来源:清华全球传播
作者:史安斌(清华大学新闻与传播学院副院长、教授)
刘弼城(清华大学新闻与传播学院硕士研究生)
刊于《青年记者》2019年3月号(上)
如果从1969年美国国防部创立的“阿帕网”算起,互联网至今恰好走过了半个世纪的历程。从早期的局域网发展到5G时代“万物皆媒、万物互联”的“物联网”,这项革命性的技术为整个世界带来了过去难以想象的便利和快捷,成为推动人类发展和社会进步的不可或缺的“福器”。
近年来,随着网络安全问题日益浮出水面,这件“福器”日渐露出了“面目狰狞”的另一面,甚至被一些黑客用作“凶器”来实施网络犯罪。尤其是当5G技术日益普及的今天,如果不能采取相应的安全防范措施,“万物互联”会演变为“万物皆凶器”。亡命之徒只要轻敲键盘,便可在瞬时之间杀死所有人。这已经不再是科幻小说中虚构的惊悚场景,而已成为5G时代亟待破解的现实困境。
在网络端口日益普及的今日,大到发电站、污水处理厂等基础设施,小到日常生活用品都有可能成为黑客发动网络攻击的“凶器”。例如,2017年夏季,全世界约15万台打印机,不约而同地重复打印各类字符和“荒谬”的文本信息。此前,部分美国大学办公室内的打印机也被“挟持”,自动打印“反犹”传单。
就在十多年前,对象如此“泛化”的“网络攻击”几乎是人们无法想象出来的。2007年7月,黑客通过欺诈电子邮件突破了美国国防部Windows系统的一个漏洞,从而窃取了大量敏感数据。当有关部门接到报告,并及时切断电脑的系统连接后,网络攻击就自动结束。其时,网络攻击针对的对象仅是计算机这类单一信息载体。但随着5G时代的到来,越来越多 “自立自为”的独立物与统一的网络相连接,进行信息交换和通信。5G技术在方便人们对物体进行智能化辨识和定位的同时,也增强了网络体系崩溃所造成的破坏力。与其他前沿技术相似,5G时代物联网的普及既是人类的福音,也可能会带来更大的风险和挑战。本文通过梳理从互联网向物联网的演进脉络,揭示从“福器”到“凶器”的外在动向和内在动因,为国内同行进一步深化对网络安全问题的思考和探索提供镜鉴。
从“互联网”到“物联网”
互联网始于1969年由美国国防部建立的“阿帕网”。创立之初,其使命在于以“去中心化”的互联方式保障科研工作的安全与稳定。上个世纪80年代中期,美国国家科学基金会借鉴“阿帕网”的形式建立了NSFnet。其它国家也纷纷仿效,如澳大利亚政府成立了AARNet,瑞士政府成立了SWITCH。后来,随着不同的局域网之间的联系愈加频繁,逐渐演变为拥有统一“域名”的互联网。在众多网络中,NFSnet在传播技术上更胜一筹,逐渐占据主导地位,成为今日互联网的奠基石。
在互联网高速发展40多年后,人类“连接一切”的渴望并未停歇。从Web1.0、Web2.0到移动互联网后,互联网已经将人与人之间充分互联。为了进一步拓展信息世界,加强人类对物质世界的应对能力,一种旨在连接人与物、物与物的新型网络应运而生。
“物联网”的概念最早出现在上个世纪90年代。2005年11月,国际电信联盟以“物联网”为题发布该年度的互联网产业报告,强调物联网将日常物件和设备与各种类型的网络彼此相连,能够实时探测连接状态下物理实体的变化信息[ii]。根据一家智库(IBSG)发布的报告显示,物联网正式诞生是在2008到2009年之间,物的相连第一次在规模上超过人的互联。此后,物联网逐渐被视为突破互联网的局限、踅摸新的经济增长点的必要途径,欧盟、美国和中国都相继把发展物联网上升到国家或地区的优先战略层面。
虽然互联网和物联网都是“一种具有彼此通信能力的对象之间相互连接的传播生态”,但是相比互联网,物联网将被植入传感器的实物也纳入互联网中,从而在无线传感器网络基础上,突破了传统互联的虚拟界限,实现了虚拟世界与现实世界的信息交流,有望完成人与物的高度整合。互联网时代所有信息都必须经由人去收集和上传,因此很难动态了解数据的变化。在物联网时代,通过在实物中嵌入像人类神经一般“敏感”的感应芯片,以及利用无线技术进行远距离的数据传输,物体不仅可以自己“开口说话”,而且还能实现“自我调节”,因此,相较于互联网,人类通过物联网技术能够更为智能地获取、传递以及处理各类信息。在这种在“人、过程、数据和事物”之间架构起的联系,便是物联网的核心,即“万物互联”的新型网络结构。
