日前, 維琪解密爆料, CIA通過惡意軟體等網路武器控制大量美國、歐洲等地企業的電子設備及作業系統產品, 包括蘋果手機、谷歌安卓系統、微軟視窗系統和三星智慧電視, 把它們變成麥克風進行竊聽, 並將錄音傳輸到中情局伺服器上。
此外, 維琪解密爆料的一份檔中顯示:執行中國任務的特工深受語言障礙的困擾。 《參考消息》還以《維琪解密網披露代碼中的漢字擋住CIA駭客》為標題做了報導。 那麼, 中文擋住CIA駭客究竟是怎麼回事呢?
“維琪解密”近期公佈的檔顯示, 美國中情局通過各種方式攻擊了中國等很多國家的電子設備。 外交部回應:敦促美方攻擊停止。
中文並不是抵擋CIA駭客的長遠之計
雖然參考消息的報導以《維琪解密網披露代碼中的漢字擋住CIA駭客》為標題, 且該標題頗有因為中文使CIA駭客束手無策, 無法竊取中國秘密資料的含義。 但事實上,
由於絕大多數程式碼都是用通用程式設計語言寫成, 這些英文字母組成的代碼, 全球程式師都認識, 但認識代碼歸認識, 能不能徹底解讀就是另一回事了——原始程式碼一般都是比較晦澀的, 沒有注釋的代碼換了開發這個程式的工程師之外的人來讀其實是很難讀懂的。
因此, 注釋就伴隨原始程式碼而生, 注釋的作用是便於理解和交接給其他人, 告訴別人代碼實現的功能, 如果看不懂原始程式碼的注釋, 或者原始程式碼根本就沒有注釋, 那即便拿到了原始程式碼也猶如天書。
國內一些企業和境外企業合資做CPU, 或買授權做SOC, 以及合資做所謂的Windows 10政府版作業系統, 雖然購買了境外企業的授權, 有可能獲得了部分原始程式碼, 但設計文檔和注釋這些一般是無法從境外國際公司處獲取的。 這也是為什麼, 無論是CPU, 還是作業系統, 雖然在“十二五”期間, 一些企業得到巨額專項資金扶持, 但耗費數年時間和巨額資金, 至今依舊拿境外技術穿馬甲的原因之一。
而這次維琪解密曝光的情況, 其實是CIA駭客通過特殊手段獲得原始程式碼後, 發現原始程式碼沒有英文注釋所以讀不懂。
雖然不少科班出身的程式師, 一般都是循規蹈矩按部就班的用英文注釋。 但由於部分中國的軟體工程師英文水準不夠高,
在英文水準有限的情況下, 如果用英文而不是中文注釋的話, 可能會有翻譯錯誤、字母打錯、以及英文專用名詞過於生僻等一些問題。 舉例來說, 比如創建時間, 一般翻譯CreateTime, 但是也有人寫成BuildDate, 甚至有的時候會有字母打錯, 變成BuildData的情況, 這種還是算能夠看出來是打錯字母的。
更多時候, 打錯字母的英文單詞會導致其他程式師解讀難度大幅攀升, 怎麼猜測都不對。 如果用中文的話, 不僅方便國內同行理解, 也可以少發生產生歧義的情況。
另外, 由於英文專業名詞都是非常生僻的, 非該專業領域的業內人士根本不認識該專業的相關專業術語的英文單詞。
一位軟體工程師告訴筆者, “在XX電網的時候開發一套系統, 裡面上千個電網專業術語, 如果用英文, 可以撞頭去死了……所以注釋一般用中文, 程式變數名用拼音”。 其實, 國內不少大公司也是會用中文拼音的。
而本次CIA駭客受阻于中文的真正原因, 是因為中文博大精深, 而國內程式師寫了中文注釋又很隨意, 沒有一定的漢語文化功底的CIA駭客很難理解中文注釋, 所以出現了拿到了原始程式碼, 但是因為無法理解原始程式碼中的中文注釋而看不懂的情況。
不過,隨著CIA招募掌握中文的駭客參與相關工作,看不懂原始程式碼中的中文而產生的問題將不復存在。
維琪解密稱CIA把歐洲駭客“老巢”建在美國駐德國法蘭克福領事館
打鐵還需自身硬
