<u id="hxmmd"></u>

    <meter id="hxmmd"><ol id="hxmmd"></ol></meter>
    <progress id="hxmmd"><nobr id="hxmmd"><div id="hxmmd"></div></nobr></progress>
    <i id="hxmmd"><th id="hxmmd"></th></i>
    當前位置:主頁 > 國際 > 深度解讀 > 正文
    科學家利用行為科學和經濟學打擊網絡犯罪
    來源:???? 作者: ???? 2016-10-08 16:55???????
    摘要:無論你怎么解釋網絡犯罪,Angela Sasse說,“受害者總是憤怒地指責客戶服務”



    圖片來源:Sёbastien Thibault


    我們已經有太多計算機學家進行網絡安全工作,但沒有足夠的心理學家和經濟學家。


    無論你怎么解釋網絡犯罪,Angela Sasse說,“受害者總是憤怒地指責客戶服務”。


    Sasse正在談論的是勒索軟件:黑客使用一種敲詐程序加密用戶電腦數據,然后向用戶索要金錢換得能解鎖的數字鑰匙。受害者會收到詳細的付款流程和鑰匙使用指南。如果他們遇到技術難題,對方提供24小時電話服務。


    “這比他們從網絡供應商那里得到的服務更完善。”英國倫敦大學學院網絡安全研究所所長、心理學家和計算機學家Sasse說。她提到,目前的網絡安全挑戰簡言之就是:“攻擊者遙遙領先于防御者,這讓我非常擔憂。”


    現在,黑客早已不僅僅主要是尋求刺激的青少年和大學生:他們已經變得更有經驗。“激進黑客”組織已經開始攻擊高調的恐怖分子和社會名流。有統計顯示,網絡犯罪使得全球經濟每年損失3750億~5750億美元。


    越來越多的研究人員和安全專家意識到,他們不能僅靠建造更高更強大的防火墻應對挑戰。他們還需要找出防火墻內部的問題,例如密碼薄弱或點擊可疑郵件等人為問題,這些問題與約1/4的網絡安全失效有關。他們還必須跟蹤支持黑客的地下經濟,并找到反擊的弱點。


    “我們已經有太多計算機學家進行網絡安全工作,但沒有足夠的心理學家和經濟學家。”美國國土安全部網絡安全研究主管Douglas Maughan說。


    但這正在迅速改變。在過去5年間,國土安全部等機構正加大其在網絡安全人為方面的經費。今年2月,美國總統奧巴馬提議將網絡安全2017財年經費提高190億美元,并首次將人為因素研究納入優先項。


    其他國家也紛紛展開行動。在英國,Sasse的研究所獲得380萬英鎊經費,研究該國商業、政府和其他機構的網絡安全。“將人為因素納入網絡安全是前沿的。”她說。


    人性弱點


    想象一下,在忙碌的工作日,你收到一封看似合法的郵件:公司的計算機安全團隊發現安全漏洞,每個人都必須立即進行電腦掃描尋找病毒。“大家傾向直接點擊接收而非認真閱讀。”英國巴斯大學社會心理學家Adam Joinson說。但這是一封偽裝郵件,一旦點擊接收,惡意軟件將進入公司網絡,進而盜竊密碼和其他數據。


    看上去黑客比防御機構更能抓住用戶的心理。在案例中,攻擊成功取決于人們對權威的遵從心理,而且在忙碌和煩躁的狀態下,人們的懷疑能力也降低。而到目前為止,采用密碼是最簡單、最普遍的證明用戶身份的方法。2014年,Sasse和同事研究發現,美國國家標準與技術研究所(NIST)平均每天出現23個“身份驗證事件”,其中包括重復登錄電腦和15分鐘不使用后的自動鎖定。此類要求大量耗費了員工的時間和精力。


    在另一個密碼研究中,該研究小組記錄了大型跨國組織員工回避官方安全要求的方法,包括將密碼寫下來或利用非加密的閃存盤傳輸文件。這實際上造成了工作流程中的“安全陰影”。“大多數人的目標不是安全,而是完成工作。”英國谷歌研究院安全研究專家Ben Laurie說,“如果他們需要跳過太多障礙,他們會說‘讓它見鬼去吧’。”


    研究人員已經找出諸多解決員工和安全管理者之間僵局的方法。Lorrie Cranor領銜的美國卡耐基·梅隆大學網絡隱私和安全實驗室,就正在尋找使密碼政策更加人性化的方法。


