在我们的第二个论坛,我们邀请了2002年ACM图灵奖获得者莱恩·阿德尔曼(Len Adleman)、2014年ACM计算奖获得者丹·鲍恩(Dan Boneh)、2015年ACM 格蕾丝·霍珀奖获得者布伦特·沃特斯(Brent Waters),以及ACM 会士帕特里克·麦克丹尼尔(Patrick McDaniel)和保罗·范欧尚特(Paul van Oorschot),探讨网络安全目前存在的问题。
网络安全秩序正在迅速发展变化,您认为我们是领先还是落后于网络安全面临的威胁?
莱恩·阿德尔曼:我认为我们是落后的。网络安全是一个猫鼠游戏,永远不会有最后的胜利。互联网正在迅猛发展,千变万化。因此,在我们着手解决当前的问题时,无法预料即将出现的隐患。
布伦特·沃特斯:在密码学研究领域,从实现的新功能来看,我们在过去的15年里取得了巨大的飞跃。这些新功能为许多问题提供了解决方案,例如基于身份的加密、基于属性的加密和全同态加密等,并有可能实现一种令人振奋的、称为不可区分混淆的原语。
当前我们可能面临的问题是如何弥补可靠性加密和可靠性部署之间的差距。这些部署可能因为糟糕的软件实施、较差的新型加密设计以及使用传统加密协议等原因而失败。
您认为2017年最大的网络安全威胁及其原因是什么?
丹·鲍恩:社会工程攻击仍然是2017年网络安全领域最严重的问题。网络钓鱼及相关的攻击仍然在肆意窃取用户的重要信息。针对性的电子邮件依旧有效地诱导终端用户安装不必要的软件,例如广告软件、恶意软件或勒索软件等。这样的案例十分常见,并且是立足于被攻击系统的最简单的方法。使用双因素认证和应用白名单的方法可以提高攻击的难度,这些工具也是广泛防御策略的一部分。
帕特里克·麦克丹尼尔:在过去10年中,网络安全的威胁和攻击发生了一些有意思的转变,我们更经常看到的是专业攻击,这些攻击能够更有效地通过电脑漏洞来获利。特别是我们看到勒索软件已经兴起,对于缺乏全职的、专业的网络安全人员的企业、政府机构和组织来说,这已经成为一个非常严峻的问题。
只是回顾美国近6个月以来发生的事件,就很明显,虚假信息已经成为网络犯罪分子的主要武器。我认为,更多诸如此类的攻击将会出现。这些攻击使用虚假信息影响公共政策,左右社会舆论,甚至改变人们的行为。显然,使用虚假信息并不新鲜,它在股票市场操纵中早有应用。但是,我们将会看到更多新的和创造性的使用虚假信息作为网络攻击的手段。
保罗·范欧尚特:通过软件漏洞获得用户设备权限并对这些受侵害的机器进行远程控制,是一个长期存在的问题。理论上该问题很容易解决,但实际上却很难。这个问题源于我们早期对操作系统架构根深蒂固的选择,以及使用应用程序时更多地看重功能丰富而不是安全稳定;与此同时,允许用户仅仅通过点击即可下载和安装软件的方式——在没有任何保障和不知道软件将会进行何种操作的情况下,直接进行安装,使我们更容易受到社会工程的攻击。由于经济利益的限制,我们不可能重新培训1000万个软件开发人员,或者促使他们自愿在安全问题上花费额外的时间。因此,这是信息安全经济学问题的一个挑战。事实上,从过往经验来看,几乎所有的软件都是按原样销售的,对其造成的后果不负责任。
为什么网络威胁、网络攻击每年都会变得更加复杂?
