一周海外安全事件回顾(10.27-11.02):要命的黑客攻击

黑客的入侵是否可能威胁到人身安全,甚至导致大规模的人员伤亡呢?超过60%的人认为,在下一个十年你就可能看到这样的事件发生。

网络攻击对机构和企业会造成声誉和财产上的损失,甚至威胁到国家的安全,这都是毋庸置疑的共识。不过,黑客的入侵是否可能威胁到人身安全,导致人员伤亡呢?业界一直缺乏对此结论性的评估和预测,似乎大家都在有意规避这个话题。那么,网络攻击真的会威胁到人的生命安全吗?

十年前的预测

10月29日,美国著名的Pew研究中心(Pew Research Center)与Elon大学公布了一项历时10年的关于互联网安全威胁的 “研究”成果。与其说是“研究”,不如说是“预测”。在2004年9月,Pew和Elon的研究团队向众多学者、技术专家、企业管理者和对安全感兴趣的业界人士发出了一份有24个问题的调查问卷。这24个问题涉及从2005年到2014年期间互联网安全发展的预测。今年正好十年过去了,Pew和Elon的研究团队像打开“时间胶囊”一样审视当初对24个问题预测,并与过去10年中发生的真实安全事件进行了比较。令人感到惊讶的是,当初的很多预测都实现了(关于预测问题请查询:http://www.pewinternet.org/2005/01/09/the-future-of-the-internet-i/)。

当然,十年前的预测并不是本文的主题,只是一个引子。在打开“时间胶囊”的同时,Pew和Elon又以相同的形式进行了下一个十年,即到2025年之前的互联网安全进行了预测。预测中有一条内容让研究人员感到震惊——61%的调研对象认为在未来十年内会发生因网络攻击导致重大人员伤亡的事件(http://www.pewinternet.org/2014/10/29/cyber-attacks-likely-to-increase/#)。

迄今为止,还没有发生过因黑客攻击直接导致人员伤亡的事件。Pew和Elon的研究性调研,恰恰可以在一定程度上反映出学术界和商界对本文一开始的那个问题——网络攻击是否会威胁到人的生命安全的普遍观点。不幸的事,结论是悲观的——Pew和Elon将一个令人毛骨悚然的未来场景展示在所有人的眼前。

其实,认为黑客入侵会威胁到人身甚至生命的预测早已有之。在2011年12月,来自壳牌石油公司的Ludolf
Luehmann在多哈举办的World Petroleum Conference大会上称,“It will cost lives and it will cost production, it will cost money, cause fires and cause loss of containment, environmental damage – huge, huge damage.” (网络攻击会带来人员生命的损失,生产的损失。。。。。非常巨大的损失)(http://www.bbc.com/news/technology-16137573)。不知道Luehmann是不是第一个在国际性大会上公开预测黑客入侵会造成人员伤亡的人。

有趣的是,在之后媒体对壳牌石油公司的采访中,壳牌官方并没有对Luehmann的言论发表任何评论。也许当时的舆论环境比较敏感:震网病毒(Stuxnet)事件曝光仅过去一年,同时在一个月前(即2011年11月)刚刚发生了Duqu病毒事件。不管怎样,Luehmann对于黑客造成人身伤害的设想还是多少让人有些感到恐怖:“If anybody gets into the area where you can control opening and closing of valves,or release valves, you can imagine what happens”(如果一个人进入了一个区域,而你可以控制打开和关闭(通向那个区域)的阀门,你可以想像对于其中的那人意味着什么)。如果没看明白,想象一下输油管道的场景。其中的那个“你”就是一个黑客。

除了能源领域,在其他很多领域都存在类似的风险;事实上,也确实发生过很多令人后怕的安全事件。比如在交通领域,去年10月份,连接以色列Haifa市南北、用于缓解地中海港口拥堵的Carmel隧道由于信号灯被黑客控制,导致20分钟交通中断,第二天隧道中断更是长达8个小时(http://www.itproportal.com/2013/10/28/the-reality-of-cyber-warfare-hits-home-israeli-road-system-taken-down-by-trojan/)。在今年5月份,在美国发生过高速公路电子公告牌内容被篡改的情况

http://www.hackersnewsbulletin.com/2014/05/funny-hacker-hacked-five-road-signs-display-advertisement-twitter-account.html)(如下图)。可以设想,一旦黑客控制交通信号灯或任意修改电子公告牌的内容,本来应该显示红灯的路口显示可以通行的绿灯,本来被限速的80KM/h道路标示被篡改为120KM/h,本来因道路整修作业而关闭的道路被开放,其导致的结果很可能是车毁人亡。

在医疗领域,黑客入侵对人身安全的威胁将更为直接。在2013年6月,美国FDA称所有医院使用的关键医疗监控系统都存在被入侵和利用的可能,一旦这些设备被黑客入侵,将威胁到病人生命安全。这也是FDA第一次要求设备厂商提供明确的说明阐述如何解决安全的问题,并要求医院拒绝对无法提供明确阐述厂商系统的采购。(http://www.washingtonpost.com/national/health-science/facing-cybersecurity-threats-fda-tightens-medical-device-standards/2013/06/12/b79cc0fe-d370-11e2-b05f-3ea3f0e7bb5a_story.html)。

在更为敏感的军事领域,因网络攻击造成人员伤亡更是不堪设想。在美军《3-38号战地网络电磁行动手册(2014版)》中(https://armypubs.us.army.mil/doctrine/index.html ),网络空间作战是网络电磁三位一体战场的重要组成部分,有效对抗来自网络的攻击威胁是美军战地指挥官必须具备的能力。

美军之所以如此重视网络空间战场正是体现了该战场的重要性,是涉及生死攸关的大事。未来的战场,来自敌人的攻击一方面是飞机大炮等常规威胁,还将面对来自网络空间的攻击。战场指挥和控制系统本身就是一个网络,黑客会尝试通过网络入侵这些系统来干扰、控制和破坏对方的作战系统。一旦黑客入侵成功,损失很可能不仅仅是某一个作战单元,或是某一支作战部队,而是整个战场的指挥权和控制权。到那时,因此导致的人员伤亡也就不是几个,几十个,而是成千上万。

当然,预测就是预测,在未来的10年里,是否真如Pew和Elon调研中61%的人猜想的那样会发生因黑客攻击导致大规模人员伤亡的情况,我们还要拭目以待。如果到了2025年再次打开“时间胶囊”的那一刻,事实证明上述猜测是杞人忧天,那是再好不过的——毕竟人世间没有任何一件事物比生命还要宝贵。

最后,对一些朋友私下提出的一个共性问题做一个统一的回答——为什么上周发生了那么重大的安全事件,而“一周海外安全事件回顾”(以下简称“一周回顾”)里只字未提?关于这个问题的回答首先需要明确一下“一周回顾”的定位。“一周回顾”不是海外安全大事记,更不是大事榜,而更多希望分享给大家是一些有趣的但是并非被公众普遍关注的安全事件,有些事件甚至可能被忽略,但并不影响这些事件深远的影响力。当下不是焦点,未必将来不是焦点。