美國正在輸?shù)簟昂诳蛻?zhàn)爭”?

責(zé)任編輯:editor007

作者:卡拉·斯坎內(nèi)爾 吉娜·宗

2015-07-29 17:51:20

摘自:FT中文網(wǎng)

2013年7月,一名自稱“和平”(Peace)的黑客向美國能源部(US Department of Energy)的電腦上傳了一串惡意代碼?!薄?/p>

點擊查看大圖

2013年7月,一名自稱“和平”(Peace)的黑客向美國能源部(US Department of Energy)的電腦上傳了一串惡意代碼。該部負(fù)責(zé)監(jiān)督美國的核武器計劃、電力生產(chǎn)以及其他至關(guān)重要的國家利益。

“和平”很走運,他獲得了大量的機密個人數(shù)據(jù),包括雇員姓名、社會保險號碼和銀行帳戶資料。

“噢耶耶耶耶”,他在一個在線聊天室輸入道,“我是不可戰(zhàn)勝的?。?!經(jīng)過逾24小時的努力,終于攻陷了能源部網(wǎng)站。”

檢方稱,“和平”的真名是勞里·洛夫(Lauri Love),是英格蘭薩??丝ひ幻?0歲的居民。他和未被點名的同伙相對輕松地就獲得了美國能源部系統(tǒng)的“無限訪問權(quán)限”,并在能源部的電腦上進(jìn)行了超過600次檢索。利用Adobe公司ColdFusion軟件程序的一個已知(但未修補)的漏洞,這些被指控的黑客得以闖入系統(tǒng),竊取了美國能源部超過10.4萬名現(xiàn)任及前任雇員的個人信息。

三份獨立的刑事訴狀顯示,洛夫還涉嫌使用同樣的手段侵入了美聯(lián)儲(Federal Reserve)、美國國家航空航天局(NASA)、美國國家環(huán)境保護(hù)局(EPA)、美國陸軍(US Army)和美國導(dǎo)彈防御局(MDA)。美國能源部遭黑客攻擊是當(dāng)時最嚴(yán)重的政府雇員信息泄露事故之一,而該部的監(jiān)督機構(gòu)表示,此次事故本來是可以避免的。

能源部監(jiān)察長格雷戈里·弗里德曼(Gregory Friedman)在調(diào)查此次黑客事件后總結(jié)稱:“黑客所利用的漏洞在2013年1月就被(美國軟件公司Adobe)明確指出了。”

雖然后果很嚴(yán)重,但像能源部遭黑客攻擊之類的事件并不罕見。雖然美國科技行業(yè)領(lǐng)先世界,但在當(dāng)今網(wǎng)絡(luò)攻擊者頻繁且技術(shù)含量較高的攻擊面前,美國政府(包括處理對國家安全至關(guān)重要信息的聯(lián)邦機構(gòu))的計算機系統(tǒng)嚴(yán)重準(zhǔn)備不足。

美國各政府機構(gòu)的脆弱性一直不難發(fā)現(xiàn)。奧巴馬政府最近承認(rèn),黑客通過對政府人力資源部門——美國人事管理局(Office of Personnel Management)的兩次攻擊,竊取了約2500萬聯(lián)邦雇員的私人信息。第二次侵入是美國政府機構(gòu)歷來遭遇的最大規(guī)模網(wǎng)絡(luò)攻擊。美國人事管理局局長已為此辭職。

美國議員將黑客攻擊激增視為新冷戰(zhàn)的證據(jù),而美國正在輸?shù)暨@場戰(zhàn)爭。無論攻擊者是一個國家(中國據(jù)信要對美國人事管理局遭侵入負(fù)責(zé)),還是像洛夫及其同伙之類的小群體,對手往往比美國政府更懂技術(shù),也更加靈活。紐約、新澤西及弗吉尼亞三地的檢方都對洛夫提出了指控,但他尚未被要求引渡。記者聯(lián)系不上洛夫請其置評。

中國與俄羅斯在實施網(wǎng)絡(luò)攻擊方面變得越來越咄咄逼人,使得美國國防和情報官員不情愿地承認(rèn)佩服。

“對于中國人的所作所為,你不得不在一定程度上表示敬佩,”美國國家情報總監(jiān)(DNI)詹姆斯·克拉珀(James Clapper)在談到美國人事管理局被攻擊時表示。

英國《金融時報》對政府機構(gòu)監(jiān)察長、美國政府問責(zé)局(Government Accountability Office)以及白宮行政管理和預(yù)算局(Office of Management and Budget)發(fā)表的幾十份報告的分析表明,多年來,在24家被要求報告自身網(wǎng)絡(luò)防御情況的聯(lián)邦機構(gòu)中,超過半數(shù)沒有采取最基本的安全措施。這些措施包括安裝軟件補丁以堵住漏洞、使用強認(rèn)證技術(shù),以及不間斷監(jiān)測系統(tǒng)以保障其采集的雇員、退役軍官及政府計劃數(shù)據(jù)。

點擊查看大圖

對數(shù)以千計文件的查閱,以及對現(xiàn)任及前任政府官員的采訪,都顯示出政府機構(gòu)所面臨的深度挑戰(zhàn)。對于記者一再提出的討論報告發(fā)現(xiàn)的請求,多數(shù)聯(lián)邦機構(gòu)的官員要么拒絕置評,要么根本不回電。

[page]

今年,美國政府新任首席信息官托尼·斯科特(Tony Scott)對國會表示:“如今的核心問題之一是,我們手上的這些老式設(shè)備在設(shè)計或建造時不存在這樣的威脅。”

黑客成功侵入政府機構(gòu)并竊取高度敏感信息的次數(shù)近年激增。今年,黑客闖入美國國稅局(IRS)系統(tǒng),竊取了10萬個稅務(wù)賬戶。去年,對美國郵政服務(wù)(US Postal Service)的網(wǎng)絡(luò)攻擊曝光了其80萬雇員的敏感信息。美國國務(wù)院(State Department)和白宮去年曾表示,它們的非機密系統(tǒng)遭到入侵;官員們認(rèn)為那是俄羅斯政府所為。

白宮網(wǎng)絡(luò)安全協(xié)調(diào)員邁克爾·丹尼爾(Michael Daniel)不久前稱:“我們的私營和公共部門都必須提高網(wǎng)絡(luò)安全水平。”

包圍之下

根據(jù)白宮行政管理和預(yù)算局的數(shù)據(jù),自2006年以來,聯(lián)邦機構(gòu)遭遇“事故”的次數(shù)(包括網(wǎng)絡(luò)釣魚、惡意軟件附件以及未經(jīng)授權(quán)的雇員訪問)上升了1100%,至2014年的67168次。官員們稱,數(shù)量增加在一定程度上反映出這些機構(gòu)探測攻擊的能力有所增強。

國土安全部(Department of Homeland Security)助理部長安迪·奧茲門特(Andy Ozment)對國會表示:“整個國家如今在彌補過去20年期間對公共和私營部門網(wǎng)絡(luò)安全的投資不足。”

點擊查看大圖

奧巴馬政府近年漸進(jìn)增加了聯(lián)邦政府的信息技術(shù)支出,從2013年的786億美元增至2016年預(yù)算提案中的863億美元。對2015年,奧巴馬政府起初建議削減3%的預(yù)算,后來才增加預(yù)算。在預(yù)算問題上與國會的爭吵以及對削減開支的關(guān)注加劇了困難。

雖然更多資金將有所幫助,但官員們也指出了一些問題,比如招聘中的官僚主義壁壘、具有挑戰(zhàn)的采購流程和糟糕的預(yù)算編制(數(shù)千萬美元被浪費在了搞砸的軟件升級上)。

特拉華州民主黨參議員湯姆·卡珀(Tom Carper)對英國《金融時報》說,去年通過的兩部給聯(lián)邦機構(gòu)首席信息官在信息技術(shù)預(yù)算方面更大權(quán)限的法律,將有助于朝向網(wǎng)絡(luò)安全現(xiàn)代化“大步跨越”。

“但在網(wǎng)絡(luò)安全問題上,國會不能滿足于已有的成績——我們還有更多的工作要做。國會應(yīng)該立即授權(quán)并撥款資助最新一代網(wǎng)絡(luò)防御技術(shù),以降低我國政府未來遭遇網(wǎng)絡(luò)侵入的可能性,”他說。

美國聯(lián)邦機構(gòu)往往使用的過時設(shè)備意味著,現(xiàn)代網(wǎng)絡(luò)防御技術(shù)——例如實行讓所有用戶、應(yīng)用程序和設(shè)備都必須得到驗證的“零信任”方式(如今VMware、Palo Alto Networks以及思科(Cisco)等公司提供軟件的常見功能特點)——無法發(fā)揮作用。對于老舊的信息技術(shù)基礎(chǔ)設(shè)施(如美國人事管理局的古董級網(wǎng)絡(luò))而言,也不可能進(jìn)行加密。該局的網(wǎng)絡(luò)安全狀況如此糟糕,以至于在最近一次被黑客侵入的前一周,其監(jiān)察長就建議關(guān)閉網(wǎng)絡(luò)然后從頭開始。但該局拒絕這樣做。

“一個情報寶藏!”

強身份認(rèn)證意味著比用戶名和密碼更多的驗證要求,比如雙因素認(rèn)證,要求使用登錄+安全碼或個人身份驗證(PIV)卡。此類認(rèn)證已經(jīng)是許多企業(yè)的基本程序,而且經(jīng)常用于Gmail等免費在線服務(wù)。白宮行政管理和預(yù)算局在2月表示,美國國務(wù)院、美國勞工部(Department of Labor)以及美國人事管理局等一些機構(gòu)沒有實施雙因素測試,而在24個聯(lián)邦機構(gòu)中,有15個機構(gòu)未能達(dá)到至少一半用戶遵守程序。

點擊查看大圖

[page]

白宮行政管理和預(yù)算局在提交美國國會的年度報告中寫道:“這一統(tǒng)計數(shù)字具有重大意義,因為重大網(wǎng)絡(luò)事故往往與缺乏強大的身份驗證程序有關(guān)。”

現(xiàn)任和前任官員均表示,舊技術(shù)的層層累積,業(yè)務(wù)分布廣泛,以及每天24小時/每周7天的網(wǎng)絡(luò)連接需要,構(gòu)成了大量安全挑戰(zhàn)。一位審計總監(jiān)在談到他負(fù)責(zé)審計的機構(gòu)存在的漏洞時表示:“我們正試圖在已經(jīng)被切斷的頸動脈上貼創(chuàng)可貼。”

許多聯(lián)邦機構(gòu)甚至搞不清本部門IT的基本情況,比如美國能源部遭到黑客攻擊后,一名雇員刪除了一個數(shù)據(jù)文件,卻不去調(diào)查洛夫入侵時產(chǎn)生的流量。政府在評估時發(fā)現(xiàn),許多部門不清楚自己在運行多少IT系統(tǒng)。

國土安全部監(jiān)察長2014年12月的一份報告顯示,就連該部的網(wǎng)絡(luò)防御水平也被發(fā)現(xiàn)在某些領(lǐng)域參差不齊,尤其是在聯(lián)邦緊急事務(wù)管理署(FEMA)。國土安全部職責(zé)眾多,包括監(jiān)督外來移民,對外國游客進(jìn)行背景調(diào)查,理論上該聯(lián)邦機構(gòu)還應(yīng)幫助其他機構(gòu)更好地應(yīng)對網(wǎng)絡(luò)風(fēng)險。

美國官員稱,在美國人事管理局受到的第二次網(wǎng)絡(luò)攻擊中,中國獲得了2150萬美國居民的背景檔案,包括他們的海外關(guān)系,他們的朋友,他們的財務(wù)信息以及他們的工作履歷。

前眾議員邁克·羅杰斯(Mike Rogers)說:“這對中國方面是個情報寶藏。為什么這件事沒有引起更大的憤慨?這告訴我,我們距離解決這一問題還差多遠(yuǎn)。”羅杰斯在擔(dān)任眾議院情報委員會主席時曾經(jīng)倡導(dǎo)加強網(wǎng)絡(luò)防御。“每個(機構(gòu))都需要付出認(rèn)真努力糾正這一問題,采用更好的技術(shù),這需要花錢。”

羅杰斯表示,應(yīng)該追究美國政府的責(zé)任。他說:“人們是自愿填這些表格、陳述自己的生活細(xì)節(jié)的,如果你要令他們面臨風(fēng)險,那么你就有一定的責(zé)任(保護(hù)這些數(shù)據(jù))。”被曝光的信息里也包括了羅杰斯的信息。

落后10年

在“和平”涉嫌發(fā)動網(wǎng)絡(luò)攻擊的半年前,美國能源部內(nèi)部的一個部門就已識別了軟件漏洞。但該部監(jiān)察長發(fā)現(xiàn),該機構(gòu)推遲支出4200美元購買新版軟件。根據(jù)能源部監(jiān)察長的計算,網(wǎng)絡(luò)入侵事件造成了至少370萬美元的信用監(jiān)督和生產(chǎn)力損失。

一些機構(gòu)在IT方面責(zé)任不清,這往往意味著無人負(fù)責(zé)。而且如果提高網(wǎng)絡(luò)安全與機構(gòu)的主要職能發(fā)生抵觸,修補措施常常被擱置。

面對有關(guān)安全漏洞的一再警告,美國國務(wù)院仍缺乏應(yīng)對,這其中的風(fēng)險和受挫感促使國務(wù)院監(jiān)察長史蒂芬·利尼科(Steven Linick)請求國會撥款建立一個專有網(wǎng)絡(luò)。國務(wù)院除了負(fù)責(zé)外交關(guān)系,還掌管著大量簽證和護(hù)照數(shù)據(jù)。利尼科今年表示:“我希望這個網(wǎng)絡(luò)與國務(wù)院完全脫離,以確保我們系統(tǒng)的完好性。”

羅伯特·布雷澤(Robert Brese)是美國能源部遭到“和平”入侵時IT系統(tǒng)的負(fù)責(zé)人,他哀嘆美國政府的IT技術(shù)比私營部門落后了10年。

布雷澤于2014年離開了能源部。他表示:“與私營部門最優(yōu)秀、最明智的機構(gòu)相比,美國政府在老設(shè)備現(xiàn)代化,以及構(gòu)建安全、強韌的系統(tǒng)方面,有很多地方要落后若干年甚至10年。我指的還不是谷歌(Google)和亞馬遜(Amazon)這樣的科技先驅(qū),而是像福特(Ford)這樣的老牌企業(yè)。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號