現(xiàn)在,許多電子設(shè)備都能連上互聯(lián)網(wǎng),成為物聯(lián)網(wǎng)的一部分。比如,智能冰箱會提醒你牛奶快喝完了,或者自行把牛奶添進購物清單,甚至可以主動訂購牛奶。而當你想在跑步機上跑步時,智能空調(diào)會自動調(diào)低溫度,等到你外出看電影時又自動關(guān)閉。智能嬰兒監(jiān)護儀會告訴你什么時候該買新的磨牙膠了。
這樣的場景雖然聽起很奇妙,但很有可能,上述智能家居在昨晚還做了一些奇怪的事:和其他數(shù)百萬部設(shè)備(攝像機、打印機、路由器、音箱、空調(diào)機或是硬盤錄像機)一起封殺了推特或奈飛這樣的音樂、社交或電影網(wǎng)站,破壞了開源軟件運動,造成了近一百萬套德國房屋停電,或是中斷了利比里亞的手機通訊。除了參與這些額外的秘密活動之外,它們還增加了你的電費支出。
等等……有這種事?對,這里的問題其實很簡單,但也很令人痛心。這是一個技術(shù)問題,卻牽扯到全球化、法律和責(zé)任。我們的電子設(shè)備大多安裝了通用硬件,為了完成各自的工作,這些設(shè)備都需要運行特定的軟件,其中還包含了可以登錄的用戶配置文件。遺憾的是,許多生產(chǎn)商都聽任消費者使用已經(jīng)泛濫的簡單密碼登錄這些設(shè)備,比如“password”、“pass”、“1234”、“admin”、“default”或“guest”之類。
曾經(jīng)有一群黑客發(fā)動了一次簡單但是破壞力驚人的攻擊,他們總結(jié)出了61個常用的用戶名/密碼組合,并編寫了一個程序在互聯(lián)網(wǎng)上搜索使用這些組合的設(shè)備。這個程序在侵入某部設(shè)備之后立即自行安裝,然后陰險地在這部設(shè)備上搜索其他著名的惡意軟件,并將它們統(tǒng)統(tǒng)刪除。這樣它就成為設(shè)備上唯一的一只寄生蟲了!這個惡意程序的綽號叫“未來”(Mirai),它的下一步是將數(shù)百萬部易受攻擊的設(shè)備串聯(lián)成一個僵尸網(wǎng)絡(luò)(botnet,也就是一個由受到感染的計算機聯(lián)成的網(wǎng)絡(luò))。當數(shù)目巨大的嬰兒監(jiān)護儀、打印機和攝像機向某個網(wǎng)站發(fā)出ping信號時,這個網(wǎng)站就會因為不堪重負而無法訪問,除非它采取了昂貴的保護措施。
更糟的是,“未來”的幾個編寫者將它的源代碼發(fā)布到了網(wǎng)上。這下,就連只有初級編程技術(shù)的人都能自己組建龐大的僵尸網(wǎng)絡(luò)了。
這個問題怎么解決?你或許已經(jīng)注意到了手機或筆記本電腦偶爾需要更新軟件。這一方面會增加新的功能,一方面也可以修補軟件的漏洞,不那么容易受到攻擊。但是可惜,大多數(shù)易受“未來”攻擊的設(shè)備可能已經(jīng)停止更新,這使軟件修補要么不可行,要么不容易。
為了掙學(xué)費,我在大學(xué)時維護過好幾個計算機網(wǎng)絡(luò)。在遇到一部用戶名或密碼未知的設(shè)備時,我會嘗試一些組合,而這也正是“未來”會嘗試的組合。這么多年過去了,網(wǎng)絡(luò)安全仍然沒有改善,或許,這件事情根本沒人負責(zé)。對于芯片或設(shè)備的生產(chǎn)商來說,在安全問題上糊弄一下,往往不會造成太嚴重的后果,甚至可能完全沒有后果。
對于這種安全措施上的明顯疏忽造成的危害,政府部門無力監(jiān)管,法律也沒有明確各方的責(zé)任?!拔磥怼钡淖畛蹙帉懻呤敲绹膸讉€大學(xué)生,他們被捕之后最終都認了罪,但這還遠遠沒有消除隱患。只要網(wǎng)絡(luò)上還有大量用戶名/密碼的組合為“admin/admin”的設(shè)備,就一定會有人鉆這個空子。這里說一個壞消息:“未來”問題并沒有真正的解決方案,唯一的辦法就是等待那些易受攻擊的設(shè)備淘汰。但是也有好消息:只要對少數(shù)幾家容許“admin/admin”式密碼的設(shè)備生產(chǎn)商施以重罰,或是有父母發(fā)現(xiàn)嬰兒監(jiān)護儀被侵入后起訴它的生產(chǎn)商或銷售商,安全問題或許可以迅速得到改善。