一顆內(nèi)含惡意軟件的智慧燈泡，能在幾分鐘內(nèi)讓使用大量智能照明燈具的整個(gè)智慧城市都受到感染。

　　有位密碼學(xué)專家起草了一篇論文，要展示一顆智能燈泡如何能在幾分鐘內(nèi)讓整個(gè)智慧城市都受到惡意程式感染;這是參與近日在美國硅谷舉行的資安方案供應(yīng)商RSA年度技術(shù)大會(huì)(RSA Conference，編按：RSA現(xiàn)隸屬Dell-EMC集團(tuán))之一場(chǎng)座談的專家們所討論的話題之一。

　　在另一個(gè)議程中，美國國會(huì)國土安全委員會(huì)(congressional committee on homeland security)主席、眾議院議員(德州第十選區(qū)) Michael McCaul則提出了一個(gè)更具威脅性的潛在風(fēng)險(xiǎn)：“不良份子在我們的關(guān)鍵基礎(chǔ)建設(shè)上留下網(wǎng)絡(luò)指紋(cyber fingerprints)，透露他們正在監(jiān)視你說了什么、做了什么，可以從內(nèi)部打擊你?！?/p>

　　因此McCaul呼吁建立一個(gè)由美國國土安全部(Department of Homeland)負(fù)責(zé)協(xié)調(diào)的國家網(wǎng)絡(luò)安全計(jì)畫，負(fù)責(zé)主持定期演習(xí)以及訂定反擊方案選項(xiàng)：“我們正在我們的數(shù)位生活中戰(zhàn)斗，而且我們并沒有獲得勝利;”他每個(gè)星期都會(huì)聽取關(guān)于網(wǎng)絡(luò)安全威脅的簡(jiǎn)報(bào)，包括從去年春天開始俄羅斯駭客在美國總統(tǒng)大選期間的活動(dòng)。

　　McCaul表示：“我督促過歐巴馬總統(tǒng)(President Obama)以及當(dāng)時(shí)的總統(tǒng)候選人川普(Trump)公開發(fā)表立場(chǎng)，但對(duì)于他們打擊危及國家體系之威脅的反應(yīng)感到失望?！?/p>

　　RSA公鑰加密技術(shù)(public key encryption)共同開發(fā)者Adi Shamir對(duì)網(wǎng)絡(luò)安全的整體評(píng)估也同樣令人憂心，他在一場(chǎng)邀集密碼學(xué)專家的座談中表示：“今日我們所知的網(wǎng)際網(wǎng)絡(luò)已經(jīng)沒救了，我真的覺得我們應(yīng)該打掉重練?！?/p>

　　Shamir與他的同事將在今年發(fā)表一篇題為“物聯(lián)網(wǎng)將變成核彈(IoT Going Nuclear)”的論文，描述一個(gè)人如何能以內(nèi)含惡意軟件的智能燈泡，在幾分鐘內(nèi)讓使用大量智能照明燈具的整個(gè)智慧城市都受到感染。

　　他指出，韓國廠商LG Electronics的智能電視就被勒索軟件攻擊：“政府應(yīng)該要(針對(duì)這種問題)做一些事情，例如不讓那些不夠安全的裝置連結(jié)公共網(wǎng)際網(wǎng)絡(luò);”這個(gè)提議獲得了聽眾們的熱烈掌聲。

　　而與談專家大致同意，機(jī)器學(xué)習(xí)、量子運(yùn)算以及區(qū)塊鏈(blockchains)在可見的未來對(duì)于安全性不會(huì)有太大影響。Shamir表示：“我對(duì)于人工智能(AI)在防守上的表現(xiàn)感到樂觀，但不是進(jìn)攻;抵抗新一代的零時(shí)差攻擊需要巧妙的手法，而非強(qiáng)大的機(jī)器學(xué)習(xí)方案，那適用于行為比對(duì)(comparing behaviors)、發(fā)現(xiàn)異常以及針對(duì)異常發(fā)出警報(bào)?！?/p>

