安全分析:网络安全的军事化万不可取

与反恐战争和反毒品战争相比,美国政府对网络战争的关注度越来越高。

据Google说前不久的网络间谍攻击可能来自中国。目前很多神秘的网络活动都可以追溯到中国境内。有专家认为Stuxnet(超级工厂蠕虫)蠕虫针对的是伊朗核设施。在维基解密公布了美国大量机密文件后,该网站也遭到了黑客攻击。另外,别忘了多年前针对爱沙尼亚政府的大范围网络攻击事件。

在处理网络上的地缘政治问题上,美国政府采取了军事化策略和思想实现网络安全。也就是建立所谓的“网络司令部”,在美国国防部的监管下应对国家网络安全事件。

但是安全咨询公司Cigital 的首席技术官Gary McGraw 却认为,军事上常说的进攻是最佳的防御,这一条并不总是对的,尤其是在网络世界中。在最近的一篇文章《Cyber Warmongering and Influence Peddling》中,McGraw认为互联网上需要的是更多的安全软件,而不是好战分子。

ZDNet记者针对美国政府采取军事策略应对网络威胁的问题,采访了McGraw 。

美国政府将网络战争状态设定为战备等级1(DEFCON 1)的做法存在什么问题?

McGraw: 前不久我和Core Security Technologies 公司的创始人兼首席技术官Ivan Arce 合作写了一本书。他是阿根廷人。每次我们聊天,他总会问我‘美国人怎么回事,怎么总是提到网络战争,为什么美国人对网络战争那么痴迷。’因为其他国家的人好像并不怎么提及网络战争。我也去过很多国家,确实如他所说,没有这么多有关网络战争的话题。所以我们就开始讨论为什么会有这种现象。最后我们总结出一个主要观点,即美国把网络战争、网络间谍以及网络犯罪等概念混淆了,政府并没有试图将这三者区别对待,并通过对话解决相应问题,而是不管网络另一端的人所处的政治和经济环境,统统认为是美国的敌人。

这样做有何危险?

这其中的危险在于,如果我们将所有网络安全问题都归结为“网络战争”,那么美国国内的民意倾向就会允许国防部来处理这些问题。五月份美国国防部成立了网络司令部。网络司令部强调的就是打击,它的目的就是通过实施闪电战术,在对方还未对美国实施网络攻击前,首先通过网络攻击对敌人进行致命打击。我不认为这是个明智的做法。比如一个封闭的玻璃房子,网络司令部正在想办法快速准确的把石头从屋里扔出去打别人。与之相反,我觉得我们应当习惯目前这种网络攻击,就好像习惯所有的系统都会存在漏洞一样,我们要做的是努力消除这些漏洞。

是金钱利益驱使政府采取这样的手段或政策吗?这么想可能有些玩世不恭。

实际上很多人都是这么认为的。美国的军工行业非常复杂,他们当然与商业安全行业有着紧密的联系。这并不令人惊讶,也不是什么坏事。问题在于商业安全行业现在才开始理解安全工程以及软件安全的重要性。前几年的终点都放在如何防止坏人进入防火墙,而现在则是如何在外围建立一个牢固不破的防御。这种策略转变是正确的。在面对网络犯罪,网络间谍,以及网络战争时,如果我们想同时解决这三个问题,那唯一的方法就是建立更强大的更坚固的安全系统。

您提到网络犯罪和网络间谍活动比网络战争更重要,为什么是这样呢?

因为网络上最多的就是网络罪犯,其次是网络间谍,而网络战争的出现几率很小。而这一切产生的根源都是一样的,即依靠系统的安全防护性能而定。我们有能力解决这三个问题。其中最重要的问题是网络犯罪,因为目前来看,解决这个问题所投入的资金最大。不妨让我们换个角度来看问题:最近很多人都在说维基解密的事情,最近一次维基解密所公布的机密文件对于美国的外交政策有很大的冲击。

问题在于,就算我们拥有发动网络战争并通过闪电战获胜的能力,对于像维基解密这样的问题该如何解决呢?答案很明显,我们没能力解决。再比如,对于源自中国的代号极光(Aurora)的针对Google等企业盗取知识产权的网络间谍行为,就算我们有网络战争的能力,又能怎样呢?

