當(dāng)各種家用設(shè)備變身物聯(lián)網(wǎng)產(chǎn)品時(shí),一個(gè)巨大的僵尸網(wǎng)絡(luò)也在形成。
現(xiàn)在,許多電子設(shè)備都能連上互聯(lián)網(wǎng),成為物聯(lián)網(wǎng)的一部分。比如,智能冰箱會(huì)提醒你牛奶快喝完了,或者自行把牛奶添進(jìn)購(gòu)物清單,甚至可以主動(dòng)訂購(gòu)牛奶。而當(dāng)你想在跑步機(jī)上跑步時(shí),智能空調(diào)會(huì)自動(dòng)調(diào)低溫度,等到你外出看電影時(shí)又自動(dòng)關(guān)閉。智能嬰兒監(jiān)護(hù)儀會(huì)告訴你什么時(shí)候該買新的磨牙膠了。
這樣的場(chǎng)景雖然聽起很奇妙,但很有可能,上述智能家居在昨晚還做了一些奇怪的事:和其他數(shù)百萬(wàn)部設(shè)備(攝像機(jī)、打印機(jī)、路由器、音箱、空調(diào)機(jī)或是硬盤錄像機(jī))一起封殺了推特或奈飛這樣的音樂(lè)、社交或電影網(wǎng)站,破壞了開源軟件運(yùn)動(dòng),造成了近一百萬(wàn)套德國(guó)房屋停電,或是中斷了利比里亞的手機(jī)通訊。除了參與這些額外的秘密活動(dòng)之外,它們還增加了你的電費(fèi)支出。
等等……有這種事?對(duì),這里的問(wèn)題其實(shí)很簡(jiǎn)單,但也很令人痛心。這是一個(gè)技術(shù)問(wèn)題,卻牽扯到全球化、法律和責(zé)任。我們的電子設(shè)備大多安裝了通用硬件,為了完成各自的工作,這些設(shè)備都需要運(yùn)行特定的軟件,其中還包含了可以登錄的用戶配置文件。遺憾的是,許多生產(chǎn)商都聽任消費(fèi)者使用已經(jīng)泛濫的簡(jiǎn)單密碼登錄這些設(shè)備,比如“password”、“pass”、“1234”、“admin”、“default”或“guest”之類。
曾經(jīng)有一群黑客發(fā)動(dòng)了一次簡(jiǎn)單但是破壞力驚人的攻擊,他們總結(jié)出了61個(gè)常用的用戶名/密碼組合,并編寫了一個(gè)程序在互聯(lián)網(wǎng)上搜索使用這些組合的設(shè)備。這個(gè)程序在侵入某部設(shè)備之后立即自行安裝,然后陰險(xiǎn)地在這部設(shè)備上搜索其他著名的惡意軟件,并將它們統(tǒng)統(tǒng)刪除。這樣它就成為設(shè)備上唯一的一只寄生蟲了!這個(gè)惡意程序的綽號(hào)叫“未來(lái)”(Mirai),它的下一步是將數(shù)百萬(wàn)部易受攻擊的設(shè)備串聯(lián)成一個(gè)僵尸網(wǎng)絡(luò)(botnet,也就是一個(gè)由受到感染的計(jì)算機(jī)聯(lián)成的網(wǎng)絡(luò))。當(dāng)數(shù)目巨大的嬰兒監(jiān)護(hù)儀、打印機(jī)和攝像機(jī)向某個(gè)網(wǎng)站發(fā)出ping信號(hào)時(shí),這個(gè)網(wǎng)站就會(huì)因?yàn)椴豢爸刎?fù)而無(wú)法訪問(wèn),除非它采取了昂貴的保護(hù)措施。
更糟的是,“未來(lái)”的幾個(gè)編寫者將它的源代碼發(fā)布到了網(wǎng)上。這下,就連只有初級(jí)編程技術(shù)的人都能自己組建龐大的僵尸網(wǎng)絡(luò)了。
這個(gè)問(wèn)題怎么解決?你或許已經(jīng)注意到了手機(jī)或筆記本電腦偶爾需要更新軟件。這一方面會(huì)增加新的功能,一方面也可以修補(bǔ)軟件的漏洞,不那么容易受到攻擊。但是可惜,大多數(shù)易受“未來(lái)”攻擊的設(shè)備可能已經(jīng)停止更新,這使軟件修補(bǔ)要么不可行,要么不容易。
為了掙學(xué)費(fèi),我在大學(xué)時(shí)維護(hù)過(guò)好幾個(gè)計(jì)算機(jī)網(wǎng)絡(luò)。在遇到一部用戶名或密碼未知的設(shè)備時(shí),我會(huì)嘗試一些組合,而這也正是“未來(lái)”會(huì)嘗試的組合。這么多年過(guò)去了,網(wǎng)絡(luò)安全仍然沒(méi)有改善,或許,這件事情根本沒(méi)人負(fù)責(zé)。對(duì)于芯片或設(shè)備的生產(chǎn)商來(lái)說(shuō),在安全問(wèn)題上糊弄一下,往往不會(huì)造成太嚴(yán)重的后果,甚至可能完全沒(méi)有后果。
對(duì)于這種安全措施上的明顯疏忽造成的危害,政府部門無(wú)力監(jiān)管,法律也沒(méi)有明確各方的責(zé)任。“未來(lái)”的最初編寫者是美國(guó)的幾個(gè)大學(xué)生,他們被捕之后最終都認(rèn)了罪,但這還遠(yuǎn)遠(yuǎn)沒(méi)有消除隱患。只要網(wǎng)絡(luò)上還有大量用戶名/密碼的組合為“admin/admin”的設(shè)備,就一定會(huì)有人鉆這個(gè)空子。這里說(shuō)一個(gè)壞消息:“未來(lái)”問(wèn)題并沒(méi)有真正的解決方案,唯一的辦法就是等待那些易受攻擊的設(shè)備淘汰。但是也有好消息:只要對(duì)少數(shù)幾家容許“admin/admin”式密碼的設(shè)備生產(chǎn)商施以重罰,或是有父母發(fā)現(xiàn)嬰兒監(jiān)護(hù)儀被侵入后起訴它的生產(chǎn)商或銷售商,安全問(wèn)題或許可以迅速得到改善。
撰文:柴內(nèi)普·圖菲克奇(Zeynep Tufekci)
翻譯:紅豬