家用攝像頭,也可能參與了網路攻擊。(圖片來源:123rf.com)為什麼小公司能讓巨頭們癱瘓在Dyn公司的機房裡,時刻不停地運行著互聯網不可或缺的基礎服務:域名解析。域名解析可以看成是自動翻譯,將互聯網用戶輸入的網址轉化成計算機可以理解的 IP地址。在互聯網上,每台機器都有個名字,就像每個家庭都有個地址、每部手機都有個號碼一樣。每台連接在互聯網上的設備必然會有一個獨一無二的名字,這樣才能夠在與其他機器的通訊中找到正確目標,機器才能夠找到彼此,數據才能正確流動。這個名字叫做「IP地址」,一般是四組數字,每組數字在0到255之間。對於偶爾連接一下網路的設備,IP 地址可能是可變的;但是對於那些持續提供服務的網站,IP地址則是固定的。為了解決IP地址難記的問題,人們開發了「域名系統」,用來幫助記憶。例如,當我們打開南方周末網站時,電腦或手機會去尋找最近的域名伺服器,查詢一下這個域名對應的IP地址是什麼,然後再去連接實際的IP地址。對於我們來說,南方周末的地址是「www.infzm.com」;而對計算機來說,這個地址是「183.60.85.227」。域名伺服器就是這樣的翻譯機器。我們難以記憶諸多網站的 IP 地址,而把這項工作交給電腦和域名伺服器去完成。當域名伺服器出了問題時,人們就沒辦法訪問要去的網站了;這些網站還在,但是計算機在詢問域名伺服器時,卻總得不到回應。互聯網這本大書,彷彿被撕掉了目錄。互聯網的域名系統可以被視為一個龐大的樹形結構,在頂端的「根域名伺服器」共有13組,它們負責管理所有的頂級域名和國家域名。在其下,有許許多多的域名伺服器,來及時翻譯各地用戶的查詢,以及隨時彼此之間更新信息。每當域名系統出問題時,都會帶來嚴重後果。在伊拉克戰爭期間,國際域名管理機構曾經停止解析伊拉克的國家域名後綴「.iq」,讓伊拉克在整個互聯網世界中都消失了。2014年1月21日,我國的互聯網域名解析系統也曾經出現過故障,大量網站都無法正常訪問。Dyn公司的首席策略官凱爾·約克說,承載互聯網基礎設施核心的公司們正在越來越頻繁地遭受攻擊,攻擊的數量、種類、時長和複雜性也都在增加。特別是隨著智能產品的廣泛使用,攻擊者可以在用戶不知情的情況下控制成數量龐大的聯網設備來發起攻擊。這些攻擊和對某個特定網站的攻擊不同。它們動搖的是整個互聯網的根基;而破壞者們要發起這樣的攻擊,並不需要太多資源。堵塞互聯網如果我們想要一個網站停止提供服務,最暴力的方法是持續發送大量沒有意義的數據,讓伺服器的所有資源都被佔用,以至於沒辦法為那些真正的用戶提供服務。這就像是有人不停地給你打騷擾電話,讓其他人打不進來一樣。這樣把伺服器「堵塞」的攻擊方式,叫做「拒絕服務攻擊」。如果要實施這種攻擊,需要攻擊者的網路帶寬比受害者的帶寬更大才行——你要灌滿浴缸,進水管要比出水管更粗。這種攻擊並不容易實現:知名網站的的帶寬往往已經很驚人,而且單獨發起的拒絕服務攻擊很容易防範。只需要拒絕接受來自攻擊者地址的數據就行了;相當於把惡意騷擾電話號碼加入手機黑名單。於是升級版拒絕服務攻擊就出現了,成了「分散式拒絕服務攻擊」,簡稱DDoS。這種攻擊來自多個 IP 地址,讓伺服器分不清正常訪問和惡意數據,防不勝防。這次對Dyn的攻擊來自一千多萬個IP地址——「蟻多咬死象」是對這次攻擊的合適描述。在這樣的強度下,即使是以無故障運行為目標的、技術實力強大的公司,也無法抵禦。