上周,一场因黑客攻击引发的互联网大规模瘫痪席卷全美,波及欧洲。从婴儿监视器到安保摄像头,大量家用智能设备沦为了黑客手中的“肉鸡”。
中国已从国家治理层面、集合企业和社会组织力量,来应对网络安全的挑战,但总体处于“被动的战略防御阶段”。技术、立法等各环节尚需“补漏”。
美国东部时间2016年10月21日早上7时10分左右,攻击者使用了大量的联网设备,从世界各地同时发出海量无用信息,击垮了从美国东海岸到欧洲的一部分互联网基础设施;更值得注意的,是许多家用智能设备也参与了这次攻击,从婴儿监视器到家用安保摄像头,可能都是攻击者。
美国东部时间2016年10月21日早上,早起的纽约居民发现推特(Twitter)打不开了。这可是个大新闻——推特的月活跃用户超过3亿,一直被视为舆论的晴雨表和个人言论的集中地。有些人马上想到去Reddit这个世界上最大的社会化新闻网站发帖讨论,但是发现Reddit也同样打不开。
稍晚一些时候,程序员们打算连接最大的代码分享与协作网站github时,也遇到了同样问题。有些程序员尝试直接连接github的地址,发现网站的内容还在,但是就是打不开。人们开始意识到,这些世界上最知名的网站受到攻击了。
受到攻击的不只是github和推特。分享订房网站Airbnb和视频订阅服务提供商Netflix也同样无法访问;其他受害者还包括媒体网站,例如付费电视台HBO、纽约时报和华尔街日报。
这场恐慌从早上7时10分开始,直到Dyn公司在8时发布了一份声明才有所缓和。Dyn公司的声明简单扼要:“我们受到攻击了。”
总部设在新罕布什尔州的Dyn公司在公众心中并不算是知名企业。它没有上市,员工人数也不多,但是曾经在2011年被评选为全美工作环境最佳小企业之一,以及在2013年被选入德勤技术成长最快500强榜单。这家公司提供的是一项互联网基础服务:域名注册与管理。在全球500强企业中,有30多家都是它的客户。
第一次攻击发生在上午7时10分左右,Dyn公司花了两个半小时来恢复运营;但是在上午11时52分,又迎来了第二波攻击。下午5时,第三次攻击又来了。这场攻击来自世界各地,目标都是Dyn公司的服务器。在突发的大量同时访问下,这些服务器忙于处理突如其来的数据,让合法用户们没有办法得到他们想要的服务。经过了艰难的一天之后,Dyn公司恢复了服务,用户们在推特和Reddit上欢快地讨论这次袭击,而美国联邦调查局和国土安全局也开始调查这次攻击的幕后黑手。
到目前为止,发起攻击的原因和目的依然不明。白宫发言人表示正在监控事态发展并持续调查中;一位高级情报官员对媒体说,目前认为这是一起网络破坏事件,不太像是国家支持的网络攻击。
消息各种各样。我们知道的是,攻击者使用了大量的联网设备,从世界各地同时发出海量无用信息,击垮了从美国东海岸到欧洲的一部分互联网基础设施;更值得注意的,是许多家用智能设备也参与了这次攻击,从婴儿监视器到家用安保摄像头,可能都是攻击者。
为什么小公司能让巨头们瘫痪
在伊拉克战争期间,国际域名管理机构曾经停止解析伊拉克的国家域名后缀“.iq”,让伊拉克在整个互联网世界中都消失了。
在Dyn公司的机房里,时刻不停地运行着互联网不可或缺的基础服务:域名解析。域名解析可以看成是自动翻译,将互联网用户输入的网址转化成计算机可以理解的 IP地址。
在互联网上,每台机器都有个名字,就像每个家庭都有个地址、每部手机都有个号码一样。每台连接在互联网上的设备必然会有一个独一无二的名字,这样才能够在与其他机器的通讯中找到正确目标,机器才能够找到彼此,数据才能正确流动。这个名字叫做“IP地址”,一般是4组数字,每组数字在0到255之间。
对于偶尔连接一下网络的设备,IP地址可能是可变的;但是对于那些持续提供服务的网站,IP地址则是固定的。为了解决IP地址难记的问题,人们开发了“域名系统”,用来帮助记忆。例如,当我们打开南方周末网站时,电脑或手机会去寻找最近的域名服务器,查询一下这个域名对应的IP地址是什么,然后再去连接实际的IP地址。对于我们来说,南方周末的地址是“www.infzm.com”;而对计算机来说,这个地址是“183.60.85.227”。
域名服务器就是这样的翻译机器。我们难以记忆诸多网站的IP地址,而把这项工作交给电脑和域名服务器去完成。当域名服务器出了问题时,人们就没办法访问要去的网站了;这些网站还在,但是计算机在询问域名服务器时,却总得不到回应。就像是互联网这本书被撕掉了目录一样。
