雷鋒網(wǎng)消息,因?yàn)閾?dān)心第六版互聯(lián)網(wǎng)協(xié)議(IPv6)可能危及網(wǎng)絡(luò)安全,美國政府可能要搞一場萬物互聯(lián)新時(shí)代的全民教育。一星期前,美國商務(wù)部與國土安全部公布了一份網(wǎng)絡(luò)安全報(bào)告的草案,建議美國政府資助一場提高全民物聯(lián)網(wǎng)安全意識(shí)的運(yùn)動(dòng),讓網(wǎng)絡(luò)安全成為未來學(xué)生獲得工程學(xué)學(xué)位的必修內(nèi)容。
這份長達(dá)38頁的報(bào)告題為《面對(duì)僵尸網(wǎng)絡(luò)和其他自動(dòng)化分布式攻擊威脅,提高互聯(lián)網(wǎng)和通信生態(tài)系統(tǒng)的抗打擊能力》。這份報(bào)告應(yīng)去年5月特朗普簽署的行政令指示而誕生。此前多次嘗試均半途而廢,報(bào)告定稿后,它將和其他多份文件一道遞交特朗普審批。
整體來看,這份報(bào)告寫得很不錯(cuò):它簡單直白,明確了美國政府、行業(yè)和消費(fèi)者當(dāng)前面臨的網(wǎng)絡(luò)安全問題,就像題目揭示的那樣,重點(diǎn)放在僵尸網(wǎng)絡(luò)。它既沒有掩蓋問題,也沒有夸大某些網(wǎng)絡(luò)安全威脅或者輕視其他威脅。一言以蔽之,它是那種草擬得專業(yè)的政策文件。盡管公務(wù)員隊(duì)伍里有些干擾的噪音和無知的言論,政府仍然草擬了這樣一份專業(yè)文件。這真是幸事。
報(bào)告只有一個(gè)突出的問題:它并未反映美國政府內(nèi)部的爭斗,政府機(jī)構(gòu)之間在爭奪互聯(lián)網(wǎng)安全和物聯(lián)網(wǎng)事務(wù)的領(lǐng)導(dǎo)權(quán)。
另外,報(bào)告還有這類文件常見的毛?。汉芏嗾嬲慕ㄗh都有點(diǎn)含糊其辭,比如要“確定一條明確的道路,發(fā)展為一個(gè)有適應(yīng)能力、有持續(xù)性又安全的技術(shù)市場”,或者“推動(dòng)創(chuàng)新”、“建立聯(lián)盟”,應(yīng)該實(shí)現(xiàn)哪些重要的“目標(biāo)”。
由于報(bào)告對(duì)相關(guān)行業(yè)秉持不干預(yù)的傳統(tǒng)做派,加之互聯(lián)網(wǎng)的決策權(quán)事實(shí)上主要掌握在私營企業(yè)手中,美國商務(wù)部和國土安全部能切實(shí)拿出的行動(dòng)少之又少。但報(bào)告的確厘清了問題所在,并闡明了解決問題的最佳對(duì)策。
消費(fèi)者無罪
報(bào)告承認(rèn),即使消費(fèi)者在商家購買了設(shè)備,又將這些設(shè)備聯(lián)入家用無線網(wǎng)絡(luò),也不能、不該指望他們?yōu)檫@些設(shè)備的網(wǎng)絡(luò)安全負(fù)責(zé)。這也許報(bào)告最有用的內(nèi)容。
報(bào)告給予物聯(lián)網(wǎng)市場準(zhǔn)確的定位,稱物聯(lián)網(wǎng)設(shè)備“很像上世紀(jì)90年代的臺(tái)式機(jī)電腦”,安全性很差。
報(bào)告寫道:
“物聯(lián)網(wǎng)設(shè)備往往缺乏側(cè)重于安全的特色功能。這些系統(tǒng)現(xiàn)在成為對(duì)不法分子最有吸引力的攻擊目標(biāo),(物聯(lián)網(wǎng))設(shè)備在生態(tài)系統(tǒng)占比很大,并且越來越大。”
報(bào)告還說:
“實(shí)際上,消費(fèi)者并沒有直接受到設(shè)備被攻擊的影響,他們可能永遠(yuǎn)不知道(自己的)設(shè)備淪為僵尸網(wǎng)絡(luò)的一部分。從消費(fèi)者的角度看,網(wǎng)絡(luò)攝像頭還在正常播放視頻,冰箱還在制冷(,一切正常)。”
“基于這個(gè)原因,一旦設(shè)備被僵尸網(wǎng)絡(luò)利用,讓設(shè)備的真正所有者負(fù)責(zé)是不現(xiàn)實(shí)的?,F(xiàn)在被(僵尸程序)感染也看不到什么明顯的影響。因此,如果要鼓勵(lì)消費(fèi)者采取行動(dòng)增強(qiáng)安全措施,比如升級(jí)那些可以升級(jí)的設(shè)備,就存在困難。”
雷鋒網(wǎng)發(fā)現(xiàn),這些看法對(duì)物聯(lián)網(wǎng)專業(yè)人士來說不算新聞,難得的是,一份美國政府的報(bào)告能清晰闡述問題,一針見血地切中要害。
報(bào)告指出,對(duì)于保證物聯(lián)網(wǎng)安全,軟件和硬件安全系統(tǒng)升級(jí)以及類似做法很有效,可問題是,很少有公司和個(gè)人真正這樣做??紤]到這點(diǎn),報(bào)告和這些年不少人的觀點(diǎn)一樣,也認(rèn)為需要讓設(shè)備自帶安全預(yù)防措施,比如自動(dòng)進(jìn)行安全系統(tǒng)升級(jí)。
報(bào)告認(rèn)為:
