自网络诞生之日,网络安全就如影相随。进入互联网时代,网络已经渗透到社会每一个角落,国家、社会、组织和个人都离不开网络,而网络安全风险无处不在,网络安全事件也层出不穷。
系统漏洞:指软件或是操作系统设计上的缺陷或在编写时产生的错误(芯片等硬件部件具有程序和逻辑,一样可能存在漏洞),这个缺陷或错误被不法者或者电脑黑客利用,通过植入木马、病毒等方式攻击或控制整个电脑,从而窃取电脑中的重要资料甚至破坏电脑。
后门:指绕过安全性控制而获取对程序或系统访问的方法,后门是程序编写人员故意留下的漏洞 (甚至是特殊部门要求的)。
病毒:在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。特点:复制能力、潜伏性、触发性、破坏性,计算机病毒是人为制造的,它不是独立存在的, 而是隐蔽在其他可执行的程序之中。
木马: 是基于远程控制的黑客工具,具有隐蔽性和非授权性:木马设计者为了防止木马被发现采取多种手段隐藏木马,这样服务端(被木马控制的主机)即使发现了木马,也不能确定其具体位置;一旦控制端(操控木马的主机)与服务端连接后,控制端将窃取和享有服务端操作权限。
值得提醒的是漏洞和后门是可能转换的。一般而言后门是故意的,而漏洞一般是无意的。但漏洞被知晓后,会成为后门。国内相关单位曾通过对某些国外CPU的严格测试,证实存在功能不明确的“多余”模块,还发现存在未公开指令,其中有些指令在用户模式就可以使机器死机或重启,直接穿透各种软件保护措施。
案例1:植入后门的打印机
第一次海湾战争爆发之前,伊拉克军方转道约旦从西方进口了一批打印设备,美军获取这个情报后,随即派遣间谍潜入约旦,通过某种方式接触到了这些打印设备,并更换了打印机的芯片,这些被做过手脚的打印机就被运进了伊拉克,连接到了伊拉克军方的电脑上。
开战前,美军利用遥控设备激活了打印机中的芯片,这些芯片中的电脑病毒遍传到了与之连线的电脑上,不久整个伊拉克防空系统的电脑设备停止了运行,美军直接进行大规模的空袭,伊拉克也只能看着美国空军狂轰滥炸。
案例2:伊朗核设施被震网病毒攻陷
2000年,美国国家安全局与美国中情局以及有关机构合作开发一款网络武器——“震网”的蠕虫病毒,针对的是伊朗纳坦兹的核工厂。2006年,他们通过这一病毒发送特定指令改变伊朗核工厂铀浓缩离心机转速,使得数千台铀浓缩离心机瘫痪,“震网”计算机病毒令德黑兰的核计划拖后了两年。2010年6月,“震网”病毒首次被发现并迅速散布到世界多国,感染了全球超过45000个地区网络,伊朗就有约60%的个人电脑感染了这种病毒。震网病毒的核心目的就是抵达伊朗核设施,最终完成破坏伊朗浓缩铀离心机干扰伊朗研发核武器的这个目的,手法极其阴险,被称为有史以来最复杂的网络武器。
震网病毒主要对工厂中的西门子自动化生产与控制系统进行攻击,被看作是第一个以现实世界中的关键工业基础设施为目标的计算机蠕虫病毒。震网病毒利用了微软公司的4个windows操作系统漏洞、2个西门子公司的SIMATIC Wincc系统漏洞和2个有效的数字证书,通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制,攻击用于数据采集与监控的工业控制系统。
2013年6月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英《《卫报》和美国《华盛顿邮报》,揭露美国国家安全局一项代号为"棱镜"(PRISM)的秘密项目。据了解,“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家10类主要信息进行监听,其中有邮件信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料等,这是一起有史以来最大的监控事件,其侵犯的人群之广、程度之深让人咋舌,引起广泛关注。“棱镜门”事件揭露了美国政府长期以来对我国及他国从事网络系统监听、渗透,而这仅仅是美国对全球信息控制的冰山一角。
“棱镜门”给政府、企业及个人上了一堂现实版的信息谍战课。“棱镜门”对网络安全形势的冲击堪比第一次海湾战争对军事建设的刺激,大至国家,小至企业和个人,都应全面提高信息安全意识,尤其是拥有敏感信息的政府部门和企业,应尽快建立健全信息安全防护体系,以便在日益激烈的信息战中获取优势。斯诺登事件引起我国对网络空间安全的高度重视,也是网络安全法推进的一个重要契机。
斯诺登事件将多年来行踪神秘的美国网军曝光在公众视线,“震网”病毒攻击伊朗核设施就是美军网络部队的一次实战,标志着全球网络病毒成功向战争武器转化。