以5G为代表的通讯技术的突破,加快了人类社会传输和处理数据的速度。随着用户与设备的接触和连接越来越频繁,人类传播进入了物联网时代。根据高德纳咨询公司的报告,物联网呈现出“爆炸式”的发展态势。目前全球有近50亿物件实现了互联。据预测,到2020年,全球物联网的市场容量将高达2.2万亿美元。
愈连接愈脆弱
物联网技术正在迅速革新人类与世界互动的方式。借助于传感器和促动器的无处不在与精准配合,一件微型装置就能够使得人与外界的互动变得更为密切。例如,电子手表里的温度和湿度传感器既可以实施测量佩戴者的体温和含水量,监测其健康状况,另一方面,电子手表和电梯的传感器互相联通,因此当佩戴者接近电梯时,电梯能够自动感应,并自行协调电梯的调度以满足搭乘者需求。物联网技术改变的不仅是个人的生活,更是对不同产业的生产效率的大幅提升。目前,可穿戴的患者监控医疗设备能够实现对患者饮食、睡眠等生活习惯的远程监控,而且患者和医生都可以实施获得患者的健康数据,从而能够加快治疗患者的效率。航运业利用基于云端的物联网技术,实现对船舶运输、天气、海况的实时监控,从而对海上航线进行优化,确保燃油、发动机、远程医疗等各个控制中心之间的通信与协调的安全高效。
物联网让人类社会进入了一个进步、效率和机遇并存的智媒时代。但与此同时,物联网设备的安全保障更为复杂,防护难度较高。使用者很可能会忽视产品中的技术漏洞,这使攻击者很容易发现漏洞并加以利用。据2018年美国思科(Cisco)公司发布的《网络安全报告》显示,2016年10月到2017年9月底间,该公司的网络安全研究团队通过调研全球市场上的通讯产品,共发现新漏洞224个,其中近1/3的漏洞与物联网设备相关。物联网的安全风险不可小觑。具体来说,物联网在商业化的过程中,其设备和应用程序的多样性带来了不小的安全性挑战。缺乏有效安全机制的物联网设备和服务都是黑客攻击的潜在入口,网络攻击者利用弱密码、不安全的密码恢复机制、保护不力的凭证等漏洞访问物联网设备,危及人身安全和社会稳定。2018年初,波兰一名年仅14岁的学生通过网络漏洞侵入该国第三大城市罗兹市有轨电车运营调度系统,利用遥控装置改变车辆的行驶方向,导致数台机车车厢脱轨并造成12名乘客受伤。
此外,物联网“万物互联”的这种属性,也易使网络攻击具有前所未有的“连锁效应”,呈现出“愈连接愈脆弱”的特征。2017年9月,物联网安全研究公司(Armis)通过利用蓝牙协议中的八个“零日漏洞”,设计了一组攻击向量 (BlueBorne),并在实验中构建了一个“僵尸网络”,以接管各类支持蓝牙的设备,传播恶意软件。据该项实验的负责人称,如果黑客利用这八个漏洞对蓝牙设备进行恶意攻击,受影响的设备将达到53亿台,无论当前市场上常见的智能设备还是新型物联网设备都很难从中幸免。
实际上,无论是互联网还是物联网,其运行的基点都在数据。数据既是计算机执行人类指令的手段,也是连接不同设备之间的“信息”桥梁。互联网向物联网的演进,很大程度上是由呈“指数级”扩张的数据量所推动。据统计,2015至2017年三年间,人类所产生的数据量远超以往四万年历史的总和。2018年,世界互联网用户每月流量就已突破129EB,2020年,预计全世界整体数据流量将超过40ZB。人类已身处“数据海洋”的时代。然而,数据间的关联度愈发增强,人类的安全保障反而愈发“脆弱”。一旦单个数据发生泄露,就很可能是一场“多米诺骨牌”式的连锁危机。2018年3月17日,全球最大的社交平台运营商脸书被曝涉嫌泄露5000万用户数据。实际上,剑桥分析公司干预美国大选和英国脱欧公选所依赖的5000万脸书用户数据,并不是源自5000万脸书用户,而是以27万的脸书用户为数据样本,从中进行挖掘和收集获得。
