前美国助理检察官称,未来5年,边为政府工作边盗取信息变现的黑客将增多。
负责美国司法部国家安全部门的前首席助理检察官表示:代表国家政府和政府背景间谍机构干活的网络罪犯,在“工作之余”违个小法赚点外快,将是公司和政府未来将面对的安全威胁。
如今已转职美富律师事务所当律师的约翰·卡林说:“我觉得这种犯罪和国家安全的融合,无论是恐怖分子或国家人员兼职恶棍,还是国家人员利用犯罪团伙来遮掩这些行动,都是一种正在增长的趋势,在未来3到5年间会持续增长下去。”
因此,企业与司法部门之间的合作,对抓获这些外国对手就十分关键了。看起来单纯的犯罪活动,很可能被切实追踪到间谍或恐怖活动上。
他举了阿迪特·法里奇的例子。法里奇从一家美国互联网托管公司盗取了个人信息,并勒索了价值500美元的比特币。看起来好像是单纯的敲诈勒索,但当报告到政府的时候,就没那么简单了。
法里奇似乎与著名网络恐怖分子朱内德·侯赛因有染,后者是五角大楼猎杀清单上排名第三的ISIL恐怖分子。法里奇的工作,就是从企业盗取个人信息,识别出为政府工作的人,创建暗杀名单。该姓名地址列表会被交给侯赛因,由侯赛因通过推特转给在美国的ISIL分支机构,执行暗杀。
500美元的勒索,明显是法里奇为了赚点小钱的副业开发。
法里奇被引渡到了美国,庭审,判刑,将在监狱里蹲满20年。侯赛因则被无人机狙杀。
“此类案例,就是我觉得有时候人们没搞清风险的那类。”卡林说,“如果公司知道那是恐怖组织,他们绝对会上报的。但因为你没跟政府合作来联系线索看清大局,仅靠自己就不会总能保持知情了。”
他还讲到了另一起司法部起诉5名中国军官进行经济间谍的案例。这5个人肯定不会来受审的,那么起诉有何意义呢?“我们这么做,是要将事情摆到台面上,并且展示我们能够查明谁做了这事儿。这么做了,公开了,就会有一系列结果产生。”
起诉动作,还将公众注意力拉到了美国将此类活动定为非法的事实上来——尽管在法庭上我们其实做不了什么。不采取行动等于默默纵容。卡林说道:“否则,基本上,你就是在国际法律之下,实实在在地立上一条:‘好吧,用你的情报机构盗取此类信息没问题。’某种意义上,该动作就是个巨大的禁止入内标志。”
卡林认为该战术非常有效。国外军方和情报机构针对私营公司的间谍活动有了减少。去年提起诉讼之后,习近平主席造访前总统奥巴马,对军方不应参与盗窃私有信息的原则表示了赞同。
物联网则提出了另一种形式的威胁。IoT的问题与互联网本身的相同:设计之初就没带安全基因,而且绝大多数IoT设备也是这样。正如扩展安全技术保护传统网络和设备一样,IoT也需要这样的扩展。
IoT缺乏安全的后果很严重,从去年利用联网摄像头和路由器发起的 1TB Mirai DDoS 攻击就可看出。而且,这些攻击只会越来越大——随着我们对车载计算机、无人驾驶汽车、无人机和植入式医疗设备的依赖越来越多。
这类联网就有风险的东西,会增加很多很多。卡林说:“我想起一个实际案例,一名恐怖分子在尼斯对一辆卡车所做的事。不难想象,如果有个自动化的车队,恐怖组织会干出什么来。”
他称,进展正逐渐实现。网络安全专家被分配到了车辆设计团队。政府将开始关注IoT设备可用的现有规程。或许还需要新的立法和监管。不安全设备的民事责任,可能被用于激励打造开箱即用设备更好的安全。“你的尝试达到合理的平衡。”
司法部已经开始引导制造商认识这些威胁。“被入侵了可不利于品牌名声。日常消费产品和私营公司,处在国家安全威胁前线。”
(责任编辑:安博涛)