近日,美國(guó)多個(gè)城市互聯(lián)網(wǎng)發(fā)生癱瘓,包括Twitter、Shopify、Reddit等大量知名網(wǎng)站數(shù)小時(shí)無(wú)法正常訪問(wèn)。后經(jīng)調(diào)查顯示,這是黑客利用病毒感染物聯(lián)網(wǎng)設(shè)備,進(jìn)而利用這些設(shè)備發(fā)起網(wǎng)絡(luò)攻擊。本該為人們生活帶來(lái)便利的智能設(shè)備,為何會(huì)成為此次事件的“幫兇”?作為互聯(lián)網(wǎng)大國(guó)的美國(guó)尚且遭此一劫,中國(guó)互聯(lián)網(wǎng)是否面臨同樣威脅?在即將到來(lái)的物聯(lián)網(wǎng)時(shí)代,我們的安全又由誰(shuí)來(lái)保障?
□新聞背景
物聯(lián)網(wǎng)成黑客“幫兇”
10月21日,美國(guó)互聯(lián)網(wǎng)遭受了前所未有的攻擊,包括推特、亞馬遜、華爾街日?qǐng)?bào)及紐約時(shí)報(bào)等多家知名網(wǎng)站被黑,公共服務(wù)、社交平臺(tái),民眾網(wǎng)絡(luò)服務(wù)器等幾乎陷入癱瘓。
10月22日,為網(wǎng)站提供域名解析的服務(wù)商迪恩公司在官網(wǎng)發(fā)消息稱(chēng),公司正在對(duì)這次攻擊的來(lái)源和性質(zhì)進(jìn)行調(diào)查,目前已知這是一次精心策劃的DDOS攻擊,攻擊的一個(gè)重要來(lái)源是感染了病毒程序的僵尸網(wǎng)絡(luò),該網(wǎng)絡(luò)涉及了數(shù)以千萬(wàn)計(jì)的IP地址。
業(yè)內(nèi)人士表示,此次網(wǎng)絡(luò)攻擊具有幾個(gè)不同于以往的特點(diǎn):一是攻擊來(lái)源不明;二是攻擊關(guān)聯(lián)到物聯(lián)網(wǎng),其中大部分設(shè)備為安保攝像頭;三是攻擊互聯(lián)網(wǎng)的地址簿,直接造成美國(guó)大面積網(wǎng)絡(luò)癱瘓,不同于以往的所謂竊密等;四是攻擊流程門(mén)檻低,不需要特殊的技能,任何人都能利用已有工具找到潛在的高風(fēng)險(xiǎn)系統(tǒng);五是攻擊來(lái)源的全球分布程度逐波增加,涉及數(shù)千萬(wàn)個(gè)IP地址。
作為互聯(lián)網(wǎng)強(qiáng)國(guó),美國(guó)在應(yīng)對(duì)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)方面一直走在前面。然而這一次,美國(guó)也難以應(yīng)對(duì)僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊。有觀點(diǎn)認(rèn)為,“攻擊者只是在練手,大規(guī)模網(wǎng)絡(luò)中斷或僅是大事件前的預(yù)演”。
值得注意的是,物聯(lián)網(wǎng)攝像頭作為時(shí)下常見(jiàn)的智能硬件設(shè)備,成為美國(guó)此次互聯(lián)網(wǎng)遭受攻擊的最大幫兇。目前,居民家中的路由器、電視、冰箱等普通設(shè)備,幾乎都在更新?lián)Q代成為物聯(lián)網(wǎng)硬件。正因此,美國(guó)互聯(lián)網(wǎng)遭受攻擊更引發(fā)人們對(duì)智能家居生態(tài)的關(guān)注。
美國(guó)國(guó)土安全部部長(zhǎng)杰·約翰遜上月24日證實(shí),包括監(jiān)控?cái)z像頭在內(nèi)的一些物聯(lián)網(wǎng)設(shè)備被黑客用來(lái)發(fā)起這次攻擊,美國(guó)國(guó)土安全部一直在努力制定一套保障物聯(lián)網(wǎng)設(shè)備安全的戰(zhàn)略原則,并計(jì)劃在未來(lái)幾周發(fā)布。
□熱點(diǎn)問(wèn)答
攻擊發(fā)生前早有預(yù)兆
京華時(shí)報(bào):在此次大規(guī)模的攻擊發(fā)動(dòng)前有沒(méi)有什么異常的現(xiàn)象?
