一年以前,凯撒·切鲁多坐飞机到华盛顿,慢悠悠地走到国会山,抽出了他自己的笔记本电脑,然后开始入侵这座城市的交通系统。
就像他在曼哈顿以及其它地方测试时的情形一样,这里的交通信号灯也非常容易入侵。切鲁多是阿根廷人,隶属于网络安全公司IOAcitive Labs,他可以让绿灯变成红灯,红灯变成绿灯。只需要敲几下键盘,他就能锁住整个城区的交通,或者把一条繁忙的大街变成通达的高速公路。他可以让应急反应机构寸步难行,也可以关闭所有通往国会的道路。
然而他并没有这样做。他接触了设计城市交通传感器的公司,但并没有对通信进行加密,希望高层能够修补这些漏洞。在遭到忽视之后,他发了一篇博文,希望人们对这类问题提起注意,从而倒逼城市管理部门采取解决方案。切鲁多在最近接受采访时表示,“我发现各大城市都充满了安全漏洞,这些可能会对我们的生活产生非常直接的物理影响。”
城市运转越来越依赖多种不同的的技术网络,这正在成为日益严重的问题。当然,安全专家早就开始关注这些问题,而且就连政府官员也在过去的三年中不断警告:恶意黑客可能会让“智能城市”瘫痪。在智能城市中,网络传感器连接了交通网、供水网、垃圾处理设施、空气管理系统和供电网,以提升效率。目前,还没有任何一个复杂系统能够同时审查这么多层面上的安全状况,并对网络攻击作出响应。
全球对智慧城市技术的资金投入也在不断飙升:沙特阿拉伯投入了7千万美元建设智慧城市,而南非也对即将上马的智慧城市项目投入了74亿美元资金。根据法维翰咨询公司(Navigant Reserch)的估计,到2023年,全球在智慧城市方面的开支将达到275亿美元。阿灵顿县的首席信息安全官员大卫·乔丹表示:“很快,地球就会变成机器星球。如果还没有人告诉我们应该如何应对,黑客马上就会教育我们。”
从目前来看,交通系统中的计算机Bug已经造成了一些破坏。在2013年,洛杉矶公共轨道系统的一个Bug导致了全线停运,旅客被困在了地下。在2006年的一次罢工中,洛杉矶的两位交通工程师被指控入侵了洛杉矶四个主要交通枢纽的智能信号灯系统。随之而来的交通堵塞持续了四天,洛杉矶国际机场的入口、格伦代尔高速公路引线、通往斯蒂迪奥城和下城区通往停车场的公路都被堵得水泄不通。
尽管奥巴马政府称网络安全议题是这届政府工作的重中之重,他们仍旧未能说服监管机构相信那些针对关键基础设施的威胁是真实的。
网络安全立法在参议院陷入了僵局。共和党人认为,对运行水坝、水处理设施和供电系统的私人公司进行强制性安全要求会成为过于繁重的负担。
由于共和党人的阻挠,奥巴马总统在两年前签署了一项替代性行政令,对运行关键基础设施的私人企业提出网络安全指导建议。然而这项行政令缺乏实际效力,因为建议并不具有法律效用,是否遵从全靠企业自愿。
这就是切鲁多这样的黑客介入的背景,他们希望通过入侵这些系统,说明现状的严峻程度。纽约、洛杉矶、华盛顿这样的中心城市中通常配有数十万控制传感器,切鲁多的展示表明它们非常容易遭到入侵。供应商并没有对交通内部网络中传输的数据进行加密,切鲁多可以在500米之外就拦截并干扰交通传感器,甚至可以通过无人机来做到这一点。
切鲁多同时采取了另外一种策略来驱散公众对待安全议题的冷漠:他创建了一家非盈利性创业公司,名为“保卫智慧城市”(Securing Smart Cities),这家公司致力于团结公私营领域中的安全研究者和官员,以应对智慧城市中日益增多的漏洞:接下来的五年里估计又会有500亿台新设备接入到互联网上。