互联网的域名系统可以被视为一个庞大的树形结构,在顶端的“根域名服务器”共有13组,它们负责管理所有的顶级域名和国家域名。在其下,有许许多多的域名服务器,来及时翻译各地用户的查询,以及随时彼此之间更新信息。每当域名系统出问题时,都会带来严重后果。在伊拉克战争期间,国际域名管理机构曾经停止解析伊拉克的国家域名后缀“.iq”,让伊拉克在整个互联网世界中都消失了。2014年1月21日,我国的互联网域名解析系统也曾经出现过故障,大量网站都无法正常访问。
Dyn公司的首席策略官凯尔·约克说,承载互联网基础设施核心的公司们正在越来越频繁地遭受攻击,攻击的数量、种类、时长和复杂性也都在增加。特别是随着智能产品的广泛使用,攻击者可以在用户不知情的情况下控制数量庞大的联网设备来发起攻击。
这些攻击和对某个特定网站的攻击不同。它们动摇的是整个互联网的根基;而破坏者们要发起这样的攻击,并不需要太多资源。
“蚁多咬死象”
这次对Dyn的攻击来自一千多万个IP地址——“蚁多咬死象”是对这次攻击的合适描述。在这样的强度下,即使是以无故障运行为目标的、技术实力强大的公司,也无法抵御。
如果我们想要一个网站停止提供服务,最暴力的方法是持续发送大量没有意义的数据,让服务器的所有资源都被占用,以至于没办法为那些真正的用户提供服务。这就像是有人不停地给你打骚扰电话,让其他人打不进来一样。
这样把服务器“堵塞”的攻击方式,叫做“拒绝服务攻击”。如果要实施这种攻击,需要攻击者的网络带宽比受害者的带宽更大才行——就像是你要灌满浴缸,进水管要比出水管更粗。这种攻击并不容易实现:知名网站的带宽往往已经很惊人,而且单独发起的拒绝服务攻击很容易防范。只需要拒绝接受来自攻击者地址的数据就行了,就像是把恶意骚扰电话号码加入手机黑名单那样。
于是,升级版拒绝服务攻击就出现了,成了“分布式拒绝服务攻击”,简称DDoS。这种攻击来自多个IP地址,让服务器分不清正常访问和恶意数据,防不胜防。这次对Dyn的攻击来自一千多万个IP地址——“蚁多咬死象”是对这次攻击的合适描述。在这样的强度下,即使是以无故障运行为目标的、技术实力强大的公司,也无法抵御。
若要实现分布式拒绝服务攻击,需要同时动员大量机器一起参与。这些机器的主人们往往是不知情的;他们并不知道自己的机器已经被人“雇佣”来参与破坏行动了。袭击者们会在机器里植入一些隐藏的恶意软件,在需要时控制它们发动攻击。这些受到控制的机器叫做“肉鸡”或者“傀儡机”,在地下网站上以很便宜的价格批量出售。
除了大量的傀儡机之外,还有数十万台智能设备也成了被利用的机器。这对智能设备这个新兴领域来说,可不是件好事。
智能设备的短板
更危险的是,当攻击者可以控制你的摄像头向外发送信息时,理论上也就可以将摄像头的视频传输到任意地方。你的一举一动都可能在其他人的监视之下,而你自己却一无所知。
2016年10月,一个名叫“Mirai”的恶意软件公开了源代码。这个恶意软件会伪造电子邮件,将自身传染进家用网络,进而扫描网络中的智能设备。在找到合适的设备后,它会用一些预设的简单用户名和密码尝试登录,然后接管控制权。在这次对Dyn的攻击中,有超过30万部智能设备被当成了枪。
这不是Mirai软件第一次被用于恶意攻击。在2016年9月,互联网安全网站KrebOnSecurity.com遭受了大规模分布式DDoS攻击,最高攻击流量达到620Gbps——相当于每秒钟往这个网站发送20部高清电影。几天后,攻击者在论坛发布了Mirai的源代码,并且声称这次攻击是为了引起信息安全界的注意。虽然生产机顶盒、路由器乃至网络摄像头和录像机的厂商们开始升级自家设备的安全性,但是显然速度还不够快。
这些智能设备的问题在于用户名和密码太弱。虽然厂商强烈建议,但是大部分用户依然不会更改智能设备的出厂用户名和密码,因此很容易被恶意软件感染。和电脑与手机相比,人们对这种设备的安全性并不太重视。
根据IMS Research的预测,到2017年时,全球智能家居设备将会增长到近一亿个节点。在2020年时,每个家庭所拥有的智能设备数量,将会比家庭成员的数量还多得多。但是我们还没有足够的安全意识,来面对这个智能设备飞速增长的时代。更多的智能设备也就意味着更多的安全漏洞。我们用手机来管理和访问的家庭智能设备,都会接入家用无线网络,然后可以从互联网上远程控制。方便固然方便,但是如果没有更好的安全机制,以后利用这类设备发起的攻击,只会越来越多。
