万物互联时代的危险与隐忧

凛冬将至

随着信息技术的发展，云计算、大数据、物联网、智能家居、比特币这些名词大家早已不再陌生，然而，你真的意识到这些名词背后所代表的意义吗？当我们在某宝上愉快地买买买，用ipad兴奋驾着车，用无人机浪漫地表白地时候，你是否意识到，我们正在进入一个全新的、充满危险的互联时代？

先看几条新闻：

1、《黑客通过舱内娱乐系统短暂控制飞机》

安全研究人员克里斯罗伯茨Chris Roberts

让克里斯惹上麻烦的是一条有他自己发出的推特，他“开玩笑”称控制了飞机。联邦特工立刻发现了这条推特，然后认真评估了克里斯确实具备这种攻击能力。结果飞机降落后， FBI带走了克里斯，约谈了四小时左右，同时没收了其所有电子设备。之后克里斯还被航空公司拒载，差点没参加成RSA大会（信息安全界最有影响力的业界盛会，作者注）。

上周五，FBI提交的书面陈述首次公开——克里斯于今年早些时候告诉FBI自己不只一次而是经常在乘飞机时入侵舱内娱乐系统（IFE）。

“在这次谈话过程中，罗伯茨先生说，他在飞机飞行时，利用IFE系统漏洞。在2011年到2014年期间，他大约入侵IFE系统15到20次，他最后一次利用该漏洞的时间为2014年中期。”

文件中显示克里斯通过一根经过改装的网线，将自己的笔记本电脑连接到了飞机上的IFE系统，从而使他能够访问其他飞机系统。

据报道，在乘坐飞机时克里斯重写了飞机上推力管理计算机的代码，从而成功地控制了用以发出上升指令的系统。在发出上升指令（CLB）后，克里斯“引起一个飞机引擎盘升，导致飞机做出了了侧向飞行运动”。

2、《儿童安全应用mSpy大规模数据泄露，大量儿童信息被黑客曝光》

mSpy是市面上最流行的儿童安全应用，家长可以通过mSpy对小孩的移动设备进行追踪，7×24小时在线客服和256位加密更让mSpy成为保障孩子安全的最佳应用。然而最近大量mSpy用户的邮箱、短信、支付信息、位置等数据出现在“暗网”上，这直接导致数以千计的儿童数据陷入危险境地。

mSpy之前就曾饱受争议，原因就是它被认为是一款间谍软件，而此次大规模数据泄露后，它的争议更加大了。mSpy被黑后，多方请求公司对此加以评论，但至今公司还是保持沉默。

这些邮件、短信、支付信息、位置等都被发布在了一个搭建在Tor网络上的网页上。

泄露的数据中还包括mSpy记录4百万个事件，Apple ID和密码、追踪数据和支付数据。黑客留言称，获得的数据中还包括40万位用户的信息，包括Apple ID和密码、追踪数据和约145,000笔交易的支付数据。

3、《小心“医疗黑客”：医院药物输液泵存任意命令执行漏洞，可危及病人生命》

医院用的智能输液泵说起来是很高端先进，一旦这个无比智能的小玩意儿因为其自身“疾病”而被攻击者恶意利用，那结果可要危及性命了。

输液泵是一种能够准确控制输液滴数或输液流速，保证药物能够速度均匀，药量准确并且安全地进入病人体内发挥作用的一种仪器。最近一名研究人员发现，一家制造医用设备公司生产的输液泵存在任意命令执行漏洞，并表示这是他遇到过的最不安全的可用IP设备。

攻击者利用这一漏洞可以入侵Hospira Lifecare PCA3输液泵，只需稍作调整便能更改病人所用的药物库，进行更新软件或让设备执行其他命令。

发现这一漏洞的SAINT公司软件安全工程师Jeremy Richards上周在推特写到：

“我个人对这个漏洞非常担忧，因为药泵直接与我相连。这不仅仅是易受攻击的问题，其编程是如此糟糕以至于使用一个无用的砖头就能破坏它了。”

以上几条新闻也许你已经看过，也许你看过但并不在意，然而它们背后透露出的信号是细思极恐的。这些安全事件意味着：互联网安全已经不再只是互联网上的安全。

这句话可能有点绕口，但我想说的是，曾几何时，互联网安全仅仅局限于互联网内部本身，盗号、黑邮箱、卖掉你游戏里的金币等等，它危害的仅仅是信息本身。但现在，随着互联网的发展，它已经与实体社会发生了关联，它们之间的边界正在被打破。你的财产不过是互联网上的一串数字，你的隐私照片不过是硬盘里的一串代码，甚至你的车、你的手表、你家的门也是网络的一个终端，它们将能被万里之外某个角落里的另一个终端所访问、所控制。因此，在万物互联的时代，你的财产、隐私、甚至生命，都只是这个庞大的网络下的一部分。物理实体和信息数据之间的壁垒正在被打破，互联网的安全问题，已经来到我们身边。

