美互聯網集體宕機事件,我們該反思什么?

jopen 8年前發布 | 15K 次閱讀

美互聯網集體宕機事件,我們該反思什么?

又一網絡攻擊的案例,在上周五的美國成為現實。黑客們利用數百萬臺日常設備——聯網攝像頭和打印機等——對互聯網的關鍵部分發動了攻擊。

大致情況如下:

黑客們利用公開可用的源代碼,組建了一支以聯網設備為主的僵尸網絡大軍,然后向 DNS 提供商發送了大量垃圾數據處理請求。

這項攻擊主要針對于總部設在新罕布什爾的網絡服務供應商迪恩公司(Dyn),使其無法發揮作為互聯網“接線總機”的作用;而消費者也無法再訪問包括 推ter,Tumblr、亞馬遜、Netflix、Raddit、Airbnb 等諸多知名網站,因為全部陷入數小時的癱瘓狀態。

值得欣慰的是,這些網站無法被訪問,并非服務器癱瘓,而是他們的 DNS 服務器被攻擊導致域名無法被正確地解析為 IP 地址。也就是說,在攻擊發生時,你無法通過 www.Google.com 訪問 Google 的網站,但理論上你還是可以通過 Google 的 IP 地址 74.125.29.101 來訪問。

不過無論如何,此次事件的發生還是引起了全球的關注和思考。到底是什么原因導致事件的發生?誰又該對此負有責任?往后,我們又該如何規避風險,提升徜徉于互聯網海洋中的安全生存系數呢?

千瘡百孔的程序應用和設備,誰之責?

我曾在《“被物聯網”的我們,何以在信息化的時代里安身?》一文中,跟大家探討過關于程序和設備開發者的責任心問題。基于對市場利益的追求,更多的人選擇放棄安全保障以換取搶占先機,卻不愿意去多想可能帶來的“后患無窮”。

再次套用 非死book 軟件開發人員的那句格言——“Move fast and break things”,可謂是一語中的,說破了當前世界大部分程序開發者的指導精神:關鍵在于產出程序代碼的速度,即便有問題或安全隱患也在所不惜。這種指導思想和行事態度,又怎么能不讓蹣跚起步的互聯網時代變得千瘡百孔呢?而防不勝防的安全漏洞,又怎么能不讓黑客有可乘之機呢?

尤其,我們基本上時刻不離身的手機,對風險的防范能力就像一個剛出身的嬰兒般脆弱。如果有人想要黑進一部手機,基本上就簡單到跟發一通簡訊差不多。而手機之所以如此脆弱,跟操作系統不無關系。早在 2014 年,邁克菲確認已知的手機惡意軟件數目高達近 400 多萬。

“我們需要制訂相關法律,對銷售不安全設備的企業進行民事和刑事處罰。”對于《華爾街日報》資深科技評論專欄作家克里斯托弗·米姆斯(Christopher Mims)在推文中表達的觀點態度,我表示深深地認同。

使用的惰性讓我們變得岌岌可危

不少人認為,用戶也應該在這場網絡攻擊中承擔同樣的責任。使用不慎,不僅讓自己處于危險之中,也讓整個互聯網深陷危局。

在此次事件中,Dyn 聲稱攻擊來自全球的一千萬個 IP 地址。黑客之所以能利用如此之多的日常設備,跟這些設備使用者的簡單密碼設置不無關系。據相關統計數據顯示,123456、123456789、111111、123123、000000、888888、admin、password、P@ssw0rd 和 123qwe 這 10 組密碼能夠控制互聯網上 10% 的設備。這些基本可以說是“意思意思”的密碼設置,好像就是在告訴黑客“我家大門常打開,歡迎隨時過來。”

引以為鑒,還是建議大家趕緊給自己的網絡設備設置一個復雜些的長密碼吧。雖然這樣做并不能保障你的絕對安全,因為再復雜的密碼只要黑客花心思總還是能被攻克的,但至少可以讓你不那么輕易地淪陷,不做身先士卒的網絡炮灰。

小小應用程序,大大應用風險

會寫出應用程式,從中取得你的資料再加以販賣的,可不只有 Rovio、Zynga、Snapchat 這些應用程式制造商,組織犯罪集團現在也學會了這一套。我們可能會用邏輯來推測,以為應用程式只要能放上谷歌的 Google Play 或是蘋果的 App Store,程式原始碼和開發者應該都經過了嚴格的安全審查吧?

情況并非如此。在安卓與 iOS 的生態系統里,應用程式的數量都超過百萬之多,經過人工驗證的數量少到驚人;而罪犯對此可是非常了解的,甚至早就多次利用這些應用程式商店犯下罪行,致使大家以為應該值得依賴的應用程式商店里,有愈來愈多應用程序隱藏著惡意軟件的禍心。早在 2013 年,谷歌應用程式商店里,就有超過 42000 種應用程式被發現含有間諜軟件或是竊取資訊的木馬程式。

大家在安裝應用的時候,務必也要多留個心眼。如果一個手電筒,要求存取你的通訊錄或 GPS 定位之類的,就擺明了是要偷取你的資料的。一旦你給予授權了,也就為盜賊打開了一扇可以長驅直入的大門。

轉黑客為白帽以換取一片藍天

期望力挽狂瀾,改變當下人人自危愈演愈烈的趨勢方向,我大膽設想,或許可以通過足夠的激勵刺激,達到催生安全的網絡運算環境,讓黑客為我所用的目的。當然,這可能會讓你覺得“姑息養奸”,甚至“助紂為虐”。

但是,當黑客發現軟件程序代碼的漏洞,賣給黑市的犯罪集團便能大賺一筆,但如果他告訴軟件開發商,可能非但什么都賺不到,反而有被告的風險。那在這時候,何去何從就成了一個沒有選擇的選擇題。

至于激勵方案的效用,其實我們可以從很多先例中得到印證。很多時候,甚至可以讓棘手的問題得到革命性的解答。早在 1714 年,英國國會希望能夠強化海上的導航技術,于是提供 2 萬英鎊(相當于今天的 100 多萬英鎊),懸賞能夠測量經度誤差在半度之內的解決方案。這項大獎激勵了一個自學的鐘表工作——約翰·哈里森,他發明航海天文鐘,解決了這個問題。

無獨有偶,查爾斯·林白之所以成了第一個飛越大西洋的人,除了因為他的冒險精神,還有另一個比較不為人知的原因,就是因為有一筆 2.5 萬美元的懸賞給“同盟國首位單趟飛越大西洋的飛行員”。

當然,這也在我們的現實在開始推行。比如谷歌的賞金大賽——“The Project Zero Prize”,將對找到最佳安卓漏洞的黑客以 20 萬美元的獎勵,第二名和第三名的獎金分別為 10 萬美元和 5 萬美元。慢慢地,當基于漏洞查找與反饋的機制成為常態的時候,或許就是我們向網絡安全又邁進了一大步。

來自: 鈦媒體

 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/77b6fb80