文/陈根
又一网络攻击的案例,在上周五的美国成为现实。黑客们利用数百万台日常设备——联网摄像头和打印机等——对互联网的关键部分发动了攻击。
大致情况如下:
黑客们利用公开可用的源代码,组建了一支以联网设备为主的僵尸网络大军,然后向DNS提供商发送了大量垃圾数据处理请求。这项攻击主要针对于总部设在新罕布什尔的网络服务供应商迪恩公司(Dyn),使其无法发挥作为互联网“接线总机”的作用;而消费者也无法再访问包括 Twitter,Tumblr、亚马逊、Netflix、Raddit、Airbnb 等诸多知名网站,因为全部陷入数小时的瘫痪状态。
值得欣慰的是,这些网站无法被访问,并非服务器瘫痪,而是他们的 DNS 服务器被攻击导致域名无法被正确地解析为IP地址。也就是说,在攻击发生时,你无法通过www.Google.com访问Google的网站,但理论上你还是可以通过 Google的IP地址74.125.29.101来访问。
不过无论如何,此次事件的发生还是引起了全球的关注和思考。到底是什么原因导致事件的发生?谁又该对此负有责任?往后,我们又该如何规避风险,提升徜徉于互联网海洋中的安全生存系数呢?
千疮百孔的程序应用和设备,谁之责?
我曾在《“被物联网”的我们,何以在信息化的时代里安身?》一文中,跟大家探讨过关于程序和设备开发者的责任心问题。基于对市场利益的追求,更多的人选择放弃安全保障以换取抢占先机,却不愿意去多想可能带来的“后患无穷”。
再次套用Facebook软件开发人员的那句格言——“Move fast and break things”,可谓是一语中的,说破了当前世界大部分程序开发者的指导精神:关键在于产出程序代码的速度,即便有问题或安全隐患也在所不惜。这种指导思想和行事态度,又怎么能不让蹒跚起步的互联网时代变得千疮百孔呢?而防不胜防的安全漏洞,又怎么能不让黑客有可乘之机呢?
尤其,我们基本上时刻不离身的手机,对风险的防范能力就像一个刚出身的婴儿般脆弱。如果有人想要黑进一部手机,基本上就简单到跟发一通简讯差不多。而手机之所以如此脆弱,跟操作系统不无关系。早在2014年,迈克菲确认已知的手机恶意软件数目高达近400多万。
“我们需要制订相关法律,对销售不安全设备的企业进行民事和刑事处罚。”对于《华尔街日报》资深科技评论专栏作家克里斯托弗·米姆斯(Christopher Mims)在推文中表达的观点态度,我表示深深地认同。
使用的惰性让我们变得岌岌可危
不少人认为,用户也应该在这场网络攻击中承担同样的责任。使用不慎,不仅让自己处于危险之中,也让整个互联网深陷危局。
在此次事件中,Dyn声称攻击来自全球的一千万个 IP 地址。黑客之所以能利用如此之多的日常设备,跟这些设备使用者的简单密码设置不无关系。据相关统计数据显示,123456、123456789、111111、123123、000000、888888、admin、password、P@ssw0rd和123qwe这10组密码能够控制互联网上10%的设备。这些基本可以说是“意思意思”的密码设置,好像就是在告诉黑客“我家大门常打开,欢迎随时过来。”
引以为鉴,还是建议大家赶紧给自己的网络设备设置一个复杂些的长密码吧。虽然这样做并不能保障你的绝对安全,因为再复杂的密码只要黑客花心思总还是能被攻克的,但至少可以让你不那么轻易地沦陷,不做身先士卒的网络炮灰。
小小应用程序,大大应用风险
会写出应用程式,从中取得你的资料再加以贩卖的,可不只有Rovio、Zynga、Snapchat这些应用程式制造商,组织犯罪集团现在也学会了这一套。我们可能会用逻辑来推测,以为应用程式只要能放上谷歌的Google Play或是苹果的App Store,程式原始码和开发者应该都经过了严格的安全审查吧?
情况并非如此。在安卓与iOS的生态系统里,应用程式的数量都超过百万之多,经过人工验证的数量少到惊人;而罪犯对此可是非常了解的,甚至早就多次利用这些应用程式商店犯下罪行,致使大家以为应该值得依赖的应用程式商店里,有愈来愈多应用程序隐藏着恶意软件的祸心。早在2013年,谷歌应用程式商店里,就有超过42000种应用程式被发现含有间谍软件或是窃取资讯的木马程式。
大家在安装应用的时候,务必也要多留个心眼。如果一个手电筒,要求存取你的通讯录或GPS定位之类的,就摆明了是要偷取你的资料的。一旦你给予授权了,也就为盗贼打开了一扇可以长驱直入的大门。
转黑客为白帽以换取一片蓝天
期望力挽狂澜,改变当下人人自危愈演愈烈的趋势方向,我大胆设想,或许可以通过足够的激励刺激,达到催生安全的网络运算环境,让黑客为我所用的目的。当然,这可能会让你觉得“姑息养奸”,甚至“助纣为虐”。
但是,当黑客发现软件程序代码的漏洞,卖给黑市的犯罪集团便能大赚一笔,但如果他告诉软件开发商,可能非但什么都赚不到,反而有被告的风险。那在这时候,何去何从就成了一个没有选择的选择题。
至于激励方案的效用,其实我们可以从很多先例中得到印证。很多时候,甚至可以让棘手的问题得到革命性的解答。早在1714年,英国国会希望能够强化海上的导航技术,于是提供2万英镑(相当于今天的100多万英镑),悬赏能够测量经度误差在半度之内的解决方案。这项大奖激励了一个自学的钟表工作——约翰·哈里森,他发明航海天文钟,解决了这个问题。
无独有偶,查尔斯·林白之所以成了第一个飞越大西洋的人,除了因为他的冒险精神,还有另一个比较不为人知的原因,就是因为有一笔2.5万美元的悬赏给“同盟国首位单趟飞越大西洋的飞行员”。
当然,这也在我们的现实在开始推行。比如谷歌的赏金大赛——“The Project Zero Prize”,将对找到最佳安卓漏洞的黑客以20万美元的奖励,第二名和第三名的奖金分别为10万美元和5万美元。慢慢地,当基于漏洞查找与反馈的机制成为常态的时候,或许就是我们向网络安全又迈进了一大步。