这是假设出现最糟糕的末日情节,这些风险是真实存在的,但它们不会真的毁掉整个网际网络,因为我们今天所拥有的工具已经让网际网络知道可以如何去「绕过」它们。
基于十五年帮忙建立网际网络和云端技术的工作,包括五年在加州大学运行网站和网际网络工程计划,五年在Exodus Communications和五年在像趋势科技这样的云端安全公司工作,以下是我的看法。
Eagleman列出可能摧毁网际网络的四件事是:
一、来自宇宙的自然现象,太阳耀斑(Solar Flares)可能会摧毁卫星,甚至地面网络。没错,这之前发生过。
二、网络战,他的意思是超限战的目标包括国内的网络基础设施。
三、政治因素,鉴于中国、伊朗和埃及都曾经在不同时候切断人民对网际网络的连结,美国参议院也批准一项法案去赋予总统权力使用「关闭网络开关」,这的确是真的(但网际网络不会真的消失)。
四、电缆断裂,我们很脆弱,因为绝大部分的网际网络流量(约99%)都是靠海底电缆,而非卫星。在2008年二月初,许多连到回教国家的电缆被切断,多到不大可能是件意外。你可以想像得到,每个国家都有军事计划知道切断哪条缆线会影响到哪些国家。(但是网际网络不会消失)
有许多事可能会让网际网络中断,这让我们想到该如何去将网际网络和网站、行动装置和云端运算本身分离?这一点很重要,因为我们关心如何正常运作也关心安全。如果网络出现问题,是否意味云端运算也挂了?你的资料在网络回来时还在吗?我们在这先专注在资料的可用性和网络的可用性。
所有的这些威胁都有两个共同点:集中化的基础设施和集中化的控制。而有些事情是我们今天就可以做的,就是去解决这些核心弱点。
太阳耀斑
巨大的流量集中在少数卫星,而这些卫星从少数几个地面卫星站所控制。如果你入侵一个地面站的控制器或是宇宙自然现象摧毁了一个卫星就会造成网络断线。很少人知道的是,卫星其实在提供网络这方面表现很糟糕,所以除非你没有其他的选择没会去用。原因是卫星的距离很遥远,所以花在从地表到卫星再返回地表的时间也让透过卫星连线的效能跟和缆线比起来差很多。这也是为什么只有1%的网际网络流量是透过卫星。太阳耀斑可以影响卫星,这会让一些位在偏远地区的人产生严重的问题,但是网际网络本身基本上不会受到影响,所以当然不会被毁掉。
当然你可以想像一波超强大的太阳耀斑可能会毁掉地球上的所有电子设备,包括网络基础设施。但这样强大的风暴大概也会毁掉我们的电力网,所以在这样的灾难下,我不会太担心网络的问题。而看下去就知道,只要有电力和网格云就可以修复资料网络的问题。
网络战
国内的网络基础设施问题是所有权集中化(在许多国家)和集中化的管理。当一个外国政府关闭国内网络的一个关键系统就可以关掉整个网络。不需要去切掉通往每个邻国的电缆。更糟的是,最近的DNS变更木马证明现行网络设计有多么脆弱。DNS本身的问题是根伺服器的集中化,所以从很早开始就一直是被攻击的目标。
我相信最具破坏性的网络攻击并不是去摧毁网络基础设施。网络对网络攻击本身来说很重要。如果网络攻击摧毁了你的网络,这是个坏消息,因为这代表攻击者已经利用你的网络将发电厂、交通控制系统以及任何其他大型系统给摧毁了,所以他们不需要再透过网络去监控接下来的事情了。
最珍贵的就是资讯。在战争中,网络攻击者首先需要的是资讯,所以他们会先锁定你的资料。他们会侵入网络和监听。一旦他们有了所需要的资讯,真正有趣的事情就来了。比起删除档案,聪明的网络攻击会对其加以修改,所以你在网络上拿到的资料可能可信,也可能不是。资料中毒– 资讯的微妙变化会比失去资料让政府回复速度更加放慢。这也是Stuxnet的运作方式,它对核能基础设施的控制系统做出细微变化。而非删除资料。
这是为什么网络超限战会终结网际网络。它会降低可靠性、减缓网络、破坏大多数有连接网络的控制系统和将资料弄脏,但是网际网络的核心基础设施仍然继续运作。即使经过最激烈的网络战争,我们也不会需要石板来告诉我们如何重建路由器。不过你的iPhone可能会有几个星期没有用处。
准备网络战所需要的远比保护网际网络来得多。需要广泛地将在云端里的资料加密,需要专心去保护网络的控制系统和重要的基础设施(像电力网)。需要保护所有的资料,不要被更改或是恶意的删除。这包括所有储存在云端的资料,因为网络攻击者会很希望利用资料中毒攻击来扰乱电子商务系统,好散播混乱并破坏供应链。
