一名TAO黑客的网络安全之旅

首先，我要说，在我整个成长生涯中，我一直在研究如何入侵计算机网络和系统。幸运的是，我在这一领域的探索正值互联网的迅猛发展和无处不在的时期，起初是在国家安全局，后来则是在私营企业。从实际情况来看，这意味着我几乎涉足了所有的领域，就像那个时代成长起来的很多人一样。

我原本准备了一份非常企业化、非常无聊的演讲稿，花15分钟时间向大家介绍你们公司当前面临的风险，以及一些可能有助于改善的战略性做法。但在飞机上，我重新考虑了一下。我真正想做的是告诉大家一个你们还未意识到的威胁。

与任何一开始就在情报部门工作的人一样，我发现阅读新闻报道让人无聊透顶，因为我对其中的内容一无所信。但我还是想摘取其中的一些片段来说明一个趋势。第一个是Stuxnet蠕虫病毒的意义，你们都或多或少在经济学人或连线杂志上读到过相关报道，尤其是那些在西门子工作的人。尽管北约组织传达的信息相当模糊，但在我看来，网络战是非常真实存在的。而与其他战争都是关于机械化破坏不同，网络战的关键在于机械隐蔽性（攻击者能够以机械（技术）手段保持隐蔽性。）。我们对Stuxnet的困惑正是这种危险的一个明证。

由于这种隐蔽性，通常会发挥威慑和展示能力作用的信息反而变得模糊不清，因此我们的全球网络安全政策也随之变得模糊。正如著名的德国网络战略家、现为谷歌工作的托马斯·杜利恩所指出的那样：美国热衷于在战争中利用无人机或网络这样的新技术前沿，但一旦别人追赶上来，就开始呼吁制定国际规范。

所以回到Stuxnet，或者叫做奥运会行动，无论你怎么称呼它——这不仅仅是一次针对伊朗核设施的网络攻击行动，更像是在宣告一支队伍的存在。这支队伍由相当庞大的人员组成，他们已经在网络战场上踢了15年的世界杯级别足球比赛了。从这个意义上说，这是一支令人敬畏且饥渴难耐的青年球队——也许我曾参与了它的诞生。

在我十几岁的时候，我住在离华盛顿特区仅几分钟路程的弗吉尼亚州费尔法克斯县。但现在回去我已经完全认不出那里了。在过去15年里，那里突飞猛进，拔地而起了许多巨大的水晶般的建筑物——这些玻璃大厦里住满了rootkit作者和exploit(漏洞利用程序)开发者，换句话说就是黑客。伊拉克战争和阿富汗战争也同样是网络战争，只不过其细节目前才开始被公之于众。

顺便说一句，去**参观他们的国家互联网应急中心，你也可以看到与**黑客队伍对坐在一张桌子的两边，你会从他们眼中看到"我们已经入侵了一切"的神情。这是一种奇怪的眼神，代表着你因为不得不长时间手动从邮件服务器中提取数据而获知了世界的秘密。

我在俄罗斯人、德国人、意大利人、法国人和美国人的黑客身上都见过这种眼神。从我的老家扔一块石头就能砸到某个专精于路由器exploitation(漏洞利用)技术的人。听着，这就是故事最可怕的部分：现在世界上到处都是黑客。过去15年造就了一大批精锐人才，无论哪一方。我们都在这个领域大手笔投资，远超先进核反应堆的投资。这使得世界在某些方面变得更加安全，在另一些方面却更加危险。你已经被殖民，身边可能有与你价值观不符的人。

在我们深入探讨如何保护自身之前，我必须先在你们头脑中重新定义一件事：网络武器的本质。因为黑客们对网络武器的认知与你在新闻中听到的完全不同。设想一下，如果将网络空间比作一片地形，那么任何能够改变这片地形表面结构的东西就是武器。

当爱德华·斯诺登泄露了米国国家安全局的"量子"(QUANTUM)计划细节时，人们关注的是利用漏洞入侵德国手机这一香艳部分。但实际上，对数据流量的塑造和控制才是"量子"计划的核心和最精彩之处。网络战争的艺术在于控制和理解信息路径。或者换一种说法，借用我们最初的演讲者引用拿破仑的话来表达：网络战争是通过利用对手的电脑，控制其内部的混乱。

讽刺的是，最常见的网络武器其实是传播信息的能力。比如海盗湾，现在甚至还拥有了一个政党。再比如维基解密。它们被精英黑客团队创立，这并非巧合。你也可以把古奇费和俄罗斯商业网络视为另外两个例子。

