1610_feature405

这个世界似乎一直在遭受攻击,而我们却浑然未觉。据知情人士透露,总有一些群体试图终结我们所熟知的文明生活。

然而,这里指的不是那些通常配备有核弹头和洲际弹道导弹的团体,也不是那些身着自杀式背心大喊着无法理解的“圣战”眼里充满疯狂的人体轰炸机。相反,他们是一群勇敢无畏的极客,而他们拥有的武器无非就是浏览器、恶性计算机代码和互联网黑客指南。

我们知道这的确是真的,奥巴马等政治家也都这样告诉我们。几年前,奥巴马在一次白宫演讲上说:“我们的国防和军事网络正不断受到攻击。”

他继续说:“‘基地’组织和其他恐怖组织曾发声表示他们希望对美国发动网络攻击,这种攻击事先难以检测和防御。事实上,当今世界,恐怖行为不仅来自身着自杀式背心的极端分子,还源于电脑上的几个按键,后者可谓是大规模破坏性武器。”

奥巴马并不是唯一一个警告网络潜在风险的人。美国前任国防部部长莱昂·帕内塔提醒说:“我们面临的网络攻击可能相当于珍珠港袭击。”美国高级参议员杰伊·洛克菲勒称:“今天的网络罪犯能够中断维持生命的服务,造成灾难性经济损失,或者严重降低我们国防和情报机构依赖的网络安全性。”

美国白宫前反恐和网络安全专家理查德·克拉克在自己所著的畅销书《网络战争:下一个国家安全威胁及应对策略》(Cyber War: The Next Threat to National Security and What to Do About It)中告诉我们,网络攻击可导致全局混乱。

1610_feature404

克拉克预测了政府网络的崩溃、化工厂致命氯气云团的泄漏、炼油厂火灾和爆炸、飞机在半空中相撞、列车脱轨、主要金融计算机网络被破坏、郊区天然气管道爆炸、停电、太空中的卫星失控等等。他强调:“这些都不是假设的。”

那么,为什么这一切还没有发生?如果造成此类破坏的能力存在,并且有恐怖组织和流氓国家意欲对我们发动此类攻击,为什么世界显然保持着相对安全,还未出现计算机生成的化学品泄漏、客机相撞、国际空间站碎块轰然掉落的情况?

网络攻击威胁论的支持者指出可表明网络攻击普遍存在的几起事件。奥巴马总统本人也曾提到一起网络攻击,五角大楼数千台计算机因此感染恶意软件。他称之为“侵害美国军事网络的最严重的网络事故之一”。不过,他也承认,在此次攻击中,美国没有泄露任何敏感信息,主要后果是需要大批量更换美军使用的外部存储硬盘。这根本不算一场致命网络攻击。

一些所谓的网络攻击事件最终表明这并非完全由网络攻击导致。经常提及的例子是2009年俄罗斯的萨彦舒申斯克水电站重大事故。据专家介绍,水电站第二组机组曾6次超极限运转,导致涡轮机叶片发热,膨胀了4倍,致使涡轮机剧烈抖动,类似于洗衣机甩干模式下的抖动,最终超负荷运转导致涡轮机螺桩脱落。这次事故造成75人丧命,经济损失达13亿美元。但是,几乎没有证据表明,这是由网络攻击造成的。当时水电站维护不善,涡轮老旧,而且800公里以外一家电站发生火灾后供电需求增加导致压力骤增。总之,这起事件是个悲剧性的意外。

1610_feature402

另一个经常被引用的俄罗斯例子是西伯利亚天然气管道爆炸,据称是由美国中央情报局“网络斗士”造成的,但后被驳斥为一场骗局。事实上,没有证据表明真的发生过爆炸。

在世界其他地方,也出现过类似事件。在美国东北部地区有一次大规模停电,最初分析原因是一段被称为“冲击波蠕虫”的恶性计算机代码,但是后来针对此事故的一项报告发现,没有任何此类恶意软件存在的证据。在巴西,也出现过类似停电,起初认为是犯罪团伙入侵电网的结果,但最终查出是传输电缆上的碳烟沉积物造成的。

关于美国电力网络已经被俄罗斯和中国黑客渗透而且部署了满足一定条件就可被激活的“逻辑炸弹”恶意软件的报告,从来没有被证实过。这些报告已经出现7年,逻辑炸弹也从未出现引爆的迹象。

然而,即使是真正的网络攻击似乎也并没有造成太大伤害。爱沙尼亚曾经因为移动了苏联战争纪念碑惹恼俄罗斯政府,之后遭到了长达三周的网络猛烈攻击。数千台被劫持的计算机被用于发动分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击,即将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。简言之,就是使网站的流量超出本身可承受范围,然后崩溃。

爱沙尼亚不少网站因此受到影响,包括新闻机构、金融机构和政治党派的网站。不过,造成的伤害很小。爱沙尼亚最大银行的网上服务中断了几小时,可能在当时是个困扰,但是未造成大问题。

1610_feature401

同样,2013年韩国也曾受到逻辑炸弹攻击,导致三大国家广播公司和两大银行的服务器中断运行。这次攻击,很大程度上被认为是朝鲜发起的。不过,除了几家目标企业之外,大多数人完全不受影响。

