有位密碼學專家起草了一篇論文,要展示一顆智慧燈泡如何能在幾分鐘內讓整個智慧城市都受到惡意程式感染;這是參與近日在美國矽谷舉行的資安方案供應商RSA年度技術大會(RSA Conference,編按:RSA現隸屬Dell-EMC集團)之一場座談的專家們所討論的話題之一。

在另一個議程中,美國國會國土安全委員會(congressional committee on homeland security)主席、眾議院議員(德州第十選區) Michael McCaul則提出了一個更具威脅性的潛在風險:「不良份子在我們的關鍵基礎建設上留下網路指紋(cyber fingerprints),透露他們正在監視你說了什麼、做了什麼,可以從內部打擊你。」

因此McCaul呼籲建立一個由美國國土安全部(Department of Homeland)負責協調的國家網路安全計畫,負責主持定期演習以及訂定反擊方案選項:「我們正在我們的數位生活中戰鬥,而且我們並沒有獲得勝利;」他每個星期都會聽取關於網路安全威脅的簡報,包括從去年春天開始俄羅斯駭客在美國總統大選期間的活動。

McCaul表示:「我敦促過歐巴馬總統(President Obama)以及當時的總統候選人川普(Trump)公開發表立場,但對於他們打擊危及國家體系之威脅的反應感到失望。」

RSA公鑰加密技術(public key encryption)共同開發者Adi Shamir對網路安全的整體評估也同樣令人憂心,他在一場邀集密碼學專家的座談中表示:「今日我們所知的網際網路已經沒救了,我真的覺得我們應該打掉重練。」

Shamir與他的同事將在今年發表一篇題為「物聯網將變成核彈(IoT Going Nuclear)」的論文,描述一個人如何能以內含惡意軟體的智慧燈泡,在幾分鐘內讓使用大量智慧照明燈具的整個智慧城市都受到感染。

他指出,韓國廠商LG Electronics的智慧電視就被勒索軟體攻擊:「政府應該要(針對這種問題)做一些事情,例如不讓那些不夠安全的裝置連結公共網際網路;」這個提議獲得了聽眾們的熱烈掌聲。

20170215 RSA NT03


RSA Conference中的密碼學專家座談會

而與談專家大致同意,機器學習、量子運算以及區塊鏈(blockchains)在可見的未來對於安全性不會有太大影響。Shamir表示:「我對於人工智慧(AI)在防守上的表現感到樂觀,但不是進攻;抵抗新一代的零時差攻擊需要巧妙的手法,而非強大的機器學習方案:「那適用於行為比對(comparing behaviors)、發現異常以及針對異常發出警報。」

能擊敗今日加密技術架構的量子電腦實機還需要很多年才打造得出來,不過美國伍斯特理工學院(Worcester Polytechnic Institute)網路安全策略教授Susan Landau表示:「我沒有看到在後量子研究領域有(與一般加密技術)相同水準的數學研究,這關係到我是否接受它(即今日的後量子技術)成為標準。」

投資教育就是最佳的防禦武器

RSA的另一位共同開發者Ron Rivest則表示,在比特幣(bitcoin)背後更廣泛應用區塊鏈技術的影響力被誇大了:「它感覺被看成像是萬靈丹那樣的東西…那可以被用在金融領域…但不是普遍需要;」他呼籲在教育上有更大的投資,這才是最佳的安全策略:「如此能催生更多人才,開發所需工具。」

密碼學家Whitfield Diffie則呼籲,該特別針對新種類的架構即正確(correct-by-construction)編程技術有更多投資:「我想我們把所有的事情搞錯了,我從幾年前就在想這件事。」

「以邏輯驗證的正確程式碼(logically proven correct code)…被大大低估,如果我們能投注像是花費在邏輯功能(logical functioning)裝置以及品質編程(quality programming)上互動式安全技術之資源,我們會取得更佳成果;」Diffie的發言也獲得了熱烈掌聲。

眾議員McCaul在另一場談話中大致同意「聯邦政府機關並非網路安全的解答,答案應該來自私部門的傑出成就」的說法,他表示:「我們正在流失網路領域人才,因為內部士氣低落,還有外面的錢比較多;」他呼籲設立更多網路安全獎學金以回報政府服務。而當McCaul指出:「安全平台有後門(back doors)是大錯特錯;」也贏得了在場技術專家們的掌聲。

與會安全專家們也擔心,新上任的川普政府可能會對企業施壓,必須將密鑰提供給執法部門。伍斯特理工學院Landau正在撰寫一本預計秋天出版的新書,將描述的案例是:「(在數位時代的)執法部門有很多不同調查方法,就算手機是被鎖住的。」

Landau曾因2015年發生的San Bernardino恐怖分子槍擊案,在Apple與聯邦調查局(FBI)之間的安全性爭議期間,於國會聽證會中擔任證人。

McCaul在他的談話中坦承:「法律並沒有跟上數位時代,武器總是能超越防禦需求,但我們正面臨的是以二十世紀的防禦方法、十九世紀的官僚,來因應二十一世紀的威脅;」他的結論是:「儘管網路領域一片黯淡…我們擁有全世界最強的頭腦,能尋找防禦網路的解決方案。」

編譯:Judith Cheng

(參考原文:Security Experts Cite IoT Risks,by Rick Merritt)