布伦特·沃特斯:导致这种情况的出现有两个基本原因。首先,总体来说,随着时间的推移,技术变得越来越先进和复杂,于是可以料到网络攻击的复杂度也水涨船高。另一个重要因素是,随着越来越多的数据存储在计算设备上,发动攻击所能获取的利益也在增加。例如,已经发生多起暴露私人通信和名人照片的攻击事件。而十年前,智能手机还没有出现的时候,这些照片可能根本不会被拍摄,或者即便拍摄了也无法获取。另一个例子是,在本次美国大选中,我们看到网络攻击(例如,DNC电子邮件1)有可能使组织发生动摇,并可能影响选举结果。这样的攻击能力,不仅吸引着普通攻击者,选举中资金充足的竞争对手也趋之若鹜。
公众比以往任何时候都更为关心网络安全问题,美国新政府在网络安全方面当务之急应该做什么?
丹·鲍恩:美国新政府最优先要做的是加强政府系统的网络防御能力。2015年人事管理办公室遭受攻击,泄漏了超过2100万人的人事记录。而税务系统遭受攻击,则可能已经暴露了70多万纳税人的个人资料。诸如此类的网络攻击事件绝不应该再发生。
帕特里克·麦克丹尼尔:正如我们所一再了解的,由于资金不足等原因,我们联邦政府的IT系统是非常陈旧的。如果要让我们的社会变得更安全,重点应该放在更新和修复这些联邦IT系统上。为此,我们可以做的是当前的行政部门立即在联邦雇员或更大的范围内优先建立全国性的双因素认证系统。虽然这听起来有点无聊,但我认为这是降低国家信息系统遭受威胁所能做的最简单的事情。我的好朋友和同事、卡内基梅隆大学教务长法纳姆·扎哈尼安(Farnam Jahanian)表示:“我们并不擅长这些简单的事情,因此我们需要在这方面做得更好。”
工业界在防御网络攻击方面面临的最大挑战是什么,哪些技术/方法可以帮助他们克服这些挑战?
莱恩·阿德尔曼:我认为这个问题讨论的内容超越了工业界本身。我在即将出版的新书Memes: How Genes, Brenes and Cenes Shape Your Life and Will Shape the Future of Humanity中写到:
我们即将看到宗教、国家和经济体制在网络空间中沉浮。这些实体与其当前“砖头水泥”相比,未来将依旧强大,并同样影响我们的生活。政治、经济,甚至军事力量都将变得分散;对于志趣相投的人们,数量和联络比他们的地理位置更重要。
如果美国、俄罗斯和中国政府没有开展黑帽计划,那就是他们的失职。因为在战争期间,黑帽计划将用于摧毁对手的计算基础设施。一旦使用这样的大规模毁灭性武器计划,死亡人数将不计其数。一个没有计算基础设施的第一世界国家将没有经济、没有食物、没有权力,最终将国不成国。
随着物联网(IoT)连接设备大量接入,您认为最大的安全隐患是什么?
帕特里克·麦克丹尼尔:谈到物联网和网络安全的未来时,我的愿景包含两种可能的未来。第一种愿景的实现要付出巨大代价。但我相信这个愿景会有更乐观的未来,因为我们懂得权衡利弊,通过付出一定代价让我们生活在一个比今天安全得多的世界。
第二个愿景,在我看来有些悲观,这是一个我们已经习惯了的不安全的世界。一部分来自于网络安全研究领域,以及工业界和政府机构的人员对网络安全抱以非常悲观的想法:当前的系统是无法修复的,我们没有技术、时间或资源来保障我们的安全。我认为,这是一个极其悲观并且令人不安的情况。如果我们接受了不安全的现状,不仅从网络技术中的受益将会大大减少,而且我们在地球上改变生活状况的可能性也将极大减少:从医疗到社会、通信,到生活质量和能源效率,到环境保护。 ■
注释:
* 本文译自Communications of the ACM, “Cybersecurity”, 2017, 60(4):20-21一文。
1 DNC邮件事件指发生于2015年末至2016年中涉及美国民主党全国委员会(Democratic National Committee)高层人物的邮件泄露事件。——译者注
所有评论仅代表网友意见