NSA欲借互联网漏洞打击犯罪,但填补漏洞任务艰巨
近日,NSA(美国国家安全情报局)副主任Richard Ledgett透露,NSA正在利用一些物联网设备对国外的情报进行收集。对于安全情报机构来说,数以亿计的设备通过互联网被连接是有好处的。在错综复杂的网络中,隐含着许多漏洞,这些漏洞对于NSA而言是收集情报的最佳切入点。
互联网漏洞存在于当今网络普及时代的各个角落,它能够让用户的隐私“无所遁形”。不论是身份证信息还是银行卡密码,再隐私的信息也可能由于互联网漏洞被他人所熟知。一方面,互联网漏洞可以使像NSA这样的机构掌握不法分子的信息用以打击犯罪行为。但是从另一方面来说,互联网漏洞会给整个网络环境带来极大的危害。
一、互联网漏洞频现,虽有价值但弊大于利
在当今互联网普及的年代,大多数用户对互联网漏洞并不陌生。但凡安装过电脑清理应用的人,几乎都收到过关于电脑有漏洞的通知。只不过许多用户并不在乎,顶多用工具修复一下就差不多了。
但实际情况是,互联网漏洞正频频出现。根据对CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)漏洞分布的调查数据显示,2014年,敏感信息泄露类漏洞的数量超过了2000个,DoS(拒绝服务类)漏洞的数量则超过了1500个。
前者说明了黑客对个人隐私的关注,后者则可能造成业务稳定性和可用性的破坏。另外,远程代码执行漏洞的数量也不在少数,这会造成私有信息的严重流失。
不过,此次对于NSA来说,互联网漏洞却成为了他们执法的“利器”。他们可以通过生物医学设备来收集数据,通过互联网的漏洞来跟踪海外恐怖分子和外国情报间谍的行踪。
其实,这并非NSA首次使用此种手段。早在2013年,斯诺登就在“棱镜门”事件中曝出NSA可以利用漏洞从“后门”进入微软、谷歌、Facebook、苹果等9家科技公司的服务器。
随后,斯诺登又通过英国《卫报》曝出NSA及英国情报机构GCHQ能够破解HTTPS与VPN等互联网隐私保护加密技术。
这意味着,互联网在这些机构面前基本上是不存在隐私的。对于这些机构来说,几乎所有经过加密的个人或商业的网络通讯数据及网络交易信息,想要获得都是易如反掌的。
更令人瞩目的是,除了反恐和打击犯罪以外,NSA和GCHQ的做法还涉及到重大的商业利益。
据统计,NSA和GCHQ与科技公司的“合作”项目Sigint的预算每年高达25亿美元。与之相比,“棱镜”项目每年2000万美元的预算就不算什么了。
根据泄露的资料显示,Sigint之所以有如此高额的预算,是因为其具备控制信息安全国际标准的战略目标。其中包括重塑全球市场及破解4G手机加密技术等。互联网安全专家指出,NSA及相关机构的做法已经动摇了整个互联网的信任基础。
虽然互联网漏洞为追踪不法分子的行踪提供了一个很好的切入点,但是对于互联网环境来说,安全是最为重要的因素。
这几年曝光的漏洞数量逐渐增长,一方面,这意味着安全问题越来越被重视,挖掘的漏洞越多,修复的也就越多。但另一方面,越来越多的漏洞导致问题不断出现。从整体来看,互联网漏洞的出现还是弊大于利的。
二、互联网漏洞造成恶劣影响,威胁网络安全应尽力填补
近两年来,互联网漏洞问题频频出现,其中受影响最大的就是金融机构。
安全问题反馈平台乌云网在去年发表了关于互联网漏洞信息的截图。从日期上来看,互联网漏洞每天都在出现。从内容上来看,漏洞分布在邮箱、看图软件、银行、下载软件、游戏等多个领域。
对于互联网漏洞,乌云网的负责人表示:“互联网安全问题在保险业、银行业、证券业普遍存在”。对于这几个行业来说,安全性又是其最为重要的倚靠。
从去年上半年开始,我国的金融机构的互联网漏洞数量快速增长,中国人保、国联证券和部分P2P平台均出现漏洞问题。它们主要集中在跨战脚本攻击、注入漏洞以及金融APP安全问题方面,并已被多家金融机构厂商确认存在信息泄露等风险。
从个人的角度来说,互联网漏洞会严重危害到用户的隐私安全。黑客可以通过互联网漏洞,获得他们想要获得的一切信息。从国家的角度来说,互联网漏洞甚至会危害到国家机密,别有用心的机构会通过技术手段在互联网漏洞中找寻他们想要的机密。
因此,整治互联网漏洞迫在眉睫。不过,这却不是一件容易的事情。
在互联网环境中,之所以会出现漏洞,是由于网站中的程序代码出现错误,每一个环节上的错误都可能变成被不法分子入侵的漏洞。如果工作人员管理不当或操作错误,那么漏洞出现的几率就会增加。
漏洞的不断曝光,对于互联网企业来说,意味着其安全维护团队压力的增大。因为每曝光一个新的漏洞,就要在第一时间修复,否则就会失去与黑客对垒的先机,处于被动地位。
以腾讯在乌云网上的数据漏洞为例,在2010年到2011年期间,腾讯对漏洞报告的回复都是人工回复的,但是到了2012年后期,回复就变成了固定模式的自动回复。根本原因在于腾讯于2012年5月建立了TSRC(腾讯安全应急响应中心)平台,腾讯忙着处理自家平台上的漏洞,所以忽略了乌云网中的漏洞报告。
这也从侧面说明了互联网漏洞监管方面的不完善,加之黑客的存在,就更加助长了互联网漏洞猖獗的态势。
通常来说,针对互联网漏洞是先出现后解决。但是在技术发展的过程中,安全专家们也在变被动为主动,通过对互联网漏洞的不断研究来完善自己的方案。所以,不少的Bug都是由专家主动发现并修复的。
此外,国家对于网络安全问题也愈发重视。2014年2月,国家成立了中央网络安全和信息化领导小组,组长是习近平。这说明了网络安全问题已经上升到了国家战略高度,未来将更加被重视。
综上所述,互联网漏洞可以成为安全机构反恐或打击罪犯的切入点,但它为互联网带来的更多是负面的影响。要解决这些问题,填补漏洞,还需要克服许多困难,并且需要各方的配合。因此,对于互联网漏洞的整治任务依然非常艰巨。
【钛媒体作者:最极客;文/东方亦落】