ACM通信
隐私和安全
为什么网络空间不能更安全?
信贷:西莉亚约翰逊
在网络空间,诈骗犯罪很容易逃脱惩罚,窃取公司知识产权很容易,渗透政府网络也很容易。去年春天,美国网络司令部的新任指挥官、美国国家安全局的基思·亚历山大将军首次承认,甚至美国的机密网络也遭到了渗透。2我们不仅抓不到大多数诈骗艺术家、知识产权窃贼和网络间谍,我们甚至不知道他们中的大多数是谁。然而,每一个重要的公共和私人活动——经济的、社会的、政府的、军事的——都依赖于电子系统的安全。为什么20年来几乎没有发生什么事情来改变这些系统的根本脆弱性?如果您确信这种不安全(a)是一场骗局,(b)是一种非常可取的无政府状态形式,那么您可以跳过本专栏的其余部分。
《解决这个问题的总统指令》像钟表一样从白宫的回音室里戏剧性地出现,记录了一段行政部门麻木的历史。以下陈述之一是在2009年提交给奥巴马总统的报告中说的,另一个是老布什总统说的在1990年。猜猜哪个是哪个:
“电信和信息处理系统非常容易受到拦截、未经授权的电子访问、相关形式的技术利用,以及其他方面的外国情报威胁。”
“美国数字基础设施的架构主要基于互联网,既不安全,也不灵活。如果这些系统的安全没有重大进展,或者它们的构建或运行方式没有重大改变,美国是否能够保护自己免受日益增长的网络犯罪和国家支持的入侵和操作的威胁是值得怀疑的。”
事实上,哪个是哪个并不重要。一个在此期间,为了保持无党派的连续性,克林顿总统对网络系统造成的不安全提出警告,并于1998年指示“从今天起不迟于五年内,美国应实现并保持保护国家关键基础设施的能力,使其免受会大大削弱我们安全的蓄意行为的伤害”。6五年后就是2003年了。
2003年,就像在重演一出糟糕的戏剧一样,小布什总统表示,他的网络安全目标是“防止对美国关键基础设施的网络攻击;[r]降低国家对网络攻击的脆弱性;最大限度地减少网络攻击造成的损害和恢复时间。”7
总统的这些声明将主要引起历史学家和国会调查人员的兴趣,他们在一场我们只能希望是相对较小的灾难之后会感到震惊,震惊了知道这个国家在电子上是裸体的。
华盛顿目前应对网络安全问题的努力很有希望,但西西弗斯第四次或第五次登山也是如此。这些努力正处于官僚主义狂热的状态,也就是说,进展缓慢,迄今为止,除了更多的紧急声明和更多的文件之外,什么也没有产生。为什么?
诉讼和市场
美国的变化是由三件事驱动的:责任、市场需求和监管(通常是联邦)行动。这些因素在其他国家的作用和权重各不相同,但美国的经验可能对跨国具有启发意义,因为世界上大多数知识产权存储在美国,世界其他地方认为美国的网络比我们更安全。4让我们来逐一分析这三个因素。
在实现更大的互联网安全方面,负债几乎是一个不存在的因素。这可能令人惊讶,直到你问:责任是什么,谁应该承担?软件许可是可强制执行的,无论是包装好的还是协商好的,它们几乎总是将制造商的责任限制在软件成本上。因此,以安全性太差为由起诉软件制造商是不值得花那么多钱和精力的。比如说,如果发现你的电脑是俄罗斯或乌克兰僵尸网络的奴隶成员,会造成怎样的损害?你如何证明问题是由软件引起的,而不是你自己草率的上网行为?