数据的“脆弱”不只体现在不同信息之间更为紧密的横向联系上,在纵向维度上,数据的“可挖掘性”也使得数据一旦被窃取,信息泄露所带来的损害不可估量。这是因为物联网的发展不仅是连接对象与规模的扩展,亦是计算性能的提升,因此数据不仅是对用户基本信息的记录,还会为解析其行为和心理打开了一扇窗户。斯坦福大学商学院教授科钦斯基(Michael Kosinski)发布的研究报告显示,他通过从脸书上收集用户的“点赞”数据并进行计算分析,就能够精准地揣测出用户的年龄、性别、民族、宗教信仰、政治观点、个性特点,甚至智力水平和幸福指数。
万物皆“凶器”
美国网络安全专家施奈尔(Bruce Schneier)2018年出版了一本畅销书《点击这里杀死所有人:超级连接世界中的安全和生存》。作者是哈佛大学研究员,同时担任负责IBM应急响应的首席技术官。书中描绘了一幅物联网时代的末世景象:利用电脑杀人、撞毁汽车、让发电厂瘫痪,使用生物打印机引发流行病疫情,等等。在万物相连的情况下,万物都是“电脑”,这预示着万物皆可为“凶器”,从技术层面上讲可以确实可以做到按下鼠标便能够杀死所有人。尽管施奈尔也认为自己取的书名有“标题党”之嫌,但他希望借此引发人们对物联网负面效应的关注。
毋庸置疑,任何便利的技术都包含着隐患,计算机也不例外。具体来说,作为电脑收集、分析数据的核心,软件本质上是一种由人或组织进行开发的人造程序。软件的供应商作为商业市场的重要参与者,盈利是其唯一目的。因此,以较小成本进行开发、最快速度回应市场的需求是软件开发商普遍采取的一种市场策略。很多开发商为了节约成本,将测试环节也简化或者直接省略,这直接导致了软件质量的下降。此外,即便有部分软件具备较高的质量,在编程过程中普遍采用的分工模式和“程序猿”个体之间的差异,程序中出现一些技术漏洞也在所难免。Windows,MacOS,iOS和安卓这类质量相对较高的软件也需要不断安装补丁,修复漏洞,方能维持程序的稳态运行。
同样道理,作为不同电脑连接形成的通信网络,互联网也是具备一定风险的“人造物”。作为互联网自治系统的路由协议,“边界网关协议”(BGP)并没有设置独立的信息审查机制。普通互联网用户对所有流通的信息并无戒备之心,这个“边界网关协议”很容易被恶意黑客攻击和操控。早在2013年6月,臭名昭著的“棱镜计划”被斯诺登通过媒体公之于众,美国国家安全局(NSA)就是利用BGP存在的漏洞窃取了大量公民的隐私数据。此外,不只是BGP,电子邮件、域名服务、超文本标记语言等其它互联网所提供的核心业务都具有重大的安全隐患。
互联网之所以会“漏洞百出”,源自早期开发者对技术“自净”功能的过度自信和对安全问题的漠视。美国麻省理工学院教授、互联网早期开发者之一的大卫·克拉克(David Clark)曾经信心十足地表示:“我们并不是没有考虑过互联网的安全。互联网上肯定也会出现不值得信任的人,但我们相信能够不借助专门的审查和监督机制而将他们排除在互联网之外。”现在看来,类似这样的豪言壮语已经成为不切实际的空谈。互联网早期开发者秉持“去中心化”的思路,将对安全保障的职责赋予了每个网络终端,由用户自行保障自身的安全。因此,忽视互联网安全机制的顶层设计和统筹管理也是导致“愈连接愈脆弱”的重要诱因。
物联网时代,随着越多越多的物体被植入传感器,与统一的管理服务云端相连,每一个原本独立于虚拟世界的实物目前都具有了收集信息、计算信息和对信息作出反应的能力。在人工智能技术的加持下,“万物相连”已进化为“万物皆电脑”。与此同时,电脑和由电脑组成的互联网固有的风险性也快速蔓延到具备电脑特征的物体和由此连接而成的物联网当中。“后门”程序是软件开发人员有目的性创建以便后期修改程序设计中的缺陷的后台应用程序,它通常会被“盗码者”视作“绝佳破绽”进行攻击。而这也成为物联网体系下所有终端的“阿喀琉斯之踵”。原本仅能影响电脑的勒索软件、恶意软件以及远程挟持软件,现在能够轻而易举地就对各类实物进行控制和破坏。
