// 作者 |余鹏鲲
前言
2023年国际形势持续动荡,世界经济将继续承压,全球需求减弱,地区发展水平分化的风险越来越大。在这样的背景下,信息安全却诡异地成为了近期各国舆论关注的重点。
3月23日,TikTok的CEO Shou Chew(新加坡华人)被美国国会盘问了5个小时。听证会的重点包括TikTok是否像美国科技巨头一样看重美国用户的隐私、TikTok上存在儿童不宜的内容以及TikTok与中国政府的关系。
美国国会质询Shou Chew的部分内容相当野蛮,面对TikTok关于数据不可能递交给中国政府,并且承诺今后美国用户数据交给美国保管时,加州民主党众议员 Anna Eshoo不依不饶地表示:“你说的和做的从未能说服我们,我不相信TikTok”。
TikTok的CEO被美国国会质询
应该说TikTok在信息安全方面已经仁至义尽了,依然被美国不依不饶的调查和追问。如果留下了口实,难免不会被一切问题都政治化的反华政客利用。
3月31日,中国网信办发文称,网络安全审查办公室按照《网络安全审查办法》,对美光公司(Micron)在华销售的产品实施网络安全审查。由于美光的“卡脖子”能力并不强,也不是美国信息产业的核心企业,因此有相当多的评论认为美光的产品恐怕真的有信息安全风险。
有意思的是,《纽约时报》最近又报道,美国政府通过第三方公司,在2021年11月8日与以色列间谍软件公司nso集团在美国的分支机构签署秘密合同。根据合同约定,nso将向美国政府提供间谍软件,用于秘密跟踪身处世界各地的手机用户。如此种种都说明信息安全,越来越成为世界舆论关注的焦点,以及互相贬低的工具。
互联网应用的开发,难免引入第三方库。如果这些库文件中含有恶意代码,软件的开发商很难立刻发现。走向国外的抖音等国内软件企业,可主动邀请用户对自己的应用是否存在恶意行为进行监督,并给予大额奖励。
此外,TikTok吃亏的一个重要原因就在于美国的软件安全没有标准,因此不管拿出什么样的证据,美国的监管机构都能找到漏洞。走出国外的TikTok和Temu等软件,可与美国其他权威企业搞个安全联盟性质的组织,规定所有参与组织的软件均符合同一标准,并互相承认安全性。这样反华议员再进行政治操弄就很不方便了,到时候他们就需要找出中国软件不能和其他软件等同看待的理由了。
信息安全问题本身就高的技术门槛,与波诡云谲的国际博弈混杂在一起,使得普通人理解起来倍感吃力。因此有人认为:在战争中,真相是第一个倒下的,不妨认可自己希望看到的事实,将新闻报道当作反映诉求的工具和武器即可。
也有人重视个人信息安全,努力地从近似于外交辞令的安全调查报告中寻找蛛丝马迹和预防的方法。最后悲观的发现:此类事件通常利用的都是软件预留的后门,而恶意代码往往还利用了系统的漏洞,甚至连发现都很难。
还有人表示普通老百姓没有值钱的个人信息,信息安全是机构和国家才会重视的事,个人只要保证账上的钱不被莫名其妙的转走就好了。其中一些人表示尽管自己的信息不重要,但恶意软件会导致手机运行卡顿、耗电量增加,还是需要注意的。
对于恶意软件,显然存在多种评价的立场和观念,但大家似乎都认可一点,即恶意软件难以预防,这是为什么呢?
01
恶意软件为何难以监管
恶意软件是指具有正常功能,但会进行用户不可预期操作的软件。例如,一个手机上的手电筒APP,却要手机用户通讯录和短信的相关权限,哪怕经过了用户的同意,依然还是一个恶意软件。
这样要用户同意的软件毕竟是少数,而且容易引起怀疑,因此非法提权的代码几乎是恶意软件的标配。用户通过操作软件进而操作系统和底层硬件,对于操作系统而言,它只能监测到软件的权限和操作,而无法确定软件的操作是否都是用户授权的结果。通过非法提权,用户正常使用软件时,软件就可以进行另一些用户未必同意的操作。
这样的非法操作方式,也被通俗地称之为软件后门。随着系统安全机制的逐步健全,后门已成为信息安全的最大威胁。3月7日,IBM发布了《2023年度X-Force威胁情报指数》。报告指出:在已统计的防御勒索软件攻击成功的案例中,有67%与软件后门有关。
怎么就没有人管管后门呢?