根據斯諾登的披露,美國政府一直通過各種手段對全球很多國家實施監控和網路攻擊,除了傳統的攻擊伺服器和PC獲得其他國家機密資料之外,隨著物聯網和各種智慧硬體設備的興起,網路安全和抵禦網路攻擊的難度大幅攀升。
目前,各種智慧硬體設備的增長如井噴之勢,2016年約有1.7億人購買各種物聯網的禮品,到2020年,物聯網連接的智慧設備有望在全球增加到500億台。加上即將到來的5G時代,會實現萬物相連。不僅智慧空調、智慧電視、智慧洗衣機等智慧家電會和手機等個人智慧終端機設備,以及PC相連接,各種攝像頭監控設備、智慧揚聲器、汽車電子、醫療器械、工業生產設備等智慧硬體也會通過網路相連。而這些智慧硬體設備都有CPU、記憶體、作業系統,雖然模樣千奇百怪,但其實都是一台迷你電腦。
更致命的是,這些智慧硬體設備中很大一部分近乎是不設防的,在軟體上由於長年得不到更新維護,軟體系統存在大量漏洞。而很多智慧硬體設備對CPU性能要求不高,反而對功耗和成本非常敏感,因而往往採用近乎於老掉牙的晶片。誠然,這些老晶片在經過多年使用和驗證,有著相對成熟的優勢。但由於晶片破解難度和晶片的複雜度成正比,加上有充足的時間去破解,因而在安全性上可能存在一定瑕疵。此外,由於西方科技公司往往和所在國政府存在某些合作,因而很多國家的互聯網和各種智慧硬體設備完全暴露在國家級駭客的攻擊之下。
舉例來說,維琪解密就公佈了CIA利用各種技術在電腦、手機平臺上的Windows、iOS、Android等各類作業系統下發起入侵攻擊,以及操作智慧電視、智慧監控設備等終端設備進行竊密的檔。最驚悚的是,CIA還可以遙控智慧汽車發起暗殺行動。
因此,要實現網路安全,保護國家機密和個人隱私,必須採取技術手段,而非原始程式碼中加入一些中文內容。
技術手段主要解決的是境外國家級攻擊者,正面捅刀子和背後捅刀子的問題。
所謂背後捅刀子,就是國人使用的網路設備、電腦、伺服器、智慧穿戴設備、手機等產品在軟體上和硬體上被境外科技公司留下了各種後門,這樣國家級攻擊者就可以通過這些後門肆意竊取國家秘密和個人隱私。
而境外國家級駭客攻擊就是正面捅刀子,面對正面捅刀子,就必須從軟體和硬體上加強防護措施,防止非法訪問和修改。
對付背後捅刀子,最好的方式就是從軟體和硬體上實現國產自主 + 安全可信,採用國內自主設計、代工生產封裝的CPU和自研的作業系統去取代國外的產品。而且這也是對付正面捅刀子的前提條件,因為如果自己不掌握核心技術,依靠購買國外產品的話,老外賣給你什麼,你用什麼,就沒法從整體上考慮安全方案,就很難提升面對駭客攻擊的防禦能力。
此外,固件也非常重要,固件就是硬體和作業系統之間的部分,基本功能是用來配置硬體引導系統。bios是電腦裡最重要的固件之一,nsa、cia和hacking team都很喜歡通過bios植入木馬。伺服器裡還有bmc固件,用來監控管理伺服器。在防禦駭客的方面,由於bios比作業系統先運行,在把控制權傳遞給作業系統的時候,bios可以去檢驗要運行的系統是不是符合預期,是否被篡改,因而bios可以通過傳遞信任關係到作業系統,讓惡意程式碼無法執行。因此,固件在安全裡有非常重要的位置。
總之,原始程式碼中存在中文這僅僅是一個小障礙,而非不可逾越的技術瓶頸。至於用中文程式設計是根本沒有必要的,雖然用中文程式設計可以解決一些中國人不懂英文的問題,然而現在英文是事實的世界語言,作為程式師不懂英文就沒法跟其他國家的人交流,最後很有可能會走到閉門造車的路上,反而得不償失。要真正提升抵禦網路攻擊的防禦能力,最好的做法是採用自主研發的產品取代國外產品,並在實踐中不斷使用、磨合、檢驗,最終實現螺旋式提升。
不過,隨著CIA招募掌握中文的駭客參與相關工作,看不懂原始程式碼中的中文而產生的問題將不復存在。
維琪解密稱CIA把歐洲駭客“老巢”建在美國駐德國法蘭克福領事館