2010年,美国成立网络安全部队和网络司令部(Cyber Command,隶属战略司令部的二级司令部),国家安全局局长基斯·亚历山大上将兼任首任司令(2014年因斯诺登事件辞职),在2013年新增了40支网络部队,其中13支确定为攻击部队,另外27支用于提供相关的技术支持,2016年,美国的网络安全部队已经增至6200人。英国也于2010年起,秘密组建了一支隶属军情六处,由数百名计算机专家组成的黑客部队。2017年8月18日,特朗普宣布将美军网络司令部升级为一级联合作战司令部,地位与中央司令部、战略司令部等美军主要联合作战司令部持平,并将与美国国家安全局脱离,意味着网络空间正式与海洋、陆地、天空和太空并列成为美军的第五维战场,这在人类战争史上也是第一次。
同时,美军研发了大量网络战武器,从“震网”病毒到“永恒之蓝”的勒索病毒,美国已开发出1000余种黑客系统、木马、病毒以及其他攻击软件。美军实施一系列的网络战计划,比如美军有名的“舒特”项目,美军的F-22、F-35、EA-18G等新型战机,部分已经升级了电子攻击和网络入侵能力。近年,美军先后举行的大规模“网络风暴”演习或者网络太空战演习多次,“锁定的盾牌2017”大规模网络防御演习,联合了25个北约成员国。美国不断升级网络攻防作战,将军事霸权的触角延伸到网络空间,谋求网络空间的新生霸权。
面对网络战,我军2015年12月31日成立了战略支援部队。这是中国继陆军、海军、空军、火箭军之后的第五大军种,主要由情报、技术侦察、军事航天、电子对抗、网络攻防、心理战等力量组成,是一支维护国家安全的新型作战力量,是我军新质作战能力的重要增长点。
在信息时代,网络已经成为国家政治、经济、军事等等几乎所有社会系统存在和发展的重要基础,已经成为国家安全的战略性边疆。一场没有硝烟的战场已经在网络空间打响,而且愈演愈烈。2019年6月,人民日报曾刊文《加紧备战 美国欲将全球拖入网络战争》警示:作为网络战的始作俑者,美国正在通过积极网络备战,加速将全球拖入一场不会存在赢家的网络战争。并认为,靠互相攻击不可能实现网络安全,只会让网络空间走上一条对抗升级的不归路。
近年来,美国利用网络科技优势肆意挑战他国网络主权、破坏网络生态系统甚至危害国家安全的行为愈演愈烈。
2019年12月,谷歌宣布停止对土耳其境内新款手机的安卓系统授权,意味着今后在土耳其新上市的手机将无法装载谷歌产品和服务。事情的缘由是谷歌利用安卓操作系统搭载自家搜索引擎,不允许用户修改默认设置从而引起土耳其反垄断机构介入。在谷歌拒不改正后,土耳其政府对谷歌处以行政罚款。事情发展至此还仅仅是市场垄断问题。但当谷歌向土耳其政府施压,威胁停止提供安卓系统时,事情的性质就发生了根本性变化。这种挑战当地政府管辖权的行为,实际已经构成了对他国网络主权的挑衅。这也不是谷歌第一次对他国企业和政府停止服务。2019年早些时候,谷歌因为华为被列入“实体清单”而要对华为手机停止提供包括搜索引擎、谷歌应用商店、邮件等在内的重要的服务。
网络时代,人们的生活、工作无法离开手机。谷歌虽然开发了产品与服务,但是对用户而言这些服务已经是一定程度上的“公共产品”。由于谷歌在移动互联领域的绝对垄断地位,设备厂商和应用程序开发者都无法离开生态而独立存在,一旦停止服务,必然会对国家安全和社会稳定构成严重挑战。对于高度市场垄断,依靠提供“网络公共产品”赚取高额利润的互联网企业,例如谷歌一再滥用垄断地位的行为已经对全球网络生态构成严重破坏。
中国要在网络领域寻求核心技术突破,移动互联网的生态系统与芯片一样重要。5G时代的来临是一次新的洗牌,加上庞大的用户群体和全球最多的手机厂商,是中国构建移动网络生态的一次千载难逢的好机会。应将构建中国自主的移动互联网生态体系提升到战略高度,避免今后出现类似被“卡脖子”的现象。
2017年5月12日,WannaCry勒索病毒事件全球爆发,勒索病毒以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。这起大规模勒索病毒网络爆发事件袭击了全球超过100多个国家或地区的众多组织机构,包括教育、电力、能源、银行、交通、医疗、企业等多个行业均遭受了不同程度的影响。我国多地的出入境、派出所等公安网疑似遭遇了病毒袭击,不得不一度暂时停办出入境业务,中石油旗下不少加油站也因遭受病毒袭击一度“断网”。
勒索病毒是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
在安全领域,社会工程学是一门比较新的学科。社会工程学是黑客米特尼克在《欺骗的艺术》中率先提出的,其初始目的是为了让全球的网民们能够懂得网络安全,提高警惕,防止不必要的个人损失,《欺骗的艺术》书中还总结了八大社会工程学攻击手段。