决定什么程度的不完美是可以接受的不是你希望你的国会代表去完成的任务。
要求国会让软件制造商对软件缺陷负责无异于自讨苦吃:所有软件是有缺陷的,因为它是如此惊人的复杂,即使是最好的软件也隐藏着惊喜。决定什么程度的不完美是可以接受的不是你希望你的国会代表去完成的任务。任何这样的立法都可能将一些创造性开发者赶出市场。它还会减慢软件开发速度,如果它能带来更高的安全性,那也不全是坏事。但是,一般公众很少或根本不了解开发不良的应用程序中固有的漏洞。相反,公众要求快速开发的应用程序带有许多花哨的功能,所以想要以安全的名义控制这种漏洞扩散的设备供应商处于困难的境地。
银行、商家和其他个人信息持有者确实要为数据泄露承担责任,一些人已经根据州和联邦法律为数据泄露支付了巨额违约金。在最著名的案例之一中,哈兰支付系统(Heartland Payments Systems)可能因重大违约而最终支付约1亿美元,更不用说数百万美元的法律费用了。但在这类案件中,被告是硬件和软件的买家,而不是制造商和设计师,这些硬件和软件的缺陷造成了许多(但不是全部)网络不安全。责任可能会让这些公司在商业活动中更加警惕,但不会让硬件和软件更加安全。
许多大银行和其他公司已经知道,他们一直被技术高超、隐秘、匿名的对手渗透,很可能包括外国情报机构及其代理人。这些公司花费数百万抵御攻击和清理他们的系统,但没有一个法医专家能诚实地告诉他们,所有先进的持续入侵都被击败了。(如果有专家会这么说,那就马上解雇他。)
在一个有效的责任制度中,保险公司在提高标准方面发挥着重要作用,因为它们将保费与良好的做法联系在一起。例如,优秀的汽车司机在汽车保险上付的钱就少。然而,如果没有责任机制,保险公司在提高网络安全标准方面实际上起不到任何作用。
如果责任没有使网络空间更加安全,那么市场需求呢?简单的答案是,消费大众按价格购买,而不愿意为更安全的软件付费。在某些情况下,身份盗窃的后果是一种折磨。然而,在大多数信用卡欺诈案例中,银行会吸收100%的损失,因此他们的客户几乎没有动力为了安全而花更多的钱。(在英国,通常是客户而不是银行支付,这种情况可以说更糟,因为银行比客户更有条件实施更高的安全要求。)大多数公司也会按价格买进,尤其是在当前经济低迷的情况下。
不幸的是,我们不知道如果消费者或企业客户知道市场上产品的相对不安全性,他们是否会为安全支付更多的钱。正如密歇根大学的J. Alex Halderman最近指出的,“大多数客户没有足够的信息来准确地衡量软件质量,所以安全的软件和不安全的软件往往以相同的价格出售。”3.这个问题是可以解决的,但要做到这一点,就需要对产品的评价标准达成一致,需要有系统地披露不安全的信息,或者需要得到公众广泛认可的测试和评估服务。《消费者报告》它在汽车和许多其他消费品中扮演着这样的角色,并拥有巨大的力量。同一天《消费者报告》对2010款雷克萨斯gx460发布了“不要购买”的建议后,丰田将该车型下架。如果工程和计算机科学专业人员能够按照以下方式组织一个软件安全实验室《消费者报告》,这将是一项公共服务。
联邦行动
如果没有市场或责任驱动的改善,美国联邦政府可以采取八项措施来改善互联网安全,其中没有一项会涉及创建新的官僚机构或侵入性监管:
- 利用政府巨大的购买力要求其供应商更高的安全标准。例如,这些标准将处理可验证的软件和固件、认证方法、容错以及在采购和评估中跨政府的统一词汇表和分类法。由美国国家标准与技术研究所(National Institute of Standards and Technology)指导的《联邦收购条例》(Federal Acquisition Regulations)可以确保联邦政府对更好产品的需求,从而为整个市场带来更高的安全性。
