|
|
|
|
|
|
來(lái)源:《紐約時(shí)報(bào)》,譯者Venvoo 發(fā)布日期:2015.06.18 點(diǎn)擊量:
一年以前,凱撒·切魯多坐飛機(jī)到華盛頓,慢悠悠地走到國(guó)會(huì)山,抽出了他自己的筆記本電腦,然后開(kāi)始入侵這座城市的交通系統(tǒng)。
就像他在曼哈頓以及其它地方測(cè)試時(shí)的情形一樣,這里的交通信號(hào)燈也非常容易入侵。切魯多是阿根廷人,隸屬于網(wǎng)絡(luò)安全公司IOAcitive Labs,他可以讓綠燈變成紅燈,紅燈變成綠燈。只需要敲幾下鍵盤,他就能鎖住整個(gè)城區(qū)的交通,或者把一條繁忙的大街變成通達(dá)的高速公路。他可以讓?xiě)?yīng)急反應(yīng)機(jī)構(gòu)寸步難行,也可以關(guān)閉所有通往國(guó)會(huì)的道路。
然而他并沒(méi)有這樣做。他接觸了設(shè)計(jì)城市交通傳感器的公司,但并沒(méi)有對(duì)通信進(jìn)行加密,希望高層能夠修補(bǔ)這些漏洞。在遭到忽視之后,他發(fā)了一篇博文,希望人們對(duì)這類問(wèn)題提起注意,從而倒逼城市管理部門采取解決方案。切魯多在最近接受采訪時(shí)表示,“我發(fā)現(xiàn)各大城市都充滿了安全漏洞,這些可能會(huì)對(duì)我們的生活產(chǎn)生非常直接的物理影響。”
城市運(yùn)轉(zhuǎn)越來(lái)越依賴多種不同的的技術(shù)網(wǎng)絡(luò),這正在成為日益嚴(yán)重的問(wèn)題。當(dāng)然,安全專家早就開(kāi)始關(guān)注這些問(wèn)題,而且就連政府官員也在過(guò)去的三年中不斷警告:惡意黑客可能會(huì)讓“智能城市”癱瘓。在智能城市中,網(wǎng)絡(luò)傳感器連接了交通網(wǎng)、供水網(wǎng)、垃圾處理設(shè)施、空氣管理系統(tǒng)和供電網(wǎng),以提升效率。目前,還沒(méi)有任何一個(gè)復(fù)雜系統(tǒng)能夠同時(shí)審查這么多層面上的安全狀況,并對(duì)網(wǎng)絡(luò)攻擊作出響應(yīng)。
全球?qū)χ腔鄢鞘屑夹g(shù)的資金投入也在不斷飆升:沙特阿拉伯投入了7千萬(wàn)美元建設(shè)智慧城市,而南非也對(duì)即將上馬的智慧城市項(xiàng)目投入了74億美元資金。根據(jù)法維翰咨詢公司(Navigant Reserch)的估計(jì),到2023年,全球在智慧城市方面的開(kāi)支將達(dá)到275億美元。阿靈頓縣的首席信息安全官員大衛(wèi)·喬丹表示:“很快,地球就會(huì)變成機(jī)器星球。如果還沒(méi)有人告訴我們應(yīng)該如何應(yīng)對(duì),黑客馬上就會(huì)教育我們。”
從目前來(lái)看,交通系統(tǒng)中的計(jì)算機(jī)Bug已經(jīng)造成了一些破壞。在2013年,洛杉磯公共軌道系統(tǒng)的一個(gè)Bug導(dǎo)致了全線停運(yùn),旅客被困在了地下。在2006年的一次罷工中,洛杉磯的兩位交通工程師被指控入侵了洛杉磯四個(gè)主要交通樞紐的智能信號(hào)燈系統(tǒng)。隨之而來(lái)的交通堵塞持續(xù)了四天,洛杉磯國(guó)際機(jī)場(chǎng)的入口、格倫代爾高速公路引線、通往斯蒂迪奧城和下城區(qū)通往停車場(chǎng)的公路都被堵得水泄不通。
盡管奧巴馬政府稱網(wǎng)絡(luò)安全議題是這屆政府工作的重中之重,他們?nèi)耘f未能說(shuō)服監(jiān)管機(jī)構(gòu)相信那些針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的威脅是真實(shí)的。
