正如人类在工业时代的任何一次进步一样,技术的革命永远是具有两面性的。我们在享受互联网带来的巨大好处的同时,也面对着信息爆炸带来的冲击,而这种冲击对我们的影响是非常深远的,既涉及了生活层面,也涉及到了文化层面。
互联网的发展,给我们带来的巨大困扰之一,就是安全问题。
一、来自互联网的威胁
互联网在为人类提供丰富多彩的服务的同时,也和人类的其他技术一样不可避免地表现出了其两面性。
来自互联网地威胁由来已久。当网络逐渐普及的时候,与其相伴的,是病毒、黑客和网络攻击。
(一)由来已久的安全问题
自从人类发明计算机,采用计算机进行大量的数据处理,信息安全事实上就已经成为了问题。
纸是中国的四大发明之一,是我们给人类作出的非常重要的贡献。没有计算机以前,纸作为人类文明传承的重要介质而使用了很多年。
在纸作为信息记载介质的时代,有可能给我们带来信息损失的主要是:
敏感材料被偷窃;
失火等灾害造成的损失;
介质的腐烂、变质造成的信息损失;
材料的丢失。
当人类进入互联网时代,这些威胁仍然存在,不同的是发生作用的方式和途径有了非常大的区别,这就是互联网所面对的安全问题:
存储介质的保护;
对计算机的攻击;
数据通信过程中的信息保护;
来自网络的威胁。
实际上,在针对信息安全所进行的研究中,要区别可靠性和安全性的概念。
可靠性是指系统和设备不出故障,正常工作的可能性,常见的衡量方法是平均无故障时间MTBF(Mean Time Between Failures)。安全性是指系统不受外界攻击,从而导致系统不能正常工作或者信息泄漏的特性。
和计算机的历史相比,人类的信息安全问题同样久远。
1983年美国联邦调查局首次逮捕了6名少年黑客。联邦调查局指控这6名少年黑客入侵了包括斯洛恩·凯特林癌症纪念中心和洛斯阿拉莫斯国家实验室等多台计算机。
1987年美国联邦执法部门指控17岁的高中辍学生赫尔伯特·齐恩闯入美国电话电报公司的内部网络和中心交换系统。赫尔伯特·齐恩是美国1986年“计算机欺诈与滥用法案”生效后被判有罪的第一人。
1988年,美国康奈尔大学的研究生罗伯特·莫里斯向互联网上传了一个“蠕虫”程序。这个程序是莫里斯利用Unix系统的缺陷而开发的,其主要特征是能够进入网络中的其他计算机实现自我繁殖。
蠕虫的无限制自我繁殖是一种非常重要的攻击机制,它占用大量的系统资源,使网络陷入瘫痪。蠕虫几乎影响了当时互联网的十分之一。据专家估计,莫里斯造成的损失在1500万到1亿美元之间。
1988年,在发现有黑客入侵军事网(Milnet)之后,美国国防部切断了军事网与互联网之间的物理连接。
几乎从互联网诞生开始,它就成为了一个非常便利的攻击对象。
在美国政府的“安全虚拟空间的国家战略(The National Strategy to Secure Cyberspace)”公告草案中,把安全划分为以下五个等级:
第一级,家庭用户和小型企业;
第二级,大规模企业;
第三级,关键区域,包括联邦政府,州政府和地方政府,高等教育,私有区域;
第四级,建立国家优势;
第五级,全球。
在这个公告中,充分体现了美国政府的认识和应对策略。
(二)互联网的安全
由于本身所固有的特点,在互联网上的安全问题尤其严重:
由于互联网的开放性和无中心控制机构,黑客(Hacker)成为互联网的重要话题,其影响几乎无处不在。互联网上规模的增大,接入的计算机越来越多,为出于各种目的的黑客提供了丰富的土壤。黑客可以侵入网络中的计算机系统,窃取信息、破坏数据或瘫痪系统,获得资源的控制权。
互联网上采用的TCP/IP缺乏对信息的有效保护机制。整个通信体系无法对通信提供足够的保护。早期的研究着重于通信的可靠性而忽视了通信的安全性。
支持互联网的通信业务的操作系统主要是Unix,Windows和Liunx,除此以外,其他的服务系统如数据库、Web服务器等都存在一些漏洞,而且这些漏洞越来越透明。大量的黑客或者民间的所谓安全组织以公开这些漏洞作为炫耀技术的手段(这种漏洞的公开有一定的正面意义)。
信息的数字化,信息传播的网络化,对信息本身缺乏必要的保护和确认机制。网络体系在底层对信息缺乏足够的抗抵赖机制。同时TCP/IP对信息来源也没有提供必要的追踪审计机制。