劉健皓:這起攻擊引起了全球范圍的震驚,多家機(jī)構(gòu)對(duì)攻擊源展開(kāi)調(diào)查。目前來(lái)看,一般研究認(rèn)為,是mirai僵尸網(wǎng)絡(luò)發(fā)動(dòng)了此次攻擊。
其實(shí)早在8月份,依靠全球威脅態(tài)勢(shì)感知系統(tǒng),360公司就已經(jīng)發(fā)現(xiàn)了Mirai僵尸網(wǎng)絡(luò)的蛛絲馬跡。8月1日,360全球威脅態(tài)勢(shì)感知系統(tǒng)發(fā)現(xiàn)了多地智能硬件設(shè)備被掃描,研究人員隱約感覺(jué)有“池塘中有大魚(yú)要翻江倒海”。
9月6日,互聯(lián)網(wǎng)出現(xiàn)掃描“2323”端口上的新特征。研究員在后續(xù)分析中判定為僵尸網(wǎng)絡(luò)在大規(guī)模感染、控制智能設(shè)備,隱藏其后的mirai逐漸進(jìn)入360“看見(jiàn)”范圍。
9月23日,美國(guó)一家著名安全記者網(wǎng)站被DDoS攻擊,這次攻擊創(chuàng)下多項(xiàng)紀(jì)錄。由于該網(wǎng)站關(guān)注度較低,并沒(méi)有得到廣泛關(guān)注。360網(wǎng)絡(luò)安全研究院持續(xù)跟蹤、分析樣本,試圖尋找隱藏在背后的“大老板”。月底,Mirai僵尸病毒網(wǎng)絡(luò)的源代碼泄露,至此mirai充分暴露在360“看見(jiàn)”視野范圍內(nèi)。
10月21日,已控制大批智能設(shè)備做“馬仔”的mirai,突然向Dyn公司發(fā)動(dòng)攻擊,造成美國(guó)多家知名網(wǎng)站斷網(wǎng),得到公眾和媒體普遍關(guān)注。mirai的攻擊指令操作者、受害者大多位于國(guó)外,受影響的中國(guó)設(shè)備相對(duì)較少。
物聯(lián)網(wǎng)硬件有安全隱患
京華時(shí)報(bào):為什么物聯(lián)網(wǎng)設(shè)備會(huì)成為這次美國(guó)網(wǎng)絡(luò)攻擊的“幫兇”?
劉健皓:這次典型的“拒絕訪問(wèn)服務(wù)”(DDoS)網(wǎng)絡(luò)攻擊中,域名服務(wù)商遭到了大量垃圾請(qǐng)求,讓DNS解析商完全無(wú)法應(yīng)對(duì),真正的請(qǐng)求也無(wú)法回答,互聯(lián)網(wǎng)網(wǎng)站癱瘓。正是物聯(lián)網(wǎng)設(shè)備本身存在安全漏洞才導(dǎo)致其成為此次網(wǎng)絡(luò)攻擊的“幫兇”。此次Mirai僵尸病毒感染的物聯(lián)網(wǎng)設(shè)備數(shù)以十萬(wàn)計(jì),包括網(wǎng)絡(luò)攝像頭、智能空調(diào)等,究其原因,就是由于這些接入互聯(lián)網(wǎng)的設(shè)備存在大量漏洞,并且有些漏洞屬于系統(tǒng)通用性漏洞,攻擊者通過(guò)漏洞猜測(cè)設(shè)備的默認(rèn)用戶名和口令,進(jìn)而控制了這些智能設(shè)備。
李欲曉:物聯(lián)網(wǎng)是最近這幾年才發(fā)展起來(lái)的。雖然物聯(lián)網(wǎng)發(fā)展的時(shí)間比較短,但它的應(yīng)用范圍卻非常廣泛。在實(shí)際中,物聯(lián)網(wǎng)的這些設(shè)備在開(kāi)發(fā)的過(guò)程當(dāng)中,制造商和整個(gè)行業(yè)都很少去考慮它可能會(huì)受到網(wǎng)絡(luò)攻擊的可能性。
為什么會(huì)這樣?那是因?yàn)槲锫?lián)網(wǎng)設(shè)備并不是專(zhuān)門(mén)用來(lái)去做聯(lián)網(wǎng)通信的。物聯(lián)網(wǎng)硬件本質(zhì)上更多的是“物”,而不是“聯(lián)”,比如智能家居,它根本上還是家居產(chǎn)品屬性和功能。從這個(gè)方面來(lái)講,物聯(lián)網(wǎng)產(chǎn)品的功能設(shè)計(jì)所做的防范措施就比較少??梢哉f(shuō),當(dāng)下普遍的物聯(lián)網(wǎng)產(chǎn)品都存在很多的安全隱患,只不過(guò)我們一直都在關(guān)注它的便利性,每個(gè)人都知道物聯(lián)網(wǎng)方便,是一個(gè)新的技術(shù),可以把所有的東西都連起來(lái)。
京華時(shí)報(bào):這起網(wǎng)絡(luò)攻擊事件造成的影響有多大?
