网络安全形势发生变化——
警惕漏洞“联合作战”
除了巨大危害,另一个令人吃惊的事实是,这一攻击方式并非一直潜藏在黑暗之中。于旸表示:“查阅以往的技术资料,攻击中涉及的每一个风险点,其实都有人提出过。”其中的关键风险,周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示:“那时我还把这个问题报给了当时的安卓官方,但对方没有给我任何信息反馈,甚至连邮件都没有回复。”
那么,为什么这种危害巨大的攻击方式此前既未被安全厂商发觉,也没有攻击案例发生?“这是新的多点耦合产生的漏洞。”于旸打了一个比喻,“这就像是网线插头上有个凸起,结果路由器在插口位置上刚好设计了一个重置按钮。网线本身没有问题,路由器也没有问题,但结果是你一插上网线,路由器就重启。多点耦合也是这样,每一个问题都是已知的,但组合起来却带来了额外风险。”他还介绍说,在2016年还发现过另外一个漏洞,一共利用了9个不同网络协议和操作系统的特点,这些特点组合在一起,恶意文档甚至不用打开,插上U盘看一下目录就能传播。
多点耦合的出现,其实正意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的乘法效应,另一面则是防守者们形成的合力。在电脑时代,最重要的是系统自身安全,虽然包括手机在内的移动设备系统自身的安全性比电脑要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。要做好保护,光搞好系统自身安全远远不够,需要手机厂商、应用开发商、网络安全研究者等多方携手。
这也是管理部门的思路。李佳表示,在此次事件中发挥作用的国家信息安全共享平台正是基于“建立信息安全漏洞共享的知识库”目的而生。“目前已联合国内的重大信息系统单位,基础电信运营商、安全厂商和软件厂商以及相关互联网企业等,一共有60家的技术组合、用户组和成员单位,大家共享发现的漏洞,及时通报消息。截至目前,共收录了软硬件产品漏洞超过10万起,具体事件型漏洞超过了30万起,党政机关和重要信息系统漏洞超过了6.9万起”。
