互联网还年轻，安全隐患防不胜防

这个电脑编程问题相当于拼错了“Mississippi”这个英文单词——由粗心所导致，无法避免，而且大多数人都难以察觉。

这个漏洞名为“心脏出血”(Heartbleed)，在一些用来加密消费者在线数据的主流系统里广泛存在。这一事件明确地提醒我们：互联网仍处于青年期，并且容易遭遇各种看不见的危险，其中也包括简单的人为失误。如今的数字系统非常复杂，而且渗透到了我们生活中的每一个角落。完全控制它们是不可能的。

“‘心脏出血’进一步证明，我们在网络安全方面做得很糟糕，”普林斯顿大学(Princeton University)计算机安全专家爱德华·费尔滕(Edward Felten)说。

从某些方面来说，眼下的高科技世界跟其他一些关键产业昔日混乱、无序的局面不无相似，比如厄普顿·辛克莱(Upton Sinclair)在《屠场》(The Jungle)中描述的肉类加工业，以及拉尔夫·纳德(Ralph Nader)在《任何车速都不安全》(Unsafe at Any Speed)中描绘的汽车业。虽然监管和整个行业的协作已经让这些行业变得安全，但改善不仅需要时间，而且也需要不断尝试。

但目前还不清楚同样的解决方案是否适用于科技业。我们作为一个社会，已经决定一头扎进被数字设备统治的世界，不断在便利性与安全性之间做权衡。我们一直在往更多的新型硬件上存储更多的重要信息，而这些硬件上正运行着更加复杂的软件。所有这一切的相互依存性正在日益加重，使得整个生态系统变得更加脆弱。

虽然大型科技公司对安全领域越来越重视，但它通常被作为事后的补救措施，而不是构建产品和服务过程中的一个关键组成部分。专家指出，虽然培养一种更加注重安全的科技文化是可能的，但这需要做出长期的投入，教育软件工程师并提升核心技术。

“在软件开发的文化中，人们对设计系统和精心打造产品细节，在一定程度上不够关心，”费尔滕说。“航空等领域常见的那种安全文化我们并不具备。”

这是因为更高的安全性，肯定会让消费者享受到的速度、新奇性和便利性打些折扣。

“对于航空等行业中的关键任务系统，我们对编程是有标准的，但我不知道把这些标准套用到所有地方是否合适，”密码学家马修·格林(Matthew Green)说，他也是约翰·霍普金斯大学(Johns Hopkins University)的研究教授。那种严格的标准要求程序员花费远远更多的时间来测试自己的程序，无论是科技企业还是消费者都无法忍受这样的等待。格林说，“我觉得，我们不会希望等到20年后才出现下一个谷歌和Facebook。”

和最近发现的其他类似漏洞（其中包括苹果移动设备和桌面设备的一个漏洞）一样，“心脏出血”多年来也没有被人察觉。就研究人员所知，这个问题是一名程序员在2011年最后一天进行例行的代码修改时造成的。发现这个漏洞的系统OpenSSL是开源程序，这意味着它的代码放在网上，任何人都可以修改。从理论上讲，相对于封闭的系统，开源代码被认为更加安全；有足够多的程序员检查开源代码，漏洞可以很快就被检测出来。

但情况显然不是这样。“没有足够多的人关注这些代码——这真是非常糟糕，”格林说。

一个问题可能是基本经济层面上的。很多大型互联网公司依靠OpenSSL这样的免费技术来运行系统，但它们往往不会回馈资源给编写这些代码的小团队。“如果能提供50万美元（约合310万元人民币）给OpenSSL以及类似的团队，这种事情也许就不会再发生了，”格林说。

现代生活中也有其他可能存在危险的行业，比如航空或医疗，但不同于它们的是，高科技行业的变化日新月异。眼前如日中天的公司必然会被更新的、人们认为能提供更好产品的公司所颠覆。这种不断更迭的状况，让整个行业的安全协调变得越发困难。

“我想没有哪个产业会在这么短的时间里，应对这么多的变化，这么大的使用量，”数字安全公司卡巴斯基实验室(Kaspersky Lab)的研究员库尔特·鲍姆加特纳(Kurt Baumgartner)说。不过，鲍姆加特纳也表示，这个领域正在日益改善。科技企业回应安全威胁的方式曾经相当缓慢、没有章法，但他说，相比之下，整个行业应对“心脏出血”时“相当负责任地进行了协调”。很多大公司在该问题曝光之前就已经对自己的服务采取了措施。“总体来说，事情已经在好转。”

但改进的速度足够快，能抵御越来越顽固的攻击者吗？网络威胁研究机构Risk Based Security近期的一项研究显示，2013年发生了2000多起数据安全受到破坏的攻击事件。好消息是这一数字与2012年的3000多起相比有所下降。但坏消息是，虽然2013年攻击次数有所减少，但攻击结果却更具破坏性——大约8.14亿条数据记录在这一年里被暴露（包括你在Target超市使用的信用卡信息），大约是有记录以来过去任何一年的两倍。

这一数字表明了应对数据威胁的另一个困难因素：攻击者都很聪明，所以频繁发生的情况是，随着安全性的提升，攻击的水平也会提高。这使得网络安全变成一个更复杂的问题，比提升汽车安全要难得多。

如果你修复了一个网络安全漏洞，可以肯定的是攻击者一定会找到另一个漏洞，而且有可能更危险。“总的来说，攻击者拥有竞争优势，”网络安全公司Mandiant威胁信息情报小组的珍·威登(Jen Weedon)说。“防守方需要防守所有可能的威胁，而攻击者只需要找到一个弱点。”

如果这还不够让你担心，数字技术还有另外一个总会出问题的原因。“有这样一个深层的过程，随着设备拥有更多的存储量、变得更强大，人们也会让产品变得愈发复杂——直到复杂得让人难以理解，”费尔滕说。你今天所戴的“智能”手表也许还不是很复杂，但在未来几年中，智能手表里运行的处理器，或许就会像如今的笔记本电脑一样强大。

各家公司将会创作成百上千的应用程序来运用这种计算能力，而你很有可能会安装这些应用，因为它们会让你的生活更便利、更有乐趣。你会向手表里倾注大量有关于你的珍贵数据。突然间，在你还没有意识到的时候，你的手表就已经成了攻击目标。在那些应用当中，会存在谁都始料未及的威胁。费尔滕说，“随着我们的工程方法越来越好，我们的产品变得越来越复杂，所以我们一直在追求工程流程可以处理的复杂度的极限。”

这意味着我们迟早会遭殃吗？并不见得。大规模黑客袭击和网络漏洞正在受到越来越多的关注，研究人员对于这一点颇为欣慰，这可能会促使整个行业和用户更加重视安全问题。“在过去一年左右的时间里，我们看到这些袭击事件广为人知，这一点相当有趣，”威登说。“现在连普通人都在谈论该如何修补他们的系统。这是我们现在可以期望的最好情况了。”