摘要：一些基本可以說(shuō)是“意思意思”的密碼設(shè)置，好像就是在告訴黑客“我家大門(mén)常打開(kāi)，歡迎隨時(shí)過(guò)來(lái)。”

　　

　　又一網(wǎng)絡(luò)攻擊的案例，在上周五的美國(guó)成為現(xiàn)實(shí)。黑客們利用數(shù)百萬(wàn)臺(tái)日常設(shè)備——聯(lián)網(wǎng)攝像頭和打印機(jī)等——對(duì)互聯(lián)網(wǎng)的關(guān)鍵部分發(fā)動(dòng)了攻擊。

　　大致情況如下：

　　黑客們利用公開(kāi)可用的源代碼，組建了一支以聯(lián)網(wǎng)設(shè)備為主的僵尸網(wǎng)絡(luò)大軍，然后向DNS提供商發(fā)送了大量垃圾數(shù)據(jù)處理請(qǐng)求。

　　這項(xiàng)攻擊主要針對(duì)于總部設(shè)在新罕布什爾的網(wǎng)絡(luò)服務(wù)供應(yīng)商迪恩公司(Dyn)，使其無(wú)法發(fā)揮作為互聯(lián)網(wǎng)“接線總機(jī)”的作用;而消費(fèi)者也無(wú)法再訪問(wèn)包括 Twitter，Tumblr、亞馬遜、Netflix、Raddit、Airbnb 等諸多知名網(wǎng)站，因?yàn)槿肯萑霐?shù)小時(shí)的癱瘓狀態(tài)。

　　值得欣慰的是，這些網(wǎng)站無(wú)法被訪問(wèn)，并非服務(wù)器癱瘓，而是他們的 DNS 服務(wù)器被攻擊導(dǎo)致域名無(wú)法被正確地解析為IP地址。也就是說(shuō)，在攻擊發(fā)生時(shí)，你無(wú)法通過(guò)www.Google.com訪問(wèn)Google的網(wǎng)站，但理論上你還是可以通過(guò) Google的IP地址74.125.29.101來(lái)訪問(wèn)。

　　不過(guò)無(wú)論如何，此次事件的發(fā)生還是引起了全球的關(guān)注和思考。到底是什么原因?qū)е率录陌l(fā)生?誰(shuí)又該對(duì)此負(fù)有責(zé)任?往后，我們又該如何規(guī)避風(fēng)險(xiǎn)，提升徜徉于互聯(lián)網(wǎng)海洋中的安全生存系數(shù)呢?

　　千瘡百孔的程序應(yīng)用和設(shè)備，誰(shuí)之責(zé)?

　　我曾在《“被物聯(lián)網(wǎng)”的我們，何以在信息化的時(shí)代里安身?》一文中，跟大家探討過(guò)關(guān)于程序和設(shè)備開(kāi)發(fā)者的責(zé)任心問(wèn)題。基于對(duì)市場(chǎng)利益的追求，更多的人選擇放棄安全保障以換取搶占先機(jī)，卻不愿意去多想可能帶來(lái)的“后患無(wú)窮”。

　　再次套用Facebook軟件開(kāi)發(fā)人員的那句格言——“Move fast and break things”，可謂是一語(yǔ)中的，說(shuō)破了當(dāng)前世界大部分程序開(kāi)發(fā)者的指導(dǎo)精神：關(guān)鍵在于產(chǎn)出程序代碼的速度，即便有問(wèn)題或安全隱患也在所不惜。這種指導(dǎo)思想和行事態(tài)度，又怎么能不讓蹣跚起步的互聯(lián)網(wǎng)時(shí)代變得千瘡百孔呢?而防不勝防的安全漏洞，又怎么能不讓黑客有可乘之機(jī)呢?

　　尤其，我們基本上時(shí)刻不離身的手機(jī)，對(duì)風(fēng)險(xiǎn)的防范能力就像一個(gè)剛出身的嬰兒般脆弱。如果有人想要黑進(jìn)一部手機(jī)，基本上就簡(jiǎn)單到跟發(fā)一通簡(jiǎn)訊差不多。而手機(jī)之所以如此脆弱，跟操作系統(tǒng)不無(wú)關(guān)系。早在2014年，邁克菲確認(rèn)已知的手機(jī)惡意軟件數(shù)目高達(dá)近400多萬(wàn)。

　　“我們需要制訂相關(guān)法律，對(duì)銷售不安全設(shè)備的企業(yè)進(jìn)行民事和刑事處罰。”對(duì)于《華爾街日?qǐng)?bào)》資深科技評(píng)論專欄作家克里斯托弗·米姆斯(Christopher Mims)在推文中表達(dá)的觀點(diǎn)態(tài)度，我表示深深地認(rèn)同。

　　使用的惰性讓我們變得岌岌可危

　　不少人認(rèn)為，用戶也應(yīng)該在這場(chǎng)網(wǎng)絡(luò)攻擊中承擔(dān)同樣的責(zé)任。使用不慎，不僅讓自己處于危險(xiǎn)之中，也讓整個(gè)互聯(lián)網(wǎng)深陷危局。