- 修订《隐私法》,明确互联网服务供应商(ISPs)必须当一个客户的计算机成为僵尸网络的一部分时,不顾ISP的客户合同,向另一个客户和他们的客户披露五月向不是自己客户的一方披露这一事实。互联网服务提供商可能会抱怨说,这样的服务应该是可选的,而且是有价格的。这就相当于说,应该允许汽车在没有刹车、信号灯和安全带的情况下行驶在高速公路上。这一要求将产生大量的补救业务。
- 定义行为,允许isp阻断或隔离来自僵尸网络控制地址的流量,而不仅仅是来自僵尸网络的命令和控制中心。
- 禁止联邦机构与任何僵尸网络好客主机的ISP进行业务往来,并公布此类公司的名单。
- 要求受联邦能源监管委员会(Federal Energy Regulatory Commission)管辖的债券发行人在其招股说明书的“风险因素”部分披露其SCADA网络的指挥和控制功能是否连接到互联网或其他公开访问的网络。发行者会对此尖叫,尽管McAfee最近的一项研究清楚地表明,许多遵循这种冒险做法的发行者认为它造成了一个“未解决的安全问题”。1SCADA网络是为孤立的、有限的接入系统而建立的。允许它们通过公共网络被控制是鲁莽的。今年夏天,人们发现了专门用来攻击SCADA系统的“震网”(Stuxnet)电脑蠕虫病毒,有力地证明了这一点。4然而,公共事业公司并没有迹象表明要加强它们典型的原始系统。
- 增加对归属技术、可验证软件和固件研究的支持,以及将更多安全功能转移到硬件的好处。
- 当美国公司合作研究、开发或执行安全功能时,绝对消除反垄断的担忧。
- 与志同道合的政府合作,建立国际权威机构来摧毁僵尸网络,使命名和地址协议更难被欺骗。
政治意愿
这些切实可行的措施不会解决网络安全的所有问题,但会显著改善网络安全。它们也不会涉及政府窥探、重组互联网或其他宏伟的计划。当整个社会的商业、政府和军事功能依赖于一个几十年前为少数大学和政府研究人员设计的信息系统时,他们需要对隐私、知识产权和国家安全的风险有清醒的认识。
将对不安全感的反复诊断转化为有效的治疗,还需要有政治意愿,调集必要的资源和努力来对此采取行动。布什政府在这场游戏中采取了为时已晚的措施,奥巴马政府还没有得到它。就职后,奥巴马为一组由多个部门和机构的公务员组成的非政治团队提交给他的优秀建议犹豫了9个月。显然,政府对此不感兴趣;它正忙于战争、医疗保健和糟糕的经济。在经济困难时期,总统自然更喜欢无形的风险而不是有形的费用,因此不愿意增加企业的成本是可以理解的。在最好的情况下,跨部门(或跨部门)治理将是极其困难的,不仅仅是在美国。要做好这一点,需要一个跨部门的指导性权力机构,它可以加强根深蒂固的、往往是狭隘的官僚机构,而在网络领域,我们根本没有这种权力。对cliché永不厌倦的媒体告诉我们,我们得到了一个网络“沙皇”,但新创建的网络“协调员”实际上没有指导性权力,还没有证明他在协调,更不用说管理与电子网络有兴趣的许多部门和机构方面的价值。
因此,网络犯罪、政治和经济间谍活动仍在迅速发展,基础设施失效的风险也在增加。至于我,我已经在起草下一份总统指令了。听起来很像上一个。
参考文献
1.等。在交叉火力:网络战争时代的关键基础设施, CSIS和McAfee,(2010年1月28日),19;http://img.en25.com/Web/McAfee/NA_CIP_RPT_REG_2840.pdf.参见P. Kurtz等人,虚拟犯罪学报告2009:虚拟在此:网络战争时代, McAfee and Good Harbor Consulting, 2009,17;http://iom.invensys.com/EN/pdfLibrary/McAfee/WP_McAfee_Virtual_Criminology_Report_2009_03-10.pdf.
2.格茨,B. 2008网络入侵刺激联合单元。《华盛顿时报》,(2010年6月3日);http://www.washingtontimes.com/news/2010/jun/3/2008-intrusion-of-networks-spurred-combined-units/.
