“就在撰寫本文的同時,某個自稱為“幽靈小隊(The Phantom Squad)”的組織宣稱其計劃在圣誕節(jié)當天同時攻陷Xbox Live與Playstation PSN網絡,且整場攻擊將持續(xù)一周。他們宣布其將繼續(xù)用實際行動證明微軟與索尼在安全性方面的孱弱,其中微軟曾在去年年末經歷過來自名為“蜥蜴小隊 (Lizard Squad)”的另一黑客組織的襲擊。當然,這無疑會嚴重影響到剛剛在節(jié)日期間購買到新款游戲主機的消費者們的心情。不過正如著名黑客活動組織“匿名者” 所言,“……如果大家擔心無法在圣誕節(jié)期間玩上主機游戲,請放下心來——那絕不是圣誕期間最可怕的狀況。”
E安全百科:所謂黑客,是指那些在計算機系統(tǒng)或者計算機網絡當中尋找并利用弱點的人士。黑客實施此類行為的理由可能多種多樣,包括實現(xiàn)收益、表達抗議、挑戰(zhàn)自我、享受過程或者評估此類弱點以幫助相關廠商加以修復。
考慮到由消費者及其設備所生成的數(shù)據總量正不斷增加,而隨著由物聯(lián)網等新興趨勢帶來的潛在敏感信息的大量存在,網絡安全與數(shù)據保護也變得越來越重要。但每一年發(fā)生的數(shù)據泄露事件都開始呈現(xiàn)出規(guī)模更大、復雜度更高且所造成損失更嚴重等特性。根據由IBM與Ponemon雙方今年進行的一次聯(lián)合研究發(fā)現(xiàn),今年包含敏感及機密信息的記錄在丟失或者被盜時,由此帶來的平均成本增長了6%——由去年的145美元提升至如今的154美元。單一記錄丟失或者失竊衍生成本最低的為交通行業(yè)與公共事業(yè)機構,分別為121美元與68美元。在另一方面,零售行業(yè)的平均成本則迎來顯著增長,從去年的105美元攀升至今年的165美元。下面來看截至目前出現(xiàn)的與黑客活動相關的頭條消息:
AshleyMadison數(shù)據泄露事故影響到3700萬用戶。
被安裝在超過2000臺收銀機上的惡意軟件影響到Home Depot的超過5600萬名客戶。
歐洲中央銀行的網站遭到黑客入侵,包括郵箱地址以及聯(lián)系人數(shù)據的各類個人信息被竊。
伍德社區(qū)學院的網站今年遭到黑客侵襲,共有過去八年多以來申請過課程的12萬5千名申請者的社保號碼被惡意人士獲取。
并非全部威脅都來自外部
這還僅僅是2015年當中安全業(yè)界出現(xiàn)的一小部分實際問題,不過有趣的是盡管黑客活動與信息泄露大部分被歸結于外部攻擊,但在最近由HMRC在英國組織的PwC調查當中,其發(fā)現(xiàn)約有43%的網絡安全事故其實是由內部人員的行為所引發(fā)。而在本月早些時候與Bay Dynamics公司CTO Ryan Stolte進行了交談之后,我對出現(xiàn)這種狀況的理由有了更為明確的認識。
Ryan所在的公司負責將與用戶行為及系統(tǒng)訪問有關的數(shù)據收集起來,并建立起指向個人的分析結果——包括內部員工與第三方供應商用戶——包括他們的日?;顒影男┘毠?jié)。“通過關注那些對商業(yè)網絡進行訪問的對象并了解其典型活動方式,我們就能在其出現(xiàn)異常行為時快速對其進行標記、報告與阻止。其整體目標在于搶在惡意人士之前叫停可能給企業(yè)整體帶來影響的行為,”Ryan指出。
用戶與職能實體行為分析(簡稱UEBA)作為內部用戶行為網絡安全檢查的一重要分支,目前正逐漸迎來旺盛的人氣。Gartner公司指出其預計UEBA市場營收到2017年年末將達到約2億美元。
根據Bay Dynamics的研究結果,目前約有90%的數(shù)據丟失狀況屬于偶然事件,即當員工將敏感數(shù)據泄露至企業(yè)之外時,這部分員工實際屬于合法用戶、只是在無意中出于商業(yè)目的而發(fā)送了此類數(shù)據。盡管可能違反了既定的商業(yè)管理政策,但他們仍然表現(xiàn)出正常的員工行為。當被雇主約談時,有80%的用戶意識到自己進行過可能引發(fā)風險的行為(即訪問高風險網站,包括賭博、色情以及其它站點),而對此做出改變則使他們更具安全意識。
只有1%的數(shù)據丟失狀況屬于關鍵性事故,其可能表現(xiàn)出嚴重的受害跡象或者由內部人員違規(guī)所引發(fā)。
針對物聯(lián)網之攻擊活動
當黑客們襲來