網(wǎng)絡(luò)安全立法在參議院陷入了僵局。共和黨人認(rèn)為,對(duì)運(yùn)行水壩、水處理設(shè)施和供電系統(tǒng)的私人公司進(jìn)行強(qiáng)制性安全要求會(huì)成為過(guò)于繁重的負(fù)擔(dān)。
由于共和黨人的阻撓,奧巴馬總統(tǒng)在兩年前簽署了一項(xiàng)替代性行政令,對(duì)運(yùn)行關(guān)鍵基礎(chǔ)設(shè)施的私人企業(yè)提出網(wǎng)絡(luò)安全指導(dǎo)建議。然而這項(xiàng)行政令缺乏實(shí)際效力,因?yàn)榻ㄗh并不具有法律效用,是否遵從全靠企業(yè)自愿。
這就是切魯多這樣的黑客介入的背景,他們希望通過(guò)入侵這些系統(tǒng),說(shuō)明現(xiàn)狀的嚴(yán)峻程度。紐約、洛杉磯、華盛頓這樣的中心城市中通常配有數(shù)十萬(wàn)控制傳感器,切魯多的展示表明它們非常容易遭到入侵。供應(yīng)商并沒(méi)有對(duì)交通內(nèi)部網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密,切魯多可以在500米之外就攔截并干擾交通傳感器,甚至可以通過(guò)無(wú)人機(jī)來(lái)做到這一點(diǎn)。
切魯多同時(shí)采取了另外一種策略來(lái)驅(qū)散公眾對(duì)待安全議題的冷漠:他創(chuàng)建了一家非盈利性創(chuàng)業(yè)公司,名為“保衛(wèi)智慧城市”(Securing Smart Cities),這家公司致力于團(tuán)結(jié)公私營(yíng)領(lǐng)域中的安全研究者和官員,以應(yīng)對(duì)智慧城市中日益增多的漏洞:接下來(lái)的五年里估計(jì)又會(huì)有500億臺(tái)新設(shè)備接入到互聯(lián)網(wǎng)上。
切魯多說(shuō),“我們每個(gè)人都生活在這樣的城市里,包括我自己。我已經(jīng)厭倦了只指出問(wèn)題,而不給出解決方案。“
他和團(tuán)隊(duì)致力于開(kāi)發(fā)一些防御措施,比如數(shù)據(jù)加密和密鑰系統(tǒng),他們還會(huì)為交通傳感器中發(fā)現(xiàn)的漏洞提出合適的修補(bǔ)方案。在理想情況下,各大城市將開(kāi)始追蹤對(duì)系統(tǒng)的外部訪問(wèn)請(qǐng)求、運(yùn)行定期測(cè)試尋找漏洞、成立應(yīng)急小組,從黑客處征集漏洞報(bào)告,協(xié)調(diào)打補(bǔ)丁的過(guò)程,并在同城的各大控制系統(tǒng)間實(shí)現(xiàn)信息共享、對(duì)智慧城市建立手動(dòng)復(fù)位系統(tǒng),以在攻擊者掌控局面的情況下作出響應(yīng)。
有些地方政府已經(jīng)開(kāi)始關(guān)注這一問(wèn)題。喬丹說(shuō),在阿靈頓縣,由于他和國(guó)土安全部、聯(lián)邦調(diào)查局關(guān)系密切,讓這里的情況有所不同。他組織了一個(gè)由縣警中的計(jì)算機(jī)取證專家、網(wǎng)絡(luò)工程師、他在Palo Alto Networks公司的安全供應(yīng)商、趨勢(shì)科技(Trend Micro)及賽門鐵克人員組成的”融合“團(tuán)隊(duì)。他還建立了一個(gè)警報(bào)系統(tǒng),如果阿靈頓縣受到攻擊,其它22 個(gè)司法管轄區(qū)也會(huì)收到通知。
沒(méi)有法律或其它要求強(qiáng)制美國(guó)的3100個(gè)縣都這樣做。在阿靈頓縣,盡管法律要求政府官員管理本縣的記錄和檔案,但在數(shù)字領(lǐng)域卻并沒(méi)有對(duì)應(yīng)的要求:比如讓某人追蹤并監(jiān)控互聯(lián)網(wǎng)、污水處理系統(tǒng)或電網(wǎng)中的可疑數(shù)據(jù)。
