Future Risks: Cybersecurity
本文作者:天诺
因為擔心第六版網路協議(IPv6),可能危及網路安全,美國政府可能要搞一場萬物互聯新時代的全民教育。美國商務部與國土安全部公佈了一份網路安全報告的草案,建議美國政府資助一場提高全民物聯網安全意識的運動,讓網路安全成為,未來學生獲得工程學學位的必修內容。
這份長達 38 頁的報告題為《面對僵屍網路和其他自動化分布式攻擊威脅,提高網路和通信生態系統的抗打擊能力》。這份報告應去年 5 月川普簽署的行政令指示而誕生。此前多次嘗試均半途而廢,報告定稿後,它將和其他多份文件一道遞交川普審批。
整體來看,這份報告寫得很不錯:它簡單直白,明確了美國政府、行業和消費者當前面臨的網路安全問題,就像題目揭示的那樣,重點放在僵屍網路。它既沒有掩蓋問題,也沒有誇大某些網路安全威脅,或者輕視其他威脅。
一言以蔽之,它是那種草擬得專業的政策文件。儘管公務員隊伍裡有些干擾的噪音和無知的言論,政府仍然草擬了這樣一份專業文件。這真是幸事。
報告只有一個突出的問題:它並未反映美國政府內部的爭鬥,政府機構之間在爭奪網路安全和物聯網事務的領導權。
另外,報告還有這類文件常見的毛病:很多真正的建議都有點含糊其辭,比如要「確定一條明確的道路,發展為一個有適應能力、有持續性又安全的技術市場」,或者「推動創新」、「建立聯盟」,應該實現哪些重要的「目標」。
由於報告對相關行業秉持不干預的傳統做派,加之網路的決策權事實上主要掌握在私營企業手中,美國商務部和國土安全部能切實拿出的行動少之又少。但報告的確釐清了問題所在,並闡明瞭解決問題的最佳對策。
消費者無罪
報告承認,即使消費者在商家購買了設備,又將這些設備聯入家用無線網路,也不能、不該指望他們為這些設備的網路安全負責。這也許報告最有用的內容。
報告給予物聯網市場準確的定位,稱物聯網設備「很像上世紀 90 年代的台式機電腦」,安全性很差。
報告寫道:
「物聯網設備往往缺乏側重於安全的特色功能。這些系統現在成為對不法分子,最有吸引力的攻擊目標,(物聯網)設備在生態系統佔比很大,並且越來越大。」
報告還說:
「實際上,消費者並沒有直接受到設備被攻擊的影響,他們可能永遠不知道(自己的)設備淪為僵屍網路的一部分。從消費者的角度看,網路攝影機還在正常播放視頻,冰箱還在制冷(,一切正常)。」
「基於這個原因,一旦設備被僵屍網路利用,讓設備的真正所有者負責是不現實的。現在被(僵屍程式)感染也看不到什麼明顯的影響。因此,如果要鼓勵消費者採取行動增強安全措施,比如升級那些可以升級的設備,就存在困難。」
小編發現,這些看法對物聯網專業人士來說不算新聞,難得的是,一份美國政府的報告能清晰闡述問題,一針見血地切中要害。
報告指出,對於保證物聯網安全,軟體和硬體安全系統升級,以及類似做法很有效,可問題是,很少有公司和個人真正這樣做。考慮到這點,報告和這些年不少人的觀點一樣,也認為需要讓設備自帶安全預防措施,比如自動進行安全系統升級。
報告認為:
「理想的做法是,向消費者推廣那些應該內置安全系統的設備。消費類產品應該盡可能基於安全角度設計,應該納入自動更新安全系統的機制,應該幾乎沒有對(用戶)管理產品提出什麼要求。」
「聯邦政府應該開展一場提高公眾意識的運動,支持公眾認識並採用,家用物聯網設備安全配置,用相關品牌產品。」
在此後的內容中,報告還力薦政府對相關研發加大投入,「支持科研進步,包括預防和解決分布式拒絕服務攻擊(DDoS),和防止製造僵屍網路的基礎技術。」
談到 IPv6,報告有點擔心這種網路安全的新協議,廣泛採用可能產生負面影響。
IPv6 將賦予每個設備一個 IP 地址,所以可能讓數百萬新設備容易遭到攻擊和駭客入侵。從這個角度看,用 IPv4 和網路地址轉換(NAT)可能營造更安全的環境,因為這兩種方式都基於單一的 IP 地址排布設備。
報告並不是主張抵制使用 IPv6。事實上,報告還贊成,為了更快推進應用,要給予網路服務供應商激勵。但報告的確建議,調查「IPv6 廣泛應用的影響,看到應用廣泛到何種程度,就能改變網路攻擊和防禦的經濟意義。」
擔憂與希望並存
應用 IPv6 的一個好處是,消費者會更容易發現,哪部設備被攻擊了。可是報告提到了名為 Mirai 的物聯網僵屍網路。它對攻擊 IPv6 支持的物聯網特別有效,因為它攻擊的是那些有自身 IP 地址的設備(通常是網路攝影機)。相反,「NAT 工具可以充當意外(攻擊的)防火牆,避免那些家用設備,被傳播惡意軟體的批量掃描工具直接接觸,進而大範圍被惡意軟體感染。」
報告甚至深入探討了範圍擴大的域名空間:
「理論上說,IPv6 的地址空間相當大,現有工具無法掃描,但專家注意到一些模式,它們可以透過新的掃描技術,找到哪些設備不堪一擊。」
那麼,該用什麼解決方法?報告認為,應該把研究的側重點放在「深化網路前沿創新」上。
報告裡還有很多觀點、建議和主張。大部分表述都用了「應該」這個詞,這一定程度上降低了採取行動的緊迫感,可是有一條建議沒有用「應該」。它提出,保證下一代工程師接受網路安全訓練。網路安全無疑是目前一項非常重要的技能。
報告稱:
「學術機構在與美國國家網路安全教育計劃合作,他們應該將(網路安全)確立為攻讀一切工程學學科的基本要求內容。」
這份報告上週末發佈,其中有不少好提議,以上只是冰山一角。從現在起到今年 2 月 12 日,大概一個月多一點時間,都是報告的公眾評議期(任何看法可以發送電郵到地址:Counter_Botnet@list.commerce.gov)。如果你對報告提到的任何內容深有感觸,現在就是讓美國政府知道的好時候。
沒有留言:
張貼留言