日前,維基解密爆料,CIA通過(guò)惡意軟件等網(wǎng)絡(luò)武器控制大量美國(guó)、歐洲等地企業(yè)的電子設(shè)備及操作系統(tǒng)產(chǎn)品,包括蘋果手機(jī)、谷歌安卓系統(tǒng)、微軟視窗系統(tǒng)和三星智能電視,把它們變成麥克風(fēng)進(jìn)行竊聽(tīng),并將錄音傳輸?shù)街星榫址?wù)器上。
此外,維基解密爆料的一份文件中顯示:執(zhí)行中國(guó)任務(wù)的特工深受語(yǔ)言障礙的困擾?!秴⒖枷ⅰ愤€以《維基解密網(wǎng)披露代碼中的漢字擋住CIA黑客》為標(biāo)題做了報(bào)道。那么,中文擋住CIA黑客究竟是怎么回事呢?
中文并不是抵擋CIA黑客的長(zhǎng)遠(yuǎn)之計(jì)
雖然參考消息的報(bào)道以《維基解密網(wǎng)披露代碼中的漢字擋住 CIA黑客》為標(biāo)題,且該標(biāo)題頗有因?yàn)橹形氖笴IA黑客束手無(wú)策,無(wú)法竊取中國(guó)秘密資料的含義。但事實(shí)上,這僅僅是CIA黑客看不懂中文導(dǎo)致的,若要實(shí)現(xiàn) 信息安全,僅僅依靠源代碼中的中文或中文注釋是遠(yuǎn)遠(yuǎn)不夠的,而且這也非長(zhǎng)遠(yuǎn)之計(jì)。由于絕大多數(shù)程序代碼都是用通用編程語(yǔ)言寫成,這些英文字母組成的代碼,全球程序員都認(rèn)識(shí),但認(rèn)識(shí)代碼歸認(rèn)識(shí),能不能徹底解讀就是另一回事了——源代碼一般都是比較晦澀的,沒(méi)有注釋的代碼換了開發(fā)這個(gè)程序的工程師之外的人來(lái)讀其實(shí)是很難讀懂的。
“維基解密”近期公布的文件顯示,美國(guó)中情局通過(guò)各種方式攻擊了中國(guó)等很多國(guó)家的電子設(shè)備。外交部回應(yīng):敦促美方攻擊停止。
國(guó)內(nèi)一些企業(yè)和境外企業(yè)合資做CPU,或買授權(quán)做SOC,以及合資做所謂的Windows 10政府版操作系統(tǒng),雖然購(gòu)買了境外企業(yè)的授權(quán),有可能獲得了部分源代碼,但設(shè)計(jì)文檔和注釋這些一般是無(wú)法從境外國(guó)際公司處獲取的。這也是為什么,無(wú)論是CPU,還是操作系統(tǒng),雖然在“十二五”期間,一些企業(yè)得到巨額專項(xiàng)資金扶持,但耗費(fèi)數(shù)年時(shí)間和巨額資金,至今依舊拿境外技術(shù)穿馬甲的原因之一。
而這次維基解密曝光的情況,其實(shí)是CIA黑客通過(guò)特殊手段獲得源代碼后,發(fā)現(xiàn)源代碼沒(méi)有英文注釋所以讀不懂。
雖然不少科班出身的程序員,一般都是循規(guī)蹈矩按部就班的用英文注釋。但由于部分中國(guó)的軟件工程師英文水平不夠高,甚至一些程序員的英文其實(shí)非常有限,如果用英文注釋很可能會(huì)出不少問(wèn)題,因此會(huì)在源代碼中用中文做注釋。
在英文水平有限的情況下,如果用英文而不是中文注釋的話,可能會(huì)有翻譯錯(cuò)誤、字母打錯(cuò)、以及英文專用名詞過(guò)于生僻等一些問(wèn)題。舉例來(lái)說(shuō),比如創(chuàng)建時(shí)間,一般翻譯CreateTime,但是也有人寫成BuildDate,甚至有的時(shí)候會(huì)有字母打錯(cuò),變成BuildData的情況,這種還是算能夠看出來(lái)是打錯(cuò)字母的。
更多時(shí)候,打錯(cuò)字母的英文單詞會(huì)導(dǎo)致其他程序員解讀難度大幅攀升,怎么猜測(cè)都不對(duì)。如果用中文的話,不僅方便國(guó)內(nèi)同行理解,也可以少發(fā)生產(chǎn)生歧義的情況。
