|
早在1979年,中國領導人鄧小平就曾預見到大多數西方領導人未曾注意到的一個事實:如果使用恰當,軟件的破壞性可能遠超過核武器。在鄧小平領導下,中國開始了雄心勃勃的元軟件(meta-software)開發項目。 那么什么是元軟件?這是一門被西方世界完全忽略的科學,一個國家要想在網絡戰中生存下來,這些開發軟件的高級原則將是必不可少的。舉例來說,程序員必須經常受到審查。每個程序員編寫的每行代碼都需要經過2名資深程序員的審核,這些審核人員每個月輪換一次,每2個人只會搭配一次。你會在本文后面看到,為何這種原則對社會生存至關重要。 另一個原則是在任何情況下,軟件不應該留有后門。在鄧小平領導下,任何留有后門或違反元軟件開發原則的行為都將受到嚴懲。我舉個軟件中被植入后門后引發災難性后果的真實例證。去年12月17日,安全網絡系統供應商Juniper Networks(其客戶幾乎包括美國所有政府機構)宣稱,其系統中發現2個“未經授權的”后門。 對于那些不理解后門如何被創造出來的讀者來說,后門只能由軟件開發商創造,絕對沒有其他方式。因此,公司軟件開發部門肯定存在“流氓雇員”,這很明顯。此外,如果你繼續閱讀本文,你會發現誰在Juniper Networks中發揮了“流氓雇員”的作用,以及為何如此。 首先,讓我們介紹下Juniper Networks的背景。這家網絡系統供應商在100多個國家和地區開展業務,其50%收入來自美國,30%收入來自歐洲,20%收入來自亞洲。Juniper Networks的過半客戶生活在美國國安局(NSA)非常感興趣的地方。 黑客組織“匿名者”曾公開2011年2月份的絕密文件顯示,英國情報機構GCHQ顯然了解國安局的行動,并予以積極配合。他們暗中利用Juniper Networks13種不同模式防火墻存在的安全漏洞“獲得巨大能力”。我希望所有人都能了解“獲得能力”的意思。國安局在Jupiter Networks系統中植入程序,因為沒有其他方式獲得這種能力。 “黑帽”黑客已經將自己融入目標機構中多年,此舉曾導致知名婚外情網站Ashley Madison去年癱瘓,因此國安局利用這種技術并不令人感到奇怪。Juniper Networks的聲明中令人感興趣的是,其中一個后門是國安局2011年之前編寫的代碼驗證程序。《連線》雜志報道稱:Juniper Networks的后門值得關注,它似乎是基于國安局數年前按照Dual_EC算法創造的后門,以供其秘密使用。 國安局于2011年曾暗中利用許多美國敵人正在使用的安全軟件后門,輕松對這些敵人進行監視。這些絕密文件曝光數周后,互聯網界即了解了這些后門,包括中國、俄羅斯以及地球上的所有黑客。監督主要軟件系統變化非常簡單,每個黑客工具包中都有一個比較程序,可以勾勒出軟件開發商對軟件做出的所有變動。 因此,當國安局監視所謂的中東敵人、中國、俄羅斯以及其他敵對勢力時,美國的所有重要秘密也通過國安局的后門曝光出去。國安局未曾注意到,Jupiter Network系統50%的用戶是美國人,其中大部分都是美國政府機構。 僅2015年,美國國防部、財政部、人事管理辦公室等機構就曾遭到黑客攻擊。利用國安局后門,560萬國防部關鍵人員的指紋失竊。5月27日,財政部數百萬份納稅申報資料失竊。最具破壞性的黑客襲擊事件是人事管理辦公室,2200萬份敏感文件失竊。 無論國安局通過其后門獲得了什么,都無法抵消其他人利用同樣的后門對美國造成的傷害。如果Juniper Networks有先見之明,遵循中國已經施行了35年的網絡原則,所有上訴事件可能都不會發生。 國安局植入Juniper Networks系統的程序應該受到2名資深編碼者的審核,他們各自閱讀代碼,并立即識別出后門。管理層應該收到通知,“流氓員工”被控以重罪。此外,國安局不可能獲得審核員的幫助,因為他們都是隨機輪換的。 在這個領域,我們至少落后中國人20年,需要向中國和俄羅斯學習。我們必須盡快行動起來,不能再像孩子在操場上玩真槍。我們已經長大,我們的技術正超越我們,因為我們尚未能掌握其微妙含義。 |