　　在此次事件中，Dyn聲稱攻擊來(lái)自全球的一千萬(wàn)個(gè) IP 地址。黑客之所以能利用如此之多的日常設(shè)備，跟這些設(shè)備使用者的簡(jiǎn)單密碼設(shè)置不無(wú)關(guān)系。據(jù)相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，123456、123456789、111111、123123、000000、888888、admin、password、P@ssw0rd和123qwe這10組密碼能夠控制互聯(lián)網(wǎng)上10%的設(shè)備。這些基本可以說(shuō)是“意思意思”的密碼設(shè)置，好像就是在告訴黑客“我家大門(mén)常打開(kāi)，歡迎隨時(shí)過(guò)來(lái)。”

　　引以為鑒，還是建議大家趕緊給自己的網(wǎng)絡(luò)設(shè)備設(shè)置一個(gè)復(fù)雜些的長(zhǎng)密碼吧。雖然這樣做并不能保障你的絕對(duì)安全，因?yàn)樵購(gòu)?fù)雜的密碼只要黑客花心思總還是能被攻克的，但至少可以讓你不那么輕易地淪陷，不做身先士卒的網(wǎng)絡(luò)炮灰。

　　小小應(yīng)用程序，大大應(yīng)用風(fēng)險(xiǎn)

　　會(huì)寫(xiě)出應(yīng)用程式，從中取得你的資料再加以販賣(mài)的，可不只有Rovio、Zynga、Snapchat這些應(yīng)用程式制造商，組織犯罪集團(tuán)現(xiàn)在也學(xué)會(huì)了這一套。我們可能會(huì)用邏輯來(lái)推測(cè)，以為應(yīng)用程式只要能放上谷歌的Google Play或是蘋(píng)果的App Store，程式原始碼和開(kāi)發(fā)者應(yīng)該都經(jīng)過(guò)了嚴(yán)格的安全審查吧?

　　情況并非如此。在安卓與iOS的生態(tài)系統(tǒng)里，應(yīng)用程式的數(shù)量都超過(guò)百萬(wàn)之多，經(jīng)過(guò)人工驗(yàn)證的數(shù)量少到驚人;而罪犯對(duì)此可是非常了解的，甚至早就多次利用這些應(yīng)用程式商店犯下罪行，致使大家以為應(yīng)該值得依賴的應(yīng)用程式商店里，有愈來(lái)愈多應(yīng)用程序隱藏著惡意軟件的禍心。早在2013年，谷歌應(yīng)用程式商店里，就有超過(guò)42000種應(yīng)用程式被發(fā)現(xiàn)含有間諜軟件或是竊取資訊的木馬程式。

　　大家在安裝應(yīng)用的時(shí)候，務(wù)必也要多留個(gè)心眼。如果一個(gè)手電筒，要求存取你的通訊錄或GPS定位之類的，就擺明了是要偷取你的資料的。一旦你給予授權(quán)了，也就為盜賊打開(kāi)了一扇可以長(zhǎng)驅(qū)直入的大門(mén)。

　　轉(zhuǎn)黑客為白帽以換取一片藍(lán)天

　　期望力挽狂瀾，改變當(dāng)下人人自危愈演愈烈的趨勢(shì)方向，我大膽設(shè)想，或許可以通過(guò)足夠的激勵(lì)刺激，達(dá)到催生安全的網(wǎng)絡(luò)運(yùn)算環(huán)境，讓黑客為我所用的目的。當(dāng)然，這可能會(huì)讓你覺(jué)得“姑息養(yǎng)奸”，甚至“助紂為虐”。

　　但是，當(dāng)黑客發(fā)現(xiàn)軟件程序代碼的漏洞，賣(mài)給黑市的犯罪集團(tuán)便能大賺一筆，但如果他告訴軟件開(kāi)發(fā)商，可能非但什么都賺不到，反而有被告的風(fēng)險(xiǎn)。那在這時(shí)候，何去何從就成了一個(gè)沒(méi)有選擇的選擇題。

　　至于激勵(lì)方案的效用，其實(shí)我們可以從很多先例中得到印證。很多時(shí)候，甚至可以讓棘手的問(wèn)題得到革命性的解答。早在1714年，英國(guó)國(guó)會(huì)希望能夠強(qiáng)化海上的導(dǎo)航技術(shù)，于是提供2萬(wàn)英鎊(相當(dāng)于今天的100多萬(wàn)英鎊)，懸賞能夠測(cè)量經(jīng)度誤差在半度之內(nèi)的解決方案。這項(xiàng)大獎(jiǎng)激勵(lì)了一個(gè)自學(xué)的鐘表工作——約翰·哈里森，他發(fā)明航海天文鐘，解決了這個(gè)問(wèn)題。

　　無(wú)獨(dú)有偶，查爾斯·林白之所以成了第一個(gè)飛越大西洋的人，除了因?yàn)樗拿半U(xiǎn)精神，還有另一個(gè)比較不為人知的原因，就是因?yàn)橛幸还P2.5萬(wàn)美元的懸賞給“同盟國(guó)首位單趟飛越大西洋的飛行員”。

　　當(dāng)然，這也在我們的現(xiàn)實(shí)在開(kāi)始推行。比如谷歌的賞金大賽——“The Project Zero Prize”，將對(duì)找到最佳安卓漏洞的黑客以20萬(wàn)美元的獎(jiǎng)勵(lì)，第二名和第三名的獎(jiǎng)金分別為10萬(wàn)美元和5萬(wàn)美元。慢慢地，當(dāng)基于漏洞查找與反饋的機(jī)制成為常態(tài)的時(shí)候，或許就是我們向網(wǎng)絡(luò)安全又邁進(jìn)了一大步。