你可能也猜到了,可以利用去集中化以及加密来让资料的可用性最大化,也几乎不可能被变动。
政治因素
只有具备中央管控技术时,政治力才有办法去控制网际网络。就算是中国的金盾计画也有许多方法可以让人翻墙出去。想利用政治力来关闭网际网络,就需要有中央控制系统来关闭网络。而当你建了这样的一个致命开关,不仅仅是没有道德的政府可以用来攻击你,敌国政府的超限战部队或其他网络犯罪分子也一样可能会去用它。做出关闭网络开关本身就是件不道德的事情。
这里的解决方法就是类似禁止生化武器或虐待囚犯的国际条约来约束。或者就是要使用去集中化的技术,利用类似网格云这样的技术去绕过关闭网络开关。大概一分钟内就可以让网络恢复了。
电缆断裂
电缆断裂会让网际网络区域性的中断,因为我们把太多的流量集中在几条电缆上,让国际间的资料流量都集中起来。加入更多电缆以及经过更多路由看起来是个简单的解决方法,直到你读到Wired杂志最棒的一篇文章,来自本世纪最有才华的作者,后庞克风格的发明者– Neal Stephenson。题目是「Mother Earth Mother Board」,发表于1996年,解释了我们究竟是如何打造国际电缆的。
一旦你读了就会明白,不管有多少电缆,切断电缆永远会是战争中的一个问题,而铺设更多的电缆也不是简不简单或便不便宜的问题。在之前的世界大战,德国人也用U潜艇去切断海底的电报线。
更多的电缆代表有更多的备援,不大可能永久切断所有的电缆,而这是让国际网络在某些区域永久断线的唯一方法(像是澳大利亚和夏威夷,但他们有那些蹩脚卫星作备援)。偶尔断线会让区域网络中断,但是国内的网络基础设施还是会继续运作,即使很难连出自己国家网络之外。
另一个答案是回顾网际网络历史,看看我们在各地都铺有高速电缆前是怎么过的。在网际网络最早的日子里,电子布告栏利用拨接透过系统– FidoNet来每天交换一次讯息。FidoNet只能传送纯文字,而且很慢。使用者可以在任何时候连上来,也不需要在同一时间连接。所以网络流量很难被追踪。即使电缆断裂(或政治因素)而关闭网际网络的一部分,任何使用者都可以成为FidoNet伺服器。这样派送内容虽然很慢,却很牢靠。只要有个大容量的USB随身碟,你就可以将网络上巨量的文字带过边界。虽然没有语音和视讯,但网际网络还可以用,可以传递讯息。
这个系统的进阶版本称为快取或内容传递网络(CDN),即使你可能不知道它,但在今天的网际网络上已经被广泛的使用。CDN公司(如Akamai)会在这些原始网站以外的地方储存网站的内容。而这就是一个去集中化的架构,更加具有弹性,和使用集中式的网站伺服器比起来也使用更少的网际网络主干频宽。我很幸运的是,Akamai这家最大的CDN公司,花了600亿美元收购一家我曾经在其中建立分散式云端架构的CDN新创公司。
担心电缆会被切断的国家应该要专注于使用先进的CDN系统,可以暂存最常用的网际网络内容。使得电缆断裂的严重性从完全的中断变成只有即时通讯会中断,但可以防止网际网络本身断线。在国际边界拥有资料中心和像DNS伺服器这样的核心网络功能有着明显地战略优势,尤其是可以支援即时讯息(像即时通、VoIP和电子邮件)的资料中心。像新加坡这样的国家就了解这一点,而在云端运算做出大量的投资。我将在几周内今年第二次的去到那边,在CloudSec 2012上做一次关于云端安全的主题演讲。
利用网格云来救援
有个新兴的云端运算称为网格云(ambient cloud)。因为网际网络上总会有许多启动着的行动装置和个人电脑连接着,你可以组合各地你所能控制的装置成为云端运算。网格云比现在主宰网站和网络的集中式云端运算要更加节省成本。它们更加具有弹性,它们也比任何现在网络上的集中式云端供应商具备更多的频宽、储存能力和运算能力。
很少人知道,不过迄今最大的云端运算环境其实是僵尸网络,或是让攻击者可以控制的数百万分散被感染恶意软体的电脑集合,这些机器可以用来窃取金钱、复制密码、储存资料、甚至窃听设备。DNS变更木马如此难以被彻底消灭就是因为它是如此分散,甚至在我们抓到幕后网络犯罪份子的一年后,还是有数以十万计的电脑仍然是被感染的。不是只有我们的网际网络具有如此的弹性。上次是什么时候,当你感叹总是可以透过手机随时上网呢?
