下载掌阅APP,畅读海量书库
立即打开
有一个来自计算机安全的概念,叫作同类破坏。这是一个特殊的安全漏洞,它不仅破坏一个系统,它还破坏一整类系统。例如,特定操作系统中的一个漏洞,可能允许攻击程序远程控制该系统软件上运行的每台计算机。再比如,可联网的数字视频录像机和网络摄像头中的一个漏洞,可能允许攻击程序将这些设备纳入一个庞大的僵尸网络。
这是计算机系统出故障的一种特殊情况,计算机和软件的特性使这种情况恶化。只要一个人足够聪明,他就能想出攻击系统的方法。一旦他想出了这种方法,他就可以编写自动化攻击的软件。这一切都通过互联网进行,所以他不必靠近受害者。他可以使他的攻击自动化,所以即使睡觉时也能进行攻击。然后他可以把这种能力传递给那些没有这种技能的某个人(或很多人)。这改变了安全故障的性质,并且完全颠覆了我们防范的措施。
举个例子:撬开机械门锁需要技巧和时间。每把锁都是一个新任务,在一把锁上成功并不能保证在设计相同的另一把锁上也能成功。然而,像现在宾馆房间里使用的电子门锁都有不同的漏洞,攻击者可以发现设计中的漏洞,制造一张可以打开每扇门的钥匙卡。如果他发布了他的攻击软件,那么不仅攻击者,任何人现在都可以打开所有的锁。如果这些锁连接到互联网,攻击者可能会远程开锁,可以同时远程打开每把门锁。这就是同类破坏。
计算机系统就是这样出故障的,但我们仍未能以这种方式看待故障。我们仍然认为汽车安全是指偷车贼手动盗窃汽车,但是我们不会想到黑客通过互联网远程操控汽车,或者通过互联网远程使汽车出故障。我们认为投票欺诈是未经授权的个人试图投票,但是我们不会想到一个人或一个组织远程操纵数千台联网的投票机。
从某种意义上说,同类破坏在风险管理中并不是一个新概念。这是入室盗窃/火灾(在一年中,一个街区的不同房屋偶尔会发生火灾)与洪水/地震(要么发生在附近所有人身上,要么不会发生)之间的区别。保险公司可以处理这两种类型的风险,但它们本质上不同。越来越计算机化的设备使我们面临的风险从入室盗窃/火灾模型转变为洪水/地震模型,在新的模型中,给定的威胁要么影响到城里的每个人,要么根本就不会发生。
然而,在计算机系统中,洪水/地震和同类破坏之间有一个关键区别:前者是随机的自然现象,而后者是人为的操纵。洪水不会根据我们建立的防御体系的类型而改变自己的行为,最大限度地造成破坏。但是攻击程序对计算机系统却能做到这点。攻击程序检查我们的系统,寻找同类破坏点。一旦其中一个攻击程序找到了一个漏洞,它们就会一次又一次地利用它,直到漏洞被修复。
随着我们进入物联网的世界,计算机渗透到我们生活的各个层面,同类破坏将变得越来越重要。自动化和远程操纵行为的结合将使攻击程序获得前所未有的力量和影响力。有预防原则等这样一些安全观念:潜在的危害非常大,倘若没有安全证明,宁可不部署采用新技术。当面对的是攻击程序可以打开所有门锁或者攻击所有发电厂这样的世界时,这些安全观念将变得更加重要。这不是一个本质上不安全的世界,而是一个与之前不同的安全世界。在这个世界里,无人驾驶的汽车比有人驾驶的汽车更安全,但情况突然之间就可能发生逆转。我们需要构建的系统有可能会发生同类破坏,所以应不顾一切维护系统安全。