在这种更为广泛的“互联”中,尽管网络系统更为复杂,但是一个更为复杂的体系也意味着拥有面积更广的攻击平面,恶意攻击者总能找到相应的办法来攻克其中某个节点。在这种情况下,体系内任一节点受到网络攻击,就很有可能导致单个系统甚至不同系统的“崩溃”。2017年,一名黑客仅通过入侵与网络相连的鱼缸,就进入了该房间主人的主机系统,从而窃取了大量隐私信息。由此可见,在“万物皆电脑”的时代,万物都可能为“凶器”。不同终端在互联连接的同时,也将原本是由单个终端所承担的风险向网络中的其它终端“等量转移”,这使互联网时代“愈连接愈脆弱”的风险被进一步放大为物联网时代的“万物皆凶器”。
如何维护物联网安全?
数字安全研究机构金雅拓(Gemalto)公司发布的报告显示,2017年全球各类数据档案泄露的数量高达25亿,比上年增长了88%。数据外泄不仅会侵犯个人隐私,同时也会带来巨大的经济损失。微软公司的报告显示,世界各国的政府、企业和社会组织平均每年要为网络攻击所造成的损失支付40亿美元,而且这个数字还会继续增长。在数据流动性空前增强、攻击表面急剧扩大的5G时代,如何有效保障物联网安全已经成为当务之急。
安装“补丁”是修补电脑程序漏洞,降低网络攻击风险的常见策略。然而,软件供应商对“补丁”的更新换代却极其“迟钝”。据2016年一份调查结果显示,20%被发现存在安全隐患的软件,甚至部分下载量排名前50的软件,都没有得到补丁的适时修补。此外,并非所有补丁对漏洞修复一定“奏效”,2015年9月,一家网络安全咨询机构(Synack)披露,Mac平台当中的Gatekeeper存在严重的系统漏洞,而在苹果公司相继两次发布补丁后,漏洞依然没能得到有效修补。部分补丁甚至还会对设备其它功能造成损害,例如2014年苹果系统发布的一个补丁就使得苹果手机的信号功能减弱。这说明,互联网时代主要依靠补丁对安全漏洞进行修补的方法已经过时,再也无法成为保障网络安全的有效途径。
维护5G时代的物联网安全需要彻底打破互联网时代“去中心化”的思维定势,从设备、数据、算法、网络连接、基础设施等多个维度加强统筹协调,强化全面保障。制定统一标准是强化安全保障的前提。为此,施奈尔提出了制定标准时应当考量的十项原则:透明化的数据管理、可修补的软件、产品前期测试、允许用户调整默认安全操作、可预见和可防范的系统故障、使用标准化的协议和规则、避免已知的漏洞、维持离线功能、加密和认证数据、政府和企业应资助与网络安全的相关研究项目,等等。上述十项原则具有较强的可操作性和借鉴意义。
政府部门应当切实履行保障物联网安全的主体责任,应当加强与“硅谷”的合作,建立起有效的“技术+政策”的协同管理机制。监管部门应将安全标准纳入对市场准入门槛的考量当中,像以往治理矿难、食药等重大安全责任事故那样,通过“严刑峻法”迫使互联网企业把安全保障列为头等大事。对于普通网民而言,应当强化自身的“数字素养”,增强对网络犯罪行为的辨别力,更为积极主动地保护自身的数据安全。
从互联网到物联网,技术的进步给人类社会带来了空前的自由和便利,同时也导致了前所未见的风险和挑战,甚至可能掀起难以想象的“惊涛骇浪”,乃至于威胁到整个人类的生死存亡。随着5G技术的日益普及,物联网安全机制建设的重要性愈发凸显。如何确保物联网能够成为有利于构建人类命运共同体的“福器”,而不会变异为“点击杀死所有人”的“凶器”,这是5G时代摆在政府、企业和公众面前的一道迫在眉睫的课题,需要我们携手面对。
参考文献:
Bruce Schneier. Click Here to Kill Everybody. W. W. Norton & Company, 2018,p1-3.
