物聯網下的殭屍網路

當各種家用設備變身物聯網產品時，一個巨大的殭屍網路也在形成。

現在，許多電子設備都能連上互聯網，成為物聯網的一部分。比如，智能冰箱會提醒你牛奶快喝完了，或者自行把牛奶添進購物清單，甚至可以主動訂購牛奶。而當你想在跑步機上跑步時，智能空調會自動調低溫度，等到你外出看電影時又自動關閉。智能嬰兒監護儀會告訴你什麼時候該買新的磨牙膠了。

這樣的場景雖然聽起很奇妙，但很有可能，上述智能家居在昨晚還做了一些奇怪的事：和其他數百萬部設備（攝像機、印表機、路由器、音箱、空調機或是硬碟錄像機）一起封殺了推特或奈飛這樣的音樂、社交或電影網站，破壞了開源軟體運動，造成了近一百萬套德國房屋停電，或是中斷了賴比瑞亞的手機通訊。除了參與這些額外的秘密活動之外，它們還增加了你的電費支出。

等等……有這種事？對，這裡的問題其實很簡單，但也很令人痛心。這是一個技術問題，卻牽扯到全球化、法律和責任。我們的電子設備大多安裝了通用硬體，為了完成各自的工作，這些設備都需要運行特定的軟體，其中還包含了可以登錄的用戶配置文件。遺憾的是，許多生產商都聽任消費者使用已經泛濫的簡單密碼登錄這些設備，比如「password」、「pass」、「1234」、「admin」、「default」或「guest」之類。

曾經有一群黑客發動了一次簡單但是破壞力驚人的攻擊，他們總結出了61個常用的用戶名/密碼組合，並編寫了一個程序在互聯網上搜索使用這些組合的設備。這個程序在侵入某部設備之後立即自行安裝，然後陰險地在這部設備上搜索其他著名的惡意軟體，並將它們統統刪除。這樣它就成為設備上唯一的一隻寄生蟲了！這個惡意程序的綽號叫「未來」（Mirai），它的下一步是將數百萬部易受攻擊的設備串聯成一個殭屍網路（botnet，也就是一個由受到感染的計算機聯成的網路）。當數目巨大的嬰兒監護儀、印表機和攝像機向某個網站發出ping信號時，這個網站就會因為不堪重負而無法訪問，除非它採取了昂貴的保護措施。

更糟的是，「未來」的幾個編寫者將它的源代碼發布到了網上。這下，就連只有初級編程技術的人都能自己組建龐大的殭屍網路了。

這個問題怎麼解決？你或許已經注意到了手機或筆記本電腦偶爾需要更新軟體。這一方面會增加新的功能，一方面也可以修補軟體的漏洞，不那麼容易受到攻擊。但是可惜，大多數易受「未來」攻擊的設備可能已經停止更新，這使軟體修補要麼不可行，要麼不容易。

為了掙學費，我在大學時維護過好幾個計算機網路。在遇到一部用戶名或密碼未知的設備時，我會嘗試一些組合，而這也正是「未來」會嘗試的組合。這麼多年過去了，網路安全仍然沒有改善，或許，這件事情根本沒人負責。對於晶元或設備的生產商來說，在安全問題上糊弄一下，往往不會造成太嚴重的後果，甚至可能完全沒有後果。

對於這種安全措施上的明顯疏忽造成的危害，政府部門無力監管，法律也沒有明確各方的責任。「未來」的最初編寫者是美國的幾個大學生，他們被捕之後最終都認了罪，但這還遠遠沒有消除隱患。只要網路上還有大量用戶名/密碼的組合為「admin/admin」的設備，就一定會有人鑽這個空子。這裡說一個壞消息：「未來」問題並沒有真正的解決方案，唯一的辦法就是等待那些易受攻擊的設備淘汰。但是也有好消息：只要對少數幾家容許「admin/admin」式密碼的設備生產商施以重罰，或是有父母發現嬰兒監護儀被侵入後起訴它的生產商或銷售商，安全問題或許可以迅速得到改善。

撰文：柴內普·圖菲克奇（Zeynep Tufekci）

翻譯：紅豬

《環球科學》2019年3月刊即將上市

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！