吳翰清:位于曼徹斯特市的Dyn,是美國(guó)主要域名服務(wù)器(DNS)的供應(yīng)商。域名是網(wǎng)友訪問(wèn)互聯(lián)網(wǎng)的起點(diǎn)和入口,也是全球互聯(lián)網(wǎng)通信的基礎(chǔ)。而DNS作為承載全球億萬(wàn)域名正常使用的系統(tǒng),則是互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施,說(shuō)它為互聯(lián)網(wǎng)的心臟也不為過(guò)。盡管如此,不少企業(yè)對(duì)這一領(lǐng)域的安全并沒(méi)有引起足夠重視,這場(chǎng)由DNS引發(fā)的癱瘓事件將敲響所有企業(yè)的安全警鐘。
最基本的DDoS,就是黑客利用合理的服務(wù)請(qǐng)求去占用盡可能多的服務(wù)資源,從而使得用戶無(wú)法得到服務(wù)響應(yīng)。當(dāng)DDoS攻擊Dyn公司,很多DNS查詢無(wú)法完成,用戶也就無(wú)法通過(guò)域名訪問(wèn)Twitter、GitHub等站點(diǎn)了。
國(guó)內(nèi)也曾遭遇過(guò)多起DNS癱瘓引發(fā)的“慘案”,比較著名的是2014年1月21日那次。那是迄今為止,大陸境內(nèi)發(fā)生的最為嚴(yán)重的DNS故障,所有通用頂級(jí)域(。com/。net/。org)遭到DNS污染,所有的域名全被指向了一個(gè)位于美國(guó)的IP地址(65.49.2.178)。
隨著萬(wàn)物互聯(lián),也就是所謂的物聯(lián)網(wǎng)的發(fā)展,必將引發(fā)大量的網(wǎng)絡(luò)安全問(wèn)題。而發(fā)生在美國(guó)的這場(chǎng)攻擊,只是未來(lái)安全問(wèn)題的一個(gè)縮影。
目前,互聯(lián)網(wǎng)感染僵尸木馬的物聯(lián)網(wǎng)設(shè)備約在60萬(wàn)左右,這些設(shè)備如果一起攻擊,可以輕松發(fā)起接近1T(相當(dāng)于中國(guó)一個(gè)省流量)的攻擊。普通企業(yè)已經(jīng)不具備能力與攻擊者對(duì)抗。
如果類(lèi)似攻擊發(fā)生在國(guó)內(nèi),恐怕也會(huì)產(chǎn)生嚴(yán)重影響。維護(hù)網(wǎng)絡(luò)安全需要國(guó)與國(guó)之間的合作,需要政府、廠商、安全社區(qū)和個(gè)人用戶各方面的合作。只有協(xié)同聯(lián)動(dòng),才能構(gòu)建網(wǎng)絡(luò)安全的命運(yùn)共同體。
開(kāi)發(fā)硬件應(yīng)兼顧安全
京華時(shí)報(bào):行業(yè)和消費(fèi)者該如何避免類(lèi)似事件?
劉健皓:智能設(shè)備接入互聯(lián)網(wǎng),一方面需要有足夠的帶寬,并且長(zhǎng)時(shí)間在線,另外一方面也需要有聯(lián)網(wǎng)的處理器,以方便“主人”操控,比如高清攝像頭、智能傳感器等。但是,智能硬件存在的漏洞,使看起來(lái)只是互聯(lián)網(wǎng)中星星點(diǎn)點(diǎn)的智能設(shè)備突然變成集中向服務(wù)器攻擊的“長(zhǎng)矛利劍”。
有了這次教訓(xùn),廠商在注重智能硬件功能性的同時(shí),也必須高度重視安全性。有關(guān)監(jiān)管部門(mén)應(yīng)該加大設(shè)備安全方面的審核監(jiān)管力度,提高黑客攻擊“成本”。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),需要監(jiān)控設(shè)備流量,發(fā)現(xiàn)急劇波動(dòng)時(shí),及時(shí)采取限制訪問(wèn)流量帶寬的方法緩解攻擊。
吳翰清:互聯(lián)網(wǎng)上充斥著大量的攻擊工具和木馬,給攻擊者制造了便利。一些黑客甚至明碼標(biāo)價(jià)。比如,打1G的流量到一個(gè)網(wǎng)站一小時(shí),網(wǎng)上報(bào)價(jià)只需50塊錢(qián)。黑客掌握攻擊“武器”之后,通常受利益驅(qū)動(dòng),或主動(dòng)或受雇傭,去攻擊一些高盈利行業(yè),比如金融、游戲行業(yè)。
面對(duì)如此猖獗的DDoS產(chǎn)業(yè)鏈,建議企業(yè)選擇聯(lián)合云服務(wù)商解決困擾。一是云上業(yè)務(wù)包羅萬(wàn)象,電商、游戲、金融、新型互聯(lián)網(wǎng),云服務(wù)商的安全團(tuán)隊(duì)經(jīng)過(guò)無(wú)數(shù)次攻防對(duì)抗之后,對(duì)各類(lèi)業(yè)務(wù)的深刻理解以及DDoS檢測(cè)規(guī)則與業(yè)務(wù)的耦合度非企業(yè)安全運(yùn)維人員所能及。第二,因?yàn)樵朴?jì)算廠商可以將云解析集成進(jìn)高防業(yè)務(wù),利用云計(jì)算的彈性擴(kuò)展特性來(lái)提升DNS解析能力,這是它們得天獨(dú)厚的優(yōu)勢(shì)。
此外,建議國(guó)內(nèi)運(yùn)營(yíng)商在源端建立近源清洗的能力,確保攻擊者不會(huì)輕易地將攻擊流量打出。
■名詞解釋
DDoS:全稱(chēng)為DistributedDenialofService,分布式拒絕服務(wù)攻擊。借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。
通常,攻擊者使用一個(gè)偷竊賬號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。