維護網絡安全需要加強國際合作
全球約百個國家遭網絡攻擊(資料圖)
5月12日起,全球150多個國家先後遭遇了“WannaCry”勒索軟體的攻擊,20余萬台計算機“中招”,醫療、政務、金融、能源、高校等機構首當其衝。儘管有安全企業發現了攻擊者的蛛絲馬跡,但真兇究竟是誰,會不會有第二、第三波類似或更猛烈的攻擊等等,都沒有明確答案。整個事件發生和蔓延的速度、後果的嚴重程度均創紀錄,歐洲刑警組織負責人認為此次攻擊“達到了史無前例的級別”。痛定思痛,各方必須認真反思,綜合技術、理念、規則等各層面探尋有效的防範之道。
網絡攻擊防不勝防,需加快構建新型網絡安防架構防患未然
當前,社會網絡化、信息化和智慧化高度發展,其中的安全隱憂常常被提及,技術專家,企業家抑或政治家屢屢叫喊“狼”來了。在各國政府、企業和個人的眼裏,網絡安全無論再怎麼強調都不過分,在這個領域的投入與成果有目共睹。但技術的發展及其脆弱卻遠超人們認知,攻擊會來自哪?什麼時候發生?會以什麼形式發生?未知遠遠大於已知。此次“WannaCry”就沒有按惡意程式傳播的套路出牌,無需用戶進行任何操作,只要開機聯網,駭客就自動選取目標、加密文檔並索要高額解鎖費,結果打了一個措手不及。駭客的手段千變萬化,攻擊的渠道形形色色,網絡防禦戰線難免百密一疏,歸根到底是技術的角力,依託人工智能等技術的發展,各方要轉變思路,加快謀求改變被動應對為防患未燃,構建新型網絡安防架構。
“WannaCry”肆虐責任在於美國政府失職
“夫以湯止沸,沸愈不止,去其火則止矣”。究其根本,“WannaCry”得以肆虐的根源是美國國安局的網絡武器庫。2016年8月13日,“影子經紀人”公佈了從美國安局竊取的大量駭客工具並在互聯網上公然叫賣。4月14日,該組織再度曝光了部分網絡武器,聲稱70%的微軟系統難以抵擋。“想哭”改編自其中的“永恒之藍”,專門針對Windows作業系統,支持多語言,使用開源代碼,利用系統自身漏洞快速擴散,防不勝防。近年,漏洞正在成為價值連城的商品,在其挖掘、提交、驗證、公佈、傳播等各環節,有著不同的利益團體,形成了一個漏洞商業生態系統。而其中政府又是主要買家。美國媒體曾披露國安局2013年斥資2500萬美元購買漏洞。除不惜重金外,美國安局、中情局等軍情部門蒐羅頂級駭客成立“方程式組織”等機構,其主要任務就是不停地探測全球網絡和電子設備的漏洞和隱患。今年3月以來,維基解密也分四批洩露了美中情局掌握的大量網絡入侵工具,其數量之眾、分類之細讓人咋舌。美軍情部門一直把漏洞視為情報資産,2014年5月,時任“網絡沙皇”邁克·丹尼爾就在博客中寫道,“隱瞞漏洞不符合美國的安全利益,但完全放棄這一工具作為情報蒐集的渠道以更好地保護國家也是一樣”,為此,美形成了一套完全封閉的漏洞評估機制,經情報和安全界層層審核後才決定是否將漏洞告知企業讓其修補或公之於眾。此次事件的責任應歸咎於美國政府,美國政府囤積漏洞,而政府又沒有盡到保管責任,使其外流並落入壞人手中,最終釀成禍端。
打擊駭客行為需加強國際合作
近日,“影子經紀人”聲稱未來幾週還會公佈更多漏洞,甚至包括伊朗、朝鮮和俄羅斯等國核導彈計劃,同時還會採取月付費模式。這場魔與道之間的較量遠未結束。面對這種公然的挑釁,除了政府、企業與個人用戶真正合作,各司其職,把好技術安全關之外,更要思考防止未來再度出現被駭客綁架的國際制度框架。一方面,國際社會要在聯合國框架下加快制定有關網絡空間行為準則的進程,所有國家、尤其是網絡強國,要約束自身的行為,拋棄冷戰和黷武思維,不要把維護網絡空間穩定挂在嘴邊,把它作為指責他國的口號和旗幟,背地裏卻仍一昧追求網絡霸權、網絡威懾。二是切實開展積極有效的國際合作,打破法律和制度障礙,通力合作圍剿遍佈在全球各地的駭客組織,遏制“暗網”等地下黑市的發展勢頭,防止破壞性網絡技術的擴散與濫用。(唐嵐 中國現代國際關係研究院信息與社會發展研究所副所長 )