另外,由于英文專業(yè)名詞都是非常生僻的,非該專業(yè)領(lǐng)域的業(yè)內(nèi)人士根本不認(rèn)識(shí)該專業(yè)的相關(guān)專業(yè)術(shù)語(yǔ)的英文單詞。以電力方面來(lái)說(shuō),程序員僅僅是碼農(nóng),不是電力工程師,這就導(dǎo)致國(guó)內(nèi)軟件工程師在接國(guó)內(nèi)項(xiàng)目后,根本不知道相關(guān)專業(yè)術(shù)語(yǔ)的英文單詞,在這種情況下,就直接用中文或者拼音了。
一位軟件工程師告訴筆者,“在XX電網(wǎng)的時(shí)候開發(fā)一套系統(tǒng),里面上千個(gè)電網(wǎng)專業(yè)術(shù)語(yǔ),如果用英文,可以撞頭去死了……所以注釋一般用中文,程序變量名用拼音”。其實(shí),國(guó)內(nèi)不少大公司也是會(huì)用中文拼音的。
而本次CIA黑客受阻于中文的真正原因,是因?yàn)橹形牟┐缶?,而?guó)內(nèi)程序員寫了中文注釋又很隨意,沒(méi)有一定的漢語(yǔ)文化功底的CIA黑客很難理解中文注釋,所以出現(xiàn)了拿到了源代碼,但是因?yàn)闊o(wú)法理解源代碼中的中文注釋而看不懂的情況。
不過(guò),隨著CIA招募掌握中文的黑客參與相關(guān)工作,看不懂源代碼中的中文而產(chǎn)生的問(wèn)題將不復(fù)存在。
維基解密稱CIA把歐洲黑客“老巢”建在美國(guó)駐德國(guó)法蘭克福領(lǐng)事館
打鐵還需自身硬
根據(jù)斯諾登的披露,美國(guó)政府一直通過(guò)各種手段對(duì)全球很多國(guó)家實(shí)施監(jiān)控和網(wǎng)絡(luò)攻擊,除了傳統(tǒng)的攻擊服務(wù)器和PC獲得其他國(guó)家機(jī)密數(shù)據(jù)之外,隨著物聯(lián)網(wǎng)和各種智能硬件設(shè)備的興起,網(wǎng)絡(luò)安全和抵御網(wǎng)絡(luò)攻擊的難度大幅攀升。
目前,各種智能硬件設(shè)備的增長(zhǎng)如井噴之勢(shì),2016年約有1.7億人購(gòu)買各種物聯(lián)網(wǎng)的禮品,到2020年,物聯(lián)網(wǎng)連接的智能設(shè)備有望在全球增加到500億臺(tái)。加上即將到來(lái)的5G時(shí)代,會(huì)實(shí)現(xiàn)萬(wàn)物相連。不僅智能空調(diào)、智能電視、智能洗衣機(jī)等智能家電會(huì)和手機(jī)等個(gè)人智能終端設(shè)備,以及PC相連接,各種攝像頭監(jiān)控設(shè)備、智能揚(yáng)聲器、汽車電子、醫(yī)療器械、工業(yè)生產(chǎn)設(shè)備等智能硬件也會(huì)通過(guò)網(wǎng)絡(luò)相連。而這些智能硬件設(shè)備都有CPU、內(nèi)存、操作系統(tǒng),雖然模樣千奇百怪,但其實(shí)都是一臺(tái)迷你電腦。
更致命的是,這些智能硬件設(shè)備中很大一部分近乎是不設(shè)防的,在軟件上由于長(zhǎng)年得不到更新維護(hù),軟件系統(tǒng)存在大量漏洞。而很多智能硬件設(shè)備對(duì)CPU性能要求不高,反而對(duì)功耗和成本非常敏感,因而往往采用近乎于老掉牙的芯片。誠(chéng)然,這些老芯片在經(jīng)過(guò)多年使用和驗(yàn)證,有著相對(duì)成熟的優(yōu)勢(shì)。但由于芯片破解難度和芯片的復(fù)雜度成正比,加上有充足的時(shí)間去破解,因而在安全性上可能存在一定瑕疵。此外,由于西方科技公司往往和所在國(guó)政府存在某些合作,因而很多國(guó)家的互聯(lián)網(wǎng)和各種智能硬件設(shè)備完全暴露在國(guó)家級(jí)黑客的攻擊之下。
舉例來(lái)說(shuō),維基解密就公布了CIA利用各種技術(shù)在電腦、手機(jī)平臺(tái)上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊,以及操作智能電視、智能監(jiān)控設(shè)備等終端設(shè)備進(jìn)行竊密的文件。最驚悚的是,CIA還可以遙控智能汽車發(fā)起暗殺行動(dòng)。
