无论是互联网还是物联网,安全问题都需要业界慎之又慎。要想让网络获得尽可能完善的安全保障,开发者应当开诚布公,将系统的内在机制尽可能详细地呈现给用户、同行以及黑客,提高网络的透明度。
2017年上半年肆虐全球的两大互联网病毒Wannacry和Petya给多个国家的政府部门、银行机构、大型公司以及个人用户带来了严重损失,至今仍有电脑中招。所幸这些病毒只是在虚拟的网络世界横行,没有直接作用于现实世界,对人身安全尚不构成威胁。然而,在即将到来的物联网时代,情况很可能会变得不同。
根据当前物联网设备安全漏洞大量存在、网络攻击时有发生的现状,可以想见,未来针对物联网的黑客与病毒也将会是一个长期现象,一如今天的互联网所遭遇的那样。而物联网一旦“被黑”,带来的危害无疑会更为可怖。直接作用于现实物体的病毒极有可能造成人身伤害。《速度与激情8》里被黑客操纵的僵尸车横冲直撞的场面在银幕上给人以视觉刺激,要是在现实中上演可就要让人不寒而栗了。
无论是互联网还是物联网,安全问题都需要业界慎之又慎。不少相关企业也的确是这么做的,它们十分注重网络安全防护系统的研发和维护,并把系统的具体运行机制视作高级商业机密严加保护,使之对外形成一个黑箱。
这种越隐秘越安全的逻辑听起来十分合理,但是实际情况并非如此。遭受病毒攻击的绝大多数网络安全系统在事发之前都是对设计原理严格保密的,然而并没能阻止黑客的破解。
事实上,要想让网络获得尽可能完善的安全保障,最好的方法或许恰恰相反:开发者应当开诚布公,将系统的内在机制尽可能详细地呈现给用户、同行以及黑客,提高网络的透明度。
把自己完全暴露在明处,让躲在黑暗里的敌人对自己心知肚明,这样哪有安全感可言呢?我们不妨先看一个例子。美国洛杉矶国际机场一直是恐怖分子觊觎的袭击目标,这里的安防系统采用博弈计算来制定警察最佳巡逻方案,为警察设计最优的巡逻路线。这套机制是公开的,恐怖分子可以轻易得到它。但是,系统同时采取了混合策略,即对外宣布警察有70%的可能会去1号航站楼,30%的可能去2号航站楼。这种不确定性顿时增加了恐怖分子的行动难度。让他们不得不以对警察最有利的方案为前提采取行动,成功几率大大降低。
网络中的斗争亦如此。在确定了最佳设计方案之后,公开它并不会让不法分子肆意妄为,只要系统做得足够完善,黑客们即使对其原理了如指掌也会束手无策。著名的白帽黑客、滴滴信息安全专家Charlie Miller曾通过远程控制汽车试验迫使菲亚特克莱斯勒召回了140万辆存在安全漏洞的汽车。他本人便对当前大多数车商将安全技术严加保密的做法不以为然。
按照Miller的看法,提高网络透明度的好处有三:其一,让用户获得知情权,设计者可以根据反馈及时修补漏洞,完善系统;其二,同行可以相互借鉴,共同提升;其三,有利于学界从事相关研究,最终令企业和消费者收益。
目前,微软、苹果、谷歌等公司都已经形成发布公告介绍其浏览器安全系统运作机制的惯例,这并没有给其带来更多的黑客袭击。巨头们的成功实践为其他互联网公司乃至物联网企业提供了良好的示范。
网络让人们紧密相连,应对网络安全威胁也不应该是个体的单打独斗。无论是从技术角度还是心理层面,我们都应该坦诚相待,携起手来。