对于用户而言,关键部分的软件代码都经过了编译,很少有攻击代码是记录在用户设备的文本上的,因此很难被发现。此外,正如之前所说,操作系统并不能分辨每一个操作到底是用户进行的,还是软件自主进行的,之所以主流的操作系统都要有自己的应用商店,就是为了通过检查开发商的资质,尽可能避免此类事件的发生。
对于开发商而言,保证软件安全的主流方法有审查和结对编程两种。审查即对程序员开发的代码进行审核,经过审核后的程序编译的安装文件才允许发布。从理论上说,经常性的审核并慎重地管理库文件,足以避免安全问题。但开发周期一紧张,审查频率就要下降,库文件管理也不再慎重,经常直接使用程序员提供的编译文件,安全审查就难免流于形势了。
结对编程的监督力度更强,是2-3个程序员共同讨论以后编程,但又容易出现合谋的情况。因为提出需求的人,很可能对技术一知半解,提出诸如:要能远程改进但不能有维护账户、界面颜色要随着用户桌面改变等等离谱的要求。相比花费大量时间精力让提出需求的人理解技术,开发团队很可能心照不宣地安排一个后门,相当于增加了一个影子用户。但万一开发团队中有人离职,其掌握的后门就有可能被出售,从而成为潜在的安全隐患。
有了后门并不是万能的,软件自动操作有很多有别于手动操作的特征。例如操作间隙过于密集、操作跨越的文件层次显著较多等等,都会被系统识别到并上传,应用甚至因此可能被中止。而且实现不了应用关闭时依然获得用户信息、调查竞品应用的使用时长、冒充其他应用发布通知、改变系统设置使得应用难以卸载等等违法行为。
因此,部分恶意软件已经不满足于模拟用户的使用行为了,而是要伪装成真正的用户,甚至获得系统本身的权限。2017年5月,WannaCry勒索病毒席卷全球。ATM提款机“罢工”了,医院的电脑“停业”了,答辩学生的论文被加密了,出入境大厅的计算机“休息”了,车管所服务大厅贴出了故障的告示……
WannaCry的攻击热点遍布全球
WannaCry的攻击代码借助Windows“永恒之蓝”高危漏洞(MS17-010)实现了权限提升,最终加密了用户全盘的电脑。利用提权漏洞,恶意软件可以关闭系统的保护机制,并肆意妄为。
在WannaCry大爆发之后,各个操作系统的开发商都采取了相应的措施,加大了对提权漏洞的查找力度。根据安全软件公司BeyondTrust发布的《2022微软漏洞报告》显示:2017年到2021年的5年间,微软共发现4724个漏洞,其中关键漏洞有916个。2020年度和2021年度的第一大漏洞类型都是提权漏洞。其中2021年度总漏洞有1212个,提权漏洞就高达588个。
2016年–2021年微软漏洞分类
操作系统里有这么多的提权漏洞是故意的么?还真不是,开源的操作系统漏洞数量同样惊人。对于操作系统和很多软件而言,速度是绝对的第一功能,为了安全牺牲几倍乃至于几十倍的速度不现实。好比一个人具有三种颜色的发绺,梳子只能梳一次,就要让每个颜色的发丝都归拢入梳子的同一个齿中,而不发生错乱。想让被广泛使用更新频繁的操作系统不出现提权漏洞就是这么难。
02
不必草木皆兵
用户发现恶意软件如此困难,而操作系统中又有这么多可能的漏洞,想要追求绝对安全的人心都凉了。但这并不意味着恶意软件和攻击代码,就无往不利。
根据2017年美国著名的兰德智库发布的一份报告《Zero Days, Thousands of Nights》显示:发现安全漏洞后,可以利用的时间窗口非常短,中位数只有22天。这意味着心怀恶意的公司或程序员,从植入恶意代码,到漏洞被修复,只有很短的时间发布包含攻击代码的软件版本。这也说明了恶意代码为何仅在这些软件的少数版本中存在,而很难从一开始就携毒运行。
同时,能够被大规模利用的漏洞很难以年为单位存在。用户很难看到运行软件的源代码,并不代表用户对恶意软件的存在没有感知。恶意代码的存在将使得设备卡顿,并无法使用一些功能。尤其是手机应用,基本每个品牌都存在应用商店,应用商店都有专门的审查员。新上架的热门应用或近期差评明显变多的应用都是审查员的重点关注对象。
系统漏洞修复速度较快,影响用户越多的漏洞修复越快,这些特点都限制了恶意代码的影响范围。此外,流氓软件的行为,必然会明显影响口碑,并会导致竞争对手的攻击。因此,研究并利用系统漏洞的成本其实是很高的。