而解决网络犯罪和网络间谍这两大问题的方法是什么呢?答案就是加强防御。除了加强软件的安全性以外,人的因素也非常重要。想一下为什么一个一等兵能够进入机密的军用SIPRNET网络?如果我们能够严格实行安全审查制度,只能允许那些真正需要访问机密文件的人接入机密网络,那可能就不会出现维基解密这个网站了。

“网络(cyber)”这个词听上去有些恐怖,其实我们所说的还是以互联网(Internet)为主吧?这两者有差别么?

是的,美国一直在强调网络战争,而不是互联网战争。问题在于传说中的网络安全的问题要比它的实际情况更加神秘,恐怖和夸张。这使得政策制定者,企业CEO以及公众难以认清真相,比如2007年爱沙尼亚的DDoS攻击。而我们都知道的超级工厂蠕虫,就只针对工业网络环境。

超级工厂蠕虫是真实存在的,这算是网络战争吗?

它可以算是一种网络战争的武器,我们称之为网络武器。我认为这算是网络战争行为了。根据我的标准,网络战争的攻击行为需要有实体破坏力,也就是说,被攻击一方有物理损坏。 Stuxnet的攻击代码可以入侵伊朗核电站的浓缩铀离心机控制设备和离心机设备本身,并造成机械故障。如果你关注过当时伊朗核电站的发电量,就会发现被攻击后出现的发电量巨大落差。伊朗总统Ahmadinejad也承认伊朗核电站的离心设备遭到网络攻击。

那么针对爱沙尼亚的那次攻击为什么不算网络战争?

实体破坏性是一个要素,另一个要素是,战争是全国性的。爱沙尼亚那次遭受的攻击并不符合这一点。而且国家也没有收到真正的冲击。虽然该国的网络挂了,但是说实话,谁又在意呢?如果把相同规模的攻击拿来攻击Google或者Amazon,可能根本都不会引起任何异常状况。我觉得发动这次攻击的位于俄罗斯的某个黑客,只是一次个人行为,并不算是发动了一场战争。其实,据我在华盛顿的朋友透露,类似爱沙尼亚这样的攻击事件还在不断地上演着。

您是怎么看待网络战争和美国的策略呢?

今年我大部分时间都是在华盛顿工作。我去过白宫,也去过五角大楼,与政府的智囊团一起讨论过。现在政府中谈论太多有关网络战争的问题了,这让我有些担心。我们要做的应该是节制网络战争,网络间谍以及网络犯罪的发生,将重点放在建立更好的安全系统上,走出玻璃房子,而不是像Hayden将军(CIA局长)提议的那样建立新的网络快速反应部队。政策制定者们对于我们所熟悉的网络安全概念的理解,可谓是一塌糊涂。

我所担心的是政府根本不在互联网安全防护上给予任何经费。对于网络来说,没有什么分而治之的说法。也就是说,我们不能只为军队网络或者SIPRNET 进行防护,而对互联网放任不管,因为九成的风险都来自互联网。在美国,超过九成网络架构是由企业或民间团体控制的,政府管辖的网络架构大约只有一成。只保护政府所控制的网络,而不保护其它部分,显然是没有道理的。这是我担心的问题之一。

另一个问题是美国习惯利用空军的空中优势,在第一时间打击并破坏掉敌人的进攻力量。由此而形成的所谓“禁飞区”对于防御来说非常有效。不幸的是,在网络空间上这么做是无效的,因为网络是个完全不同的物理环境,军队不可能对敌对势力进行包围或者夺取制空权。在网络上,“物体”运行的速度远比现实世界的物体运行的速度快,因此现实中的军事专家在面对网络战争时,基本上没有时间制定战略战术,也没时间分析和布置防御措施。

您在文章中写道“最终有人会因为忽视安全问题而付出代价,有人会因为重视安全问题而得到好处。” 您是认为软件开发商该承担软件安全的责任吗?

我不知道答案是什么。但是我觉得人们需要将讨论的重点转移到如何激励生产商开发更安全的软件系统,以及讨论不安全的系统会给我们带来什么风险。等我们都开始讨论这些问题的时候,政策制定者们就会转到正确的道路上来。我们并不是提供什么明确的方案,比如谁该承担责任。我们只是试着将讨论的话题从战争转向安全工程。

您对此还有什么观点吗?

我确实认为我们正面临风险,而且我也认为网络战争确实是我们需要解决的问题。尽管如此,我们也应该理性的进行对话。太多的某某威胁论并不能帮助我们解决问题。如果我们在政策层面进行错误的讨论,就会给政策制定者们造成困扰,使得他们无法制定出理性的政策。