史蒂芬·克勞斯是美國軟體工程研究所主任,他在一篇關於網際網路的脆弱性的文章中寫到:網際網路像一個溫床,是網路"駭客"利用網路使用者給予的"信任"進行攻擊活動的滋生地。由於軟體程式具有可複製性,即使是略通電子電腦技術的人也可能對網路發動毀滅性的攻擊。
網際網路的脆弱性對政府、軍事單位、商界以及每個使用者都構成了威脅。網際網路世界是一個複雜、動態的環境,各種網路互相聯接,沒有明確界限和集中控制。在最初設計網際網路時,並未考慮到安全問題,所以很難保障網路的完善、健全、有效及資訊的保密性。
由於網路正以驚人的速度發展,網路正逐步取代其他電子通訊手段,網路安全已成為一個值得關注的重要問題。與網路發展同步,襲擊手段和技術也越來越精密,簡單易學並廣泛傳播。
電腦應急反應組/協調中心(CERT/CC)是在 軟體工程研究所支援下建立的,旨在對付電腦安全事故及處理日常電子商務活動中的違規行為。下面列舉的是已被披露的幾宗電腦安全事故。
· 一名襲擊者從十幾家網上售貨的零售商處獲得了10萬個信用卡號碼,這些信用卡的信用額度從2000美元到25000美元不等,總值10億美元。這名襲擊者在企圖將這些號碼賣給由聯邦調查局偽裝成的犯罪集團時被抓獲。
· 另外一些襲擊者侵入了一家知名美國公司的網路系統,從網上獲得了這家公司的專有資訊,使這家公司不得不中斷網際網路聯絡72小時,故而使合法用戶也無法進入,使顧客無法從正常渠道獲得該公司資訊。
· 在一宗電腦敲詐案中,一名襲擊者從一家網上音樂商處盜取了30萬個信用卡號碼。在給《紐約時報》的電子郵件中,這名襲擊者自稱是來自俄羅斯的19歲男孩,號稱已利用音樂商網路軟體的漏洞獲得了該公司財務資料。後來,這名襲擊者向該音樂商敲詐10萬美元,作為銷毀這些信用卡號碼的交換條件。被該公司拒絕後,襲擊者將數千信用卡號碼在網際網路上公之於眾,使這個公司聲譽遭到重創。電腦安全專家至今仍未搞清該網站是因何被攻破的,也無法確定該網站顧客所遭受的損失。信用卡公司只得取消和更換被盜號碼,用電子郵件通知有關持卡人。電子商務分析人士指出,還有許多類似案件,只是未被披露而已。
· 2000年3月,英國出現了歷史上最為嚴重的公司電腦系統入侵案。在英國的一夥駭客侵入了至少12家跨國公司的系統,盜走了機密文件,事後索要1000萬英鎊的贖金。倫敦警察廳和聯邦調查局正在調查此案,並密切監視英格蘭和蘇格蘭之間的電子郵件來往。他們認為,該組織相當專業,可能受雇於專事商務情報間諜活動的情報掮客。
與其他設施相比,網際網路就像滋生襲擊案的溫床。有些襲擊看上去是惡作劇(如學生想要體驗一下網路的威力),有些則明顯是惡意攻擊,這些都會對通過網際網路進行的交易活動造成損害。在作案時,襲擊者獲得了對某一系統的優先使用權,實際上佔領了這一系統,使之為其所用。例如,在非法佔用一個系統後,他們可以利用這個系統作為平臺,對其他系統發出攻擊,或在使用系統分配襲擊工具時將這個系統作為一個節點。這種方法使襲擊者可同時使用大量網站,讓這些網站集中攻擊一個或多個受害網路。還有其他襲擊技術被用於獲取敏感資訊,如密碼和商業機密。從電腦應急反應組/協調中心(CERT/CC)網站http://www.cert.org可以找到介紹各種襲擊方法的具體案例。
襲擊網際網路非常容易是因為網際網路使用者給予了網路過分的"信任"。網站擁有者往往意識不到他們的網路設施及服務協定載有多麼大的信任。遺憾的是,最初設計網際網路時,只考慮了防禦從網路設施以外而來的攻擊力量,如攻擊組成網路的有形的線路和電腦,而沒考慮到來自於網路內部的攻擊,即使用網路的人對網路進行的攻擊。如今網際網路已發展成了包容眾多網站的系統,數以百萬計的使用者實際已身處其中。
襲擊網際網路之所以簡單易行,還有其他原因。的確,有一部分襲擊者具有相當於大學電腦專業的技術知識,但許多次成功襲擊是由只略通電腦和網路知識的人幹的。那些精通技術的襲擊者將破壞程式複製成簡單易學的形式,再低價出售給初學者,使新手也具有極大的破壞性。
不幸的是,襲擊網際網路非常容易,但追蹤作案者卻很難,故而對襲擊者來講風險很小。通過運用名為"IP偽裝"的技術,襲擊者可以偽造其身份及網路位置。在網際網路上,資訊以資料包的形式傳遞,每一個資料包都含有來源和目的地的資訊。可以把一個資料包比做一張明信片,發信人可提供回信地址,但也可提供假地址。大多數網際網路設施只負責將資訊向目的地一步一步傳遞,而未記錄資訊來源,連一個"郵戳"都沒有。所以,在一次襲擊中,需各個站點使用先進設備密切合作才能追蹤可疑資料包。
另外,網際網路原義是使資料包能在不同地理、行政和政治範圍內順利流動。因此,追蹤一次襲擊就牽扯到多個組織和司法管轄區,中間的許多環節可能未直接受到襲擊影響,就不願花費大量時間和力量參與此事。
由於襲擊者跨越了多個地理和法律區域,這也為追捕和審理工作增添了額外的司法困難。
從上述案例及許多其他案例可以看出,在保障電子網路安全以滿足日益增長的商務需求方面,我們仍任重而道遠。但若採取一些措施還是可以減少風險的。下面是一些建議採取的的解決方案。
· 搜集、分析和傳播資訊
為保障網際網路以及整個資訊框架的安全,執法部門和事故處理機構應不斷監控對電腦構成的威脅,判斷襲擊活動的趨勢,並使有關資訊在網際網路界廣泛傳播。
· 支援建立並使用全球偵察系統
運用事故處理機構的經驗來判斷出新的威脅並加以預防。電腦應急反應組/協調中心就可為電腦系統管理者提供幫助。像該中心這樣的電腦安全資訊機構,搜集了大量的資料,他們可預測襲擊活動趨勢並協調解決新出現的問題。網際網路服務商也應建立安全事故反應組,為顧客提供更加安全的服務。
· 發展教育和培訓
為保證"安全使用電腦",政府應支援發展電腦安全教育計劃,對所有使用者,包括成人和兒童,包括系統管理人員、網路管理人和資訊負責人進行安全教育。
· 發展研究
應樹立長遠觀念,投資研究系統和應用技術來對付襲擊和保護寶貴資料。