网络战争:另一个粗制铀故事

【编者按:自从2010年Stuxnet超级工厂(也称震网)病毒导致伊朗核计划受挫,网络战争一直是这两年全球IT业一个很热的话题,理查德·克拉克趁热打铁的《网络战争》一书中,灾难性的网络战场景把政府对网络战争的恐慌推向一个新的高潮:政府各类网络瘫痪, 化工厂释放有毒气体, 全国范围内炼油厂起火并爆炸,波音737在空中相撞, 各种火车出轨, 主要城市金融系统瘫痪, 空中的卫星失控…包括英美在内的发达国家纷纷将网络战争威胁提升到国家安全的最高级别,并纷纷开展相应的立法工作。那么,网络战争是否真的已经一触即发?已经发生的那些大停电、无人机中毒真的是网络战争的预演吗?网络战争真的已经可以搞垮一个国家的医疗系统、经济系统甚至军事情报系统?各国政府如何客观评估网络战争的威胁?这些所谓的威胁是否是华盛顿的政客、信息安全利益集团和媒体共同发射的“一颗失控的卫星”?《连线》杂志的这篇文章值得我们深思。】

上个月美国总统奥巴马在给国会的国情咨文中, 呼吁美国国会“通过旨在保护美国免受日益严重的网络威胁的法案。” 而美国国会其实早就开始了立法工作。 目前以后收到议员们的超过五十条的提案。 本周, 国会参众两院都在起草各自的综合性法案的版本。

法案的支持者说, 如此迫切的需要这样的法案是因为, 我们正在面临可能导致全国性灾难的风险。

来自弗吉尼亚的参议院商务委员会主席 Jay Rockefeller在国会听证会上说, “今天的网络犯罪分子, 已经具备了破坏美国的医疗系统, 经济系统甚至军事情报系统的能力。 国会应该立即通过网络安全方面的法案。”

不过, 目前来看, 还没有明显的证据能够支持上述警告。 在许多方面,网络的威胁被夸大到类似于伊拉克战争人们听到的威胁程度。 尽管国会通过的网络安全法案不会立即导致战争, 但我们很可能会因此负担庞大的网络设施投入。

2002年, 布什政府试图说服人们,伊拉克拥有大规模杀伤性武器,可以威胁到它的邻国以及美国。 通过大规模杀伤性武器这个词, 布什政府把核武器, 生物武器和化学武器统一在了一起。 尽管生物武器和化学武器也具有很大危害, 但是它们的危害相对于核武器来说还是小得多。而通过大规模杀伤性武器这个说法。 政府就把发生可能性小但是危害巨大的核武器威胁, 和发生可能性较大但是危害较小的生化武器联系在了一起。

那些致力推动网络安全立法的人也在采用类似的手法来把网络威胁与其他更严重的威胁进行联系。

理查德·克拉克在他的2010年畅销书《网络战争》中写道:“今天的网络战争, 能够导致政府的各类网络瘫痪, 化工厂释放有毒气体, 全国范围内炼油厂起火并爆炸,波音737在空中相撞, 火车出轨, 主要城市金融系统瘫痪, 空中的卫星失控”他写道:“这绝不是假想。” 不过,目前为止, 我们能看到的真实证据也仅仅是一些分布式拒绝服务攻击(DDoS)。理查德·克拉克也承认“DDoS仅仅是很原始的攻击, 对国家安全构不成威胁。”

除了DDoS的证据外,理查德·克拉克的其他证据被轻易证明是不正确的。 比如, 他认为2004年美国东北部电网大停电事故部分原因是“Blast”蠕虫所致, 而根据美国和加拿大联合调查组的的报告, 没有发现任何病毒, 蠕虫和恶意代码与此次事故有关。 此外,他还说2007年巴西电网的事故是犯罪团伙进行的网络攻击, 而调查则发现是由于输电线路上的绝缘体上的煤灰沉积造成的。

