无论是机器人还是电动车充电器,过去一周,都有一群黑客光明正大地尝试找出它们的“漏洞”,“黑进去”抢控制权。
别紧张,这不是在拍电影,而是全球有名的黑客大会DEF CON。这个大会从1993年开始,每年在美国拉斯维加斯举办,吸引世界各地的安全研究员、黑客、政府人员、科技迷聚在一起,畅谈网络安全,并交换最新科技和信息。
今年的大会有点特别,那就是首次进驻东南亚,于4月28日至30日在我国滨海湾金沙展览中心举行。三天活动里,保留了美国大会的传统,比如开设“兴趣村”、办夺旗比赛,还有各种公开赛,让志同道合的黑客们一较高下。
据《海峡时报》报道,大会第二天,新科工程摆出一台安保巡逻机器人,欢迎大家尝试破解。一家网络安全公司向大会展示,他们如何只花两周,就黑进一个网上买的电动车充电器,不仅能远程调电压,甚至可以直接让它关机。
大会把这些平时藏在暗处的黑客技术搬上台面,有人开玩笑说,至少大家知道了——不是所有黑客都整天穿着连帽衫。
DEF CON创办人莫斯(Jeff Moss)本人也是一名传奇黑客,他在开幕式上致辞时说,大会之所以与众不同,不只是因为展出的技术,与会者和他们的经验也同样重要。
大会这次能在新加坡举办,是因为内政科技局和DEF CON合作。内政科技局局长曾灿在开幕致辞时说了一句挺实在的话:“系统和方法要真正管用,最好的办法就是去测试它们。”
用大白话来说,就是:与其等坏人来挖漏洞,不如让好人先找出漏洞并补上。
但是,网络安全这件事,最后拼的还是人的警惕心。再强的防火墙,也挡不住你手滑点错一个链接。
现在谁不是手机不离手,有的人甚至拥有三四台设备。可很多人还是觉得,网络安全是“理所当然”的,以为设个不容易忘记,又不太复杂的密码就算完事了。
在国家层面,新加坡在2021年到2024年间,疑似被高级持续性威胁(APT)攻击的案例暴涨近四倍。当中,代号UNC3886的黑客组织,去年曾对我国关键基础设施发动攻击。当局随后展开长达11个月的“网络守护者行动”(Operation Cyber Guardian)应对。
APT攻击通常是国家级黑客或高水平团队干的,目的是偷敏感信息、情报,或者控制目标的系统。
为了应对这些威胁,政府一直在想办法。
数码发展及新闻部兼卫生部高级政务部长陈杰豪,今年2月就在国会上说,政府正考虑要求关键信息基础设施的业者扩大网安监管范围,哪怕不是关键系统,以后也得遵守更严格的安全标准。政府也为业者提供威胁侦测工具,帮他们更好防范和应对攻击。
这些事以前大多以国家安全为由不说,那为什么现在政府愿意公开了?
从尚穆根部长的回应就能看出点意思。他被问到为什么要公开点名UNC3886时说:“这个案例很严重,黑客已经入侵,还在破坏非常关键的基础设施。新加坡人应该知道,危机意识得提高。正因为事情严重,公开点名符合公众利益。”
说白了——网络威胁不分国界,而且哪儿都有。除了政府,每个人、每个机构也能尽一分力。
与此同时,政府也不是一路来什么都没做,而是有一大群人默默付出,在虚拟世界守护着我国的网络安全。
政府现在越来越透明,大家也更清楚不同政府机构,如新加坡网络安全局等相关机构的职责和工作,了解他们的付出。
与其什么都不说、什么都不公开,在这个几乎没有秘密的时代,适当公开反而是提高大家安全意识的好办法。
内政科技局和DEF CON这番合作,正好就体现这种精神:真正的安全,不是关起门来死守,而是打开门,一起变强。
