2017年5月17日星期三

专访:政界为何不去堵住网络安全漏洞?



德国之声:周末以来,全球范围内数十万台电脑感染了名为"wannaCry" 的病毒。微软指责美国政府和美国国家安全局NSA对此负有责任。微软总裁布拉德·史密斯(BradSmith)在一篇博客文章中称,情报部门对这一安全漏洞了如指掌,却不愿将相关信息通报给信息技术企业。这次黑客袭击应为世界各国政府敲响警钟。这一指控有根据吗?
法尔科·加布什:这一说法基本上符合我们过去多年来所指出的问题。我们知道,情报部门一直在搜集和利用安全漏洞。他们要么在黑市上购买这类漏洞,或者招募专业人才,为他们寻找漏洞。情报部门会利用这些漏洞,对一些系统展开有针对性的攻击。对于美国情报部门来说,工业间谍、经济间谍和科技间谍都是他们非常感兴趣的领域,他们在这些领域非常活跃。此外,情报部门还热衷于搜集个人信息,以便利用这种数码武器对系统和电脑网络展开有针对性的攻击。
德国之声:那就是说,政府部门会对信息科技产业故意隐瞒一些系统漏洞的信息,因为他们自己想利用这些漏洞?
法尔科·加布什:的确如此。如果你购买了有关系统漏洞的信息,那你当然希望这个漏洞尽可能长久的存在下去,为己所用,毕竟你为这个漏洞付了很多钱。但是另一方面,操作系统的漏洞得不到弥补,那么全球范围的电脑系统就不安全,就有可能被犯罪分子利用。
德国之声:难道情报部门甘愿冒这种风险?
法尔科·加布什:不仅情报部门这样,政府也有意识地去冒这种风险。过去几个月里,有关操控选举的争论足以让我们看到,有关国家正在展开一场网络军备竞赛。安全漏洞被披上国防的外衣视为珍宝,而真正的防御机制却被抛在了一旁。最近的网络袭击只是第一轮袭击。如果情报部门继续为了获得攻击对手的数码武器去搜集并隐瞒安全漏洞,而不是去消除和弥补漏洞,那我们就必须认为,情况会变得越来越糟。防范黑客袭击唯一的可能性就是,采取防患于未然的政策。
德国之声:难道弥补安全漏洞不是更符合政府的利益吗?因为这样他们就不会成为网络攻击的对象了?
法尔科·加布什:当然是这样。所以我也感到很奇怪,政府为什么会允许情报部门隐瞒安全漏洞。各国政府必须意识到,网络不是某一个国家的网络,而是一个国际性的架构。弥补漏洞,各国都会从中受益。这就和传统的国防战略很不同,不是说你在军备竞赛中获得了最好的武器,你就可以占据优势。在网络世界则不同,如果你有安全漏洞,那你就有遭到攻击的可能性。我在自己家里安了最好的窗户,却不安门,小偷还是会进来的。
德国之声:微软把球踢给政府,是不是在找替罪羊呢?毕竟这个漏洞是微软操作系统的漏洞。
法尔科·加布什:当然了,微软现在把矛头指向别人说,你看他们发现漏洞居然不通报我们。这个安全漏洞本来已经得到弥补了。但微软并没有把这个消息通报公众社会,他们本来可以通过媒体和舆论让所有用户都知道,快去安装安全补丁。但微软并没有这么做。但另一方面,微软说的也有道理,就是美国国家安全局的做法是不能接受的。据我所知,美国国家安全局去年就已经知道,他们所掌握的这个安全漏洞的信息已经泄露了。他们那时就应当通报微软。
德国之声:鉴于这次"WannaCry"病毒袭击影响面极大,您认为,有关方面会改变思想吗?
法尔科·加布什:当然大家都希望,政届能意识到问题的严重性。不过,听了过去几天来,有关人士对此问题发表的评论,我并不感到乐观。杜布林特先生再度呼吁要去完善信息技术安全法,但殊不知,这个安全法只会营造虚假的安全感,毫无实际意义。各方必须完全摒弃迄今为止有关网络安全的方案和思路,而要思考引入安全漏洞通报义务的可能性,同时还要将安全漏洞的信息通报给终端用户。否则情报部门就会继续在黑市上购买漏洞信息。只有做到这一点,电脑系统的安全才能长期得到保障。
Falk Garbsch Chaos Computer Club (Privat)
法尔科·加布什(Falk Garbsch)
德国之声:政府,情报部门以及IT行业都负有责任和义务。终端用户是否也应当承担起一定的义务呢?
法尔科·加布什:当然是这样。我们都在使用这项技术,所以我们就必须对我们的所作所为进行认真思考。我们必须意识到,对电脑系统进行安全升级是非常必要的,而且升级包一发布,必须立即下载安转,而不是一拖再拖。我们必须学习掌握必要的技能,以便识别风险,保护自己。每一个人都能有这种责任感。

法尔科·加布什(Falk Garbsch)是专业电脑及软件工程师,现任混沌电脑俱乐部新闻发言人。混沌电脑俱乐部是从事电脑安全研究的非政府组织,他们自称是欧洲最大的黑客组织。

没有评论:

发表评论

注意:只有此博客的成员才能发布评论。