摘要:一些基本可以說是“意思意思”的密碼設定,好像就是在告訴駭客“我家大門常開啟,歡迎隨時過來。”
又一網路攻擊的案例,在上週五的美國成為現實。駭客們利用數百萬臺日常裝置——聯網攝像頭和印表機等——對網際網路的關鍵部分發動了攻擊。
大致情況如下:
駭客們利用公開可用的原始碼,組建了一支以聯網裝置為主的殭屍網路大軍,然後向DNS提供商傳送了大量垃圾資料處理請求。
這項攻擊主要針對於總部設在新罕布什爾的網路服務供應商迪恩公司(Dyn),使其無法發揮作為網際網路“接線總機”的作用;而消費者也無法再訪問包括 Twitter,Tumblr、亞馬遜、Netflix、Raddit、Airbnb 等諸多知名網站,因為全部陷入數小時的癱瘓狀態。
值得欣慰的是,這些網站無法被訪問,並非伺服器癱瘓,而是他們的 DNS 伺服器被攻擊導致域名無法被正確地解析為IP地址。也就是說,在攻擊發生時,你無法透過www.Google.com訪問Google的網站,但理論上你還是可以透過 Google的IP地址74.125.29.101來訪問。
不過無論如何,此次事件的發生還是引起了全球的關注和思考。到底是什麼原因導致事件的發生?誰又該對此負有責任?往後,我們又該如何規避風險,提升徜徉於網際網路海洋中的安全生存係數呢?
千瘡百孔的程式應用和裝置,誰之責?
我曾在《“被物聯網”的我們,何以在資訊化的時代裡安身?》一文中,跟大家探討過關於程式和裝置開發者的責任心問題。基於對市場利益的追求,更多的人選擇放棄安全保障以換取搶佔先機,卻不願意去多想可能帶來的“後患無窮”。
再次套用Facebook軟體開發人員的那句格言——“Move fast and break things”,可謂是一語中的,說破了當前世界大部分程式開發者的指導精神:關鍵在於產出程式程式碼的速度,即便有問題或安全隱患也在所不惜。這種指導思想和行事態度,又怎麼能不讓蹣跚起步的網際網路時代變得千瘡百孔呢?而防不勝防的安全漏洞,又怎麼能不讓駭客有可乘之機呢?
尤其,我們基本上時刻不離身的手機,對風險的防範能力就像一個剛出身的嬰兒般脆弱。如果有人想要黑進一部手機,基本上就簡單到跟發一通簡訊差不多。而手機之所以如此脆弱,跟操作系統不無關係。早在2014年,邁克菲確認已知的手機惡意軟體數目高達近400多萬。
“我們需要制訂相關法律,對銷售不安全裝置的企業進行民事和刑事處罰。”對於《華爾街日報》資深科技評論專欄作家克里斯托弗·米姆斯(Christopher Mims)在推文中表達的觀點態度,我表示深深地認同。
使用的惰性讓我們變得岌岌可危
不少人認為,使用者也應該在這場網路攻擊中承擔同樣的責任。使用不慎,不僅讓自己處於危險之中,也讓整個網際網路深陷危局。
在此次事件中,Dyn聲稱攻擊來自全球的一千萬個 IP 地址。駭客之所以能利用如此之多的日常裝置,跟這些裝置使用者的簡單密碼設定不無關係。據相關統計資料顯示,123456、123456789、111111、123123、000000、888888、admin、password、P@ssw0rd和123qwe這10組密碼能夠控制網際網路上10%的裝置。這些基本可以說是“意思意思”的密碼設定,好像就是在告訴駭客“我家大門常開啟,歡迎隨時過來。”
引以為鑑,還是建議大家趕緊給自己的網路裝置設定一個複雜些的長密碼吧。雖然這樣做並不能保障你的絕對安全,因為再複雜的密碼只要駭客花心思總還是能被攻克的,但至少可以讓你不那麼輕易地淪陷,不做身先士卒的網路炮灰。
小小應用程式,大大應用風險
會寫出應用程式,從中取得你的資料再加以販賣的,可不只有Rovio、Zynga、Snapchat這些應用程式製造商,組織犯罪集團現在也學會了這一套。我們可能會用邏輯來推測,以為應用程式只要能放上谷歌的Google Play或是蘋果的App Store,程式原始碼和開發者應該都經過了嚴格的安全審查吧?
情況並非如此。在安卓與iOS的生態系統裡,應用程式的數量都超過百萬之多,經過人工驗證的數量少到驚人;而罪犯對此可是非常瞭解的,甚至早就多次利用這些應用程式商店犯下罪行,致使大家以為應該值得依賴的應用程式商店裡,有愈來愈多應用程式隱藏著惡意軟體的禍心。早在2013年,谷歌應用程式商店裡,就有超過42000種應用程式被發現含有間諜軟體或是竊取資訊的木馬程式。
大家在安裝應用的時候,務必也要多留個心眼。如果一個手電筒,要求存取你的通訊錄或GPS定位之類的,就擺明了是要偷取你的資料的。一旦你給予授權了,也就為盜賊開啟了一扇可以長驅直入的大門。
轉駭客為白帽以換取一片藍天
期望力挽狂瀾,改變當下人人自危愈演愈烈的趨勢方向,我大膽設想,或許可以透過足夠的激勵刺激,達到催生安全的網路運算環境,讓駭客為我所用的目的。當然,這可能會讓你覺得“姑息養奸”,甚至“助紂為虐”。
但是,當駭客發現軟體程式程式碼的漏洞,賣給黑市的犯罪集團便能大賺一筆,但如果他告訴軟體開發商,可能非但什麼都賺不到,反而有被告的風險。那在這時候,何去何從就成了一個沒有選擇的選擇題。
至於激勵方案的效用,其實我們可以從很多先例中得到印證。很多時候,甚至可以讓棘手的問題得到革命性的解答。早在1714年,英國國會希望能夠強化海上的導航技術,於是提供2萬英鎊(相當於今天的100多萬英鎊),懸賞能夠測量經度誤差在半度之內的解決方案。這項大獎激勵了一個自學的鐘表工作——約翰·哈里森,他發明航海天文鐘,解決了這個問題。
無獨有偶,查爾斯·林白之所以成了第一個飛越大西洋的人,除了因為他的冒險精神,還有另一個比較不為人知的原因,就是因為有一筆2.5萬美元的懸賞給“同盟國首位單趟飛越大西洋的飛行員”。
當然,這也在我們的現實在開始推行。比如谷歌的賞金大賽——“The Project Zero Prize”,將對找到最佳安卓漏洞的駭客以20萬美元的獎勵,第二名和第三名的獎金分別為10萬美元和5萬美元。慢慢地,當基於漏洞查詢與反饋的機制成為常態的時候,或許就是我們向網路安全又邁進了一大步。