对企业而言,互联网在削减成本、企业合作和零售业等众多不同领域中仍然是一种拥有巨大潜力的工具。但是,随着商业对互联网的依赖性不断增加,也出现了一个巨大的潜在问题。2005年,总统信息技术咨询委员会向布什总统提交了一份报告,直言不讳地提出了这一问题:“目前,对通讯、商业和我们的物质基础设施管理方面尤为重要的美国信息技术[IT]基础构架,非常容易受到恐怖分子或者犯罪分子的攻击。” 麻省理工学院的应用数学教授、Akamai Technologies公司的共同创办人兼首席科学家,同时也是马萨诸塞州剑桥网络交互处理技术开发者的Tom Leighton博士指出,难点在于对互联网的特别设计上。Leighton任职于PITAC,担任网络安全小组委员会主席,他解释说,今天所采用的互联网协议,很多都是建立在约40年前创建的原始互联网协议之上的。早期对互联网的安全需求与今天复杂的全球网络大不一样,当时它仅被少数可靠的研究员使用,这些研究员一般来自政府实验室和少数大学这样的地方。“那时的[互联网]协议是在一种可靠的环境下创立的,”Leighton解释道, “那时仅有极少数的人使用互联网,而他们一般都具有渊博的知识,非常值得信赖。” 时代在改变。“现在,我们面临的情形是,互联网和网络被广泛地采用和利用——其安全性非常低,”Leighton说。按照他的说法,这一弱点不仅影响到了商业活动,也影响到了国家安全。
Leighton应该对互联网的安全性问题了若指掌。Akamai使用的是一种名为“内容分发网络”的技术,事实上就是一个全球的、分散型的服务器网络,它为其他机构提供Web站点,发布Web内容和应用程序。例如,如果一个使用Akamai服务的站点遇到了巨大的流量潮,这股流量将会被分发到整个服务器网络,因而保证了网站的运行不会中断。
Leighton怎样看待互联网所面临的巨大安全威胁问题呢?除了众所周知的一些威胁,如病毒和“网络钓鱼”(在交易中通过发送假电子邮件,试图获得个人密码和账户)之外,Leighton阐述了以下一些问题。
- 拒绝服务攻击。在“拒绝服务攻击”情况下,一个Web站点的IP地址会受到超高流量的攻击,其目的是试图使网站的管理体系崩溃。Leighton解释说,“坏家伙们可以使用大批‘bots(一种计算机病毒)’”,使计算机通常在主人不知情的情况下被控制,当计算机被病毒或者蠕虫感染后,它就会发起拒绝服务攻击。这种攻击可将公司或者更广泛的目标作为攻击对象。例如,2007年2月6日《信息周刊》报道,当天,拒绝服务攻击“几乎破坏”了13个被称为互联网根服务器中的3个,造成了暂时性的服务器速度减慢。虽然这种攻击对互联网终端用户不会造成重大影响,但是,如果拒绝服务攻击成功破坏了全部13个互联网根服务器,情况会怎样呢?如果这种情况发生,短时间内“您的浏览器将无法浏览任何网站;而您也将无法发送电子邮件。在互联网上什么都不能做。”Leighton说。
- 域欺骗。Leighton解释说“域欺骗”经常利用的是DNS的弱点,因为互联网协议让“坏家伙们”能够识别出一种被称为域名服务器的装置,它拥有某一机构(如金融机构)的IP地址,这样的域名服务器有数百万台。这样,电脑黑客就可接收到来自那个域名服务器传输的内容,也就意味着它可以由此侵入该金融机构。电脑黑客将传输的内容发送到一个假网页上,这一网页看起来很像是该金融机构自己的登录页面。Leighton说,犯罪分子就能够在这一过程中获取密码和账户信息。更糟糕的是,用户可能还无法察觉发生了什么事。Leighton补充说,另一种类型的“域欺骗”能够采用被称作BGP的另一种互联网协议,将原计划发送到某一特定站点的传输内容重新导入至一个假冒网站,再次试图获取密码和账户信息。
如果将这些技术用来针对国家而非商业盈利,极有可能带来更大的影响。Leighton举例说,忧患之一便是,假如恐怖分子能够获取账户和密码信息,就会用它们来访问重要的基础构架系统,如国家公共事业系统。
我们能做什么?PITAC的报告中给出了许多建议,其中包括为长期的网络安全问题基础研究提供更多的联邦资金。Leighton表示,如果美国政府能为研究提供资金,以开发出更多的安全协议来取代当前用于互联网的那些协议,那么政府就可以率先采用改良的协议为其自身服务。这样一来,将有可能扩大改进后的互联网协议的使用范围,从而形成一个更安全、更可靠的互联网构架体系。
“看起来我们并没有采取必要措施去解决这一问题,” Leighton说。“但是我认为这一问题一定能解决。”