电子邮件、FTP文件下载、网站页面等成为新的有害代码传播途径。而且这些途径影响范围更广,速度更快。
我们可以对互联网上可能被攻击的对象做一个简单的分类:
(1)军队
这是黑客和国家情报机构最感兴趣的地方。美国在1988年断开了军事网和互联网的连接,正式把互联网定位在民用领域。但是由于互联网的资源优势,不可避免对各国军方存在着巨大的吸引力。互联网是军方情报分析和获取的重要资源,同时对军队内部的个人也有着强烈的诱惑力。
当一个局域网络内部任何一台计算机联入互联网,事实上整个网络已经和互联网连接起来了。
把军方网络和互联网断开,是目前各国军队普遍采取的方法,但是由于管理不善和技术的缺陷,存在漏洞的可能性是非常大的。
(2)政府部门
政府部门的网络有两个部分,一是内部的办公网络,通常称为内网,另一部分是依靠互联网实现对公众服务和信息发布的网络,也称为外网。两者都可能成为来自互联网的攻击对象。
关于内网安全,有许多内容需要探讨。对政府网络而言,和军网不同,由于技术的发展,很多时候需要内网和外网之间的信息交换,比如通过互联网实现政府办公,或者内网需要从外网获取数据。进行信息交换最有效的手段就是网络连接,如何防止内部信息的外泄或者外部的非法进入同样是重要课题。
在外网部分,网站和所发布的信息代表着政府的形象,由于对互联网开放,如何使发布的信息正常并防止信息被恶意篡改从而引起混乱是应该着重考虑的问题。
(3)企业
企业对网络安全的需求并不弱于军方和政府。企业的网络可以分成三个部分:内部办公网络、信息发布网络和电子业务网络。
内部办公网络实现企业内部的办公工作流程,网络的信息主要是企业内部的文件和决策信息;信息发布网络实现企业的对外宣传和广告;电子业务网络实现互联网上的商务流程和公司业务。
三个网络之间有着一定的信息联系,同时,后两者是完全向互联网开放的,更易于成为网络的攻击对象。
(4)网络服务提供商
这里的网络服务提供商包括网络运行商和基于互联网的内容服务商。内容服务商的主要依托就是互联网商的站点。通过这些站点实现必要的信息流程,提供信息服务。由于服务的对象是互联网的用户,首当其冲将会面对来自互联网的攻击,被攻击的方式主要是瘫痪服务和篡改信息。
而网络运行商的主要内容是网络运行服务和公众信息。
(5)个人用户
个人用户和互联网相关的内容主要是联网主机、隐私和对外通信三个主要内容。
作为主要的上网终端(未来能够接入互联网的终端类型将会多种多样),计算机是互联网商的重要攻击对象,同时也是许多用户的工作终端;用户在互联网的隐私问题也是一个非常重要的问题,如何在上网过程中保证自己的隐私不被泄漏是每个人所关心的;在接入互联网使用相应的服务的过程中,如何保证这种通信的正常进行并实现保密,也是个人通信中的重要课题。
(三)谁会威胁你
互联网是人类的虚拟空间(Cyberspace),互联网的一个基本游戏规则就是自由,这似乎也是它最诱人的地方:人们可以自由地接入,可以自由地发表自己的任何观点,可以自由地传播任何东西,可以自由地做任何事情而不用负责……
为什么是这样?因为到目前为止,互联网是我们最廉价而便捷的通信方式;因为互联网没有一套有效的追踪机制;因为任何人当他不想公开自己身份的时候,互联网并不能保证可以找到他。
所以,出于各种各样的原因,互联网成为了一个大染缸:所有的颜色都在里面,你喜欢的和你不喜欢的。
1.第一种威胁:恶作剧者
西方人用了两个词:Hacker和Cracker,可以翻译为黑客和破译者。如果确实要对两者进行区分,黑客是指对计算机系统、网络以及操作系统的原理感兴趣的人。他们具有较高的技术水平,热衷于对系统漏洞和缺陷的探索,并且把这些信息公开。
破译者是指强行闯入系统,对数据和服务进行破坏甚至获取非法利益的人。
黑客是善意的,破译者是恶意的。
但是,Cracker基本上可以认为是黑客为了标榜自己的清白而创造出来的词汇,事实上,两者没有根本的不同,没有人会欢迎他们。
这就如同一个不速之客闯进你的家里,蔑视你的存在,而美其名曰检查你的家里是否安全一样。他虽然没有拿走你的钱包,也没有毁坏你的家具,但是你是否有被脱光了衣服暴露在大庭广众的感觉?