　　能擊敗今日加密技術(shù)架構(gòu)的量子電腦實(shí)機(jī)還需要很多年才打造得出來，不過美國伍斯特理工學(xué)院(Worcester Polytechnic Institute)網(wǎng)絡(luò)安全策略教授Susan Landau表示：“我沒有看到在后量子研究領(lǐng)域有(與一般加密技術(shù))相同水準(zhǔn)的數(shù)學(xué)研究，這關(guān)系到我是否接受它(即今日的后量子技術(shù))成為標(biāo)準(zhǔn)?！?/p>

　　投資教育就是最佳的防御武器

　　RSA的另一位共同開發(fā)者Ron Rivest則表示，在比特幣(bitcoin)背后更廣泛應(yīng)用區(qū)塊鏈技術(shù)的影響力被夸大了：“它感覺被看成像是萬靈丹那樣的東西…那可以被用在金融領(lǐng)域…但不是普遍需要;”他呼吁在教育上有更大的投資，這才是最佳的安全策略：“如此能催生更多人才，開發(fā)所需工具?！?/p>

　　密碼學(xué)家Whitfield Diffie則呼吁，該特別針對(duì)新種類的架構(gòu)即正確(correct-by-construction)編程技術(shù)有更多投資：“我想我們把所有的事情搞錯(cuò)了，我從幾年前就在想這件事?！?/p>

　　“以邏輯驗(yàn)證的正確程式碼(logically proven correct code)…被大大低估，如果我們能投注像是花費(fèi)在邏輯功能(logical functioning)裝置以及品質(zhì)編程(quality programming)上互動(dòng)式安全技術(shù)之資源，我們會(huì)取得更佳成果;”Diffie的發(fā)言也獲得了熱烈掌聲。

　　眾議員McCaul在另一場(chǎng)談話中大致同意”聯(lián)邦政府機(jī)關(guān)并非網(wǎng)絡(luò)安全的解答，答案應(yīng)該來自私部門的杰出成就”的說法，他表示：“我們正在流失網(wǎng)絡(luò)領(lǐng)域人才，因?yàn)閮?nèi)部士氣低落，還有外面的錢比較多;”他呼吁設(shè)立更多網(wǎng)絡(luò)安全獎(jiǎng)學(xué)金以回報(bào)政府服務(wù)。而當(dāng)McCaul指出：“安全平臺(tái)有后門(back doors)是大錯(cuò)特錯(cuò);”也贏得了在場(chǎng)技術(shù)專家們的掌聲。

　　與會(huì)安全專家們也擔(dān)心，新上任的川普政府可能會(huì)對(duì)企業(yè)施壓，必須將密鑰提供給執(zhí)法部門。伍斯特理工學(xué)院Landau正在撰寫一本預(yù)計(jì)秋天出版的新書，將描述的案例是：“(在數(shù)位時(shí)代的)執(zhí)法部門有很多不同調(diào)查方法，就算手機(jī)是被鎖住的?！?/p>

　　Landau曾因2015年發(fā)生的San Bernardino恐怖分子槍擊案，在Apple與聯(lián)邦調(diào)查局(FBI)之間的安全性爭(zhēng)議期間，于國會(huì)聽證會(huì)中擔(dān)任證人。

　　McCaul在他的談話中坦承：“法律并沒有跟上數(shù)碼時(shí)代，武器總是能超越防御需求，但我們正面臨的是以二十世紀(jì)的防御方法、十九世紀(jì)的官僚，來因應(yīng)二十一世紀(jì)的威脅;”他的結(jié)論是：“盡管網(wǎng)絡(luò)領(lǐng)域一片黯淡…我們擁有全世界最強(qiáng)的頭腦，能尋找防御網(wǎng)絡(luò)的解決方案?！?/p>

?