喬丹說(shuō),”我不認(rèn)為聯(lián)邦政府知道縣一級(jí)的網(wǎng)絡(luò)安全狀況。網(wǎng)絡(luò)安全之所以能夠成為政府的一大宗旨,很大程度上是因?yàn)闆](méi)有人懂這個(gè),而且他們顯然不喜歡它,因?yàn)樗F了。“
喬丹正和切魯多等人協(xié)作,團(tuán)隊(duì)里也包括艾倫·肖,他是新加坡網(wǎng)絡(luò)安全保障局前局長(zhǎng),也是賽門鐵克、卡巴斯基實(shí)驗(yàn)室、Bastille的頂級(jí)安全專家。隨著關(guān)鍵設(shè)施越來(lái)越多地連接到互聯(lián)網(wǎng),各大城市和縣區(qū)正在出現(xiàn)更多安全漏洞,該團(tuán)隊(duì)致力于讓人們注意到這一點(diǎn)。
”以下兩者之間存在著巨大的鴻溝:網(wǎng)絡(luò)安全社區(qū)中經(jīng)常抱怨的人們,以及那些真正受到影響的人。“帕特里克·尼爾森說(shuō),他是卡巴斯基實(shí)驗(yàn)室的安全研究員。”這個(gè)項(xiàng)目的最終目的是將安全社區(qū)和各大城市的官方人員聯(lián)系起來(lái),讓他們知道風(fēng)險(xiǎn)是什么,以及如何處理它們。“
安全研究人員長(zhǎng)期以來(lái)都被冠以”FUD“(Fear,Uncertainty,Doubt)的惡名,人們認(rèn)為他們只是想推銷自己的產(chǎn)品。考慮到這種現(xiàn)狀,切魯多特意將自己的初創(chuàng)企業(yè)設(shè)置為非盈利性的。他說(shuō),”我們不賣任何東西。技術(shù)是寬泛的,問(wèn)題是巨大的,我們不想只提問(wèn)題,不給解決方案。要解決這個(gè)問(wèn)題,通力合作是唯一途徑。“
團(tuán)隊(duì)表示,發(fā)生破壞性事件的可能性遠(yuǎn)比預(yù)想的高很多。去年,一個(gè)被安全研究人員稱為Dragonfly或Energetic Bear的俄羅斯黑客小組被發(fā)現(xiàn)在窺探美國(guó)和歐洲的供電網(wǎng)絡(luò)。
2013年,國(guó)土安全部承認(rèn),在針對(duì)美國(guó)的黑客攻擊中,針對(duì)能源產(chǎn)業(yè)的攻擊占比最高。在國(guó)土安全部記錄的257個(gè)案例中的56%都針對(duì)能源行業(yè)。去年,國(guó)土安全部在一份報(bào)告中表示,“一個(gè)復(fù)雜的威脅因素”已經(jīng)突破了公共設(shè)施控制系統(tǒng),而過(guò)程僅用到了一種簡(jiǎn)單的攻擊方式:攻擊者只是猜測(cè)了系統(tǒng)的密碼,而這個(gè)系統(tǒng)本來(lái)就絕對(duì)不應(yīng)該接入互聯(lián)網(wǎng)。
切魯多能夠?qū)⑺某h推動(dòng)到什么程度還無(wú)法預(yù)估。在發(fā)表了關(guān)于交通傳感器的研究報(bào)告后一年,他又測(cè)試了舊金山的交通信號(hào)燈系統(tǒng),但卻發(fā)現(xiàn)這套系統(tǒng)仍舊沒(méi)有對(duì)傳輸?shù)慕煌▊鞲衅鲾?shù)據(jù)進(jìn)行加密,這讓整個(gè)城市都暴露在風(fēng)險(xiǎn)中。
“每天,各大城市都會(huì)上線一種新的’智能技術(shù)‘,而不經(jīng)過(guò)任何測(cè)試”,他說(shuō)。“他們所不知道的是,自己正在將美國(guó)公民和企業(yè)置于風(fēng)險(xiǎn)之中。如果智慧城市技術(shù)沒(méi)有保障,人們將自食其果。”
相關(guān)新聞:
