科學(xué)家利用行為科學(xué)和經(jīng)濟(jì)學(xué)打擊網(wǎng)絡(luò)犯罪

責(zé)任編輯:editor006

作者:張章

2016-06-14 18:05:46

摘自:中國(guó)科學(xué)報(bào)

我們已經(jīng)有太多計(jì)算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒(méi)有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。Sasse正在談?wù)摰氖抢账鬈浖汉诳褪褂靡环N敲詐程序加密用戶(hù)電腦數(shù)據(jù),然后向用戶(hù)索要金錢(qián)換得能解鎖的數(shù)字鑰匙。

我們已經(jīng)有太多計(jì)算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒(méi)有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。

無(wú)論你怎么解釋網(wǎng)絡(luò)犯罪,Angela Sasse說(shuō),“受害者總是憤怒地指責(zé)客戶(hù)服務(wù)”。

Sasse正在談?wù)摰氖抢账鬈浖汉诳褪褂靡环N敲詐程序加密用戶(hù)電腦數(shù)據(jù),然后向用戶(hù)索要金錢(qián)換得能解鎖的數(shù)字鑰匙。受害者會(huì)收到詳細(xì)的付款流程和鑰匙使用指南。如果他們遇到技術(shù)難題,對(duì)方提供24小時(shí)電話服務(wù)。

“這比他們從網(wǎng)絡(luò)供應(yīng)商那里得到的服務(wù)更完善。”英國(guó)倫敦大學(xué)學(xué)院網(wǎng)絡(luò)安全研究所所長(zhǎng)、心理學(xué)家和計(jì)算機(jī)學(xué)家Sasse說(shuō)。她提到,目前的網(wǎng)絡(luò)安全挑戰(zhàn)簡(jiǎn)言之就是:“攻擊者遙遙領(lǐng)先于防御者,這讓我非常擔(dān)憂。”

現(xiàn)在,黑客早已不僅僅主要是尋求刺激的青少年和大學(xué)生:他們已經(jīng)變得更有經(jīng)驗(yàn)。“激進(jìn)黑客”組織已經(jīng)開(kāi)始攻擊高調(diào)的恐怖分子和社會(huì)名流。有統(tǒng)計(jì)顯示,網(wǎng)絡(luò)犯罪使得全球經(jīng)濟(jì)每年損失3750億~5750億美元。

越來(lái)越多的研究人員和安全專(zhuān)家意識(shí)到,他們不能僅靠建造更高更強(qiáng)大的防火墻應(yīng)對(duì)挑戰(zhàn)。他們還需要找出防火墻內(nèi)部的問(wèn)題,例如密碼薄弱或點(diǎn)擊可疑郵件等人為問(wèn)題,這些問(wèn)題與約1/4的網(wǎng)絡(luò)安全失效有關(guān)。他們還必須跟蹤支持黑客的地下經(jīng)濟(jì),并找到反擊的弱點(diǎn)。

“我們已經(jīng)有太多計(jì)算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒(méi)有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。”美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全研究主管Douglas Maughan說(shuō)。

但這正在迅速改變。在過(guò)去5年間,國(guó)土安全部等機(jī)構(gòu)正加大其在網(wǎng)絡(luò)安全人為方面的經(jīng)費(fèi)。今年2月,美國(guó)總統(tǒng)奧巴馬提議將網(wǎng)絡(luò)安全2017財(cái)年經(jīng)費(fèi)提高190億美元,并首次將人為因素研究納入優(yōu)先項(xiàng)。

其他國(guó)家也紛紛展開(kāi)行動(dòng)。在英國(guó),Sasse的研究所獲得380萬(wàn)英鎊經(jīng)費(fèi),研究該國(guó)商業(yè)、政府和其他機(jī)構(gòu)的網(wǎng)絡(luò)安全。“將人為因素納入網(wǎng)絡(luò)安全是前沿的。”她說(shuō)。

人性弱點(diǎn)

想象一下,在忙碌的工作日,你收到一封看似合法的郵件:公司的計(jì)算機(jī)安全團(tuán)隊(duì)發(fā)現(xiàn)安全漏洞,每個(gè)人都必須立即進(jìn)行電腦掃描尋找病毒。“大家傾向直接點(diǎn)擊接收而非認(rèn)真閱讀。”英國(guó)巴斯大學(xué)社會(huì)心理學(xué)家Adam Joinson說(shuō)。但這是一封偽裝郵件,一旦點(diǎn)擊接收,惡意軟件將進(jìn)入公司網(wǎng)絡(luò),進(jìn)而盜竊密碼和其他數(shù)據(jù)。

看上去黑客比防御機(jī)構(gòu)更能抓住用戶(hù)的心理。在案例中,攻擊成功取決于人們對(duì)權(quán)威的遵從心理,而且在忙碌和煩躁的狀態(tài)下,人們的懷疑能力也降低。而到目前為止,采用密碼是最簡(jiǎn)單、最普遍的證明用戶(hù)身份的方法。2014年,Sasse和同事研究發(fā)現(xiàn),美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)平均每天出現(xiàn)23個(gè)“身份驗(yàn)證事件”,其中包括重復(fù)登錄電腦和15分鐘不使用后的自動(dòng)鎖定。此類(lèi)要求大量耗費(fèi)了員工的時(shí)間和精力。

在另一個(gè)密碼研究中,該研究小組記錄了大型跨國(guó)組織員工回避官方安全要求的方法,包括將密碼寫(xiě)下來(lái)或利用非加密的閃存盤(pán)傳輸文件。這實(shí)際上造成了工作流程中的“安全陰影”。“大多數(shù)人的目標(biāo)不是安全,而是完成工作。”英國(guó)谷歌研究院安全研究專(zhuān)家Ben Laurie說(shuō),“如果他們需要跳過(guò)太多障礙,他們會(huì)說(shuō)‘讓它見(jiàn)鬼去吧’。”

研究人員已經(jīng)找出諸多解決員工和安全管理者之間僵局的方法。Lorrie Cranor領(lǐng)銜的美國(guó)卡耐基·梅隆大學(xué)網(wǎng)絡(luò)隱私和安全實(shí)驗(yàn)室,就正在尋找使密碼政策更加人性化的方法。

“六七年前,我們就開(kāi)始這項(xiàng)工作了。當(dāng)時(shí)卡耐基·梅隆大學(xué)將密碼要求變得十分復(fù)雜。”現(xiàn)任美國(guó)聯(lián)邦商業(yè)委員會(huì)首席工程師的Cranor說(shuō)。該校表示正試著統(tǒng)一NIST的標(biāo)準(zhǔn)密碼規(guī)范。但Cranor調(diào)查發(fā)現(xiàn),這些規(guī)范主要基于理論推測(cè)。它們并非基于數(shù)據(jù),因?yàn)闆](méi)有機(jī)構(gòu)希望透露用戶(hù)的密碼,“因此,我們說(shuō),‘這是一項(xiàng)研究挑戰(zhàn)’。”

是時(shí)候作出改變了

Cranor團(tuán)隊(duì)測(cè)試了一系列密碼政策。他們要求卡耐基·梅隆大學(xué)的470位計(jì)算機(jī)使用者基于不同的密碼長(zhǎng)度和特殊符號(hào)要求生成新密碼。然后,他們測(cè)試了密碼的效果、制定這些密碼的難度、記憶難度和該系統(tǒng)對(duì)使用者的困擾。“使用者處理密碼長(zhǎng)度比復(fù)雜性更容易。”Cranor說(shuō)。

另外,如果研究人員破解了一個(gè)密碼,他們往往在很短的時(shí)間里就能猜出用戶(hù)的新密碼,原因是用戶(hù)在被迫修改密碼時(shí)往往只在原密碼的基礎(chǔ)上作細(xì)小改動(dòng)。例如,用戶(hù)會(huì)將“secret10jan”改為“secret10mar”。“同樣,如果黑客能猜到你的密碼一次,他們可能會(huì)很容易地猜到新密碼。”

而且,強(qiáng)迫用戶(hù)定期更改密碼“可能實(shí)際上弊大于利”。相比強(qiáng)迫用戶(hù)更改密碼,更好的做法是讓用戶(hù)使用較長(zhǎng)的密碼,并迫使他們使用一些非字母字符。要提高用戶(hù)的密碼安全性,教育比強(qiáng)迫更好。

Cranor指出:“如果用戶(hù)知道他們將不得不定期更改密碼,他們往往不會(huì)在一開(kāi)始就設(shè)置安全度很強(qiáng)的密碼,而且可能會(huì)把密碼寫(xiě)下來(lái)。”如果用戶(hù)被要求設(shè)置一個(gè)長(zhǎng)期使用的密碼,他們就可能會(huì)設(shè)置一個(gè)安全度很強(qiáng)同時(shí)也難以記住的密碼。如果他們被要求設(shè)置只能使用3個(gè)月的密碼,他們就更有可能設(shè)置相對(duì)簡(jiǎn)單因而也容易破解的密碼。

