NSA欲借互聯(lián)網(wǎng)漏洞打擊犯罪,但填補(bǔ)漏洞任務(wù)艱巨專欄

/ 最極客 / 2016-06-12 16:44
互聯(lián)網(wǎng)漏洞可以成為安全機(jī)構(gòu)反恐或打擊罪犯的切入點(diǎn),但它為互聯(lián)網(wǎng)帶來的更多是負(fù)面的影響。

近日,NSA(美國國家安全情報(bào)局)副主任Richard Ledgett透露,NSA正在利用一些物聯(lián)網(wǎng)設(shè)備對(duì)國外的情報(bào)進(jìn)行收集。對(duì)于安全情報(bào)機(jī)構(gòu)來說,數(shù)以億計(jì)的設(shè)備通過互聯(lián)網(wǎng)被連接是有好處的。在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)中,隱含著許多漏洞,這些漏洞對(duì)于NSA而言是收集情報(bào)的最佳切入點(diǎn)。

互聯(lián)網(wǎng)漏洞存在于當(dāng)今網(wǎng)絡(luò)普及時(shí)代的各個(gè)角落,它能夠讓用戶的隱私“無所遁形”。不論是身份證信息還是銀行卡密碼,再隱私的信息也可能由于互聯(lián)網(wǎng)漏洞被他人所熟知。一方面,互聯(lián)網(wǎng)漏洞可以使像NSA這樣的機(jī)構(gòu)掌握不法分子的信息用以打擊犯罪行為。但是從另一方面來說,互聯(lián)網(wǎng)漏洞會(huì)給整個(gè)網(wǎng)絡(luò)環(huán)境帶來極大的危害。

一、互聯(lián)網(wǎng)漏洞頻現(xiàn),雖有價(jià)值但弊大于利

在當(dāng)今互聯(lián)網(wǎng)普及的年代,大多數(shù)用戶對(duì)互聯(lián)網(wǎng)漏洞并不陌生。但凡安裝過電腦清理應(yīng)用的人,幾乎都收到過關(guān)于電腦有漏洞的通知。只不過許多用戶并不在乎,頂多用工具修復(fù)一下就差不多了。

但實(shí)際情況是,互聯(lián)網(wǎng)漏洞正頻頻出現(xiàn)。根據(jù)對(duì)CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)漏洞分布的調(diào)查數(shù)據(jù)顯示,2014年,敏感信息泄露類漏洞的數(shù)量超過了2000個(gè),DoS(拒絕服務(wù)類)漏洞的數(shù)量則超過了1500個(gè)。

前者說明了黑客對(duì)個(gè)人隱私的關(guān)注,后者則可能造成業(yè)務(wù)穩(wěn)定性和可用性的破壞。另外,遠(yuǎn)程代碼執(zhí)行漏洞的數(shù)量也不在少數(shù),這會(huì)造成私有信息的嚴(yán)重流失。

不過,此次對(duì)于NSA來說,互聯(lián)網(wǎng)漏洞卻成為了他們執(zhí)法的“利器”。他們可以通過生物醫(yī)學(xué)設(shè)備來收集數(shù)據(jù),通過互聯(lián)網(wǎng)的漏洞來跟蹤海外恐怖分子和外國情報(bào)間諜的行蹤。

其實(shí),這并非NSA首次使用此種手段。早在2013年,斯諾登就在“棱鏡門”事件中曝出NSA可以利用漏洞從“后門”進(jìn)入微軟、谷歌、Facebook、蘋果等9家科技公司的服務(wù)器。

隨后,斯諾登又通過英國《衛(wèi)報(bào)》曝出NSA及英國情報(bào)機(jī)構(gòu)GCHQ能夠破解HTTPS與VPN等互聯(lián)網(wǎng)隱私保護(hù)加密技術(shù)。

這意味著,互聯(lián)網(wǎng)在這些機(jī)構(gòu)面前基本上是不存在隱私的。對(duì)于這些機(jī)構(gòu)來說,幾乎所有經(jīng)過加密的個(gè)人或商業(yè)的網(wǎng)絡(luò)通訊數(shù)據(jù)及網(wǎng)絡(luò)交易信息,想要獲得都是易如反掌的。

更令人矚目的是,除了反恐和打擊犯罪以外,NSA和GCHQ的做法還涉及到重大的商業(yè)利益。

據(jù)統(tǒng)計(jì),NSA和GCHQ與科技公司的“合作”項(xiàng)目Sigint的預(yù)算每年高達(dá)25億美元。與之相比,“棱鏡”項(xiàng)目每年2000萬美元的預(yù)算就不算什么了。

根據(jù)泄露的資料顯示,Sigint之所以有如此高額的預(yù)算,是因?yàn)槠渚邆淇刂菩畔踩珖H標(biāo)準(zhǔn)的戰(zhàn)略目標(biāo)。其中包括重塑全球市場(chǎng)及破解4G手機(jī)加密技術(shù)等?;ヂ?lián)網(wǎng)安全專家指出,NSA及相關(guān)機(jī)構(gòu)的做法已經(jīng)動(dòng)搖了整個(gè)互聯(lián)網(wǎng)的信任基礎(chǔ)。

雖然互聯(lián)網(wǎng)漏洞為追蹤不法分子的行蹤提供了一個(gè)很好的切入點(diǎn),但是對(duì)于互聯(lián)網(wǎng)環(huán)境來說,安全是最為重要的因素。這幾年曝光的漏洞數(shù)量逐漸增長,一方面,這意味著安全問題越來越被重視,挖掘的漏洞越多,修復(fù)的也就越多。但另一方面,越來越多的漏洞導(dǎo)致問題不斷出現(xiàn)。從整體來看,互聯(lián)網(wǎng)漏洞的出現(xiàn)還是弊大于利的。