毫无疑问, 理查德·克拉克的读者们肯定会害怕网络战争的威胁就如同伊拉克想要把核武器卖给基地组织那样。然而, 网络攻击和网络间谍的威胁的存在证据并不意味着我们将陷入一场全国性的灾难。 就如同生化武器存在的证据并不能成为核战争将会爆发的证据一样。

布什政府声称的伊拉克正在试图获取核武器并没有证据。 他们有的证据是伊拉克从尼日尔购买粗制铀,并且购买铝管的装置。 而通过这些试图说明伊拉克正在进行浓缩铀计划。 而最后也没有发现伊拉克从事铀浓缩的证据。

尽管没有确信的证据, 媒体还是很肯定地支持政府的观点。 比如,纽约时报的记者Judith Miller 和 Michael Gordon在关于铝管的封面报道, 就是完全根据匿名的政府官员所提供的信息写成的。

在最近的“Meet the Press”对话节目中。 副总统切尼在被问到伊拉克核武器计划的证据是说道, 尽管他不能对消息进行解密, 但是当时纽约时报也报道了伊拉克正在发展核武器。 所以, 布什政府基本上是根据他们自己透露出去的信息, 通过纽约时报的发布, 从而作为发动战争的理由的。

媒体夸大网络安全的威胁往往是由于不加辨析地引用所谓安全专家的说法。 例如, 在2009年华尔街日报上有一篇文章讲到, 中国和俄罗斯的黑客已经攻击了美国电网并安装了逻辑炸弹。 这篇文章后来被广泛的引用, 作为美国电网受到网络危险的例子。

然后, 于纽约时报记者Judith Miller和Michael Gordon那篇关于伊拉克大规模杀伤性武器的报道一样, 这篇报道关于基础设施被入侵的所有信息, 也都是来自于一位匿名的情报官员, 读者基本上无法对消息可靠性进行确认。 更可怕的是, 当缅因州参议员Susan Collins在向参议院提交她与康涅狄格州参议员Joe Lieberman共同起草的网络安全法案时, 引用的证据之一竟然就是这篇华尔街日报的报道。

华盛顿的政客们, 正在与那些在数字安全方面有利益的团体一起,混淆和夸大网络所带来的安全威胁。 因此, 对他们的说法的一个基本态度, 应该是“信任但是要确认”。 艾森豪威尔总统1961年的卸任演讲中,他提到了美国需要警惕“军工勾结”。 也就是, 五角大楼, 军火商以及政府官员可能不必要地扩大军队数量和增加军事开支。 艾森豪威尔实在是太有预见性了。

网络安全是一个巨大的, 增长迅速的行业。 美国政府计划到2015年, 在信息安全方面每年投入102亿美元。 分析师认为全球的市场规模将达到每年1400亿美元。 美国国防部在2012年信息安全方面的预算就达到32亿美元。 洛克希德马丁, 波音, L-3 Communication, SAIC和BAE这样的公司, 已经建立的专门的网络安全部门。 而另外一些传统的军火商,如Northrop Grumman, 雷神和ManTech International也都在投资开发网络安全的产品和服务。 相信我们很快就能在网络领域看到艾森豪威尔预言的成立。

在制定网络安全法案的过程中, 议员们应该首先要做到以下几点:

不要相信那些预言式的比喻, 这些可能对网络安全行业有用,但是不利于理解真正的安全问题。

对那些网络安全威胁的证据解密, 网络消息来源问题一直是困扰人们的问题。对证据进行解密可以帮助人们避免被那些带有自身目的的官员所误导。

把放在“网络安全”这个标签下的各种安全威胁进行分类。 一定要搞清楚哪一类组织或个人最应该来应对哪一类的威胁。比如说, 在网络犯罪和网络间谍方面, 私有网络的信息保护就最应该有私有网络的拥有者来进行。 而不需要什么都上升到国家层面。

Via Wired  王萌编译

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com

X