    “六七年前,我們就開始這項工作了。當時卡耐基·梅隆大學將密碼要求變得十分復雜。”現任美國聯邦商業委員會首席工程師的Cranor說。該校表示正試著統一NIST的標準密碼規范。但Cranor調查發現,這些規范主要基于理論推測。它們并非基于數據,因為沒有機構希望透露用戶的密碼,“因此,我們說,‘這是一項研究挑戰’。”


    是時候作出改變了


    Cranor團隊測試了一系列密碼政策。他們要求卡耐基·梅隆大學的470位計算機使用者基于不同的密碼長度和特殊符號要求生成新密碼。然后,他們測試了密碼的效果、制定這些密碼的難度、記憶難度和該系統對使用者的困擾。“使用者處理密碼長度比復雜性更容易。”Cranor說。


    另外,如果研究人員破解了一個密碼,他們往往在很短的時間里就能猜出用戶的新密碼,原因是用戶在被迫修改密碼時往往只在原密碼的基礎上作細小改動。例如,用戶會將“secret10jan”改為“secret10mar”。“同樣,如果黑客能猜到你的密碼一次,他們可能會很容易地猜到新密碼。”


    而且,強迫用戶定期更改密碼“可能實際上弊大于利”。相比強迫用戶更改密碼,更好的做法是讓用戶使用較長的密碼,并迫使他們使用一些非字母字符。要提高用戶的密碼安全性,教育比強迫更好。


    Cranor指出:“如果用戶知道他們將不得不定期更改密碼,他們往往不會在一開始就設置安全度很強的密碼,而且可能會把密碼寫下來。”如果用戶被要求設置一個長期使用的密碼,他們就可能會設置一個安全度很強同時也難以記住的密碼。如果他們被要求設置只能使用3個月的密碼,他們就更有可能設置相對簡單因而也容易破解的密碼。


    雖然,密碼政策存在諸多不合理之處,但Sasse表示,“去年,英國政府通信總部(GCHQ)改變密碼的建議是個里程碑”。GCHQ發布了一份公文,表示放棄定期修改密碼和敦促管理者盡可能讓用戶遵循其規定等長期慣例。


    另一方面,如果研究能發現用戶的行為弱點,或許也能找到攻擊者的弱點。


    了解對手


    加州大學圣迭戈分校計算學家Stefan Savage和同事建立了一個計算機簇,扮演所謂的“最易受騙的消費者”。這些機器收到了反垃圾公司收集的一些垃圾郵件,并點開了能找到的每個鏈接。研究人員將焦點放在了非法藥物、假冒手表和提包、盜版軟件上——這是垃圾郵件最常有的廣告。


    然后,他們使用專門設計的軟件追蹤了垃圾郵件的供應網絡。如果非法販賣者在這里注冊了域名,并支付給供貨者費用,研究人員將能看到。該研究首次曝光了電腦犯罪的整個商業鏈條,并揭示了其驚人的復雜結構。


    “這是怪異的企業新理念的最終溫床。”Savage說,“這是你能想象的小商業資本的純粹形式,因為這里沒有任何規則。”而且,盡管垃圾郵件的回復率非常低,但大規模的發送垃圾郵件每年可創造高達數百萬英鎊的盈利。但垃圾郵件制造者本身也易受攻擊,因此造成發送垃圾郵件成本偏高。


    “你自己不會發送垃圾郵件。”Savage說,于是尋求專業人士,“他們收取購買價的30%~40%”。但該垃圾郵件發送的響應率遠低于合法的直投機構公布的平均2.15%的響應率。


    但遺憾的是,追蹤這些地下經濟體不能幫助執法機構逮捕罪犯,他們的現實身份隱藏在網絡假名背后。而且,這些犯罪網絡基礎設施恢復力極強。


    不過,科學家還揭露了一些能更有效打擊地下經濟的方法。Savage和同事發現,該鏈條最薄弱的一環是銀行將信用卡支付的費用轉到利潤中心的過程。有規定指出,銀行必須擔保信用可消費是合法的,并有義務在客戶投訴時為他們追回資金。沒有銀行愿意承擔此類風險。“95%的垃圾郵件只用3家銀行。”它們分別位于阿塞拜疆、拉脫維亞以及圣基茨和尼維斯。


    這也并非永久手段。因為垃圾郵件發送者將使用的銀行正逐漸轉移到西方公司和執法機構夠不到的地方。但卡耐基·梅隆大學計算機工程師Nicolas Christin表示,在網絡世界,每一筆交易都有數字痕跡,尤其是需要支付的地方。“對于經濟學家而言,這非常有用。”


    “我們正著手研究。”Christin說,但數據流能幫助計算機學家、社會學家和執法機構協同行動。(張章)


    美女被搞