“理想的做法是,向消費(fèi)者推廣那些應(yīng)該內(nèi)置安全系統(tǒng)的設(shè)備。消費(fèi)類產(chǎn)品應(yīng)該盡可能基于安全角度設(shè)計(jì),應(yīng)該納入自動(dòng)更新安全系統(tǒng)的機(jī)制,應(yīng)該幾乎沒有對(duì)(用戶)管理產(chǎn)品提出什么要求。”
制定基準(zhǔn)
美國政府不會(huì)給行業(yè)強(qiáng)加什么規(guī)定。因此報(bào)告認(rèn)為,可能政府要與企業(yè)合作,對(duì)于“家用和工業(yè)應(yīng)用的物聯(lián)網(wǎng)設(shè)備”,共同制定一套“普遍接受的基準(zhǔn)安全配置。”報(bào)告還提議,美國政府利用自身重要采購方的角色,“對(duì)美國政府環(huán)境的物聯(lián)網(wǎng)設(shè)備采用基準(zhǔn)安全配置,以此加快普及安全配置的進(jìn)程。”這聽起來是高明的一步棋,在域名系統(tǒng)安全擴(kuò)展(DNSSEC)和IPv6這類技術(shù)上能起到一定作用。
而報(bào)告最面向大眾的建議也許就是,由政府出資,贊助一項(xiàng)針對(duì)物聯(lián)網(wǎng)安全的宣傳活動(dòng),提高消費(fèi)者這方面的安全意識(shí)。報(bào)告稱:
“聯(lián)邦政府應(yīng)該開展一場提高公眾意識(shí)的運(yùn)動(dòng),支持公眾認(rèn)識(shí)并采用家用物聯(lián)網(wǎng)設(shè)備安全配置,用相關(guān)品牌產(chǎn)品。”
在此后的內(nèi)容中,報(bào)告還力薦政府對(duì)相關(guān)研發(fā)加大投入,“支持科研進(jìn)步,包括預(yù)防和緩解分布式拒絕服務(wù)攻擊(DDoS)和防止制造僵尸網(wǎng)絡(luò)的基礎(chǔ)技術(shù)。”
談到IPv6,報(bào)告有點(diǎn)擔(dān)心這種網(wǎng)絡(luò)安全的新協(xié)議廣泛采用可能產(chǎn)生負(fù)面影響。
IPv6將賦予每個(gè)設(shè)備一個(gè)IP地址,所以可能讓數(shù)百萬新設(shè)備容易遭到攻擊和黑客入侵。從這個(gè)角度看,用IPv4和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)可能營造更安全的環(huán)境,因?yàn)檫@兩種方式都基于單一的IP地址排布設(shè)備。
報(bào)告并不是主張抵制使用IPv6。事實(shí)上,報(bào)告還贊成,為了更快推進(jìn)應(yīng)用,要給予互聯(lián)網(wǎng)服務(wù)供應(yīng)商激勵(lì)。但報(bào)告的確建議,調(diào)查“IPv6廣泛應(yīng)用的影響,看到應(yīng)用廣泛到何種程度,就能改變網(wǎng)絡(luò)攻擊和防御的經(jīng)濟(jì)意義。”
擔(dān)憂與希望并存
應(yīng)用IPv6的一個(gè)好處是,消費(fèi)者會(huì)更容易發(fā)現(xiàn)哪部設(shè)備被攻擊了??墒菆?bào)告提到了名為Mirai的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。它對(duì)攻擊IPv6支持的物聯(lián)網(wǎng)特別有效,因?yàn)樗舻氖悄切┯凶陨鞩P地址的設(shè)備(通常是網(wǎng)絡(luò)攝像頭)。相反,“NAT工具可以充當(dāng)意外(攻擊的)防火墻,避免那些家用設(shè)備被傳播惡意軟件的批量掃描工具直接接觸,進(jìn)而大范圍被惡意軟件感染。”
報(bào)告甚至深入探討了范圍擴(kuò)大的域名空間:
“理論上說,IPv6的地址空間相當(dāng)大,現(xiàn)有工具無法掃描,但專家注意到一些模式,它們可以通過新的掃描技術(shù)找到哪些設(shè)備不堪一擊。”
那么,該用什么解決方法?報(bào)告認(rèn)為,應(yīng)該把研究的側(cè)重點(diǎn)放在“深化網(wǎng)絡(luò)前沿創(chuàng)新”上。
報(bào)告里還有很多觀點(diǎn)、建議和主張。大部分表述都用了“應(yīng)該”這個(gè)詞,這一定程度上降低了采取行動(dòng)的緊迫感,可是有一條建議沒有用“應(yīng)該”。它提出,保證下一代工程師接受網(wǎng)絡(luò)安全培訓(xùn)。網(wǎng)絡(luò)安全無疑是目前一項(xiàng)至關(guān)重要的技能。
報(bào)告稱:
“學(xué)術(shù)機(jī)構(gòu)在與美國國家網(wǎng)絡(luò)安全教育計(jì)劃合作,他們應(yīng)該將(網(wǎng)絡(luò)安全)確立為攻讀一切工程學(xué)學(xué)科的基本要求內(nèi)容。”
這份報(bào)告上周末發(fā)布,其中有不少好提議,以上只是冰山一角。從現(xiàn)在起到今年2月12日,大概一個(gè)月多一點(diǎn)時(shí)間都是報(bào)告的公眾評(píng)議期(任何看法可以發(fā)送電郵到地址:Counter_Botnet@list.commerce.gov)。如果你對(duì)報(bào)告提到的任何內(nèi)容深有感觸,現(xiàn)在就是讓美國政府知道的好時(shí)候。