你所不知道的深网

深网（又作不可见网，隐藏网）是指那些存储在网络数据库里、不能通过超链接访问而需要通过动态网页技术访问的资源集合，不属于那些可以被标准搜索引擎索引的表面网络。

迈克尔·伯格曼将当今互联网上的搜索服务比喻为像在地球的海洋表面的拉起一个大网的搜索，大量的表面信息固然可以通过这种方式被查找得到，可是还有相当大量的信息由于隐藏在深处而被搜索引擎错失掉。绝大部分这些隐藏的信息是须通过动态请求产生的网页信息，而标准的搜索引擎却无法对其进行查找。传统的搜索引擎“看”不到，也获取不了这些存在于深网的内容，除非通过特定的搜查这些页面才会动态产生。于是相对的，深网就隐藏了起来。

而在深网之中，又有一部分网站，使用匿名的Tor技术或使用类似的软件如I2P等。这类软件将会加密网络流量并随机挑选位于世界各地的计算机传输数据，从而达到匿名访问的目的，并利用这一层优势，进行某些低调的活动。

事实上，庞大的暗网正在变成一个网络上万能的黑市，你所能想象得到的一切商品都能在暗网上通过交易得到。包括毒品、军火、非法药品、黑客软件、个人信息、信用卡数据等等均有售卖。甚至护照、社保卡、医保卡、警徽等各类证件也均有“办理”。除了这些，还有很多”高端服务“，例如：Contract Killer，专业的杀手门户，只要目标在16岁以上，不是世界上任何圈内排名前10的人物，都有价格。像CK这类网站同样提供雇佣各类专业人士服务，包括前特种部队，佣兵队伍，黑客。如图，一队与CK签订协议的法国雇佣兵。

正是由于这些暗网的存在，导致我们的信息世界正在变成一个越来越庞大“魔兽世界”，地面上的部分固然是风景如画，但更多的是“地下城”。其中暗流汹涌，荆棘丛生，陷阱密布，盘根错节。与之相关的安全问题也就越来越棘手。

事实上，这场关于信息安全的战争早已打响，看不见的硝烟早已弥漫在互联网的各个角落。如果你有心，你将能从现在越来越多的电子勒索、钓鱼网站和个人信息泄露中瞧出端倪。

为什么是现在？

原因有两个。

1、物联网

2、比特币

互联网从来没有像现在这样，渗入人类社会的方方面面，曾几何时，它只是悬浮在物理链接上一个虚拟的世界，然而，当万物联网的时代来临，虚拟与现实之间的壁垒被打破了。在信息领域造成的伤害同样能够反映到现实社会中，而且另一方面，攻击行为更加隐蔽、更加难以追踪、破坏力也更强。

有一点是不言而喻的，互联网放大了优秀人才的生产力。微博上大V们的粉丝营销就是很好的例子。但另一方面，互联网也将放大危险活动的破坏力。在冷兵器时代，一把刀能杀的人终归有限，但信息时代，一个病毒能造成的破坏力却是惊人的。病毒、木马、间谍软件、记录个人信息的数据库、渗透软件等等早已成为互联网时代的“军火"，这些”军火“都在暗网上以明码标价的形式进行售卖。

至于比特币，则是为那些危险的行为提供了一个安全的变现手段。比特币由于其去中心化的特点，天然的不受监管，而其匿名、免税、无国界等特性更是给黑客们大开了方便之门。事实上，比特币早已成为毒品交易、洗钱和其他不法活动的温床。一个名为“丝绸之路”的网站为不法分子以比特币交易搭建平台，路透社报道，这家网站2011年起运营，为不法分子搭建交易平台。网站有海洛因和其他毒品售卖，甚至提供杀手。超过90万名该网站注册用户用比特币进行毒品交易。法庭文件显示，这家网站在两年运营时间里达成价值12亿美元的比特币交易，每笔交易收取8%到15%的手续费。目前这家网站早已被美国警方关闭，但它的继任者们正在卷土重来。

