恐怖分子如何在千里之外谋杀美国副总统

阅读本文章前的两点忠告:第一,如果您是美剧《国土安全》(Homeland)的百万粉丝之一,看完第二季第 10 集后,请务必阅读本文。第二,读完此文章后,您可能会对我们日常使用的无线数字基础设施的信任发生动摇。

近期的《国土安全》剧情让人前所未有地恐惧:美国副总统在华盛顿严密安保的海军气象天文台办公室中痛苦地抓揉着胸部,无奈地挣扎。他的死是起搏器产生超级纤维性颤动带来的恐怖后果,这一切都是由一个远在天边的 20 多岁恐怖分子干的,他利用笔记本电脑和窃取的序列号攻击了采用无线控制的医疗设备并“引导”其杀死了患者。

具备医学常识的人都了解,过大的电流会致人于死地,该剧中的超级大反派——恐怖分子 Abu Nazir 就是这样在无需伪造护照或浑身捆上炸弹的情况下轻易杀死了美国高官。

这种剧情足以令人胆战心惊。而这种杀人方法呢?更令人惊悚吧——因为它的可能性极高,甚至貌似真实可信。那我们又是从何而知的呢?

最近,迈克菲自己的“内部黑客”(house hackers)发现佩带在腰带上的胰岛素泵的无线控制系统存在类似缺陷,黑客可控制胰岛素泵,规避内置保护措施并带来致命后果。我们在去年的 RSA 安全大会上演示了这种黑客攻击,也许这便激发了《国土安全》编剧的灵感。虽然这些情况非常罕见,也许只能在影视剧中出现,但它们却引发了我们对在全新数字生活中占据首要和中心地位的更大社会问题的强烈关注。

无线移动技术正在改变我们日常生活的方方面面,它能让我们随时随地工作、接受医疗服务、处理财务、安排旅行事宜甚至是调节冰箱温度,然而任何事物都有两面性,其背后也隐藏着风险。

实际上,尽管像我们这样的网络安全公司已投入大量资源保护高度结构化、通常采用硬连线的企业网络,但日益增长的无线系统却鲜有人关注。

事实上,现今的起搏器、泵、除纤颤器、手术室设备、监视器和一些外科器械都能从患者的身体向医疗专家传输数据,他们利用的一些无线基础设施需要数字安全保护软件提供保障。虽然剧中并未采取这样的措施,但已经为我们带来了足够多的启示。不光是在医疗领域,金融系统、运输和电力网络以及迅猛增长的消费者零售交易都能够以无线方式处理。

我们以前也曾遇到过类似情况。还记得被称为汽车黄金时代的上世纪中期吗?当时每个人都有大块头、大马力、以及令人兴奋的汽车。然而兴奋之余,我们会发现,这些汽车实际上缺少所有我们今天认为理所当然的救命用的安全设备,包括安全带、气囊、第三刹车灯和撞击缓冲区。因此,驾驶在当时绝对是一件冒险的事。

放眼当今的无线计算世界,情形又何尝不是如此 :令人兴奋,但缺少快速降低风险的措施。而我们面临的问题是,无线网络变化多端而且变化迅速,网络安全措施更无法跟上它的脚步。

除了这个问题之外,我们还面临着两大挑战,其一是云计算方兴未艾,设备中的动态数据面临较高的风险。其二是无线设备的丰富性和多样性,行业分析预计到 2020 年无线设备数量将达 200 亿。也就是说每个人都会成为黑客攻击的潜在对象。此外,这些无线设备的制造商是其设备提供的技术方面的专家,但并不是安全专家。

因此,是时候停下来思考一下如何保护每一个硬件,因为我们过去在 PC 时代用的那套已过时了,单单每月或每周更新台式机病毒防护软件的方式如今已不凑效。现在应该为整个计算环境采取高级安全措施,在业内也称为“端到端”安全。

但我是乐观主义者,我们近期与一些政府官员、专业学者、智囊团精英和新闻工作者等相关人士进行了关于网络安全的对话,希望借助更多力量加强大家在网络时代的安全防护意识。

同时,这也能让广大《国土安全》粉丝不再担惊受怕,不让这些因为缺少保护措施的计算机代码引起的虚拟事件变成现实。