萬物互聯時代的危險與隱憂

發布時間：2015-11-19 07:10 發布者：eaoogle_WSN

凜冬將至

隨著信息技術的發展，云計算、大數據、物聯網、智能家居、比特幣這些名詞大家早已不再陌生，然而，你真的意識到這些名詞背后所代表的意義嗎？當我們在某寶上愉快地買買買，用ipad興奮駕著車，用無人機浪漫地表白地時候，你是否意識到，我們正在進入一個全新的、充滿危險的互聯時代？

先看幾條新聞：

1、《黑客通過艙內娛樂系統短暫控制飛機》

安全研究人員克里斯羅伯茨Chris Roberts

上月曾向美國聯邦調查局（FBI）承認，他曾通過艙內娛樂系統短暫入侵了飛機的電子監控系統而控制飛機，導致飛機做出了側向飛行的動作。

讓克里斯惹上麻煩的是一條有他自己發出的推特，他“開玩笑”稱控制了飛機。聯邦特工立刻發現了這條推特，然后認真評估了克里斯確實具備這種攻擊能力。結果飛機降落后， FBI帶走了克里斯，約談了四小時左右，同時沒收了其所有電子設備。之后克里斯還被航空公司拒載，差點沒參加成RSA大會（信息安全界最有影響力的業界盛會，作者注）。

上周五，FBI提交的書面陳述首次公開——克里斯于今年早些時候告訴FBI自己不只一次而是經常在乘飛機時入侵艙內娛樂系統（IFE）。

“在這次談話過程中，羅伯茨先生說，他在飛機飛行時，利用IFE系統漏洞。在2011年到2014年期間，他大約入侵IFE系統15到20次，他最后一次利用該漏洞的時間為2014年中期�！�

文件中顯示克里斯通過一根經過改裝的網線，將自己的筆記本電腦連接到了飛機上的IFE系統，從而使他能夠訪問其他飛機系統。

據報道，在乘坐飛機時克里斯重寫了飛機上推力管理計算機的代碼，從而成功地控制了用以發出上升指令的系統。在發出上升指令（CLB）后，克里斯“引起一個飛機引擎盤升，導致飛機做出了了側向飛行運動”。

2、《兒童安全應用mSpy大規模數據泄露，大量兒童信息被黑客曝光》

mSpy是市面上最流行的兒童安全應用，家長可以通過mSpy對小孩的移動設備進行追蹤，7×24小時在線客服和256位加密更讓mSpy成為保障孩子安全的最佳應用。然而最近大量mSpy用戶的郵箱、短信、支付信息、位置等數據出現在“暗網”上，這直接導致數以千計的兒童數據陷入危險境地。

mSpy之前就曾飽受爭議，原因就是它被認為是一款間諜軟件，而此次大規模數據泄露后，它的爭議更加大了。mSpy被黑后，多方請求公司對此加以評論，但至今公司還是保持沉默。

這些郵件、短信、支付信息、位置等都被發布在了一個搭建在Tor網絡上的網頁上。

泄露的數據中還包括mSpy記錄4百萬個事件，Apple ID和密碼、追蹤數據和支付數據。黑客留言稱，獲得的數據中還包括40萬位用戶的信息，包括Apple ID和密碼、追蹤數據和約145,000筆交易的支付數據。

3、《小心“醫療黑客”：醫院藥物輸液泵存任意命令執行漏洞，可危及病人生命》

醫院用的智能輸液泵說起來是很高端先進，一旦這個無比智能的小玩意兒因為其自身“疾病”而被攻擊者惡意利用，那結果可要危及性命了。

輸液泵是一種能夠準確控制輸液滴數或輸液流速，保證藥物能夠速度均勻，藥量準確并且安全地進入病人體內發揮作用的一種儀器。最近一名研究人員發現，一家制造醫用設備公司生產的輸液泵存在任意命令執行漏洞，并表示這是他遇到過的最不安全的可用IP設備。

