来源:译言 译者:momojyang 原文作者:Thomas Rid
白宫喜欢一点儿威胁。在国情咨文中,奥巴马想再次推动国会通过有意义的法案。总统先生强调说,美国的敌人们“正在试图破坏我们的能源网,我们的金融体系,和我们的航空交通控制系统。”在过去两年两次试图通过网络安全法案的失败后,他迅速地补充:“我们不能现在回头看,奇怪我们为什么在面对我们的安全和经济的真实威胁时,什么都没有做。”有道理。用一点威胁来推动所需的行动是一样。而贩卖恐慌则是另一样:不能达到预期目标。然而,网络安全辩论的参与者总是认为,这种夸张是值得的。
五角大楼毫无疑问是个中高手。Leon Panetta通过一次又一次地警告“网络珍珠港事件”迫在眉睫来定下基调。在他离开五角大楼之前,国防科学委员会发布了一份重要报告《弹性军事系统与高端网络威胁》。报告似乎对进行更加夸张的历史比较非常着迷:“网络威胁非常严重,”工作小组写道,“其潜在后果与冷战时期的核威胁相似。”发动一场倾巢而出的核武战争跟发动网络攻击是不一样的,五角大楼的科学家们也帮忙认识到了。但他们严肃地补充说,“最终,对美国的实际影响是一样的。”
这里要提醒一下:世界上尚未有一起伤亡(灾祸致命除外),是由电脑攻击造成的。但在当下的辩论中,它似乎是有道理的。毕竟,在紧缩政策和裁减经费失控的时候,一点点恐慌有助于获取——或者保留——稀缺资源。报告建议,为它提出的头两个重点,就要结结实实地花上25亿美元,保护核武免受网络攻击,以及确定惩罚竭尽全力的网络入侵者所需的武器组合。
然后就是私人电脑安全公司。这些公司,自然地,热衷于拿到政府花在网络安全上的钱。大肆宣传就是达到这一目的的手段。一个相关例子是,Mandiant公司引人注目的报告将有组织的连续的间谍攻击活动称为“高端持续性威胁1号”,简称“APT1”,并将这一攻击与中国一个军方单位联系起来:公司提供了许多细节,证明中国应对攻击负责,情报界从来没有提供过这样多的细节,而且公司应该因为公开这份报告而获得称赞。但相对自大和自负的语言,Mandiant公司的分析员应该用估算概率的字句,这才是专业情报分析员应该做的。
其中一个例子是报告的结论,它这样描述APT1:“虽然他们控制了数十个国家的系统,他们的攻击是从上海的四个大网络发出的——其中两个就在浦东新区。”人民解放军的61398部队也在浦东。因此,Mandiant的电脑安全专家总结说,它们是同一个单位:“根据解放军61398部队的任务、资源和位置,我们认为,解放军61938部队就是APT1。”但很明显,报告没有提到说浦东并不是一个小小的居民区(‘就在61398部队的大门外’),而是一个有两个芝加哥那么大的城市。Mandiant的报告是有用的,很多攻击的确是从中国发出的。但政府电脑安全专家杰弗里•卡尔(Jeffrey Carr)等人说,这家公司应该对可得证据的整体评估更加谨慎。公司让北京轻轻松松就否定了报告。我在伦敦国王学院上的网络安全班在为它兴奋了15分钟之后,就开始指出报告中的中漏洞——但《纽约时报》没有这么做。
这把我们带到下一步:媒体希望通过威胁膨胀增加销量。二月底,《时报》的作者吟咏出这样的标题:网络上的新冷战。“美国还没有准备应对网络战争,”《华盛顿邮报》在本周早前尖叫道。《邮报》没有出动上述的国防部报告,而是发出了两篇支持报告的文章,并指出,现在,“在一个充满网络间谍、盗窃和破坏的世界”,拥有主要的攻击性网络设备是关键。《邮报》本该提醒它的读者,唯一一个引起人身伤害的军事化网络攻击者超级工厂(Stuxnet)的始作俑者,则是美国政府。相似地,《时报》本该提出尖锐的问题,并指出Mandiant报告中的举证问题,但是,它发出的文章看起来就像是为这家公司所做的漂亮新闻发布词。在网络安全的议题上,国家最凶猛的看门狗也常常像乖顺的小狗,迫切地想要舔食来自安全领域的私人公司和匿名资料源所提供的故事。