如果你的计算机系统上存储了敏感的信息,你会欢迎所谓的黑客吗?
恶作剧者的目的就是恶作剧。历史上,有关安全的许多事件是纯粹出于恶作剧的目的而发生的。
恶作剧者所造成的危害是使你失去安全感,担心系统被攻击或者信息被偷窃。
2.第二种威胁:网络欺骗者
利用互联网进行欺骗的行为越来越多,方式也多种多样。互联网并没有给我们提供一种机制,来保证只有好人才能上网。
网络欺骗者的主要方式是利用互联网发布虚假信息,从而获取利益或达到其他目的。这种行为虽然不具备更多技术的特征,但是具备了典型的信息攻击特征。
2006年10月,西班牙警方逮捕了一个由5名尼日利亚人、1名英国人、1名西班牙人和不明国籍的人士组成的邮件诈骗团伙。
这个团伙进行诈骗的手段非常简单,就是利用互联网发送大量的电子邮件。在这些邮件中,骗子们声称有人在西班牙的保险库中保存有数千万美元,但是需要有人帮助才能拿到这些钱。给出的条件是提供帮助的人可以从中提成,得到这笔钱后就可以支付。来自美国、法国、德国、西班牙等国家的超过300多人交给了骗子共计1980万欧元。
对于这种行为,有一个新产生的名词,Phishing,由Phone和Fishing组合而成,用来表示利用网络所进行的诈骗活动,中文意思是“网络钓鱼”。
目前,各种各样的网络欺骗活动已经成为了网络非常广泛的信息威胁。
“网络钓鱼”利用电子邮件和Web站点伪造信息进行诈骗,使受骗者主动泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。
信息诈骗者在网络上将自己伪装成银行、零售商、信息服务商和信用卡公司等,在所有接触这些信息的用户中,有相当部分会作出响应。
目前,一些常见的“网络钓鱼”攻击手段有:
(1)利用网络拍卖,参与拍卖者中标付款后不给商品;
(2)通过电子邮件发送虚假信息引诱用户;
(3)注册和网上银行、证券等知名网站类似的域名,欺骗用户,获取用户信息或者提供虚假服务;
(4)进行虚假的电子商务交易,利用知名的电子商务平台,进行诈骗;
(5)利用电子邮件向用户传送虚假信息引诱用户,通过特殊的脚本代码和超级链接,使用户点击恶意钓鱼网站,获取用户信息;
(6)利用木马和黑客技术窃取用户信息,通过电子邮件或网站发送或隐藏木马,通过木马程序截获用户信息;
(7)利用用户弱口令等漏洞破解猜测用户账号和密码;
(8)利用手机短信进行诈骗,通过专用设备或者不法移动通信运营商获取手机号码,发送欺骗短信,这种方式可以利用互联网建立短信平台。
3.第三种威胁:信息偷窃者
利用网络偷窃信息的方法很多,正如上面所述,木马程序、网络嗅探和信息截获是常用的信息偷窃的手段。
信息偷窃者的根本目的是要利用信息牟取利益。
这是一则2002年的新闻。
美国联邦调查局在纽约摧毁了一个专门偷窃信用卡信息的犯罪团伙,并逮捕了涉案的3个犯罪嫌疑人。
这个团伙的头目精通电脑,一次偶然的机会,他在互联网获得了一个美国人的信用卡号码,然后把这个号码以30美元的价格卖给了一个朋友。
由此开始他尝到了好处,伙同另外两人,开始了疯狂的行动,利用网络先后偷窃了3万多名美国人信用卡上的信息,然后再以每份信用卡信息60美元的价格卖了出去。他们的行动使这3万多个受害者损失了总计超过270万美元的资金。
4.第四种威胁:信息对抗
2000年9月,以色列总理沙龙带领军警闯入耶路撒冷的圣殿山伊斯兰圣地阿克萨清真寺,从而导致新的一轮巴以暴力冲突,同时巴以黑客在网上展开了激烈的交锋。到2000年底,共有两百多个与以色列有关的网站遭到袭击,巴勒斯坦网站为三十多家。
这是典型的网络战的形式,但还只是民间的宣泄。
实际上,信息战已经上升到了国家战略的层面。对我们来说,来自西方的有系统的信息渗透是最大的威胁。