3-4月份,媒体上爆出两则关于网络攻击工具的新闻,让全世界得以再窥某些国家“网络武器”的冰山一角,也再次证明了我国作为网络攻击受害者的事实。
其中一则新闻是,黑客组织“影子经纪人”再次公开了一批方程式组织使用的网络攻击工具,包括攻击有关操作系统的0day漏洞、伪装中国用户浏览器发送HTTP请求的工具等,同时还公布了方程式组织的部分攻击对象,其中包括我国电信运营商。更早前就有报道称,该组织曾攻击过我三大电信运营商、清华大学及有关科研机构。俄罗斯网络安全厂商卡巴斯基研究人员表示,方程式组织可能是世界上最厉害的网络攻击组织。
另外一则新闻是,“维基揭秘”网站披露了一批代号为“拱顶7”的秘密文件,美国网络安全厂商赛门铁克分析发现,该公司从2014年开始跟踪的一个名为“长角牛”的黑客组织与“拱顶7”文件出自同一机构。赛门铁克发现“长角牛”已经侵入亚洲、非洲、中东和欧洲16个国家的至少40个目标,包括政府和国际组织,并涉及金融、电信、能源、航空、信息技术、教育和自然资源等领域,而且还曾把攻击嫁祸于中国。
事实上,自从2013年斯诺登事件以来,不断有类似的新闻报道,似乎中国每次都是“躺枪”。不过,不像当时斯诺登事件一石激起千层浪,现在公众对此类爆料似乎已经有点习以为常,见怪不怪了。您可能也会觉得,这事与我何干?又不会攻击到我头上,再说了,这维护网络安全是政府的事,是网络管理员的事,出了问题有他们负责,我只是个普通网民,跟我没关系。
但是,真的跟您没有关系吗?如果大家都这么想,那可就真要“细思极恐”了!
先来讲讲大道理。2015年7月新出台的《国家安全法》明确,中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织,都有维护国家安全的责任和义务。维护国家安全,要广泛动员公民和组织,防范、制止和依法惩治危害国家安全的行为。2014年2月,习近平总书记在中央网络安全和信息化领导小组第一次会议上指出,没有网络安全就没有国家安全。显然,网络安全是国家安全的重要组成部分。可以看出,一方面,法律已经明确,每个人都有维护网络安全的责任和义务,另一方面,网络安全也离不开每个人的参与和贡献。正如习近平总书记所说,网络安全为人民,网络安全靠人民,既树立了网络安全以人民为中心的工作导向,也再次强调了网络安全要依靠大家共同来维护。
再从维护您自身利益的角度来看看。2016年12月发布的《国家网络空间安全战略》指出,网络空间已成为生产生活的新空间,正在全面改变人们的生产生活方式,深刻影响人类社会历史发展进程。网络已经远不仅是一个工具的概念,而是深度融入了您的学习、生活、工作等方方面面,承载了您的信息、财富以及各种权益。遗憾的是,作为一个人造的新空间,网络空间也带有人性的阴暗面,而且随着网络渗透得越深,这种阴暗面可能带来的危害也越大,对人们在网络空间的合法权益造成了威胁。
以恶意代码为例,早期的黑客编写恶意代码主要为了炫技,多有恶作剧性质,中了病毒大不了重装,近些年流行的敲诈软件可就主要为了求财了,它会自动加密受害者电脑中的文件,如果不向病毒作者交赎金获取解密密钥,受害者就永远无法解密。试想一下,假如您是一位马上要毕业答辩的学生,发现电脑里做了大半年的的毕业论文再也打不开了,或者是一位建筑设计师,发现几个月辛辛苦苦绘制的设计图再也看不了了,那就真是损失惨重,欲哭无泪了。
此外,与现实空间相比,人们在网络空间的行为更容易留下各种痕迹,个人信息更容易被收集、分享、利用,由此也带来了严重的个人信息泄漏问题,近年来大规模的用户名密码泄漏层出不穷,似乎不管多大的互联网平台都难以幸免。而且,个人信息泄漏的后果可不仅是骚扰短信、电话推销那么简单,严重的可能导致电信诈骗、信用卡恶意透支、身份冒用、名誉受损等等,实在不可掉以轻心。去年8月份的徐玉玉案,就是犯罪分子攻击了报名系统,盗取了考生信息,进而对徐玉玉实施了诈骗,造成了一个花季少女的陨落。
由此看来,网络安全可真不仅是政府、网络管理员的事,首先您自个儿的网络安全就很重要,与您的工作生活息息相关。不过,也许您还会说,网络安全是重要,但就算被黑了也就是我自个儿的事啊,凭什么说我有维护网络安全的责任和义务啊?
这种说法看似有理,实则谬矣。从宏观形势看,当前我国网络安全人才缺口大,核心技术受制于人,网络安全防护能力不足,而网上的对手既有国家背景拥有强大网络武器的“正规军”,又有分工明确、组织严密的黑色产业“雇佣军”,网络安全失泄密、窃取知识产权、关键信息基础设施瘫痪等事件时有发生。而从很多真实案例来看,一个网络系统防御最薄弱的因素是人,系统内的人如果网络安全意识不到位,再严密的防御也可能变成了筛子,毕竟有句话叫堡垒最容易从内部攻破,您要是被黑客选中当成了这个突破口,被黑了就不仅仅是您自个儿的事了!
设想一下,一家商业网站被“拖库”了,您的个人邮箱用户名密码被泄露,您可能觉得这个邮箱里也没啥东西,无所谓,但是黑客从您邮件记录中又发现了您单位的邮箱,恰好您平时上网只要是注册,所有的用户名密码都是同一个,黑客就由此控制了您单位邮箱,再用您单位的邮箱给您同事发了一封看起来很正常的“工作邮件”,附件放上暗藏木马的word文档,结果同事在单位打开附件就中招了,电脑被植入木马,成为黑客手中的“肉鸡”,同时也成为了黑客进一步攻击单位内部系统的一个“跳板”,本来因为您单位网络管理员层层设防,黑客从单位外部很难攻击进来,就因为有了这个“跳板”,攻击难度大大降低,结果黑客窃取到了单位的商业秘密,甚至控制了单位一些核心系统系统,导致重要基础设施瘫痪,影响了人民群众生产生活和社会秩序。还有一种可能,境外某国黑客为了掩饰身份,利用您同事的电脑去窃取另一国某公司的商业秘密,被该国执法机构发现,结果在该国掀起了指责我国网络攻击的浪潮,对我国家形象造成了负面影响。由此看来,可能就因为您的网络安全意识不到位,没有尽到网络安全责任和义务,对单位,甚至对国家造成一系列严重后果。
说一千道一万,还是习近平总书记那句话,网络安全为人民,网络安全靠人民。每个人都得强化网络安全意识,掌握基本网络安全技能,既维护好自身在网络空间的合法权益,又为集体、为国家的网络安全贡献一份力量。
(作者 伍扬)