二、互聯(lián)網(wǎng)漏洞造成惡劣影響,威脅網(wǎng)絡(luò)安全應(yīng)盡力填補(bǔ)

近兩年來,互聯(lián)網(wǎng)漏洞問題頻頻出現(xiàn),其中受影響最大的就是金融機(jī)構(gòu)。

安全問題反饋平臺(tái)烏云網(wǎng)在去年發(fā)表了關(guān)于互聯(lián)網(wǎng)漏洞信息的截圖。從日期上來看,互聯(lián)網(wǎng)漏洞每天都在出現(xiàn)。從內(nèi)容上來看,漏洞分布在郵箱、看圖軟件、銀行、下載軟件、游戲等多個(gè)領(lǐng)域。

對(duì)于互聯(lián)網(wǎng)漏洞,烏云網(wǎng)的負(fù)責(zé)人表示:“互聯(lián)網(wǎng)安全問題在保險(xiǎn)業(yè)、銀行業(yè)、證券業(yè)普遍存在”。對(duì)于這幾個(gè)行業(yè)來說,安全性又是其最為重要的倚靠。

從去年上半年開始,我國的金融機(jī)構(gòu)的互聯(lián)網(wǎng)漏洞數(shù)量快速增長,中國人保、國聯(lián)證券和部分P2P平臺(tái)均出現(xiàn)漏洞問題。它們主要集中在跨戰(zhàn)腳本攻擊、注入漏洞以及金融APP安全問題方面,并已被多家金融機(jī)構(gòu)廠商確認(rèn)存在信息泄露等風(fēng)險(xiǎn)。

從個(gè)人的角度來說,互聯(lián)網(wǎng)漏洞會(huì)嚴(yán)重危害到用戶的隱私安全。黑客可以通過互聯(lián)網(wǎng)漏洞,獲得他們想要獲得的一切信息。從國家的角度來說,互聯(lián)網(wǎng)漏洞甚至?xí):Φ絿覚C(jī)密,別有用心的機(jī)構(gòu)會(huì)通過技術(shù)手段在互聯(lián)網(wǎng)漏洞中找尋他們想要的機(jī)密。

因此,整治互聯(lián)網(wǎng)漏洞迫在眉睫。不過,這卻不是一件容易的事情。

在互聯(lián)網(wǎng)環(huán)境中,之所以會(huì)出現(xiàn)漏洞,是由于網(wǎng)站中的程序代碼出現(xiàn)錯(cuò)誤,每一個(gè)環(huán)節(jié)上的錯(cuò)誤都可能變成被不法分子入侵的漏洞。如果工作人員管理不當(dāng)或操作錯(cuò)誤,那么漏洞出現(xiàn)的幾率就會(huì)增加。

漏洞的不斷曝光,對(duì)于互聯(lián)網(wǎng)企業(yè)來說,意味著其安全維護(hù)團(tuán)隊(duì)壓力的增大。因?yàn)槊科毓庖粋€(gè)新的漏洞,就要在第一時(shí)間修復(fù),否則就會(huì)失去與黑客對(duì)壘的先機(jī),處于被動(dòng)地位。

以騰訊在烏云網(wǎng)上的數(shù)據(jù)漏洞為例,在2010年到2011年期間,騰訊對(duì)漏洞報(bào)告的回復(fù)都是人工回復(fù)的,但是到了2012年后期,回復(fù)就變成了固定模式的自動(dòng)回復(fù)。根本原因在于騰訊于2012年5月建立了TSRC(騰訊安全應(yīng)急響應(yīng)中心)平臺(tái),騰訊忙著處理自家平臺(tái)上的漏洞,所以忽略了烏云網(wǎng)中的漏洞報(bào)告。

這也從側(cè)面說明了互聯(lián)網(wǎng)漏洞監(jiān)管方面的不完善,加之黑客的存在,就更加助長了互聯(lián)網(wǎng)漏洞猖獗的態(tài)勢(shì)。

通常來說,針對(duì)互聯(lián)網(wǎng)漏洞是先出現(xiàn)后解決。但是在技術(shù)發(fā)展的過程中,安全專家們也在變被動(dòng)為主動(dòng),通過對(duì)互聯(lián)網(wǎng)漏洞的不斷研究來完善自己的方案。所以,不少的Bug都是由專家主動(dòng)發(fā)現(xiàn)并修復(fù)的。

此外,國家對(duì)于網(wǎng)絡(luò)安全問題也愈發(fā)重視。2014年2月,國家成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,組長是習(xí)近平。這說明了網(wǎng)絡(luò)安全問題已經(jīng)上升到了國家戰(zhàn)略高度,未來將更加被重視。

綜上所述,互聯(lián)網(wǎng)漏洞可以成為安全機(jī)構(gòu)反恐或打擊罪犯的切入點(diǎn),但它為互聯(lián)網(wǎng)帶來的更多是負(fù)面的影響。要解決這些問題,填補(bǔ)漏洞,還需要克服許多困難,并且需要各方的配合。因此,對(duì)于互聯(lián)網(wǎng)漏洞的整治任務(wù)依然非常艱巨。

本文版權(quán)歸“最極客”所有



1.砍柴網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;2.砍柴網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:砍柴網(wǎng)",不尊重原創(chuàng)的行為砍柴網(wǎng)或?qū)⒆肪控?zé)任;3.作者投稿可能會(huì)經(jīng)砍柴網(wǎng)編輯修改或補(bǔ)充。


閱讀延展



最新快報(bào)

1
3