He J . Introduction of the Internet and World Wide Web[J]. Experimental Techniques, 2010, 21(5):29-33.
The Internet of Things, https://www.itu.int/net/wsis/tunis/newsroom/stats/The-Internet-of-Things-2005.pdf.
Internet of Things Trends 2018, https://blog.g2crowd.com/blog/trends/internet-of-things/2018-iot/.
Agrawal S, Das M L. Internet of Things — A paradigm shift of future Internet applications[C]// Nirma University International Conference on Engineering. 2012.
Miraz M H, Ali M, Excell P S, et al. A review on Internet of Things (IoT), Internet of Everything (IoE) and Internet of Nano Things (IoNT)[C]// Internet Technologies & Applications. 2015.
Internet of Things Trends 2018, https://blog.g2crowd.com/blog/trends/internet-of-things/2018-iot/.
Jim Chase, The White Paper on, “The Evolution of the Internet of Things”, (2013),
http://www.ti.com/lit/ml/swrb028/swrb028.pdf.
Agrawal S, Das M L. Internet of Things — A paradigm shift of future Internet applications[C]// Nirma University International Conference on Engineering. 2012.
https://www.cisco.com/c/dam/global/zh_cn/products/security/acr-report-2018/final_files_cisco_2018_acr_web_cn.pdf.
Tilley N. Data and Goliath - The Hidden Battles to Collect Your Data and Control Your World[J]. 2016.
荆林波.大数据的由来与作为[J].财经智库,2018,3(04):26-35+140.
https://www.statista.com/statistics/267202/global-data-volume-of-consumer-ip-traffic/.
Your online privacy depends as much on your friends’ data habits as your own. https://theconversation.com/your-online-privacy-depends-as-much-on-your-friends-data-habits-as-your-own-93860.
[美]布鲁斯·施奈尔.数据与监控:信息安全的隐形之战.金城出版社,2018年1月,p26.
Kosinski M, Stillwell D, Graepel T. Private traits and attributes are predictable from digital records of human behavior.[J]. Pnas, 2013, 110(15):5802-5805.
Bruce Schneier. Click Here to Kill Everybody. W. W. Norton & Company, 2018,p4.
Why Does Software Have Bugs? https://www.softwaretestinghelp.com/why-does-software-have-bugs/.
Bruce Schneier. Click Here to Kill Everybody. W. W. Norton & Company, 2018,p21.
Bruce Schneier. Click Here to Kill Everybody. W. W. Norton & Company, 2018,p22.
Bruce Schneier. Click Here to Kill Everybody. W. W. Norton & Company, 2018,p23.
Bruce Schneier. Click Here to Kill Everybody. W. W. Norton & Company, 2018,p25.
2017 Data Breach Level Index: Full year results are in…, https://blog.gemalto.com/security/2018/04/13/data-breach-stats-for-2017-full-year-results-are-in/.
Bruce Schneier. Click Here to Kill Everybody.p38.
Apple Keeps Leaving Macs Open To Malware -- But Whitehat Hackers Have Your Back,https://www.forbes.com/sites/thomasbrewster/2016/01/15/apple-mac-gatekeeper-fails-again/#200ac2bf7ea5.