社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会工程学的方法。
近年来,更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。
案例:徐玉玉案
2016年高考,徐玉玉以568分的成绩被南京邮电大学录取。19日下午4点30分左右,她接到了一通陌生电话,对方声称有一笔2600元助学金要发放给她。在这通陌生电话之前,徐玉玉曾接到过教育部门发放助学金的通知。“18日,女儿接到了教育部门的电话,让她办理了助学金的相关手续,说钱过几天就能发下来。”徐玉玉的母亲李自云告诉记者,由于前一天接到的教育部门电话是真的,所以当时他们并没有怀疑这个电话的真伪。按照对方的要求,徐玉玉将准备交学费的9900元打入骗子提供的账户,发现被骗后,徐玉玉伤心欲绝,最终不幸离世。2017年7月,“徐玉玉案”在临沂市中级人民法院宣判,主犯陈文辉一审因诈骗罪、非法获取公民个人信息罪被判无期徒刑,没收个人全部财产。其他六名被告人被判15年到3年不等的有期徒刑并处罚金。试看网上爆料的所有诈骗新闻,都是因为受害者一时高兴,头脑发热,失去了应有的判断力,最终上当受骗的。在徐玉玉的案件当中,犯罪分子充分利用了社会工程学的手段,首先通过网上查找出有关徐玉玉大量的个人信息,再通过电话的沟通,掌握徐玉玉的心理,知道她需要钱的急迫,然后一步步诱导徐玉玉,最后导致悲剧的产生。
互联网发展到今天,不论是便利性还是实效性都让我们亲身感受到了科技的力量,短短数年,我们已经适应了“互联网+”生活,很多人为了便利,部分地让渡了自己的隐私权。个人信息泄漏、隐私被曝光、诈骗骚扰电话等各种科技寄生虫如影随形。由于法律与监管制度的不健全,部分企业得以堂而皇之地收集个人信息。中国人的隐私泄露,已经泛滥到大多数人都无所谓的地步。
国家互联网应急响应中心在2019年4月发布《2018年我国互联网网络安全态势综述》显示,个人用户信息包括姓名、身份证、个人资产、银行账户、地址等隐私遭到窃取的人数多达150万,移动应用App在高权限下获取用户信息,假冒 “热点”App等诱骗用户下载并提供个人信息等,都使得用户隐私信息遭到泄露。2018年圆通快递公司外泄约10亿用户信息,华住酒店集团泄露约5亿用户信息,万豪酒店泄露约5亿用户信息,顺丰速运泄露约3亿用户信息,这些只是影响较大而被披露才为人所知,实际上泄露个人用户信息的事件可能还有更多。
案例1:你的个人隐私,只值1分钱
2018年4月,湖北青年艺术家邓玉峰在湖北美术馆举办了名为《秘密》的展览,展览分为大数据、现场行为、手机发送平台、数据人、文献资料等几个部分。展览的东西有一项很特别:从黑市购买的34.6万条个人信息,包括姓名、电话、住址、银行存款等内容。
根据媒体报道,艺术家把它们分别打印在纸上,随后又用隐形药水做特殊处理。日常光线下看,只是一张白纸;光线调暗,才能看到纸上的内容。
邓玉峰甚至还找来几个志愿者,给这些信息的主人发短信,邀请他们来观看这场展览。但在开展当天上午,只收到了一条回复,“有病吧”。
有记者问及,“多少钱可以买到一条个人详细信息?”邓玉峰回答:“最低一分钱就可以买一条。”
展出的一些信息除了基本的姓名住址,还有个人网购记录、购票记录、家用车发动机号等。只花一分钱,就可能买到一个人这么多的秘密。
身处互联时代的中国人,对每一条个人信息都应当重视起来,切勿放弃这个权利,否则总有一天,你的秘密将连一分钱都不值。
案例2:顺丰员工出售用户隐私案宣判
2016年11月,顺丰荆州某网点仓管汪某因频繁登陆公司内部系统查询用户信息引起了警察的注意,民警调查后发现,汪某夫妇每天都会查询大量用户信息,包括地址、电话号码、姓名等,录入表格,发送给一个叫“小何”的人。根据警方的调查,汪某夫妇口中的“小何”,真实身份是河北顺丰公司的快递员,真名叫杜某。据汪某夫妇交代,从2015年10月起,杜某在网上与其联系,以每条两元的价格购买其公司的客户信息。夫妻俩见财起意,先后共向“小何”出售其几千余条客户信息,非法获利近万元。经法庭调查查明,汪某夫妇出售个人信息4000余条,获利8497元。而杜某截至2016年底被抓的一年多时间里,共出售用户隐私1.9万余组,获利16万余元。
2018年4月,湖北荆州中级人民法院对此案件进行了终审判决,该案以顺丰员工为信息泄露主体,快递代理商、文化公司、无业游民、诈骗犯罪分子等多方参与的黑产链条。此案查获涉嫌被泄漏的公民个人信息千万余条,涉及交易金额达200余万元,同时查获涉及全国20多个省市的非法买卖公民个人信息网络群。