若要實現分散式拒絕服務攻擊,需要同時動員大量機器一起參與。這些機器的主人們往往是不知情的;他們並不知道自己的機器已經被人「雇傭」來參與破壞行動了。襲擊者們會在機器里植入一些隱藏的惡意軟體,在需要時控制它們發動攻擊。這些受到控制的機器叫做「肉雞」或者「傀儡機」,在地下網站上以很便宜的價格批量出售。除了大量的傀儡機之外,還有數十萬台智能設備也成了被利用的機器。這對智能設備這個新興領域來說,可不是件好事。智能設備的短板今年10月,一個名叫「Mirai」的惡意軟體公開了源代碼。這個惡意軟體會偽造電子郵件,將自身傳染進家用網路,進而掃描網路中的智能設備。在找到合適的設備后,它會一些預設的簡單用戶名和密碼嘗試登錄,然後接管控制權。在這次對Dyn的攻擊中,有超過三十萬部智能設備被當成了槍。這不是Mirai軟體第一次被用於惡意攻擊。在9月份,互聯網安全網站KrebOnSecurity.com遭受了大規模分散式DDoS攻擊,最高攻擊流量達到620Gbps——相當於每秒鐘往這個網站發送20部高清電影。幾天後,攻擊者在論壇發布了Mirai的源代碼,並且聲稱這次攻擊是為了引起信息安全界的注意。雖然生產機頂盒、路由器乃至網路攝像頭和錄像機的廠商們開始升級自家設備的安全性,但是顯然速度還不夠快。這些智能設備的問題在於用戶名和密碼太弱。雖然廠商強烈建議,但是大部分用戶依然不會更改智能設備的出廠用戶名和密碼,因此很容易被惡意軟體感染。和電腦與手機相比,人們對這種設備的安全性並不太重視。根據IMS Research的預測,到2017年時,全球智能家居設備將會增長到近一億個節點。在2020年時,每個家庭所擁有的智能設備數量,將會比家庭成員的數量還多得多。但是我們還沒有足夠的安全意識,來面對這個智能設備飛速增長的時代。更多的智能設備也就意味著更多的安全漏洞。我們用手機來管理和訪問的家庭智能設備,都會接入家用無線網路,然後可以從互聯網上遠程控制。方便固然方便,但是如果沒有更好的安全機制,以後利用這類設備發起的攻擊,只會越來越多。更危險的是,當攻擊者可以控制你的攝像頭向外發送信息時,理論上也就可以將攝像頭的視頻傳輸到任意地方。你的一舉一動都可能在其他人的監視之下,而你自己卻一無所知。未來的潛在危險目前,還沒有確定這次攻擊的發起者到底是誰。要組織起這種規模的攻擊並不容易;再加上剛好是美國大選的敏感時期,所以各種揣測層出不窮。一些推特用戶認為這種攻擊的幕後黑手是俄羅斯,但是其中開玩笑的成分可能更大。一個叫「新世界黑客」的推特賬號聲稱對這次攻擊負責,說這是一次「能力測試」。還有人認為是維基解密的支持者乾的,為此維基解密在推特上發了一條消息,呼籲停止對美國的網路攻擊,說「你們已經表明你們的觀點了。」還有一些人認為是單純的意外,或者是某次攻擊的前奏。也許之前對安全網站的攻擊是這次攻擊的預演;或者,更大規模的攻擊將會在美國大選更白熱化的時候出現。真相還都隱藏在迷霧中,破壞者依然躲在互聯網的某個角落裡。不過,比真相更重要的是這次攻擊揭露的兩個事實:在我們不知情的情況下,越來越多的智能設備可能正在成為網路攻擊的幫凶;現在發起這類攻擊的難度,正在降低。我們已經習慣了互聯網帶來的便利,也正在習慣用智能設備簡化生活。我們期盼著更新更好的智能設備出現在市場上,也憧憬每一部家電都能連在網路上的未來。