在利用一些物聯網設備對國外的情報進行收集。對于安全情報機構來說,數以億計的設備通過互聯網被連接是有好處的。在錯綜復雜的網絡中,隱含著許多漏洞,這些漏洞對于NSA而言是收集情報的最佳切入點。
互聯網漏洞存在于當今網絡普及時代的各個角落,它能夠讓用戶的隱私“無所遁形”。不論是身份證信息還是銀行卡密碼,再隱私的信息也可能由于互聯網漏洞被他人所熟知。一方面,互聯網漏洞可以使像NSA這樣的機構掌握不法分子的信息用以打擊犯罪行為。但是從另一方面來說,互聯網漏洞會給整個網絡環境帶來極大的危害。
一、互聯網漏洞頻現,雖有價值但弊大于利
在當今互聯網普及的年代,大多數用戶對互聯網漏洞并不陌生。但凡安裝過電腦清理應用的人,幾乎都收到過關于電腦有漏洞的通知。只不過許多用戶并不在乎,頂多用工具修復一下就差不多了。
但實際情況是,互聯網漏洞正頻頻出現。根據對CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)漏洞分布的調查數據顯示,2014年,敏感信息泄露類漏洞的數量超過了2000個,DoS(拒絕服務類)漏洞的數量則超過了1500個。
前者說明了黑客對個人隱私的關注,后者則可能造成業務穩定性和可用性的破壞。另外,遠程代碼執行漏洞的數量也不在少數,這會造成私有信息的嚴重流失。
不過,此次對于NSA來說,互聯網漏洞卻成為了他們執法的“利器”。他們可以通過生物醫學設備來收集數據,通過互聯網的漏洞來跟蹤海外恐怖分子和外國情報間諜的行蹤。
其實,這并非NSA首次使用此種手段。早在2013年,斯諾登就在“棱鏡門”事件中曝出NSA可以利用漏洞從“后門”進入微軟、谷歌、Facebook、蘋果等9家科技公司的服務器。
隨后,斯諾登又通過英國《衛報》曝出NSA及英國情報機構GCHQ能夠破解HTTPS與VPN等互聯網隱私保護加密技術。
這意味著,互聯網在這些機構面前基本上是不存在隱私的。對于這些機構來說,幾乎所有經過加密的個人或商業的網絡通訊數據及網絡交易信息,想要獲得都是易如反掌的。
更令人矚目的是,除了反恐和打擊犯罪以外,NSA和GCHQ的做法還涉及到重大的商業利益。
據統計,NSA和GCHQ與科技公司的“合作”項目Sigint的預算每年高達25億美元。與之相比,“棱鏡”項目每年2000萬美元的預算就不算什么了。
根據泄露的資料顯示,Sigint之所以有如此高額的預算,是因為其具備控制信息安全國際標準的戰略目標。其中包括重塑全球市場及破解4G手機加密技術等。互聯網安全專家指出,NSA及相關機構的做法已經動搖了整個互聯網的信任基礎。
雖然互聯網漏洞為追蹤不法分子的行蹤提供了一個很好的切入點,但是對于互聯網環境來說,安全是最為重要的因素。這幾年曝光的漏洞數量逐漸增長,一方面,這意味著安全問題越來越被重視,挖掘的漏洞越多,修復的也就越多。但另一方面,越來越多的漏洞導致問題不斷出現。從整體來看,互聯網漏洞的出現還是弊大于利的。
二、互聯網漏洞造成惡劣影響,威脅網絡安全應盡力填補
近兩年來,互聯網漏洞問題頻頻出現,其中受影響最大的就是金融機構。
安全問題反饋平臺烏云網在去年發表了關于互聯網漏洞信息的截圖。從日期上來看,互聯網漏洞每天都在出現。從內容上來看,漏洞分布在郵箱、看圖軟件、銀行、下載軟件、游戲等多個領域。
對于互聯網漏洞,烏云網的負責人表示:“互聯網安全問題在保險業、銀行業、證券業普遍存在”。對于這幾個行業來說,安全性又是其最為重要的倚靠。
從去年上半年開始,我國的金融機構的互聯網漏洞數量快速增長,中國人保、國聯證券和部分P2P平臺均出現漏洞問題。它們主要集中在跨戰腳本攻擊、注入漏洞以及金融APP安全問題方面,并已被多家金融機構廠商確認存在信息泄露等風險。
從個人的角度來說,互聯網漏洞會嚴重危害到用戶的隱私安全。黑客可以通過互聯網漏洞,獲得他們想要獲得的一切信息。從國家的角度來說,互聯網漏洞甚至會危害到國家機密,別有用心的機構會通過技術手段在互聯網漏洞中找尋他們想要的機密。
因此,整治互聯網漏洞迫在眉睫。不過,這卻不是一件容易的事情。
在互聯網環境中,之所以會出現漏洞,是由于網站中的程序代碼出現錯誤,每一個環節上的錯誤都可能變成被不法分子入侵的漏洞。如果工作人員管理不當或操作錯誤,那么漏洞出現的幾率就會增加。
漏洞的不斷曝光,對于互聯網企業來說,意味著其安全維護團隊壓力的增大。因為每曝光一個新的漏洞,就要在第一時間修復,否則就會失去與黑客對壘的先機,處于被動地位。
以騰訊在烏云網上的數據漏洞為例,在2010年到2011年期間,騰訊對漏洞報告的回復都是人工回復的,但是到了2012年后期,回復就變成了固定模式的自動回復。根本原因在于騰訊于2012年5月建立了TSRC(騰訊安全應急響應中心)平臺,騰訊忙著處理自家平臺上的漏洞,所以忽略了烏云網中的漏洞報告。
這也從側面說明了互聯網漏洞監管方面的不完善,加之黑客的存在,就更加助長了互聯網漏洞猖獗的態勢。
通常來說,針對互聯網漏洞是先出現后解決。但是在技術發展的過程中,安全專家們也在變被動為主動,通過對互聯網漏洞的不斷研究來完善自己的方案。所以,不少的Bug都是由專家主動發現并修復的。
此外,國家對于網絡安全問題也愈發重視。2014年2月,國家成立了中央網絡安全和信息化領導小組,組長是習近平。這說明了網絡安全問題已經上升到了國家戰略高度,未來將更加被重視。
綜上所述,互聯網漏洞可以成為安全機構反恐或打擊罪犯的切入點,但它為互聯網帶來的更多是負面的影響。要解決這些問題,填補漏洞,還需要克服許多困難,并且需要各方的配合。因此,對于互聯網漏洞的整治任務依然非常艱巨。
本文版權歸“最極客”所有
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