雖然,密碼政策存在諸多不合理之處,但Sasse表示,“去年,英國(guó)政府通信總部(GCHQ)改變密碼的建議是個(gè)里程碑”。GCHQ發(fā)布了一份公文,表示放棄定期修改密碼和敦促管理者盡可能讓用戶(hù)遵循其規(guī)定等長(zhǎng)期慣例。

另一方面,如果研究能發(fā)現(xiàn)用戶(hù)的行為弱點(diǎn),或許也能找到攻擊者的弱點(diǎn)。

了解對(duì)手

加州大學(xué)圣迭戈分校計(jì)算學(xué)家Stefan Savage和同事建立了一個(gè)計(jì)算機(jī)簇,扮演所謂的“最易受騙的消費(fèi)者”。這些機(jī)器收到了反垃圾公司收集的一些垃圾郵件,并點(diǎn)開(kāi)了能找到的每個(gè)鏈接。研究人員將焦點(diǎn)放在了非法藥物、假冒手表和提包、盜版軟件上——這是垃圾郵件最常有的廣告。

然后,他們使用專(zhuān)門(mén)設(shè)計(jì)的軟件追蹤了垃圾郵件的供應(yīng)網(wǎng)絡(luò)。如果非法販賣(mài)者在這里注冊(cè)了域名,并支付給供貨者費(fèi)用,研究人員將能看到。該研究首次曝光了電腦犯罪的整個(gè)商業(yè)鏈條,并揭示了其驚人的復(fù)雜結(jié)構(gòu)。

“這是怪異的企業(yè)新理念的最終溫床。”Savage說(shuō),“這是你能想象的小商業(yè)資本的純粹形式,因?yàn)檫@里沒(méi)有任何規(guī)則。”而且,盡管垃圾郵件的回復(fù)率非常低,但大規(guī)模的發(fā)送垃圾郵件每年可創(chuàng)造高達(dá)數(shù)百萬(wàn)英鎊的盈利。但垃圾郵件制造者本身也易受攻擊,因此造成發(fā)送垃圾郵件成本偏高。

“你自己不會(huì)發(fā)送垃圾郵件。”Savage說(shuō),于是尋求專(zhuān)業(yè)人士,“他們收取購(gòu)買(mǎi)價(jià)的30%~40%”。但該垃圾郵件發(fā)送的響應(yīng)率遠(yuǎn)低于合法的直投機(jī)構(gòu)公布的平均2.15%的響應(yīng)率。

但遺憾的是,追蹤這些地下經(jīng)濟(jì)體不能幫助執(zhí)法機(jī)構(gòu)逮捕罪犯,他們的現(xiàn)實(shí)身份隱藏在網(wǎng)絡(luò)假名背后。而且,這些犯罪網(wǎng)絡(luò)基礎(chǔ)設(shè)施恢復(fù)力極強(qiáng)。

不過(guò),科學(xué)家還揭露了一些能更有效打擊地下經(jīng)濟(jì)的方法。Savage和同事發(fā)現(xiàn),該鏈條最薄弱的一環(huán)是銀行將信用卡支付的費(fèi)用轉(zhuǎn)到利潤(rùn)中心的過(guò)程。有規(guī)定指出,銀行必須擔(dān)保信用可消費(fèi)是合法的,并有義務(wù)在客戶(hù)投訴時(shí)為他們追回資金。沒(méi)有銀行愿意承擔(dān)此類(lèi)風(fēng)險(xiǎn)。“95%的垃圾郵件只用3家銀行。”它們分別位于阿塞拜疆、拉脫維亞以及圣基茨和尼維斯。

這也并非永久手段。因?yàn)槔]件發(fā)送者將使用的銀行正逐漸轉(zhuǎn)移到西方公司和執(zhí)法機(jī)構(gòu)夠不到的地方。但卡耐基·梅隆大學(xué)計(jì)算機(jī)工程師Nicolas Christin表示,在網(wǎng)絡(luò)世界,每一筆交易都有數(shù)字痕跡,尤其是需要支付的地方。“對(duì)于經(jīng)濟(jì)學(xué)家而言,這非常有用。”

“我們正著手研究。”Christin說(shuō),但數(shù)據(jù)流能幫助計(jì)算機(jī)學(xué)家、社會(huì)學(xué)家和執(zhí)法機(jī)構(gòu)協(xié)同行動(dòng)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)