攻擊者利用這一漏洞可以入侵Hospira Lifecare PCA3輸液泵，只需稍作調整便能更改病人所用的藥物庫，進行更新軟件或讓設備執行其他命令。

發現這一漏洞的SAINT公司軟件安全工程師Jeremy Richards上周在推特寫到：

“我個人對這個漏洞非常擔憂，因為藥泵直接與我相連。這不僅僅是易受攻擊的問題，其編程是如此糟糕以至于使用一個無用的磚頭就能破壞它了。”

以上幾條新聞也許你已經看過，也許你看過但并不在意，然而它們背后透露出的信號是細思極恐的。這些安全事件意味著：互聯網安全已經不再只是互聯網上的安全。

這句話可能有點繞口，但我想說的是，曾幾何時，互聯網安全僅僅局限于互聯網內部本身，盜號、黑郵箱、賣掉你游戲里的金幣等等，它危害的僅僅是信息本身。但現在，隨著互聯網的發展，它已經與實體社會發生了關聯，它們之間的邊界正在被打破。你的財產不過是互聯網上的一串數字，你的隱私照片不過是硬盤里的一串代碼，甚至你的車、你的手表、你家的門也是網絡的一個終端，它們將能被萬里之外某個角落里的另一個終端所訪問、所控制。因此，在萬物互聯的時代，你的財產、隱私、甚至生命，都只是這個龐大的網絡下的一部分。物理實體和信息數據之間的壁壘正在被打破，互聯網的安全問題，已經來到我們身邊。

也許你會覺得危言聳聽，但事實如此。長夜漫漫，凜冬將至。我們正在進入一個前所未有的危險時代。黑客們將在這個萬物互聯的世界里自由來去。作為一個普通人，在黑客眼里，你手無寸鐵、不著寸縷。你的一切都不再是安全的。財產、隱私、甚至生命。我們的互聯網比你想象的更黑暗，我們遇到的安全問題也比以往更加棘手。

你所不知道的深網

深網（又作不可見網，隱藏網）是指那些存儲在網絡數據庫里、不能通過超鏈接訪問而需要通過動態網頁技術訪問的資源集合，不屬于那些可以被標準搜索引擎索引的表面網絡。

邁克爾·伯格曼將當今互聯網上的搜索服務比喻為像在地球的海洋表面的拉起一個大網的搜索，大量的表面信息固然可以通過這種方式被查找得到，可是還有相當大量的信息由于隱藏在深處而被搜索引擎錯失掉。絕大部分這些隱藏的信息是須通過動態請求產生的網頁信息，而標準的搜索引擎卻無法對其進行查找。傳統的搜索引擎“看”不到，也獲取不了這些存在于深網的內容，除非通過特定的搜查這些頁面才會動態產生。于是相對的，深網就隱藏了起來。

而在深網之中，又有一部分網站，使用匿名的Tor技術或使用類似的軟件如I2P等。這類軟件將會加密網絡流量并隨機挑選位于世界各地的計算機傳輸數據，從而達到匿名訪問的目的，并利用這一層優勢，進行某些低調的活動。

事實上，龐大的暗網正在變成一個網絡上萬能的黑市，你所能想象得到的一切商品都能在暗網上通過交易得到。包括毒品、軍火、非法藥品、黑客軟件、個人信息、信用卡數據等等均有售賣。甚至護照、社�？�、醫�？�、警徽等各類證件也均有“辦理”。除了這些，還有很多”高端服務“，例如：Contract Killer，專業的殺手門戶，只要目標在16歲以上，不是世界上任何圈內排名前10的人物，都有價格。像CK這類網站同樣提供雇傭各類專業人士服務，包括前特種部隊，傭兵隊伍，黑客。如圖，一隊與CK簽訂協議的法國雇傭兵。

正是由于這些暗網的存在，導致我們的信息世界正在變成一個越來越龐大“魔獸世界”，地面上的部分固然是風景如畫，但更多的是“地下城”。其中暗流洶涌，荊棘叢生，陷阱密布，盤根錯節。與之相關的安全問題也就越來越棘手。