切鲁多说,“我们每个人都生活在这样的城市里,包括我自己。我已经厌倦了只指出问题,而不给出解决方案。“
他和团队致力于开发一些防御措施,比如数据加密和密钥系统,他们还会为交通传感器中发现的漏洞提出合适的修补方案。在理想情况下,各大城市将开始追踪对系统的外部访问请求、运行定期测试寻找漏洞、成立应急小组,从黑客处征集漏洞报告,协调打补丁的过程,并在同城的各大控制系统间实现信息共享、对智慧城市建立手动复位系统,以在攻击者掌控局面的情况下作出响应。
有些地方政府已经开始关注这一问题。乔丹说,在阿灵顿县,由于他和国土安全部、联邦调查局关系密切,让这里的情况有所不同。他组织了一个由县警中的计算机取证专家、网络工程师、他在Palo Alto Networks公司的安全供应商、趋势科技(Trend Micro)及赛门铁克人员组成的”融合“团队。他还建立了一个警报系统,如果阿灵顿县受到攻击,其它22 个司法管辖区也会收到通知。
没有法律或其它要求强制美国的3100个县都这样做。在阿灵顿县,尽管法律要求政府官员管理本县的记录和档案,但在数字领域却并没有对应的要求:比如让某人追踪并监控互联网、污水处理系统或电网中的可疑数据。
乔丹说,”我不认为联邦政府知道县一级的网络安全状况。网络安全之所以能够成为政府的一大宗旨,很大程度上是因为没有人懂这个,而且他们显然不喜欢它,因为它太贵了。“
乔丹正和切鲁多等人协作,团队里也包括艾伦·肖,他是新加坡网络安全保障局前局长,也是赛门铁克、卡巴斯基实验室、Bastille的顶级安全专家。随着关键设施越来越多地连接到互联网,各大城市和县区正在出现更多安全漏洞,该团队致力于让人们注意到这一点。
”以下两者之间存在着巨大的鸿沟:网络安全社区中经常抱怨的人们,以及那些真正受到影响的人。“帕特里克·尼尔森说,他是卡巴斯基实验室的安全研究员。”这个项目的最终目的是将安全社区和各大城市的官方人员联系起来,让他们知道风险是什么,以及如何处理它们。“
安全研究人员长期以来都被冠以”FUD“(Fear,Uncertainty,Doubt)的恶名,人们认为他们只是想推销自己的产品。考虑到这种现状,切鲁多特意将自己的初创企业设置为非盈利性的。他说,”我们不卖任何东西。技术是宽泛的,问题是巨大的,我们不想只提问题,不给解决方案。要解决这个问题,通力合作是唯一途径。“
团队表示,发生破坏性事件的可能性远比预想的高很多。去年,一个被安全研究人员称为Dragonfly或Energetic Bear的俄罗斯黑客小组被发现在窥探美国和欧洲的供电网络。
2013年,国土安全部承认,在针对美国的黑客攻击中,针对能源产业的攻击占比最高。在国土安全部记录的257个案例中的56%都针对能源行业。去年,国土安全部在一份报告中表示,“一个复杂的威胁因素”已经突破了公共设施控制系统,而过程仅用到了一种简单的攻击方式:攻击者只是猜测了系统的密码,而这个系统本来就绝对不应该接入互联网。
切鲁多能够将他的倡议推动到什么程度还无法预估。在发表了关于交通传感器的研究报告后一年,他又测试了旧金山的交通信号灯系统,但却发现这套系统仍旧没有对传输的交通传感器数据进行加密,这让整个城市都暴露在风险中。
“每天,各大城市都会上线一种新的’智能技术‘,而不经过任何测试”,他说。“他们所不知道的是,自己正在将美国公民和企业置于风险之中。如果智慧城市技术没有保障,人们将自食其果。”
(注:原文载于纽约时报,译者Venvoo)