我今天还希望改变你们对"计算机"这个词的定义。据说1943年IBM总裁托马斯·沃森曾说过，可能全世界只需要5台计算机。从你们的桌面电脑和手机来看，这确实是一种无稽的趣言。

但对于黑客来说，他的评估并没有错！事实上，现在真正意义上的计算机可能更少了。因为我们给所有真正的计算机都起了人名，你可能听说过它们：Azure、Alexa、谷歌、Siri，还有位于美国犹他州那座庞大设施中的国家安全局计算机。有趣的是，所有真正的计算机都来自美国，这难道只是一个巧合吗？

我想表达的是：如果你无法无缝扩展计算能力，以及这意味着的冗余、会计、数据传输、并行API和存储管理等一切，那么你手上所拥有的就只是一台可以玩游戏、查阅娱乐小知识和看猫咪图片的口袋计算器，而不是真正的计算机。

如果你没有真正的计算机，入侵网络就会由于技术原因而变得更加困难，这已经超出了本次演讲的范畴。同时，当你所有信息都存储在海外时，保护隐私也会更加困难。我看到欧洲对拥有真正计算机的跨国公司权力的沮丧，这可能与隐私无关，而更多是由于在这个新领域失去了国家力量的具体感受所致。

如果你有阅读德国经济学家塞巴斯蒂安·杜利恩的作品的话——他同时也是欧洲外交关系委员会的高级政策研究员，你就应该读读他的著作——那你就会知道他写过如何在他所说的数字空间中创造欧洲冠军，换句话说，就是欧洲自己的谷歌、脸书或苹果。人们如何投资才能创造出这样的巨头？因为如果没有本土的欧洲计算机——按照黑客的定义，即大规模计算思维——那么欧洲公司就只能依赖其他地方的研究成果来保护自身。

很容易将杜利恩和其他经济学家的作品误读为呼吁欧洲保护主义——利用欧盟数据保护标准作为一种对美国互联网公司的空中阻击武器，这正是它们在美国被视作的样子。但这同时也是一种警告。如果保护主义行不通，欧盟公司将基本上无法自我防御。

让我打一个痛苦的比喻：几乎所有安全问题的免疫系统反应都是"分段"，比如防火墙和出口控制。但更好的答案是极其紧密的合作，这与我们在此次峰会上的其他对话呼应。

让我告诉你们这个事实：当前的威胁是真实存在的。现在，我100%确信朝鲜黑客已经渗透进入了德国银行，试图利用他们的访问权进行大规模电汇诈骗。俄罗斯人也在为战场做准备。我之所以知道他们在做这些，是因为如果我是他们，我也会这样做。

将来，我们必须面对这样一个事实，我们已经训练了成千上万的人掌握网络战的黑暗艺术，他们不仅有能力渗透任何网络，有时还怀有如此意图。但现在，你们需要竭尽全力，利用企业内部遍布的二十年前的陈旧技术，设法度过今天，不让自己失血过多。

让我换一顶商人的帽子，网络安全是一个充斥着营销和华而不实的花言巧语的领域，你别想仅凭投入大笔资金就能获得明确的回报。唯一的出路就像你在阿尔卑斯山顶上一样——你必须审慎地试探每一步，同时与身边的人用绳索系在一起，以防有人跌落时可以拉一把。

具体来说：当你购买安全产品时，你必须从一开始就致力于测试它们是否能发挥其防御功能，就像你是攻击者一样！这意味着要重视信息安全的进攻性方面，让它成为指导你防御工作的指路明灯。

当你在进行严肃的登山活动时，人们总是说"在山顶上，是没有隐私可言的"。我根据个人经历可以说，他们真真切切就是这个意思。今天我的目标是帮助商界认识到，在信息安全这个领域，它们已经攀登到了山顶，现在面临着一段艰难、痛苦的返回之路。在很大程度上，你们只能依靠自己，因为政府可能不会伸出援手。

总之，在过去的15年里，我们取得了令人难以置信的长足进步，并认识到网络安全无所不在，影响我们做事的方方面面，通常会让人相当痛苦。但我认为重要的是要看到，我们对网络安全都还是新手。我们还在摸索前进，一步一个脚印地建立关系、学习哪些做法行之有效、哪些做法无济于事。我期待与各位进一步交谈，再次感谢你们的邀请。

原文始发于微信公众号（天御攻防实验室）：一名TAO黑客的网络安全之旅