打鐵還需自身硬
根據斯諾登的披露,美國政府一直通過各種手段對全球很多國家實施監控和網路攻擊,除了傳統的攻擊伺服器和PC獲得其他國家機密資料之外,隨著物聯網和各種智慧硬體設備的興起,網路安全和抵禦網路攻擊的難度大幅攀升。
目前,各種智慧硬體設備的增長如井噴之勢,2016年約有1.7億人購買各種物聯網的禮品,到2020年,物聯網連接的智慧設備有望在全球增加到500億台。加上即將到來的5G時代,會實現萬物相連。不僅智慧空調、智慧電視、智慧洗衣機等智慧家電會和手機等個人智慧終端機設備,以及PC相連接,各種攝像頭監控設備、智慧揚聲器、汽車電子、醫療器械、工業生產設備等智慧硬體也會通過網路相連。而這些智慧硬體設備都有CPU、記憶體、作業系統,雖然模樣千奇百怪,但其實都是一台迷你電腦。
更致命的是,這些智慧硬體設備中很大一部分近乎是不設防的,在軟體上由於長年得不到更新維護,軟體系統存在大量漏洞。而很多智慧硬體設備對CPU性能要求不高,反而對功耗和成本非常敏感,因而往往採用近乎於老掉牙的晶片。誠然,這些老晶片在經過多年使用和驗證,有著相對成熟的優勢。但由於晶片破解難度和晶片的複雜度成正比,加上有充足的時間去破解,因而在安全性上可能存在一定瑕疵。此外,由於西方科技公司往往和所在國政府存在某些合作,因而很多國家的互聯網和各種智慧硬體設備完全暴露在國家級駭客的攻擊之下。
舉例來說,維琪解密就公佈了CIA利用各種技術在電腦、手機平臺上的Windows、iOS、Android等各類作業系統下發起入侵攻擊,以及操作智慧電視、智慧監控設備等終端設備進行竊密的檔。最驚悚的是,CIA還可以遙控智慧汽車發起暗殺行動。
因此,要實現網路安全,保護國家機密和個人隱私,必須採取技術手段,而非原始程式碼中加入一些中文內容。
技術手段主要解決的是境外國家級攻擊者,正面捅刀子和背後捅刀子的問題。
所謂背後捅刀子,就是國人使用的網路設備、電腦、伺服器、智慧穿戴設備、手機等產品在軟體上和硬體上被境外科技公司留下了各種後門,這樣國家級攻擊者就可以通過這些後門肆意竊取國家秘密和個人隱私。
而境外國家級駭客攻擊就是正面捅刀子,面對正面捅刀子,就必須從軟體和硬體上加強防護措施,防止非法訪問和修改。
對付背後捅刀子,最好的方式就是從軟體和硬體上實現國產自主 + 安全可信,採用國內自主設計、代工生產封裝的CPU和自研的作業系統去取代國外的產品。而且這也是對付正面捅刀子的前提條件,因為如果自己不掌握核心技術,依靠購買國外產品的話,老外賣給你什麼,你用什麼,就沒法從整體上考慮安全方案,就很難提升面對駭客攻擊的防禦能力。
此外,固件也非常重要,固件就是硬體和作業系統之間的部分,基本功能是用來配置硬體引導系統。bios是電腦裡最重要的固件之一,nsa、cia和hacking team都很喜歡通過bios植入木馬。伺服器裡還有bmc固件,用來監控管理伺服器。在防禦駭客的方面,由於bios比作業系統先運行,在把控制權傳遞給作業系統的時候,bios可以去檢驗要運行的系統是不是符合預期,是否被篡改,因而bios可以通過傳遞信任關係到作業系統,讓惡意程式碼無法執行。因此,固件在安全裡有非常重要的位置。
總之,原始程式碼中存在中文這僅僅是一個小障礙,而非不可逾越的技術瓶頸。至於用中文程式設計是根本沒有必要的,雖然用中文程式設計可以解決一些中國人不懂英文的問題,然而現在英文是事實的世界語言,作為程式師不懂英文就沒法跟其他國家的人交流,最後很有可能會走到閉門造車的路上,反而得不償失。要真正提升抵禦網路攻擊的防禦能力,最好的做法是採用自主研發的產品取代國外產品,並在實踐中不斷使用、磨合、檢驗,最終實現螺旋式提升。