2014年08月06日 星期三
“漏洞”成为网战武器

    网络战不是未来,而是已经存在,并且已经司空见惯。在这场战争中,随处都是战场,漏洞是武器,而黑客则是军火商。

    一个软件漏洞的价值能以金钱来衡量,这有点让人匪夷所思。漏洞即错误。通常,我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷所思的结果。在这个科技时代,我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界,以数据形式进入由软件构成的计算机内核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍,还有一些人是罪犯。漏洞就是他们用以获取数据的武器。

    几年前的一个例子能充分说明,是什么让漏洞如此有用。当时,美国和以色列联合研发了一种复杂的计算机病毒,其目的是侵入并破坏位于伊朗纳坦兹市的某个进行铀浓缩的核设施。这种名为“震网”(Stuxnet)的病毒或许是第一个真正的网络武器。一名双重间谍利用U盘将这种病毒植入核设施的计算机系统。该病毒在查看整个计算机系统后向主人传回详细的情报,随后开始大规模侵入控制离心机的计算机,并最终导致大约20%的离心机陷入瘫痪。(由于美国和以色列政府在这个问题上仍然保持沉默,以上均为通过安全专家和媒体提供的事实推演所得。)

    是什么让“震网”病毒如此有效?一个词:漏洞。要成功侵入目标系统,“震网”病毒至少利用了4个不同的系统漏洞,包括一个微软视窗操作系统的漏洞。这些漏洞——更确切地说,利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀,但是以软件的形式存在:它们是昂贵且高度精密的武器,构成了极端复杂的武器系统的核心。当“震网”病毒从纳坦兹市的核设施扩散并导致全球大约10万台计算机受到感染后,这些漏洞让“震网”病毒具有更大的破坏。(李炜)  

京ICP备06005116