同时,利用系统漏洞存在明显地区性和行业性的特点。付出了这么高的机会成本和监管风险,黑客们倾向于袭击更能产生经济价值的领域,以及更为富裕的使用对象。根据Insikt Group发布的《2021年恶意软件和TTP威胁形势》,勒索软件是恶意软件中的首要威胁。这种软件将硬盘上的用户数据加密,并勒索赎金。报告数据显示,来自美国的受害者远远超过其他国家。
2020年分析人员确定的受害者中有53.7%位于美国,2021年这一数据是49%,美国已经成为勒索软件的主要对象。之所以出现这种现象,首先是因为美国保险业发达,受害者的支付勒索金的积极性高。其次是美国普遍使用邮箱而非电话、微信等即时聊天工具,放大了被社交网络攻击以及收到木马邮件的风险。最后美国居民的电脑应用能力两极分化,既有比尔盖茨,也有一窍不通的,这就给勒索软件攻击留下了突破口。
2020年–2021年勒索软件受害者地区分布
WannaCry大爆发之后,腾讯发布了《2017年Windows漏洞盘点报告》。根据报告数据显示,2017年存在Windows漏洞的电脑约有13%集中在广东省,但被“商贸信”病毒(携带或伪装成商业贸易信息的病毒)攻击的电脑有39%位于广东省,其次是台湾省22%,再次是浙江省10%。这说明恶意软件攻击的对象具有鲜明的行业特征,从事外贸行业更容易“中招”。
相关行业的从业者,也无需过于担心。将用于工作的计算设备与生活的分开,就能有效防御隐藏较深的数据挖掘类恶意软件。接收工作邮件的计算机最容易中勒索病毒,此类病毒喜欢伪装成Office系列的办公文件,并通过电子邮件的附件进行发送。外贸行业的工作设备,应设置虚拟机,仅在虚拟机中下载和查看电子邮件的附件,查看后就应该删除文件,只保留云端的备份。这样即使虚拟机触发了勒索病毒,也不会造成信息泄露或是硬盘被加密。
03
重奖重罚才能更好地维护信息安全
前面提到,在软件中插入恶意代码很难被发现。即使被发现了,也很难摆出完整的证据链。想要证明一个企业是有意开发恶意软件,首先必须证明软件有非用户预期功能且出于故意,还得证明软件的安装包是开发商“原装”的,最后还得证明开发公司的高层对插入恶意代码普遍知情才行。
这也是安全软件公司点名某些软件的报告总是写得云山雾罩,可以和外交辞令相比肩的重要原因。安全软件公司通常只能确定某个安装包中包含恶意代码,而这样的安装包通常又是用户贡献的,其说服力并不强。
因此实际可行的证明过程,总是需要违法企业内部的高管指证。自从有商业互联网开始,美国通过这张网监听全世界就是街头巷尾阴谋论的重要主题,但一直缺乏重量级的证据。直到2013年,为美国中央情报局工作过的斯诺登主动公开了棱镜计划,美国实施的绝密监听计划才浮出了水面。类似地,如果开发恶意软件企业的高级员工,不能站出来指控企业对用户的侵犯,那么此类事件将很难被立案。
必须给予足够高的奖励,至少能够抵消举报人今后在就业市场的损失,并重罚那些开发恶意软件的企业。或许有人认为,重罚会打击到国内软件的市场竞争力。国内大部分用于工作和商业目的软件都是国外开发的,这些软件处理的信息更加敏感和宝贵。国内商用的CPU、显卡和存储设备多数采用的也是国外的芯片,因此中国打击恶意软件和硬件的需求其实更加急迫的。
来自企业内部的指证是概率事件,尽快发现目前流通的软件安装包中的问题也非常重要,这同样需要适度地提高奖励。2021年6月,华为发起《华为应用市场上架应用安全奖励计划》,反馈手机应用存在恶意行为的线索,最高奖励10万元,对象包括华为应用市场上架的全部APP与快应用。
与华为相比,目前举报恶意软件被受理的例子并不多,现金奖励更是凤毛麟角。主管部门是否可以制定一个重点应用名单,或用户超过千万的应用名单,这些应用每次发布新的安装文件都应留有备份,并保存在第三方网站上。对于从这个网站下载的应用,出现恶意行为并复查属实的,应给予举报者适度奖励。
目前对包含恶意代码的软件,还没有效果出众的识别方法。随着操作系统安全理论的不断更新,以及用户信息安全意识的增强,恶意软件泛滥成灾的土壤正越来越小。然而监管层面如果奖励不够、处罚不重,想要进一步压缩恶意软件的生存空间也是很难的。
来源|观察者网