事實上，這場關于信息安全的戰爭早已打響，看不見的硝煙早已彌漫在互聯網的各個角落。如果你有心，你將能從現在越來越多的電子勒索、釣魚網站和個人信息泄露中瞧出端倪。

為什么是現在？

原因有兩個。

1、物聯網

2、比特幣

互聯網從來沒有像現在這樣，滲入人類社會的方方面面，曾幾何時，它只是懸浮在物理鏈接上一個虛擬的世界，然而，當萬物聯網的時代來臨，虛擬與現實之間的壁壘被打破了。在信息領域造成的傷害同樣能夠反映到現實社會中，而且另一方面，攻擊行為更加隱蔽、更加難以追蹤、破壞力也更強。

有一點是不言而喻的，互聯網放大了優秀人才的生產力。微博上大V們的粉絲營銷就是很好的例子。但另一方面，互聯網也將放大危險活動的破壞力。在冷兵器時代，一把刀能殺的人終歸有限，但信息時代，一個病毒能造成的破壞力卻是驚人的。病毒、木馬、間諜軟件、記錄個人信息的數據庫、滲透軟件等等早已成為互聯網時代的“軍火"，這些”軍火“都在暗網上以明碼標價的形式進行售賣。

至于比特幣，則是為那些危險的行為提供了一個安全的變現手段。比特幣由于其去中心化的特點，天然的不受監管，而其匿名、免稅、無國界等特性更是給黑客們大開了方便之門。事實上，比特幣早已成為毒品交易、洗錢和其他不法活動的溫床。一個名為“絲綢之路”的網站為不法分子以比特幣交易搭建平臺，路透社報道，這家網站2011年起運營，為不法分子搭建交易平臺。網站有海洛因和其他毒品售賣，甚至提供殺手。超過90萬名該網站注冊用戶用比特幣進行毒品交易。法庭文件顯示，這家網站在兩年運營時間里達成價值12億美元的比特幣交易，每筆交易收取8%到15%的手續費。目前這家網站早已被美國警方關閉，但它的繼任者們正在卷土重來。

與這兩個因素相對應的，則是安全意識的薄弱。很多人壓根沒有意識到他們所使用的產品是不安全的，很多人甚至不更改默認用戶名密碼，其中就包括我們的公安機關。

據上海羿歌所了解，前一段時間，江蘇省公安廳一份標記為“特急”的通知將著名監控產品供應商海康威視（Hikvision）推至了風口浪尖。該通知主題是《關于立即對全省�？低暠O控設備進行全面清查和安全加固的通知》。該通知稱省各級公關機關使用的海康威視監控設備存在嚴重安全隱患，部分設備已經被境外IP地址控制，須全面清查，并開展安全加固，消除安全漏洞。

而海康威視則隨后發布官方回應稱，江蘇省互聯網應急中心通過網絡流量監控發現的安全問題，是部分在互聯網上的海康威視設備因弱口令問題（弱口令包括使用產品初始密碼或其他簡單密碼，如123456、888888、admin等）導致被黑客攻擊所致。

如果事實正如官方所說，那么我們負責安全的公安機關竟然安全意識如此薄弱，這實在是一個令人難過的消息。

何去何從？

十分遺憾，我想說的是，作為一個普通人，我們能做的十分有限。

目前的攻擊行為早已呈現出組織化、規�；奶匦�。黑客們不再是單槍匹馬的游俠，他們正在飛速的結盟、發展和進化。像Anonymous這樣的黑客組織其戰斗力不亞于一個部隊。就連恐怖分子也學會了組建黑客部隊。例如ISIS組織就于本月11日下午2點（美國東部時間）在其社交網站上發出了對美國政府的恐嚇，并隨之放上了一個視頻——視頻中男子穿著連帽衫，帶著面具，坐在電腦前。說道：我們是伊斯蘭政府黑客，電子戰爭還未開始，我們時刻關注著你們的舉動，不久的將來你們將會看到我們是怎樣控制你們的電子世界的。而且黑客們也擁有了足夠的軍火，那些被泄漏的個人信息、那些被竊取的數據庫，那無處不在的漏洞，都成為了擊穿安全堡壘的一顆顆彈藥，從冷兵器到熱兵器，從熱兵器到電子兵器，人類在如何毀滅自己的同胞上，總有著非凡的創造力。