伦敦国王学院(King’s College London)安全研究教授托马斯·瑞德(Thomas Rid)认为,现在是时候进行关于网络威胁的现实检查。他说曾说过这样一番话,“网络战争现在的炒作因素大于实际危害。可以思考一下战争行为的定义:必须具有潜在暴力倾向、目的性和政治性。到目前为止,我们所看到的网络攻击根本不符合这些标准。事实上,还没有任何已知的网络攻击夺走过人类生命,也没有任何网络攻击曾经造成人员受伤或损坏建筑物。

这并不是说:“网络攻击不起作用”。有人曾使用震网病毒(Stuxnet)成功破坏伊朗核计划。而那次网络攻击被普遍认为是由美国和以色列联合开发并渗透至伊朗的纳坦兹核设施,此次事件也影响巨大。

震网病毒是历时多年花费数百万美元打造的高度复杂的网络武器,专为一个目标特别设计,而且成功完成了目标。然而,震网病毒也只不过是昙花一现。在第一次破坏之后,它就被发现、破解。关于我们将很快面临网络混乱的观点,其实存在很大缺陷。

正如瑞德指出,大部分网络攻击通常采用便宜又容易的DDoS袭击。它们经常被广泛部署,但更多时候是带来不便,并未造成真正的损害。对于更危险的网络武器装备,他说:“随着网络武器破坏潜力的增长,网络武器对多个系统造成深远伤害的可能性不断缩减。哪怕对高度具体的攻击程序进行大量投资,部署后也只能针对某个非常有限的目标。”

1610_feature403

瑞德补充说:“进攻工具的寿命很可能短于应对的防御措施。一旦发现某个特定恶意软件的罪行,关键系统就会迅速地进行相应修补和修复。网络武器如果不能够进行再次攻击,哪怕是强大的武器,也难以再称之为武器。”这样看来,在现有的保护技术下,也许网络攻击并没有传言中的那么可怕。

换句话说,若要研发真正具有强大杀伤力的网络武器,太过困难、昂贵,不值得。

我们生活中的网络威胁被过分夸大,这也不是第一次了。网络犯罪,包括垃圾邮件、黑客入侵银行账户、通过网络钓鱼非法获取财务信息等,被广泛报道耗费世界经济约1万亿美元,比全球非法毒品贸易的估测规模大3倍。评估的可靠性引人深思。

不过,两位经济学家迪内·弗洛伦西奥(Dinei Florencio)和科马克·赫尔利(Cormac Herley)在进行相关调查之后,全面揭露了实情。在一项研究报告中他们说:“广为流传的网络犯罪估算量通常是通过荒谬不当的统计方法得出,完全不可靠。实际受到网络攻击的人远远少于夸张的估算值。”

他们指出,被盗的身份信息和信用卡卡号在黑市网络上售价很便宜,与普遍观点恰恰相反,其实犯罪分子很难单凭这些信息赚钱。有句话说得也很贴切:“网络犯罪亿万富翁很难找到,因为根本就没有。”

那么,为什么网络攻击和网络犯罪的威胁被如此疯狂地夸大??有些人将矛头指向越来越有利可图的提供网络安全的市场。根据商业科技网站《信息周刊》(InformationWeek),美国政府每年在信息安全上花费约105亿美元。据路透社报道,全球市场在此方面的花费高达1,400亿美元。网络安全也是过去几年白宫未削减预算的少数领域之一。

美国犹他大学信息时代战争专家肖恩·劳森博士(Dr Sean Lawson)表示,对于网络安全行业而言谈论网络攻击威胁至关重要:“国防项目承包商夸大网络威胁的现象将更为普遍,因为网络安全是资金依然充足的少数领域之一。这是通过向军队宣扬恐惧和不确定性来获得回应的典型例子。”

这并非说网络安全不构成问题。黑客和恶意软件的迅速普及已经说明,许多公司和机构的相关防御体系不堪一击。不过,网络攻击给这些公司和机构带来的通常是尴尬处境,而不是致命伤害。去年最引入注目的黑客攻击是非法交友约会网站阿什利·麦迪逊(Ashley Madison)受到的网络攻击,算不上危及生命的事件,只是有些人被丈夫/妻子发现使用该网站服务,后果可能有点严重。

尽管黑客成功渗入五角大楼和其他高安全性机构的网站,但专家称,他们不可能不被发现,而且他们所造成的任何损害通常可以迅速修复。网络安全是一个现实问题。社会上的各个组织机构,在确保网络和数据安全方面需要应对及解决众多挑战。”

但是,核电站或电力基础设施被黑客入侵并陷入瘫痪的概率非常小。我们可以预期的最坏情况是受到扰乱,这不是战争,也不构成真正的恐吓。虽然威胁确实严重,但是没有达到反恐战争的水平。

那么,网络安全恐慌可能很大程度上是网络安全炒作,但是这不太可能阻止政客在下一次希望花几十亿美元驱走网络安全鬼怪时按下恐慌按钮。如果他们再次试图说服你相信网络安全混乱即将到来,也许需要记住,呈现的可能是网络安全羊毛。