|
凜冬將至 隨著信息技術(shù)的發(fā)展,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、智能家居、比特幣這些名詞大家早已不再陌生,然而,你真的意識到這些名詞背后所代表的意義嗎?當(dāng)我們在某寶上愉快地買買買,用ipad興奮駕著車,用無人機浪漫地表白地時候,你是否意識到,我們正在進入一個全新的、充滿危險的互聯(lián)時代?
先看幾條新聞: 1、《黑客通過艙內(nèi)娛樂系統(tǒng)短暫控制飛機》
安全研究人員克里斯羅伯茨Chris Roberts 上月曾向美國聯(lián)邦調(diào)查局(FBI)承認,他曾通過艙內(nèi)娛樂系統(tǒng)短暫入侵了飛機的電子監(jiān)控系統(tǒng)而控制飛機,導(dǎo)致飛機做出了側(cè)向飛行的動作。 讓克里斯惹上麻煩的是一條有他自己發(fā)出的推特,他“開玩笑”稱控制了飛機。聯(lián)邦特工立刻發(fā)現(xiàn)了這條推特,然后認真評估了克里斯確實具備這種攻擊能力。結(jié)果飛機降落后, FBI帶走了克里斯,約談了四小時左右,同時沒收了其所有電子設(shè)備。之后克里斯還被航空公司拒載,差點沒參加成RSA大會(信息安全界最有影響力的業(yè)界盛會,作者注)。
上周五,F(xiàn)BI提交的書面陳述首次公開——克里斯于今年早些時候告訴FBI自己不只一次而是經(jīng)常在乘飛機時入侵艙內(nèi)娛樂系統(tǒng)(IFE)。
“在這次談話過程中,羅伯茨先生說,他在飛機飛行時,利用IFE系統(tǒng)漏洞。在2011年到2014年期間,他大約入侵IFE系統(tǒng)15到20次,他最后一次利用該漏洞的時間為2014年中期。”
文件中顯示克里斯通過一根經(jīng)過改裝的網(wǎng)線,將自己的筆記本電腦連接到了飛機上的IFE系統(tǒng),從而使他能夠訪問其他飛機系統(tǒng)。
據(jù)報道,在乘坐飛機時克里斯重寫了飛機上推力管理計算機的代碼,從而成功地控制了用以發(fā)出上升指令的系統(tǒng)。在發(fā)出上升指令(CLB)后,克里斯“引起一個飛機引擎盤升,導(dǎo)致飛機做出了了側(cè)向飛行運動”。 2、《兒童安全應(yīng)用mSpy大規(guī)模數(shù)據(jù)泄露,大量兒童信息被黑客曝光》
mSpy是市面上最流行的兒童安全應(yīng)用,家長可以通過mSpy對小孩的移動設(shè)備進行追蹤,7×24小時在線客服和256位加密更讓mSpy成為保障孩子安全的最佳應(yīng)用。然而最近大量mSpy用戶的郵箱、短信、支付信息、位置等數(shù)據(jù)出現(xiàn)在“暗網(wǎng)”上,這直接導(dǎo)致數(shù)以千計的兒童數(shù)據(jù)陷入危險境地。
mSpy之前就曾飽受爭議,原因就是它被認為是一款間諜軟件,而此次大規(guī)模數(shù)據(jù)泄露后,它的爭議更加大了。mSpy被黑后,多方請求公司對此加以評論,但至今公司還是保持沉默。
這些郵件、短信、支付信息、位置等都被發(fā)布在了一個搭建在Tor網(wǎng)絡(luò)上的網(wǎng)頁上。
泄露的數(shù)據(jù)中還包括mSpy記錄4百萬個事件,Apple ID和密碼、追蹤數(shù)據(jù)和支付數(shù)據(jù)。黑客留言稱,獲得的數(shù)據(jù)中還包括40萬位用戶的信息,包括Apple ID和密碼、追蹤數(shù)據(jù)和約145,000筆交易的支付數(shù)據(jù)。
3、《小心“醫(yī)療黑客”:醫(yī)院藥物輸液泵存任意命令執(zhí)行漏洞,可危及病人生命》
醫(yī)院用的智能輸液泵說起來是很高端先進,一旦這個無比智能的小玩意兒因為其自身“疾病”而被攻擊者惡意利用,那結(jié)果可要危及性命了。
輸液泵是一種能夠準(zhǔn)確控制輸液滴數(shù)或輸液流速,保證藥物能夠速度均勻,藥量準(zhǔn)確并且安全地進入病人體內(nèi)發(fā)揮作用的一種儀器。最近一名研究人員發(fā)現(xiàn),一家制造醫(yī)用設(shè)備公司生產(chǎn)的輸液泵存在任意命令執(zhí)行漏洞,并表示這是他遇到過的最不安全的可用IP設(shè)備。
攻擊者利用這一漏洞可以入侵Hospira Lifecare PCA3輸液泵,只需稍作調(diào)整便能更改病人所用的藥物庫,進行更新軟件或讓設(shè)備執(zhí)行其他命令。
發(fā)現(xiàn)這一漏洞的SAINT公司軟件安全工程師Jeremy Richards上周在推特寫到:
“我個人對這個漏洞非常擔(dān)憂,因為藥泵直接與我相連。這不僅僅是易受攻擊的問題,其編程是如此糟糕以至于使用一個無用的磚頭就能破壞它了。”
以上幾條新聞也許你已經(jīng)看過,也許你看過但并不在意,然而它們背后透露出的信號是細思極恐的。這些安全事件意味著:互聯(lián)網(wǎng)安全已經(jīng)不再只是互聯(lián)網(wǎng)上的安全。
這句話可能有點繞口,但我想說的是,曾幾何時,互聯(lián)網(wǎng)安全僅僅局限于互聯(lián)網(wǎng)內(nèi)部本身,盜號、黑郵箱、賣掉你游戲里的金幣等等,它危害的僅僅是信息本身。但現(xiàn)在,隨著互聯(lián)網(wǎng)的發(fā)展,它已經(jīng)與實體社會發(fā)生了關(guān)聯(lián),它們之間的邊界正在被打破。你的財產(chǎn)不過是互聯(lián)網(wǎng)上的一串?dāng)?shù)字,你的隱私照片不過是硬盤里的一串代碼,甚至你的車、你的手表、你家的門也是網(wǎng)絡(luò)的一個終端,它們將能被萬里之外某個角落里的另一個終端所訪問、所控制。因此,在萬物互聯(lián)的時代,你的財產(chǎn)、隱私、甚至生命,都只是這個龐大的網(wǎng)絡(luò)下的一部分。物理實體和信息數(shù)據(jù)之間的壁壘正在被打破,互聯(lián)網(wǎng)的安全問題,已經(jīng)來到我們身邊。 也許你會覺得危言聳聽,但事實如此。長夜漫漫,凜冬將至。我們正在進入一個前所未有的危險時代。黑客們將在這個萬物互聯(lián)的世界里自由來去。作為一個普通人,在黑客眼里,你手無寸鐵、不著寸縷。你的一切都不再是安全的。財產(chǎn)、隱私、甚至生命。我們的互聯(lián)網(wǎng)比你想象的更黑暗,我們遇到的安全問題也比以往更加棘手。 你所不知道的深網(wǎng)深網(wǎng)(又作不可見網(wǎng),隱藏網(wǎng))是指那些存儲在網(wǎng)絡(luò)數(shù)據(jù)庫里、不能通過超鏈接訪問而需要通過動態(tài)網(wǎng)頁技術(shù)訪問的資源集合,不屬于那些可以被標(biāo)準(zhǔn)搜索引擎索引的表面網(wǎng)絡(luò)。
邁克爾·伯格曼將當(dāng)今互聯(lián)網(wǎng)上的搜索服務(wù)比喻為像在地球的海洋表面的拉起一個大網(wǎng)的搜索,大量的表面信息固然可以通過這種方式被查找得到,可是還有相當(dāng)大量的信息由于隱藏在深處而被搜索引擎錯失掉。絕大部分這些隱藏的信息是須通過動態(tài)請求產(chǎn)生的網(wǎng)頁信息,而標(biāo)準(zhǔn)的搜索引擎卻無法對其進行查找。傳統(tǒng)的搜索引擎“看”不到,也獲取不了這些存在于深網(wǎng)的內(nèi)容,除非通過特定的搜查這些頁面才會動態(tài)產(chǎn)生。于是相對的,深網(wǎng)就隱藏了起來。
而在深網(wǎng)之中,又有一部分網(wǎng)站,使用匿名的Tor技術(shù)或使用類似的軟件如I2P等。這類軟件將會加密網(wǎng)絡(luò)流量并隨機挑選位于世界各地的計算機傳輸數(shù)據(jù),從而達到匿名訪問的目的,并利用這一層優(yōu)勢,進行某些低調(diào)的活動。 事實上,龐大的暗網(wǎng)正在變成一個網(wǎng)絡(luò)上萬能的黑市,你所能想象得到的一切商品都能在暗網(wǎng)上通過交易得到。包括毒品、軍火、非法藥品、黑客軟件、個人信息、信用卡數(shù)據(jù)等等均有售賣。甚至護照、社保卡、醫(yī)保卡、警徽等各類證件也均有“辦理”。除了這些,還有很多”高端服務(wù)“,例如:Contract Killer,專業(yè)的殺手門戶,只要目標(biāo)在16歲以上,不是世界上任何圈內(nèi)排名前10的人物,都有價格。像CK這類網(wǎng)站同樣提供雇傭各類專業(yè)人士服務(wù),包括前特種部隊,傭兵隊伍,黑客。如圖,一隊與CK簽訂協(xié)議的法國雇傭兵。
正是由于這些暗網(wǎng)的存在,導(dǎo)致我們的信息世界正在變成一個越來越龐大“魔獸世界”,地面上的部分固然是風(fēng)景如畫,但更多的是“地下城”。其中暗流洶涌,荊棘叢生,陷阱密布,盤根錯節(jié)。與之相關(guān)的安全問題也就越來越棘手。
事實上,這場關(guān)于信息安全的戰(zhàn)爭早已打響,看不見的硝煙早已彌漫在互聯(lián)網(wǎng)的各個角落。如果你有心,你將能從現(xiàn)在越來越多的電子勒索、釣魚網(wǎng)站和個人信息泄露中瞧出端倪。 為什么是現(xiàn)在?