3.为了加强安全性,改变开发者的动机。IEEE安全和隐私(3月/ 4月。2010), 79。
4.克雷布斯,B。"震网"蠕虫比我们之前认为的要复杂得多。克雷布斯在安全2010年9月14日;http://krebsonsecurity.com/2010/09/stuxnet-worm-far-more-sophisticated-than-previously-thought/.
5.迈克菲。不安全经济:保护重要信息。2009年,4,1314;http://www.cerias.purdue.edu/assets/pdf/mfe_unsec_econ_pr_rpt_fnl_online_012109.pdf.
6.第63号总统决定指令(1998年5月22日);http://www.fas.org/irp/offdocs/pdd/pdd-63.htm.
脚注
a.第一条引用来自于1990年7月5日G.H.W.布什总统的第42号国家安全指令,修订后于1992年4月1日公开发布;http://www.fas.org/irp/offdocs/nsd/nsd_42.htm.第二段引文来自2009年5月《网络空间政策评论:确保可信和有弹性的信息和通信基础设施》的序言;http://www.whitehouse.gov/assets/documents/Cyber-space_Policy_Review_final.pdf.
DOI: http://doi.acm.org/10.1145/1839676.1839688
数字图书馆是由计算机协会出版的。版权所有©2010 ACM有限公司
评论
CACM管理员
以下信件刊登在2011年2月的《中国当代艺术杂志》(//www.eqigeno.com/magazines/2011/2/104382)的《致编辑的信》上。
——CACM管理员
在他的观点“为什么网络空间不是更安全?”(2010年11月),Joel F. Brenner错误地否定了让软件制造商为缺陷承担责任的价值,他说:“决定什么程度的缺陷是可以接受的不是你想让国会代表去做的任务。”但国会一般不会对非软件产品做出这样的决定。“适用于某一特定应用程序的适销性和适用性”的一般概念适用于出售的所有其他商品,同样也应适用于软件;法院可以解决关于是否确实达到可接受的健康水平的任何争议。
在任何其他商业领域,我们都不能容忍当今消费软件的不可靠和不安全的特性;虽然更好的工程更具挑战性,而且软件行业可能会经历混乱,因为它的开发人员学会在他们推向市场的每一个产品中遵循基本的良好工程实践,但这一教训不能原谅不采用基本的良好工程实践对消费者造成的伤害。
l·彼得·多伊奇
加利福尼亚州帕洛阿尔托
--------------------------------------------------
作者的回应:
挑战在于制定既能提高安全性又不会破坏创造力的标准。“基础好工程”不是标准。“可销售性和适用性”标准适用于割草机,因为每个人都知道缺陷是什么样子的。它并不适用于软件,因为定义“缺陷”是如此的困难,并且正在编写的东西是如此的畅销;也就是说,它是可销售的。它也是根据可强制执行的合同出售的。因此,虽然法院确实可以解决纠纷,但他们通常会做出有利于制造商的裁决。多伊奇和我都希望看到更安全可靠的软件,但不管你喜不喜欢,这方面的进展不会来自国会。
乔尔·f·布伦纳
华盛顿特区。
CACM管理员
以下信件刊登在2011年5月的《中国文联编辑来信》(//www.eqigeno.com/magazines/2011/5/107681)上。
——CACM管理员
我很遗憾Joel F. Brenner回复了我写给编辑“让制造商承担责任”(2011年2月)的信,他的观点是“为什么网络空间不能更安全?”(2010年11月)提出了两个稻草人论点和一个彻头彻尾的错误陈述。