如果相關數(shù)字是真實可信的,那么截至2020年接入互聯(lián)網的物聯(lián)網設備將達到500億臺,而由此產生的數(shù)據總量亦將高達44ZB(即44萬億GB)。不過著眼于2015年,相關市場在保障個人與企業(yè)信息安全的能力方面仍然極為欠缺。由Altimeter Group發(fā)布的一份報告指出,有45%的受訪者表示他們對于那些使用其聯(lián)網設備數(shù)據的企業(yè)的安全性水平以及隱私保護能力信任度較低或者根本不信任,而Park Associates發(fā)布的研究則指出,有70%的智能設備持有者擔心其家居控制設備以及由此生成的數(shù)據被他人以未授權方式訪問。
物聯(lián)網與智能設備行業(yè)的安全事故同樣越來越普遍。
2014年,Context Security發(fā)布了其如何通過wi-fi網絡對某品牌網絡智能燈泡進行入侵的細節(jié)信息,其最終成功以遠程方式控制了該燈光。“我們買來幾個燈泡并研究其如何實現(xiàn)彼此間的通信,并發(fā)現(xiàn)其中一條信息與用戶名及密碼有關,”Context研究主管Michael Jordon解釋稱。“通過在網絡當中添加一顆新的燈泡,我們得以獲取到了這一信息,”他補充道。
同樣的,作為一位網絡安全專家,Jesus Molina在深圳的St Regis公司工作——這是一家專門幫助客戶利用iPad及數(shù)字化“管家”應用實現(xiàn)家庭環(huán)境內各類控制功能的廠商,具體包括恒溫器、燈光以及電視等。Molina發(fā)現(xiàn)這套系統(tǒng)的安全性極為脆弱,他編寫了一段代碼以欺騙客戶的iPad,并通過自己房間中的筆記本電腦進行遠程操控。經過一系列調查,他發(fā)現(xiàn)了客戶家中三個房間間的區(qū)別,并掌握了各個房間的網絡地址與其中的設備序列。以此為基礎,他得以編寫出一份腳本,能夠對一家酒店內的250多個房間進行潛在控制。
除此之外,還有其它一些更為可怕的安全傳聞:黑客有可能控制我們的聯(lián)網汽車甚至接入以及起搏器,這一切都提升了公眾對于安全問題的重視程度。
不過這并不是黑客技術的全貌。除了安全威脅之外,黑客技術也有助于提升硬件與軟件的功能特性甚至超越其既定作用。下面我們以Xbox Kinect為例:
·我們可以利用Kinect配合Linux系統(tǒng)構建起一臺低成本且簡便易行的機器人。
·Kinect允許倫敦的外科醫(yī)生們利用手勢與語音控制查看并處理醫(yī)學影像資料。
事實上,關于Kinect的拓展應用中最廣為人知的就是某位技術人員利用其建立起一套控制界面,他的母親在中風后得以借此發(fā)送電子郵件。
互聯(lián)網的未來是否倚重于黑客?
這一論點可能存在著爭議,而且必須承認我本人并不是什么網絡安全專家。不過在筆者看來,黑客文化確實可以作為積極的元素幫助企業(yè)發(fā)現(xiàn)其內部環(huán)境中的基礎性安全漏洞,同時識別出互聯(lián)網中的各薄弱環(huán)節(jié)。普通民眾往往非常信任他們日常生活中必然涉及的各企業(yè)及組織機構,希望其能夠幫助自己保護敏感及個人信息——而無論出于惡意或者善意的目的,安全漏洞的顯現(xiàn)能夠幫助我們更好地理解信息安全形勢。這并不是一場戰(zhàn)爭,而更像是一種共生關系,也許法律應該以條文的形式反映出這一點。
“黑客法則當中沒有防御這一概念,他們的行為只是為了獲得更大的收益。這就是黑客的信念所在。”
——Pinsent Masons律師事務所法務主任Struan Robertson
企業(yè)可以雇傭有道德的或者白帽黑客利用同樣的方式嘗試突破企業(yè)的計算機安全體系,但在我看來他們的出發(fā)點有所不同——即使最終結果看起來并無區(qū)別。
而在遭遇黑客攻擊的企業(yè)當中,人們往往對此諱莫如深,并將其視為一種恥辱及負面狀況。在安全流程及規(guī)程尚不完善的情況下,“受害者”常被視為一種敏感詞,而且被攻擊目標往往在事故發(fā)生后很久才愿意承認這類事實。舉例來說,紐約大壩于2013年遭遇入侵,但我們現(xiàn)在才剛剛開始得到消息。
正如以上所強調,黑客技術也能夠調整硬件與軟件的原始設計,并將其功能擴展至遠超原本意圖的新高度。
這場由信息安全與黑客業(yè)界共同參與的貓鼠游戲仍將不斷持續(xù),而在2016年中我們將親眼見證規(guī)模更大且危害性更強的安全事故——其可能發(fā)生在企業(yè)防火墻之內或者之外。不過也許我們現(xiàn)在應該換個角度審視問題,因為如果沒有黑客的存在,我們的一切安全性保障都只是種“幻覺”。