McAfee创始人:国安局后门暴露国家机密
McAfee创始人:国安局后门暴露国家机密
2016-03-02 14:12:36 来源:腾讯科技抢沙发
2016-03-02 14:12:36 来源:腾讯科技
摘要:国安局植入Juniper Networks系统的程序应该受到2名资深编码者的审核,他们各自阅读代码,并立即识别出后门。
关键词:
McAfee
早在1979年,中国领导人邓小平就曾预见到大多数西方领导人未曾注意到的一个事实:如果使用恰当,软件的破坏性可能远超过核武器。在邓小平领导下,中国开始了雄心勃勃的元软件(meta-software)开发项目。
那么什么是元软件?这是一门被西方世界完全忽略的科学,一个国家要想在网络战中生存下来,这些开发软件的高级原则将是必不可少的。举例来说,程序员必须经常受到审查。每个程序员编写的每行代码都需要经过2名资深程序员的审核,这些审核人员每个月轮换一次,每2个人只会搭配一次。你会在本文后面看到,为何这种原则对社会生存至关重要。
另一个原则是在任何情况下,软件不应该留有后门。在邓小平领导下,任何留有后门或违反元软件开发原则的行为都将受到严惩。我举个软件中被植入后门后引发灾难性后果的真实例证。去年12月17日,安全网络系统供应商Juniper Networks(其客户几乎包括美国所有政府机构)宣称,其系统中发现2个“未经授权的”后门。
对于那些不理解后门如何被创造出来的读者来说,后门只能由软件开发商创造,绝对没有其他方式。因此,公司软件开发部门肯定存在“流氓雇员”,这很明显。此外,如果你继续阅读本文,你会发现谁在Juniper Networks中发挥了“流氓雇员”的作用,以及为何如此。
首先,让我们介绍下Juniper Networks的背景。这家网络系统供应商在100多个国家和地区开展业务,其50%收入来自美国,30%收入来自欧洲,20%收入来自亚洲。Juniper Networks的过半客户生活在美国国安局(NSA)非常感兴趣的地方。
黑客组织“匿名者”曾公开2011年2月份的绝密文件显示,英国情报机构GCHQ显然了解国安局的行动,并予以积极配合。他们暗中利用Juniper Networks13种不同模式防火墙存在的安全漏洞“获得巨大能力”。我希望所有人都能了解“获得能力”的意思。国安局在Jupiter Networks系统中植入程序,因为没有其他方式获得这种能力。
“黑帽”黑客已经将自己融入目标机构中多年,此举曾导致知名婚外情网站Ashley Madison去年瘫痪,因此国安局利用这种技术并不令人感到奇怪。Juniper Networks的声明中令人感兴趣的是,其中一个后门是国安局2011年之前编写的代码验证程序。《连线》杂志报道称:Juniper Networks的后门值得关注,它似乎是基于国安局数年前按照Dual_EC算法创造的后门,以供其秘密使用。
国安局于2011年曾暗中利用许多美国敌人正在使用的安全软件后门,轻松对这些敌人进行监视。这些绝密文件曝光数周后,互联网界即了解了这些后门,包括中国、俄罗斯以及地球上的所有黑客。监督主要软件系统变化非常简单,每个黑客工具包中都有一个比较程序,可以勾勒出软件开发商对软件做出的所有变动。
因此,当国安局监视所谓的中东敌人、中国、俄罗斯以及其他敌对势力时,美国的所有重要秘密也通过国安局的后门曝光出去。国安局未曾注意到(+本站微信networkworldweixin),Jupiter Network系统50%的用户是美国人,其中大部分都是美国政府机构。
仅2015年,美国国防部、财政部、人事管理办公室等机构就曾遭到黑客攻击。利用国安局后门,560万国防部关键人员的指纹失窃。5月27日,财政部数百万份纳税申报资料失窃。最具破坏性的黑客袭击事件是人事管理办公室,2200万份敏感文件失窃。
无论国安局通过其后门获得了什么,都无法抵消其他人利用同样的后门对美国造成的伤害。如果Juniper Networks有先见之明,遵循中国已经施行了35年的网络原则,所有上诉事件可能都不会发生。
国安局植入Juniper Networks系统的程序应该受到2名资深编码者的审核,他们各自阅读代码,并立即识别出后门。管理层应该收到通知,“流氓员工”被控以重罪。此外,国安局不可能获得审核员的帮助,因为他们都是随机轮换的。
在这个领域,我们至少落后中国人20年,需要向中国和俄罗斯学习。我们必须尽快行动起来,不能再像孩子在操场上玩真枪。我们已经长大,我们的技术正超越我们,因为我们尚未能掌握其微妙含义。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。