原因有兩個。 1、物聯(lián)網(wǎng) 2、比特幣
互聯(lián)網(wǎng)從來沒有像現(xiàn)在這樣,滲入人類社會的方方面面,曾幾何時,它只是懸浮在物理鏈接上一個虛擬的世界,然而,當(dāng)萬物聯(lián)網(wǎng)的時代來臨,虛擬與現(xiàn)實之間的壁壘被打破了。在信息領(lǐng)域造成的傷害同樣能夠反映到現(xiàn)實社會中,而且另一方面,攻擊行為更加隱蔽、更加難以追蹤、破壞力也更強。
有一點是不言而喻的,互聯(lián)網(wǎng)放大了優(yōu)秀人才的生產(chǎn)力。微博上大V們的粉絲營銷就是很好的例子。但另一方面,互聯(lián)網(wǎng)也將放大危險活動的破壞力。在冷兵器時代,一把刀能殺的人終歸有限,但信息時代,一個病毒能造成的破壞力卻是驚人的。病毒、木馬、間諜軟件、記錄個人信息的數(shù)據(jù)庫、滲透軟件等等早已成為互聯(lián)網(wǎng)時代的“軍火",這些”軍火“都在暗網(wǎng)上以明碼標(biāo)價的形式進行售賣。
至于比特幣,則是為那些危險的行為提供了一個安全的變現(xiàn)手段。比特幣由于其去中心化的特點,天然的不受監(jiān)管,而其匿名、免稅、無國界等特性更是給黑客們大開了方便之門。事實上,比特幣早已成為毒品交易、洗錢和其他不法活動的溫床。一個名為“絲綢之路”的網(wǎng)站為不法分子以比特幣交易搭建平臺,路透社報道,這家網(wǎng)站2011年起運營,為不法分子搭建交易平臺。網(wǎng)站有海洛因和其他毒品售賣,甚至提供殺手。超過90萬名該網(wǎng)站注冊用戶用比特幣進行毒品交易。法庭文件顯示,這家網(wǎng)站在兩年運營時間里達成價值12億美元的比特幣交易,每筆交易收取8%到15%的手續(xù)費。目前這家網(wǎng)站早已被美國警方關(guān)閉,但它的繼任者們正在卷土重來。
與這兩個因素相對應(yīng)的,則是安全意識的薄弱。很多人壓根沒有意識到他們所使用的產(chǎn)品是不安全的,很多人甚至不更改默認用戶名密碼,其中就包括我們的公安機關(guān)。
據(jù)上海羿歌所了解,前一段時間,江蘇省公安廳一份標(biāo)記為“特急”的通知將著名監(jiān)控產(chǎn)品供應(yīng)商海康威視(Hikvision)推至了風(fēng)口浪尖。該通知主題是《關(guān)于立即對全省海康威視監(jiān)控設(shè)備進行全面清查和安全加固的通知》。該通知稱省各級公關(guān)機關(guān)使用的海康威視監(jiān)控設(shè)備存在嚴(yán)重安全隱患,部分設(shè)備已經(jīng)被境外IP地址控制,須全面清查,并開展安全加固,消除安全漏洞。
而海康威視則隨后發(fā)布官方回應(yīng)稱,江蘇省互聯(lián)網(wǎng)應(yīng)急中心通過網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)的安全問題,是部分在互聯(lián)網(wǎng)上的海康威視設(shè)備因弱口令問題(弱口令包括使用產(chǎn)品初始密碼或其他簡單密碼,如123456、888888、admin等)導(dǎo)致被黑客攻擊所致。
如果事實正如官方所說,那么我們負責(zé)安全的公安機關(guān)竟然安全意識如此薄弱,這實在是一個令人難過的消息。 何去何從?