如果我们可以利用这些我们个人电脑和平板目前浪费掉的网格运算能力,来创造更快、更安全、更弹性的网际网络呢?这样可以从根本上减少Eagleman所说的「毁掉网际网络」的风险。
好消息是这已经开始发生了。我曾在博客上提到类似Symform的新创储存公司,在今天提供实惠、高可用性的网格云端储存。基于策略的加密系统,像是SecureCloud.com(来自我工作的公司– 趋势科技)可以提供保证,没人能够看见或在未经你许可下变更你的资料。关于网格云端储存一件很酷的事情是,很难对资料采取法律行动,因为它分散成数万个小块储存到不同国家的电脑上。这也解决Eagleman一个主要的关切,因为政治因素去关闭存取网际网络上的资讯。
但如果政府使用关闭网络开关呢?如果有网络攻击者成功渗透并破坏一个国家的网际网络基础设施呢?有现成的方法可以处理这些问题,一个我们应该可以接受的解决方案,因为它们让网际网络更具成本效益和更有弹性。
在2009年,Wi-Fi联盟发布了新的标准来加强无线网络连结,称为Wi-Fi Direct,让无线晶片成为一个完全的无线基地台。它让无线设备可以彼此交谈而无需经由网络,它让任何含有无线晶片的装置可以结合其他同样含有无线晶片的装置来建立一个无线热点。如果没有透过某些形式连到网际网络的话,使用它不会让你可以连上网络(但如果在20英里外的大城市有人可以连上网际网络,那你就可以使用它)。你可以在整个城市利用这新型态的网格云来取代网际网络。Wi-Fi Direct可以透过软体升级现有的无线装置,它也被实作在每个儿童一台笔记型电脑(OLPC)计划内。
我们也可以使用Daihinia,一种廉价方案让你的一般无线基地台成为多重点对点无线网络。然后你可以在你的网络上建立入口网页来告诉别人怎么使用它。而且(除非太阳耀斑)你可以提供Daihinia使用指南和本地下载连结,让你的邻居可以从头开始重建网际网络。你甚至可以利用这个方法在紧急时做到即时通讯,只要加入类似Pidgin的聊天软体。当埃及企图关闭网际网络之后,媒体人Bre Pettis(Makerbot的创始人)也写到这类技术的需求。
虽然实际上很少有人准备好这样一套系统。而一旦网际网络被关闭,你也没办法去获取软体或设定指南。但只要有些人在关闭前有设好此系统就可以了,因为一旦你有了这样的「网际网络种子」,之后就能病毒式的增长,就像网际网络一样。2050年的Johnny Appleseed所携带的可能是USB随身碟跟网状网络代码。
你不知道这些事情是因为你的网络服务供应商很不希望你跟邻居们分享你的网络连线,他们不希望网状网络取代掉他们从集中式到府连线的收入。(这不是阴谋论,我曾在大型网络服务供应商规划策略。)
事实是,这样网际网络更加安全,我们其实是可以透过网状无线网络来连到网际网络。今天并没有任何技术原因不这样做。我们是该为自己建立一个更美好的网际网络。
网格云和网络技术,加上更好的加密技术,除了极端的太阳耀斑,可以解决所有Eagleman所提到会让网际网络毁掉的问题。而如果出现这极端状况,那有比用石板说明书来重建网际网络更值得关心的事情。文章来源: http://www.ming4.com/news/1188.html,作者:@daveasprey。