与这两个因素相对应的，则是安全意识的薄弱。很多人压根没有意识到他们所使用的产品是不安全的，很多人甚至不更改默认用户名密码，其中就包括我们的公安机关。

前一段时间，江苏省公安厅一份标记为“特急”的通知将著名监控产品供应商海康威视（Hikvision）推至了风口浪尖。该通知主题是《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》。该通知称省各级公关机关使用的海康威视监控设备存在严重安全隐患，部分设备已经被境外IP地址控制，须全面清查，并开展安全加固，消除安全漏洞。

而海康威视则随后发布官方回应称，江苏省互联网应急中心通过网络流量监控发现的安全问题，是部分在互联网上的海康威视设备因弱口令问题（弱口令包括使用产品初始密码或其他简单密码，如123456、888888、admin等）导致被黑客攻击所致。

如果事实正如官方所说，那么我们负责安全的公安机关竟然安全意识如此薄弱，这实在是一个令人难过的消息。

何去何从？

十分遗憾，我想说的是，作为一个普通人，我们能做的十分有限。

目前的攻击行为早已呈现出组织化、规模化的特性。黑客们不再是单枪匹马的游侠，他们正在飞速的结盟、发展和进化。像Anonymous这样的黑客组织其战斗力不亚于一个部队。就连恐怖分子也学会了组建黑客部队。例如ISIS组织就于本月11日下午2点（美国东部时间）在其社交网站上发出了对美国政府的恐吓，并随之放上了一个视频——视频中男子穿着连帽衫，带着面具，坐在电脑前。说道：我们是伊斯兰政府黑客，电子战争还未开始，我们时刻关注着你们的举动，不久的将来你们将会看到我们是怎样控制你们的电子世界的。而且黑客们也拥有了足够的军火，那些被泄漏的个人信息、那些被窃取的数据库，那无处不在的漏洞，都成为了击穿安全堡垒的一颗颗弹药，从冷兵器到热兵器，从热兵器到电子兵器，人类在如何毁灭自己的同胞上，总有着非凡的创造力。

长夜漫漫，凛冬将至，我们只能寄希望于长城上的守夜人，抵挡那些来自黑暗深处的异鬼的入侵，而这些守夜人就是安全厂商。

不过遗憾的是，这些战士并不靠谱。一方面，在技术层面上，防卫往往比攻击更困难。另一方面，众所周知，卫士和流氓往往只有一线之隔，是管家还是卧底都很难说。更何况，目前的法律、制度以及行政手段并不能对他们的行为带来多大的约束，这些守夜人也并不信仰什么”我将至死守望“的誓言。决定他们行为的，仍然是利益。而在利益之下，并无忠诚可言，道德也将受到考验。

或者，我们也可以寄希望于那些拥有道德底线和正义感的”白帽子“。事实上，”黑客“一词本来是一个褒义词，通常用来指那些热心于计算机技术、水平高超的电脑专家。但随着技术的滥用，很多人假借黑客名义进行破坏活动，于是出现了“骇客”与"黑客"分家。在安全界内部，也逐渐区分为白帽、黑帽等，其中黑帽（black hat）实际就是那些破坏分子。在媒体报道中，与黑客（黑帽子）相对的则是白帽子。这样一批白帽子，他们秉持着传统的黑客精神，发现漏洞但并不进行破坏，研究计算机安全但并无恶意，他们有着自己的行事准则和道德底线。他们中的一部分人早已从破坏者变成了维护者，也在通过各种各样的努力让我们这个社会更加安全。

然而遗憾的是，道高一尺魔高一丈，从目前的情况看来，破坏者们更隐蔽、更庞大、收获的利益也更多，而白帽子们则处于下风。虽然很多公司和组织已经意识到了这样的问题，每年举办各种各样的奖励，试图让黑客们投入到正义的一方，但事实上，白帽子们发现一个漏洞获取的利益仍然远远小于黑客们利用一个漏洞获得的利益，这种巨大的反差也将成为这场安全战争中谁能取胜的重要因素。

可以预见的是，安全研究人员将在未来拥有更大的话语权。无论是国家层面的安全研究企业也好，还是企业内部的安全研究人员也好，都将在未来拥有更大的话语权，因为他们所承担的工作正在变得越来越重要，他们的任务也正变得越来越艰巨。

想想千百年前那些掌握了文字的祭司们吧，想想他们拥有何等的权力和地位。而现在，在这个万物互联的时代，编程语言早已成为信息世界的通用语言，那些掌握了高超的编程技巧的程序猿们，又何尝不是信息时代的祭司呢？（整理及编辑：张凯）