布伦纳说,软件“是根据可强制执行的合同出售的”。正如帕梅拉•萨缪尔森(Pamela Samuelson)在2011年3月提出的“你购买的软件是否属于你?”的观点所表明的那样,软件并不是“出售的”。每一个EULA都坚持软件是经过许可的,只有记录它的媒体才会被出售;萨缪尔森引用的弗诺诉欧特克案(Vernor v. Autodesk)的判决是最近的,也是最具决定性的判决之一,这一系列法院裁决都支持这一立场。
布伦纳的这种错误描述是理解这些假冒伪劣产品的制造商如何基本上逃脱惩罚的关键之一。如果软件真的被出售了,除了在其他地方(包括萨缪尔森在她的专栏中讨论过的)彻底讨论过的其他好处之外,关于软件应该不受《统一商法典》保护的论点将更加难以维持。
尽管eula已被强制执行,但这样的决定是以消费者的利益为代价的。与其他商品和服务相比,eula几乎无一例外地剥夺了消费者的所有合理权利和期望。虽然点击式和收缩包装的eula确实被发现是可以强制执行的,但许多理性的人(包括我)认为这不应该是这样,因为绝大多数消费者没有阅读这些“合同”,不了解它们的后果。布伦纳显然不认为这是一个严重的问题。
最后,布伦纳只是重申了他的主张:“国会不应该决定什么程度的不完美是可以接受的。”我同意。有一些基本的消费者保护措施适用于所有其他商品,如UCC所体现的。既不要求国会出台进一步的法案,也不要求产品结构的详细规范,让消费者有权利期望一个炉子,在正确使用和维护下,不会烧毁他们的房子。与UCC的其他保护措施一样,相应的免受严重损害的自由权利对软件是不可用的,尽管它和它们应该是可用的;布兰诺显然不同意。
我在2月份的信中强调了良好的工程实践,不是因为(Brenner似乎相信)我认为它们足以保证合理水平的产品质量,而是因为它们是一种成熟的手段,以达到无害和可靠性的基本标准,并将其作为所有其他产品的前提。无论如何,布伦纳没有说明为什么他认为应该采用不同于其他消费品的流程来设定软件的功能安全和可靠性标准。简单地断言“软件是不同的”并不是一个合理的论点。
L彼得·多伊奇
加利福尼亚州帕洛阿尔托
----------------------------------------------
作者的回应:
谢谢多伊奇纠正我的错误。软件当然是授权的,而不是出售的。正如Deutsch所说,这就是为什么UCC产品责任标准对购买的商品没有改善软件质量的原因。但他的观点加强了我的论点。我是在解释,而不是为现状辩护,这正是可悲的,因为责任是微弱的。我无法理解为什么多伊奇认为我对更高的软件工程标准漠不关心。它们是建立责任制度的唯一基础,即使是对特许产品。
乔尔·f·布伦纳
华盛顿特区。
CACM管理员
以下信件刊登在2011年3月的《中国当代艺术杂志》(//www.eqigeno.com/magazines/2011/3/105325)《致编辑的信》上。
——CACM管理员
在他的观点“为什么网络空间不能更安全?”(2010年11月),Joel F. Brenner说,在英国,如果发生信用卡欺诈,通常是客户而不是银行买单。我想知道这种说法的统计基础,因为在英国和美国,网络交易的情况是,责任通常由商家承担,除非它提供交付证明或使用3-D安全协议,使发卡机构能够直接认证客户。虽然采用3d安全认证方案的比例可能不同,但我很难相信这种差异会转化为消费者责任水平的显著相关差异。
由于EMV (Europay)、万事达卡(MasterCard)和VISA (VISA)协议,即“芯片和密码”(Chip & PIN),英国的实体零售行业的流程与此大不相同。不过,EMV和硬件的缺陷意味着,在实践中,银行仍有责任证明其客户有过错。
阿拉斯泰尔•霍顿
Fareham,英格兰
------------------------------------------------
作者的回应:
英国金融服务管理局于2009年11月1日接管了这一领域的监管工作,因为正如我所描述的,许多人认为这种情况令人反感。然而,在实践中,尚不清楚FSA的管辖权是否起到了很大作用。虽然举证责任现在落在了银行身上,但有消息称(见2010年4月26日黑暗阅读),37%的信用卡诈骗受害者没有得到退款。美国的做法不一定更好,但有所不同。
乔尔·f·布伦纳
华盛顿特区。
显示3评论