在当年从事警察工作沿着街道巡逻的时间,我总是尽力按照俗语说的“抱最好的愿望,做最坏的打算”来生活。在执法领域中,由于经常看到人类的黑暗面;所以,很容易让人变得厌倦和愤世嫉俗。而在计算机和网络安全领域,从某种程度上来说,也在发生同样的事情。
上个月,就在这些年里网络犯罪行为是如何从涂鸦艺术家、小偷和少量侵入者之类琐碎的活动演变成为可能涉及到数百万美元利润的危险行业,我专门撰文进行了介绍。但是,对于最极端的网络犯罪分子来说,情况甚至比上面说的还严重。实际上,这可以说是一个生死攸关的问题。
了解网络恐怖主义
一提到恐怖主义,尤其是在2001年9月11日的事件以后,我们中的大多数人都会认为它是属于基于政治、宗教或和民族意识形态而进行的恐怖行为。但是,对于恐怖主义来说,目前实际上并没有比较通行的定义;通常情况下,它的目标被认为是利用暴力或者暴力威胁来直接伤害针对目标,而且还意图恐吓(导致恐惧的原因)其他人。因此,在必要的时间,恐怖行为并不需要保密(尽管在准备阶段是必须的),原因也很简单,人们了解得越多,产生的恐惧就越大,传播的范围就越广。
恐怖分子也会利用计算机和互联网来就一段时间内的攻击进行交流和协调。不过,网络恐怖主义指的并不是利用该技术来进行的犯罪,而是指利用该技术作为武器或者目标的犯罪。
网络恐怖主义的目标
网络恐怖主义分子经常利用病毒、蠕虫和其他类型的恶意软件来实现自己的目标,但这并不意味着每一位病毒的开发者都是网络恐怖主义分子。与普通病毒开发和传播者相比,网络恐怖主义分子的区别在哪里?与“现实世界”中区分杀人狂和恐怖分子的模式一样:从动机、范围和行为意图来考虑。与关注个人利益的犯罪分子以及只是“为了好玩”而发动恶意软件攻击的黑客相比,尽管网络恐怖分子使用的也是相同的工具,但相应的动机和意图是让大量人员恐惧和惊慌;即使实际的攻击范围非常有限,但这并不意味着动机和意图的改变。
为了更好地理解这一点,让我们来看一个来自“现实世界”的例子。2001年12月,臭名昭著的“鞋子炸弹携带者”理查德·里德就曾经试图引爆藏在鞋子中的炸药。尽管他的企图失败了,但由此所产生的恐惧,导致在接下来的十年里,美国商业航班的所有乘客都需要脱下鞋子通过X光检测仪的扫描。与此类似,对于网络恐怖主义分子来说,攻击的实际效果不一定需要非常大,只要能产生尽可能广的传播效果即可。当然,如果真得造成了一些损害,对于网络恐怖分子来说,将更有助于实现预定目的。
恐怖主义的目标
恐怖分子,也包括网络恐怖分子都喜欢从“大局着眼”。因为他们的目标是让大众恐慌,所以,行动的过程必须高调。一个通常的方法就是针对可以影响公众的大型活动和关键系统,或者具备新闻价值的个人。对于网络恐怖分子来说,有吸引力的目标包括了:
· 控制电网或供水系统之类公共事业的计算机。通过关闭或者控制此类系统,他们可以切断成千上万人正在使用的服务,甚至制造可能导致人员伤亡的爆炸事故。而对于核电站来说,他们通过制造辐射泄漏,还可以带来更大的危机。
· 专业护理人员用于诊断和治疗的计算机。控制这些系统或者导致它们在关键时刻宕机可能带来可怕的后果,甚至可以造成死亡。给出错误的药物或者错误的剂量,破坏进行中的手术或者误诊导致向患者提供错误的治疗方法都属于可能发生的情况。
· 控制运输系统的计算机。当今世界,我们周围的交通工具,从汽车到火车到街道、地铁和公共运输系统,以及空中飞行的大型客机,都是由计算机进行控制的。并且,不仅仅限于车辆设备,交通控制设备和空中交通管制设备等都已经全面计算机化了。获得了这些系统的控制权后,恐怖分子就可以切断旅行,破坏企业生产,制造交通事故,导致财产损失和人员伤亡等重大事故的出现。
