國外媒體今天撰文指出，上周，易于劫持的“智能”設(shè)備讓世界上多家最大的在線平臺陷入癱瘓，此事引發(fā)了外界普遍關(guān)注。安全專家認為，這起網(wǎng)絡(luò)攻擊也給整個科技行業(yè)敲響了警鐘，促使他們盡快采取措施，改善電子設(shè)備乃至整個互聯(lián)網(wǎng)的安全性。

　　以下為文章全文：

　　物聯(lián)網(wǎng)還能繼續(xù)存在下去嗎？在上周美國和歐洲互聯(lián)網(wǎng)遭到大規(guī)模攻擊后，許多人不禁提出了這個問題。此次攻擊可能是由“智能”DVR播放機和網(wǎng)絡(luò)攝像頭引起的，讓整個科技行業(yè)都感到擔憂。專家認為，除非硬件和軟件廠商迅速聯(lián)手改善開放的互聯(lián)網(wǎng)的安全性，否則還將面臨更多攻擊。

　　震驚整個科技行業(yè)

　　黑客上周對互聯(lián)網(wǎng)服務(wù)提供商Dyn的攻擊，讓包括Netflix、Facebook、Twitter及《衛(wèi)報》在內(nèi)的眾多網(wǎng)站陷入癱瘓。網(wǎng)絡(luò)安全公司W(wǎng)hite Ops首席科學(xué)家丹·卡明斯基(Dan Kaminsky)表示，這一事件應(yīng)該會促使科技行業(yè)更為嚴肅地看待互聯(lián)網(wǎng)。

　　早在2008年，卡明斯基就發(fā)現(xiàn)域名系統(tǒng)(DNS)存在一個嚴重漏洞，而這個漏洞也被命名為“卡明斯基bug”。自從曝光并幫助修復(fù)這一漏洞以來，卡明斯基經(jīng)常會談到加強網(wǎng)絡(luò)安全措施的必要性。

　　這次黑客攻擊令美國和歐洲大陸的大量網(wǎng)站陷入癱瘓，它是一次“分布式拒絕服務(wù)(DDoS)”攻擊?；ヂ?lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)重要提供商Dyn被一個遭劫持設(shè)備的網(wǎng)絡(luò)(即無數(shù)臺遭到黑客攻擊的設(shè)備)發(fā)出的數(shù)據(jù)請求所淹沒。面臨海量數(shù)據(jù)請求，Dyn系統(tǒng)終于不堪重負，該公司的一些客戶(包括最知名的幾家互聯(lián)網(wǎng)公司)的網(wǎng)站也因此陷入癱瘓。

　　卡明斯基說：“沒有任何東西能在這種情況下幸存下來，無論是現(xiàn)有的東西還是理論上的東西，無論是集中式服務(wù)，還是分散式服務(wù)。一切努力都將化為烏有。這件事的癥結(jié)是如何第一時間避免這種攻擊，以及在出現(xiàn)問題時，如何改善我們回應(yīng)并進行修復(fù)的能力?！笨魉够赋觯A(yù)防和補救也是企業(yè)在面臨那種讓Dyn陷入癱瘓的攻擊時的唯一選擇。

　　卡明斯基認為，上周的“僵尸網(wǎng)絡(luò)攻擊”將起到“叫醒電話”的作用?！盎ヂ?lián)網(wǎng)的一個重要原則就是可靠性，但現(xiàn)在互聯(lián)網(wǎng)系統(tǒng)卻崩潰了?！彼f，“這種問題往往會讓眾多服務(wù)商作出改善?！绻覀儾贿@樣做，壞事就會發(fā)生’，并不等同于‘如果我們不做這件事，壞事會再度發(fā)生’。”