更危险的是,当攻击者可以控制你的摄像头向外发送信息时,理论上也就可以将摄像头的视频传输到任意地方。你的一举一动都可能在其他人的监视之下,而你自己却一无所知。
未来的潜在危险
自动驾驶汽车本质上是计算机控制的轮式机器人,而控制了车载计算机就控制了几吨重的钢铁。只要汽车被攻击者控制,哪怕只是让某台汽车偶尔加大油门或者猛然踩几下刹车,都可能会导致危险的事故,而乘客却完全无计可施。
目前,还没有确定这次攻击的发起者到底是谁。要组织起这种规模的攻击并不容易;再加上刚好是美国大选的敏感时期,所以各种揣测层出不穷。
一些推特用户认为这种攻击的幕后黑手是俄罗斯,但是其中开玩笑的成分可能更大。一个叫“新世界黑客”的推特账号声称对这次攻击负责,说这是一次“能力测试”。还有人认为是维基解密的支持者干的,为此维基解密在推特上发了一条消息,呼吁停止对美国的网络攻击,说“你们已经表明你们的观点了”。
还有一些人认为是单纯的意外,或者是某次攻击的前奏。也许之前对安全网站的攻击是这次攻击的预演;或者,更大规模的攻击将会在美国大选更白热化的时候出现。
真相还都隐藏在迷雾中,破坏者依然躲在互联网的某个角落里。不过,比真相更重要的是这次攻击揭露的两个事实:在我们不知情的情况下,越来越多的智能设备可能正在成为网络攻击的帮凶;现在发起这类攻击的难度,正在降低。
我们已经习惯了互联网带来的便利,也正在习惯用智能设备简化生活。我们期盼着更新更好的智能设备出现在市场上,也憧憬每一部家电都能连在网络上的未来。这些都会来临,而随之来临的是隐藏的危险。当我们为机器赋予更强大的能力时,危险也会随之增加。
一些计算机爱好者们成了黑客,致力于探索计算机能力的极限;另一些则通过发现系统漏洞而为自己谋利,变成了游走在法律边缘的破坏者,甚至是网络罪犯。他们所掌握的技能,远远超过普通的计算机使用者;他们拥有的能力,已经展示在一次次互联网攻击中。互联网让分享变得更加容易,软件、技术会更快地从开发者传到世界的任何一个角落。想要掌握互联网攻击的技术,所需要的只是知道该去哪里寻找。任何人都可以掌握网络上流传的破坏性软件,并且自己发动攻击;而大多数用户懵懵懂懂,听任自己的机器成为被破坏者控制的傀儡而不自知。
而更大的危险还在路上。任何联网的设备都可能会被攻破和控制,而未来几年内,我们将会满心欢喜地一次又一次迎来更强大的机器——最强大也最危险的,将会是自动驾驶汽车。
早在几年前,就有黑客尝试攻击无人驾驶汽车。2014年,两位资深黑客破解了克莱斯勒汽车的自动管理系统 Uconnect,并且在2015年现场直播了一次。他们通过无线网络获取了汽车自动管理系统的控制权,植入了自己的代码,并且远程控制汽车的物理部件,从雨刷音响,直到刹车和油门。他们估计了有可能受影响的汽车数量:超过45万辆。
这两位资深黑客将自己的研究结果通知了克莱斯勒公司,督促汽车企业改进汽车的安全性。但是,并非所有破解汽车安全系统的计算机玩家都是善意的。美国保险信息协会预测,在15年后,自动驾驶汽车将会占全部汽车销量的四分之一,而交通事故的数量则会下降八成。然而随着汽车的智能化,交通安全问题的重要性,将会让位给信息安全。
自动驾驶汽车本质上是计算机控制的轮式机器人,而控制了车载计算机就控制了几吨重的钢铁。只要汽车被攻击者控制,哪怕只是让某台汽车偶尔加大油门或者猛然踩几下刹车,都可能会导致危险的事故,而乘客却完全无计可施。 工具被滥用是无法避免的;工具自从诞生之日起,就天然地具有两面性。对于信息安全来说,方便性和安全性一直是硬币的两面;而随着计算能力的提升,安全性的挑战正在变得越来越突出。
在未来的几年中,互联网将会迎来新一次爆发式的增长,会有更多的智能设备成为我们生活的一部分。我们将会使用这些更方便的设备来延伸我们的肢体和感官,同时尽可能避免它们被滥用。
随着这些机器的加入,我们也会提升自己的安全意识和安全技术。虽然没有绝对安全的系统,但是我们将会用全新的概念来理解智能设备,而不是套用对待传统非联网电器的方式。
在这次大规模攻击之后,一家生产家用安防监控设备的公司开始召回早期销售的产品——这些产品的安全性不足,很容易被破坏者控制。同样在2016年10月,联合国发起了一个针对自动驾驶汽车的安全研究项目,鼓励汽车生产商们紧密合作,开发出更严密、更便于及时反馈的车载安全系统,并应用在未来的自动驾驶汽车上。
安全解决方案将会越来越完善。安全问题永远都会存在。它们总会以不同面目出现,而我们总是会解决它们,同时增加更多经验。我们的技术从来都是这样演进的,未来也依然会如此。