· 联邦、州和地方政府机关使用的计算机,尤其是公共安全和国防部门使用的系统。从美国军队到地方警察部门,计算机都被用于对直接负责保护公民安全的政府工作人员进行管理。通过破坏或者控制这些系统,恐怖分子可以对警察、消防员和军人执行的任务进行破坏,将他们引到错误的位置,让他们的工作“徒劳无功”,诱惑他们开展错误(并且可能带来危险)的行动。
· 新闻媒体用来传播信息的计算机。包括报纸记者、电台和电视台和新闻团队以及在线媒体工作人员在内的新闻机构都采用了计算机来处理向公众发布的信息。通过控制这些系统,恐怖分子可以让公众蒙在鼓里,并且可以通过散步谣言来导致公众起义或者全城恐慌。
· 金融交易中使用的计算机。现今的银行、零售商和企业对企业的交易都是与计算机息息相关的。没有了计算机的支持,仓储超市的收银员就不会找零,联邦储备银行维持账户和其他银行支付服务就更不用说了,所有的一切都已经电子化了。通过破坏或者控制这些系统,恐怖分子可以让整个经济陷入停滞状态,并在公众中造成恐慌。
· 所有的电子设备和部件。对于网络恐怖主义来说,可以制造的最大威胁就是释放一颗巨型电磁脉冲炸弹(EMP),它可以摧毁绝大部分或者说全部电子设备中的电路。电磁脉冲将迅速摧毁所有没有被屏蔽的计算机、电话系统、电视机、收音机、车辆中的电子部件、洗衣机、装配生产线、交通信号灯、几乎所有依赖于电子电路的设备和机器。这将产生深远的灾难性后果,很大一部分人将有可能出现死于饥饿和饮用水缺乏的情况。
对于信息技术专家来说,这意味着什么?
防范来自网络恐怖分子的攻击并不仅仅属于政府的工作。对于网络管理者来说,不论网络的类型是大型企业网络、地方政府网络、小型企业网络甚或家庭网络,都是处于打击网络恐怖主义行为的第一线。无论是否认识到这一点,但现实情况就是如此。有人可能会认为,对于恐怖分子来说,自己的网络不属于有价值的目标。毕竟,它无法控制关键基础设施,医疗设备和数据,主要的金融交易或其他“重要“的任务和信息。不过,即使这样的网络不属于预定目标,也有可能被网络恐怖分子作为武器使用。
尽管网络恐怖分子会尽力大张旗鼓地宣传自己恐怖主义行为的结果,但是他们也需要对攻击的实际发起点进行保密。因此,他们更喜欢利用控制的中间系统(使用者不具备专业知识)来进行实际的攻击工作,这样,他们的基地就很难被发现。网络恐怖主义分子可以利用普通的恶意软件分发技术(举例来说,电子邮件附件以及包含“偷渡式下载”的网站)在计算机上安装远程控制软件,让它们成为巨型僵尸网络的组成部分。在僵尸主控机的指挥下,这些计算机可以发起针对更重要目标的分布式拒绝服务攻击。
对于信息技术专业人员来说,问题的关键在于,不仅要保证防止自己的系统被网络恐怖分子攻击,而且要保证它不会成为攻击者的一部分。认识到这一点,是工作的开始。如果网络没有足够的安全性,就不仅仅意味着系统和公司的风险。如果系统已经连接到互联网上,管理者就有责任采取措施,防止其它人利用它们进行非法活动。就像枪支拥有者有义务保证它远离儿童,汽车拥有者有法律义务保证不让没有执照的人员驾驶一样。
可以采取的措施
如何对系统进行保护超出了本文的讨论范围,并且需要根据配置的具体情况进行具体处理。它们中的基本部分,举例来说,应该包括强大的多因素认证系统,采用了基于定期更换的强密码的应用策略,并且使用了智能卡或者令牌或生物识别系统;访问控制技术;可以对传输和存储的数据进行保护的加密技术,对安全事件进行连续监测和报告的机制;全面的事件应急响应预案等等。一旦完成了安全措施的部署,进行渗透测试就是完善现场保护模式,发现并消除漏洞必不可少的步骤。
教育和培训
一些专家预测,在今后几年中,应对网络恐怖主义可能是信息技术领域中非常有前途的发展方向。
很多大学都为企业和政府人员提供了反网络恐怖主义方面的培训。其中的很多项目都是由联邦政府提供部分或者全部资金。如果希望在关键基础设施的管理和监控系统领域工作的话,网络恐怖主义防务分析中心(CDAC)提供了国土安全部(DHS)人才认证培训方面的免费课程