因此,要實(shí)現(xiàn)網(wǎng)絡(luò)安全,保護(hù)國(guó)家機(jī)密和個(gè)人隱私,必須采取技術(shù)手段,而非源代碼中加入一些中文內(nèi)容。
技術(shù)手段主要解決的是境外國(guó)家級(jí)攻擊者,正面捅刀子和背后捅刀子的問(wèn)題。
所謂背后捅刀子,就是國(guó)人使用的網(wǎng)絡(luò)設(shè)備、電腦、服務(wù)器、智能穿戴設(shè)備、手機(jī)等產(chǎn)品在軟件上和硬件上被境外科技公司留下了各種后門,這樣國(guó)家級(jí)攻擊者就可以通過(guò)這些后門肆意竊取國(guó)家秘密和個(gè)人隱私。
而境外國(guó)家級(jí)黑客攻擊就是正面捅刀子,面對(duì)正面捅刀子,就必須從軟件和硬件上加強(qiáng)防護(hù)措施,防止非法訪問(wèn)和修改。
對(duì)付背后捅刀子,最好的方式就是從軟件和硬件上實(shí)現(xiàn)國(guó)產(chǎn)自主+安全可信,采用國(guó)內(nèi)自主設(shè)計(jì)、代工生產(chǎn)封裝的CPU和自研的操作系統(tǒng)去取代國(guó)外的產(chǎn)品。而且這也是對(duì)付正面捅刀子的前提條件,因?yàn)槿绻约翰徽莆蘸诵募夹g(shù),依靠購(gòu)買國(guó)外產(chǎn)品的話,老外賣給你什么,你用什么,就沒(méi)法從整體上考慮安全方案,就很難提升面對(duì)黑客攻擊的防御能力。
此外,固件也非常重要,固件就是硬件和操作系統(tǒng)之間的部分,基本功能是用來(lái)配置硬件引導(dǎo)系統(tǒng)。bios是計(jì)算機(jī)里最重要的固件之一,nsa、cia和hacking team都很喜歡通過(guò)bios植入木馬。服務(wù)器里還有bmc固件,用來(lái)監(jiān)控管理服務(wù)器。在防御黑客的方面,由于bios比操作系統(tǒng)先運(yùn)行,在把控制權(quán)傳遞給操作系統(tǒng)的時(shí)候,bios可以去檢驗(yàn)要運(yùn)行的系統(tǒng)是不是符合預(yù)期,是否被篡改,因而bios可以通過(guò)傳遞信任關(guān)系到操作系統(tǒng),讓惡意代碼無(wú)法執(zhí)行。因此,固件在安全里有非常重要的位置。
總之,源代碼中存在中文這僅僅是一個(gè)小障礙,而非不可逾越的技術(shù)瓶頸。至于用中文編程是根本沒(méi)有必要的,雖然用中文編程可以解決一些中國(guó)人不懂英文的問(wèn)題,然而現(xiàn)在英文是事實(shí)的世界語(yǔ)言,作為程序員不懂英文就沒(méi)法跟其他國(guó)家的人交流,最后很有可能會(huì)走到閉門造車的路上,反而得不償失。要真正提升抵御網(wǎng)絡(luò)攻擊的防御能力,最好的做法是采用自主研發(fā)的產(chǎn)品取代國(guó)外產(chǎn)品,并在實(shí)踐中不斷使用、磨合、檢驗(yàn),最終實(shí)現(xiàn)螺旋式提升。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 從量子威脅到人工智能防御:2025年網(wǎng)絡(luò)安全將如何發(fā)展
- 后人工智能時(shí)代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動(dòng)
- 2025年展望:人工智能推動(dòng)IT整合
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長(zhǎng)6.6%
- Fortinet李宏凱:2025年在中國(guó)大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬(wàn)
- 央國(guó)企采購(gòu)管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過(guò)26億美元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。