十分遺憾,我想說的是,作為一個普通人,我們能做的十分有限。 目前的攻擊行為早已呈現(xiàn)出組織化、規(guī)模化的特性。黑客們不再是單槍匹馬的游俠,他們正在飛速的結(jié)盟、發(fā)展和進化。像Anonymous這樣的黑客組織其戰(zhàn)斗力不亞于一個部隊。就連恐怖分子也學(xué)會了組建黑客部隊。例如ISIS組織就于本月11日下午2點(美國東部時間)在其社交網(wǎng)站上發(fā)出了對美國政府的恐嚇,并隨之放上了一個視頻——視頻中男子穿著連帽衫,帶著面具,坐在電腦前。說道:我們是伊斯蘭政府黑客,電子戰(zhàn)爭還未開始,我們時刻關(guān)注著你們的舉動,不久的將來你們將會看到我們是怎樣控制你們的電子世界的。而且黑客們也擁有了足夠的軍火,那些被泄漏的個人信息、那些被竊取的數(shù)據(jù)庫,那無處不在的漏洞,都成為了擊穿安全堡壘的一顆顆彈藥,從冷兵器到熱兵器,從熱兵器到電子兵器,人類在如何毀滅自己的同胞上,總有著非凡的創(chuàng)造力。
長夜漫漫,凜冬將至,我們只能寄希望于長城上的守夜人,抵擋那些來自黑暗深處的異鬼的入侵,而這些守夜人就是安全廠商。
不過遺憾的是,這些戰(zhàn)士并不靠譜。一方面,在技術(shù)層面上,防衛(wèi)往往比攻擊更困難。另一方面,眾所周知,衛(wèi)士和流氓往往只有一線之隔,是管家還是臥底都很難說。更何況,目前的法律、制度以及行政手段并不能對他們的行為帶來多大的約束,這些守夜人也并不信仰什么”我將至死守望“的誓言。決定他們行為的,仍然是利益。而在利益之下,并無忠誠可言,道德也將受到考驗。
或者,我們也可以寄希望于那些擁有道德底線和正義感的”白帽子“。事實上,”黑客“一詞本來是一個褒義詞,通常用來指那些熱心于計算機技術(shù)、水平高超的電腦專家。但隨著技術(shù)的濫用,很多人假借黑客名義進行破壞活動,于是出現(xiàn)了“駭客”與"黑客"分家。在安全界內(nèi)部,也逐漸區(qū)分為白帽、黑帽等,其中黑帽(black hat)實際就是那些破壞分子。在媒體報道中,與黑客(黑帽子)相對的則是白帽子。這樣一批白帽子,他們秉持著傳統(tǒng)的黑客精神,發(fā)現(xiàn)漏洞但并不進行破壞,研究計算機安全但并無惡意,他們有著自己的行事準(zhǔn)則和道德底線。他們中的一部分人早已從破壞者變成了維護者,也在通過各種各樣的努力讓我們這個社會更加安全。
然而遺憾的是,道高一尺魔高一丈,從目前的情況看來,破壞者們更隱蔽、更龐大、收獲的利益也更多,而白帽子們則處于下風(fēng)。雖然很多公司和組織已經(jīng)意識到了這樣的問題,每年舉辦各種各樣的獎勵,試圖讓黑客們投入到正義的一方,但事實上,白帽子們發(fā)現(xiàn)一個漏洞獲取的利益仍然遠遠小于黑客們利用一個漏洞獲得的利益,這種巨大的反差也將成為這場安全戰(zhàn)爭中誰能取勝的重要因素。 而對于我們這些絲毫不懂編程的普通人來說,這場戰(zhàn)爭早已超過了我們這個層面。無論是安全廠商的流氓行為也好,還是攻擊者們的破壞行為也好,在他們的技術(shù)面前,我們都是不堪一擊的。我們所依賴的,不過是希望那些技術(shù)高超的黑客們能加入正義的一方,希望那些設(shè)備制造商制造出安全門檻更高的產(chǎn)品,又或者,作為正在閱讀這篇文章的讀者們,這當(dāng)中或許有一部分人擁有足夠的天賦,以后能成為一個優(yōu)秀的安全專家。而最終決定這場戰(zhàn)爭勝負的,必定需要國家層面的支持。 可以預(yù)見的是,安全研究人員將在未來擁有更大的話語權(quán)。無論是國家層面的安全研究企業(yè)也好,還是企業(yè)內(nèi)部的安全研究人員也好,都將在未來擁有更大的話語權(quán),因為他們所承擔(dān)的工作正在變得越來越重要,他們的任務(wù)也正變得越來越艱巨。
想想千百年前那些掌握了文字的祭司們吧,想想他們擁有何等的權(quán)力和地位。而現(xiàn)在,在這個萬物互聯(lián)的時代,編程語言早已成為信息世界的通用語言,那些掌握了高超的編程技巧的程序猿們,又何嘗不是信息時代的祭司呢? |