這些都會來臨,而隨之來臨的是隱藏的危險。當我們為機器賦予更強大的能力時,危險也會隨之增加。一些計算機愛好者們成了黑客,致力於探索計算機能力的極限;另一些則通過發現系統漏洞而為自己謀利,變成了遊走在法律邊緣的破壞者,甚至是網路罪犯。他們所掌握的技能,遠遠超過普通的計算機使用者;他們擁有的能力,已經展示在一次次互聯網攻擊中。互聯網讓分享變得更加容易,軟體、技術會更快地從開發者傳到世界的任何一個角落。想要掌握互聯網攻擊的技術,所需要的只是知道該去哪裡尋找。任何人都可以掌握網路上流傳的破壞性軟體,並且自己發動的攻擊;而大多數用戶懵懵懂懂,聽任自己的機器成為被破壞者控制的傀儡而不自知。而更大的危險還在路上。任何聯網的設備都可能會被攻破和控制,而未來幾年內,我們將會滿心歡喜地一次又一次迎來更強大的機器——最強大也最危險的,將會是自動駕駛汽車。早在幾年前,就有黑客嘗試攻擊無人駕駛汽車。2014年,兩位資深黑客破解了克萊斯勒汽車的自動管理系統 Uconnect,並且在2015年現場直播了一次。他們通過無線網路獲取了汽車自動管理系統的控制權,植入了自己的代碼,並且遠程控制汽車的物理部件,從雨刷音響,直到剎車和油門。他們估計了有可能受影響的汽車數量:超過45萬輛。這兩位資深黑客將自己的研究結果通知了克萊斯勒公司,督促汽車企業改進汽車的安全性。但是,並非所有破解汽車安全系統的計算機玩家都是善意的。美國保險信息協會預測,在15年後,自動駕駛汽車將會佔全部汽車銷量的四分之一,而交通事故的數量則會下降八成。然而隨著汽車的智能化,交通安全問題的重要性,將會讓位給信息安全。自動駕駛汽車本質上是計算機控制的輪式機器人,而控制了車載計算機就控制了幾噸重的鋼鐵。只要汽車被攻擊者控制,哪怕只是讓某台汽車偶爾加大油門或者猛然踩幾下剎車,都可能會導致危險的事故,而乘客卻完全無計可施。技術演進的螺旋人們一直在開發更聰明更強大的機器。這些機器解決過去遺留的問題,同時帶來新問題。整個人類的技術史,都在打補丁的過程中不斷升級。工具被濫用是無法避免的;工具自從誕生之日起,就天然地具有兩面性。對於信息安全來說,方便性和安全性一直是硬幣的兩面;而隨著計算能力的提升,安全性的挑戰正在變得越來越突出。在未來的幾年中,互聯網將會迎來新一次爆髮式的增長,會有更多的智能設備成為我們生活的一部分。我們將會使用這些更方便的設備來延伸我們的肢體和感官,同時儘可能避免它們被濫用。隨著這些機器的加入,我們也會提升自己的安全意識和安全技術。雖然沒有絕對安全的系統,但是我們將會用全新的概念來理解智能設備,而不是套用對待傳統非聯網電器的方式。在這次大規模攻擊之後,一家生產家用安防監控設備的公司開始召回早期銷售的產品——這些產品的安全性不足,很容易被破壞者控制。同樣在今年10月,聯合國發起了一個針對自動駕駛汽車的安全研究項目,鼓勵汽車生產商們緊密合作,開發出更嚴密、更便於及時反饋的車載安全系統,並應用在未來的自動駕駛汽車上。安全解決方案將會越來越完善。安全問題永遠都會存在。它們總會以不同面目出現,而我們總是會解決它們,同時增加更多經驗。我們的技術從來都是這樣演進的,未來也依然會如此。本文首發於2016年10月27日《南方周末》,與發表版略有不同。
狗仔卡
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
搶沙發