長夜漫漫，凜冬將至，我們只能寄希望于長城上的守夜人，抵擋那些來自黑暗深處的異鬼的入侵，而這些守夜人就是安全廠商。

不過遺憾的是，這些戰士并不靠譜。一方面，在技術層面上，防衛往往比攻擊更困難。另一方面，眾所周知，衛士和流氓往往只有一線之隔，是管家還是臥底都很難說。更何況，目前的法律、制度以及行政手段并不能對他們的行為帶來多大的約束，這些守夜人也并不信仰什么”我將至死守望“的誓言。決定他們行為的，仍然是利益。而在利益之下，并無忠誠可言，道德也將受到考驗。

或者，我們也可以寄希望于那些擁有道德底線和正義感的”白帽子“。事實上，”黑客“一詞本來是一個褒義詞，通常用來指那些熱心于計算機技術、水平高超的電腦專家。但隨著技術的濫用，很多人假借黑客名義進行破壞活動，于是出現了“駭客”與"黑客"分家。在安全界內部，也逐漸區分為白帽、黑帽等，其中黑帽（black hat）實際就是那些破壞分子。在媒體報道中，與黑客（黑帽子）相對的則是白帽子。這樣一批白帽子，他們秉持著傳統的黑客精神，發現漏洞但并不進行破壞，研究計算機安全但并無惡意，他們有著自己的行事準則和道德底線。他們中的一部分人早已從破壞者變成了維護者，也在通過各種各樣的努力讓我們這個社會更加安全。

然而遺憾的是，道高一尺魔高一丈，從目前的情況看來，破壞者們更隱蔽、更龐大、收獲的利益也更多，而白帽子們則處于下風。雖然很多公司和組織已經意識到了這樣的問題，每年舉辦各種各樣的獎勵，試圖讓黑客們投入到正義的一方，但事實上，白帽子們發現一個漏洞獲取的利益仍然遠遠小于黑客們利用一個漏洞獲得的利益，這種巨大的反差也將成為這場安全戰爭中誰能取勝的重要因素。

而對于我們這些絲毫不懂編程的普通人來說，這場戰爭早已超過了我們這個層面。無論是安全廠商的流氓行為也好，還是攻擊者們的破壞行為也好，在他們的技術面前，我們都是不堪一擊的。我們所依賴的，不過是希望那些技術高超的黑客們能加入正義的一方，希望那些設備制造商制造出安全門檻更高的產品，又或者，作為正在閱讀這篇文章的讀者們，這當中或許有一部分人擁有足夠的天賦，以后能成為一個優秀的安全專家。而最終決定這場戰爭勝負的，必定需要國家層面的支持。

可以預見的是，安全研究人員將在未來擁有更大的話語權。無論是國家層面的安全研究企業也好，還是企業內部的安全研究人員也好，都將在未來擁有更大的話語權，因為他們所承擔的工作正在變得越來越重要，他們的任務也正變得越來越艱巨。

想想千百年前那些掌握了文字的祭司們吧，想想他們擁有何等的權力和地位。而現在，在這個萬物互聯的時代，編程語言早已成為信息世界的通用語言，那些掌握了高超的編程技巧的程序猿們，又何嘗不是信息時代的祭司呢？

本文地址：http://m.qingdxww.cn/thread-156925-1-1.html 【打印本頁】

本站部分文章為轉載或網友發布，目的在于傳遞和分享信息，并不代表本網贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內容、版權和其它問題，我們將根據著作權人的要求，第一時間更正或刪除。