　　科技含量低但威脅巨大

　　讓安全研究人員感到沮喪的是，一些DDoS攻擊就是科技含量最低的“數(shù)字化戰(zhàn)爭”，比如上周五讓服務(wù)器陷入癱瘓的那次攻擊。這種攻擊并不需要攻破計算機網(wǎng)絡(luò)，只要采用很簡單的方法，搜索使用出廠默認密碼的開放網(wǎng)絡(luò)，就能劫持大量不安全設(shè)備并展開攻擊。然后，黑客利用被劫持的設(shè)備人為增加超出網(wǎng)絡(luò)本身所能承受的巨大流量——這種事情就相當于計算機同時、持續(xù)地呼叫某棟辦公大樓的每一部手機。

　　隨著越來越多的設(shè)備變得“智能化”，這些攻擊變得更加輕松；突然之間，購買咖啡機和冰箱的人給互聯(lián)網(wǎng)增加了許多計算機。他們不可能確保這些咖啡機是否會受到惡意軟件的威脅。將那些設(shè)備強行接入Dyn服務(wù)的惡意軟件的源代碼只存在幾周時間。原始程序(被稱為“Mirai”)比其他僵尸網(wǎng)絡(luò)更高效、更復(fù)雜，但門檻卻很低。

　　上周的網(wǎng)絡(luò)攻擊可能就是由DVR和網(wǎng)絡(luò)攝像頭遭劫持所引起的，其中許多設(shè)備包含中國科技公司杭州雄邁生產(chǎn)的電路板和軟件。據(jù)安全公司卡巴斯基實驗室(Kaspersky Lab)介紹，杭州雄邁已經(jīng)在上周五宣布召回430萬塊攝像頭使用的電路板。該公司將此歸咎于用戶不對設(shè)備默認密碼進行修改。

　　思科安全與信任組織高級主管安東尼·格瑞克(Anthony Grieco)參加了周一早晨在曼哈頓舉行的一個網(wǎng)絡(luò)安全大會，期間他在接受《衛(wèi)報》記者采訪時表示，要想確保每一件物聯(lián)網(wǎng)設(shè)備的安全，是一件非常困難的事情。“保護所有的來源是一個真正的挑戰(zhàn)?！彼f，“尋找目標需要耗費大量精力?！?/p>

　　政府應(yīng)加強物聯(lián)網(wǎng)監(jiān)管

　　在被問到思科是否應(yīng)該或是否能夠加強所有路由器產(chǎn)品的安全性，避免傳輸DDoS流量時，格瑞克表示廠商應(yīng)該確保設(shè)備本身的安全性。“我認為你是在討論形態(tài)和功能，”他說，“設(shè)備應(yīng)該做什么，設(shè)備活動是不是有些反常，以及哪些是在那些設(shè)備上必須執(zhí)行的最佳做法——我認為這些都是我們真正需要專注的方面?！?/p>

　　這就要求科技行業(yè)以外的部門介入：許多人呼吁美國政府對物聯(lián)網(wǎng)安全進行監(jiān)管。游戲安全公司Panopticon Labs聯(lián)合創(chuàng)始人馬修·庫克(Matthew Cook)將當前這種情況比作銀行業(yè)對計算機欺詐的監(jiān)管?！般y行多年來曾努力告知消費者計算機欺詐的危害，最終FDIC不得不介入進行監(jiān)管，”庫克說。實際上，就在上周五的網(wǎng)絡(luò)攻擊進行之時，一些行業(yè)代表參加了由美國全國通信與信息管理局(NTIA)召開的一次會議。

　　究竟誰是發(fā)動此次網(wǎng)絡(luò)攻擊的罪魁禍首呢？相關(guān)線索目前極少，但卡明斯基表示，他希望企業(yè)開始將安全當作公共利益的事情，而不是私人偵探的工作。他說，“也許我們都很注重公共衛(wèi)生和火災(zāi)預(yù)防。但這并不是他們忽視此類問題的原因——我們?nèi)匀贿€記得‘傷寒瑪麗’。不過，這并不是他們的關(guān)注點，也不是他們相對成功的根本原因。”

　　“傷寒瑪麗”(Typhoid Mary)原名瑪麗·馬倫，是紐約城著名的傷寒帶菌者，她經(jīng)常當廚師，從而直接傳播了51例傷寒，造成3例死亡，間接由她傳播的病例更是難以計數(shù)。