又一起網絡攻擊的案例在最近的美國成為現實。黑客利用數百萬臺日常設備——聯網攝像頭和打印機等對互聯網的關鍵部分發動了攻擊。
黑客利用公開可用的源代碼,組建了一支以聯網設備為主的僵尸網絡大軍,然后向DNS提供商發送了大量垃圾數據處理請求。這項攻擊主要針對總部設在美國新罕布什爾州的網絡服務供應商迪恩公司(Dyn),使其無法發揮作為互聯網“接線總機”的作用;而消費者也無法再訪問包括Twitter、Tumblr、亞馬遜、Netflix、Raddit、Airbnb等諸多知名網站,因為全部陷入了數小時的癱瘓狀態。值得欣慰的是,這些網站無法被訪問,并非服務器癱瘓,而是他們的DNS服務器被攻擊導致域名無法被正確地解析為IP地址。也就是說,在攻擊發生時,你無法通過www.google.com訪問Google的網站,但理論上你還是可以通過 Google的IP地址74.125.29.101來訪問。
不過無論如何,此次事件的發生還是引起了全球的關注和思考。到底是什么原因導致事件的發生?誰又該對此負有責任?今后我們又該如何規避風險,提升徜徉于互聯網海洋中的安全生存系數呢?
千瘡百孔的程序應用和設備,誰之責?
Facebook軟件開發人員的那句格言——“Move fast and break things”(快速行動,打破陳規),可謂一語中的,說破了當前世界大部分程序開發者的指導精神:關鍵在于產出程序代碼的速度,即便有問題或安全隱患也在所不惜。這種指導思想和行事態度,又怎能不讓蹣跚起步的互聯網時代變得千瘡百孔呢?而防不勝防的安全漏洞,又怎能不讓黑客有可乘之機呢?
尤其是我們基本上時刻不離身的手機,對風險的防范能力就像一個剛出生的嬰兒般脆弱。如果有黑客想要“黑”進一部手機,基本上就簡單到跟發一條簡訊差不多。而手機之所以如此脆弱,跟操作系統不無關系。早在2014年,邁克菲確認已知的手機惡意軟件數目就高達400多萬。
“我們需要制訂相關法律,對銷售不安全設備的企業進行民事和刑事處罰。”對于《華爾街日報》資深科技評論專欄作家克里斯托弗·米姆斯(Christopher Mims)在推文中表達的觀點態度,我表示深深地認同。
使用的惰性讓我們變得岌岌可危
不少人認為,用戶也應該在這場網絡攻擊中承擔同樣的責任。使用不慎,不僅讓自己處于危險之中,也讓整個互聯網深陷危局。
在此次事件中,Dyn聲稱攻擊來自全球的一千萬個IP地址。黑客之所以能利用如此之多的日常設備,跟這些設備使用者的簡單密碼設置不無關系。據相關統計數據顯示,123456、123456789、111111、123123、000000、888888、admin、password、P@ssw0rd和123qwe這10組密碼能夠控制互聯網上10%的設備。這些基本可以說是“意思意思”的密碼設置,好像就是在告訴黑客“我家大門常打開,歡迎隨時過來”。
引以為戒,還是建議大家趕緊給自己的網絡設備設置一個復雜些的長密碼吧。雖然這樣做并不能保障你的絕對安全,因為再復雜的密碼只要黑客花心思總還是能被攻破的,但至少可以讓你不那么輕易地淪陷,不輕易地成為網絡炮灰。
小小應用程序 大大應用風險
寫出應用程式,從中取得你的資料再加以販賣的,可不只有Rovio、Zynga、Snapchat這些應用程序制造商,有組織的犯罪集團現在也學會了這一套。我們可能會用邏輯來推測,以為應用程序只要能放上谷歌的Google Play或是蘋果的App Store,程序源代碼和開發者應該都經過了嚴格的安全審查吧?
情況并非如此。在安卓與iOS的生態系統里,應用程序的數量都超過百萬之多,而經過人工驗證的數量卻少到驚人,犯罪分子對此可是非常了解的,甚至早就多次利用這些應用商店犯下罪行。早在2013年,谷歌應用商店里,就有超過42000種應用程序被發現含有間諜軟件或是竊取資訊的木馬。大家在安裝應用的時候,務必也要多留個心眼。如果只是一個手電筒軟件,卻要求存取你的通訊錄或GPS定位之類的,擺明了就是要偷取你的資料,一旦給予授權,也就為盜賊打開了一扇可以長驅直入的大門。
京公網安備 11010502049343號