最后,情报界紧随着大肆宣传,因为美国国家安全局和中央情报局仍在错失9/11的伤痛之中。再错失一次“网络9/11”,对于美国间谍们将是一场真正的灾难,所以,宁滥勿缺似乎也是理性选择。是的,国家情报主管詹姆斯•克拉伯(James Clapper)最近的证词比报道的还要微妙,他将非常严重的网络攻击威胁说得没那么严重。但与此同时,美国的顶级间谍们获得的详细信息并没有从前多。我们知道,情报界,尤其是在美国,比私人公司,例如赛门铁克(Symantec),麦咖啡(McAfee)和卡巴斯基实验室(Kaspersky Lab),有更多的信息、更好的信息源、更好的专家和更好的分析员。但由于种种原因,他们将他们的发现和分析保密。这意味着公共辩论的质量受到影响,专家和记者除了依赖行业报告以外别无选择,而这些报告有时没有质量保证,其中的匿名告密者的可信程度也难以估量。
悲剧是,奥巴马是对的:该做点什么了,马上。但华盛顿各种牟利者、保护主义和政治的强烈混杂,可惜,是起反作用的。原因有四:
第一,大肆宣传实际上让人难以专注于关键的工程细节。工业控制系统和监测控制和数据采集(SCADA)系统的安全标准惊人地低。SCADA系统控制实质上四处移动的物件,从火车到煤气到电梯。所谓的可编程控制器被广泛应用于关键的基础设施,这些控制器是设计来在艰苦的工厂环境和恶劣天气下保持安全和稳定的,而不是用来防范外来攻击的。今年在迈阿密海滩上举行的S4会议(SCADA安全科学论坛)由小而精的安全设别供应商Digital Bond组织,会议再次展示了这些系统有多脆弱。但华盛顿正忙于为浩劫尖叫,并且了解相关资讯如此少,以至于不能对实质工程议题作出任何有意义的决定。国土安全部的检查长在上个月的一次报告中说,共享信息是有用的,但它不会带来安全。将并没有联网设计的关键基础设施链接起来,也并不是问题的根源——Digital Bond的戴尔•皮特逊(Dale Peterson)在上周回应国土安全部胆小的报告时说,设施内置的安全漏洞和系统的脆弱性应该被修正。这个逻辑背后的政治动向很清晰:越多东西被认定是“关键”,要在真正“关键”的地方下功夫就越难。
第二,大肆宣传让视线模糊。柏林自由大学一个炫目的项目作出了一张弱点地图。地图采用了来自Shodan——控制系统黑客们的谷歌——的公开数据,加上了一层网上收集的信息,确定了那些一开始就不应该被连上网的系统的地理位置。地图上红色的点就是那些系统。美国看起来就好像生了麻疹一样。但要注意,地图是不完整的:项目的创办人告诉我,他们对德国产品有偏见。如果这个弱点可以被修正,美国和其他国家会跟德国一样,一片血红。美国政府对于攻击性装备的引人注意的重视意味着,它看不到这张弱点地图实际上可能是什么样。
第三,破坏和间谍活动是不同的——技术上和政治上都是。SCADA系统是高度专门化的工具包,通常都很老,而且修修补补很多年,甚至几十年。这意味着,这些系统是非常明显的目标,而不是普通目标。影响关键操作需要对这些系统进行重新编程,而不只是进行破坏。目标是对输出参数进行精细的修改,以达到破坏者的目的。针对超级工厂,美国政府提供了迄今为止最极端和记录最完备的案例研究。成功的破坏不仅仅是删除数据,它比成功的间谍活动还要难达成:它需要在实验室环境中通过许多次反复操作来测试和完善攻击,同时还需要高度专业和难以获得的目标情报。相比之下,从一个商业竞争对手那里盗取大量的知识产权,是在技术上大不相同的操作——在控制系统中,只有极少或几乎没有任何有价值的IP。直接点说:中国和其他国家有很高的商业动机去进行盗窃,但他们没有商业动机去搞破坏。威胁跟威胁是不一样的。我们需要的是精细的、外科手术般的精确性、区分度和清醒的分析,不是恐惧、鼓噪和慌乱。
最后,大肆宣传喜欢攻击多于防备。攻击本来就比防备更诱人。许多想在政府部门创一番事业的软件工程师想到北方的米德堡的黑暗隔间去,而不是在国土安全部混日子——如果他们已经不满足于在谷歌总部弹橡皮球的话。如果国家安全部吸收这些可得才能和技术的大多数,并应用到攻击上的,防备会继续保持糟糕的状态。通过过度渲染威胁,以及把独立事件拉在一起讲成一个大问题,政府还不小心增加了强大的商业利益对过度规管的反抗。
正如奥巴马总统在他的国情咨文中所说的那样,如果我们现在回过头看,奇怪我们为什么在面对真实威胁时什么都没有做,答案可能很直接:光说不练。