这份长达38页的报告题为《面对僵尸网络和其他自动化分布式攻击威胁,提高互联网和通信生态系统的抗打击能力》。这份报告应去年5月特朗普签署的行政令指示而诞生。此前多次尝试均半途而废,报告定稿后,它将和其他多份文件一道递交特朗普审批。
整体来看,这份报告写得很不错:它简单直白,明确了美国政府、行业和消费者当前面临的网络安全问题,就像题目揭示的那样,重点放在僵尸网络。它既没有掩盖问题,也没有夸大某些网络安全威胁或者轻视其他威胁。一言以蔽之,它是那种草拟得专业的政策文件。尽管公务员队伍里有些干扰的噪音和无知的言论,政府仍然草拟了这样一份专业文件。这真是幸事。
报告只有一个突出的问题:它并未反映美国政府内部的争斗,政府机构之间在争夺互联网安全和物联网事务的领导权。
另外,报告还有这类文件常见的毛病:很多真正的建议都有点含糊其辞,比如要“确定一条明确的道路,发展为一个有适应能力、有持续性又安全的技术市场”,或者“推动创新”、“建立联盟”,应该实现哪些重要的“目标”。
由于报告对相关行业秉持不干预的传统做派,加之互联网的决策权事实上主要掌握在私营企业手中,美国商务部和国土安全部能切实拿出的行动少之又少。但报告的确厘清了问题所在,并阐明了解决问题的最佳对策。
消费者无罪
报告承认,即使消费者在商家购买了设备,又将这些设备联入家用无线网络,也不能、不该指望他们为这些设备的网络安全负责。这也许报告最有用的内容。
报告给予物联网市场准确的定位,称物联网设备“很像上世纪90年代的台式机电脑”,安全性很差。
报告写道:
“物联网设备往往缺乏侧重于安全的特色功能。这些系统现在成为对不法分子最有吸引力的攻击目标,(物联网)设备在生态系统占比很大,并且越来越大。”
报告还说:
“实际上,消费者并没有直接受到设备被攻击的影响,他们可能永远不知道(自己的)设备沦为僵尸网络的一部分。从消费者的角度看,网络摄像头还在正常播放视频,冰箱还在制冷(,一切正常)。”
“基于这个原因,一旦设备被僵尸网络利用,让设备的真正所有者负责是不现实的。现在被(僵尸程序)感染也看不到什么明显的影响。因此,如果要鼓励消费者采取行动增强安全措施,比如升级那些可以升级的设备,就存在困难。”
据悉,这些看法对物联网专业人士来说不算新闻,难得的是,一份美国政府的报告能清晰阐述问题,一针见血地切中要害。
报告指出,对于保证物联网安全,软件和硬件安全系统升级以及类似做法很有效,可问题是,很少有公司和个人真正这样做。考虑到这点,报告和这些年不少人的观点一样,也认为需要让设备自带安全预防措施,比如自动进行安全系统升级。
报告认为:
“理想的做法是,向消费者推广那些应该内置安全系统的设备。消费类产品应该尽可能基于安全角度设计,应该纳入自动更新安全系统的机制,应该几乎没有对(用户)管理产品提出什么要求。”
制定基准
美国政府不会给行业强加什么规定。因此报告认为,可能政府要与企业合作,对于“家用和工业应用的物联网设备”,共同制定一套“普遍接受的基准安全配置。”报告还提议,美国政府利用自身重要采购方的角色,“对美国政府环境的物联网设备采用基准安全配置,以此加快普及安全配置的进程。”这听起来是高明的一步棋,在域名系统安全扩展(DNSSEC)和IPv6这类技术上能起到一定作用。
而报告最面向大众的建议也许就是,由政府出资,赞助一项针对物联网安全的宣传活动,提高消费者这方面的安全意识。报告称:
“联邦政府应该开展一场提高公众意识的运动,支持公众认识并采用家用物联网设备安全配置,用相关品牌产品。”
在此后的内容中,报告还力荐政府对相关研发加大投入,“支持科研进步,包括预防和缓解分布式拒绝服务攻击(DDoS)和防止制造僵尸网络的基础技术。”
谈到IPv6,报告有点担心这种网络安全的新协议广泛采用可能产生负面影响。
IPv6将赋予每个设备一个IP地址,所以可能让数百万新设备容易遭到攻击和黑客入侵。从这个角度看,用IPv4和网络地址转换(NAT)可能营造更安全的环境,因为这两种方式都基于单一的IP地址排布设备。
报告并不是主张抵制使用IPv6。事实上,报告还赞成,为了更快推进应用,要给予互联网服务供应商激励。但报告的确建议,调查“IPv6广泛应用的影响,看到应用广泛到何种程度,就能改变网络攻击和防御的经济意义。”
担忧与希望并存
应用IPv6的一个好处是,消费者会更容易发现哪部设备被攻击了。可是报告提到了名为Mirai的物联网僵尸网络。它对攻击IPv6支持的物联网特别有效,因为它攻击的是那些有自身IP地址的设备(通常是网络摄像头)。相反,“NAT工具可以充当意外(攻击的)防火墙,避免那些家用设备被传播恶意软件的批量扫描工具直接接触,进而大范围被恶意软件感染。”
报告甚至深入探讨了范围扩大的域名空间:
“理论上说,IPv6的地址空间相当大,现有工具无法扫描,但专家注意到一些模式,它们可以通过新的扫描技术找到哪些设备不堪一击。”
那么,该用什么解决方法?报告认为,应该把研究的侧重点放在“深化网络前沿创新”上。
报告里还有很多观点、建议和主张。大部分表述都用了“应该”这个词,这一定程度上降低了采取行动的紧迫感,可是有一条建议没有用“应该”。它提出,保证下一代工程师接受网络安全培训。网络安全无疑是目前一项至关重要的技能。
报告称:
“学术机构在与美国国家网络安全教育计划合作,他们应该将(网络安全)确立为攻读一切工程学学科的基本要求内容。”
这份报告上周末发布,其中有不少好提议,以上只是冰山一角。从现在起到今年2月12日,大概一个月多一点时间都是报告的公众评议期(任何看法可以发送电邮到地址:Counter_Botnet@list.commerce.gov)。如果你对报告提到的任何内容深有感触,现在就是让美国政府知道的好时候。