上周,一大波被黑客控制的计算机同时罢工并向一系列关键服务器井喷了数以TB计的垃圾流量,导致美国东部为主的很多地区一时间无法访问那些受影响的网站。
与以往的攻击不同的是,受黑客操控的计算机中有很大一部分并不是坐落在某个人的书桌上,或是收在笔记本包里。实际上它们是那些互联网设备中的廉价芯片,范围包含监控摄像头以及录像设备。也许正是借力DVR(数字录像设备)才成功地攻破的推特。
你的智能烤面包机并不安全。Pixabay
极好!这就是上周我独到这篇报道时的感受。我的DVR竟然协助攻破推特!(不过也许这一次并没有,那些列出的黑客的目标设备都是防护薄弱老设备,在大多数美国家庭中是找不到的。)不过互联网是巨大的!大概有好几十亿的公共IPv4地址联网,其中任何一个可能都连着一台服务器台式机,或者是一个烤面包机。
即便我的设备的生产厂商可能在产品中嵌入了愚蠢而简单的密码,在浩瀚的匿名网络海洋中,我难道不是安全的吗?那些黑客究竟是怎么找到我的?
我并不是这台烤面包机真正的拥有者,我只是设计了这个测试。我从亚马逊组了一台服务器,并配制成不设防的全网络设备,打开了黑客常用的远程控制网络端口。不过我并不打算允许黑客实际控制我的设备,我设置了一个假的终端,这样黑客会以为他们登陆进了服务器而实际上他们只是在这个假终端中被我监视着,~~嘿嘿情不自禁地~~监视他们的每一次按键和IP地址。这在计算机安全圈子里被称为放了一个“蜜罐”,一个让黑客和他们的脚本们无法拒绝的诱惑,并最终让他们深陷其中无可自拔。
来看看我的蜜罐是啥样的,当你登陆的时候,蜜汁诱惑。
我在周三下午1点12分启动了服务器,做好充分的思想准备打算等上几天,或是几周,等到有人上钩。
错!1点53分第一个就上来了。
遗憾的是你看到图片只是模拟机器视角,不过这一串脚本指令确实是真实的。我实验了一个常见的默认用户名和指令(root/root)然后执行了“sh”指令(调出shell)以获得运行程序和安装程序的能力。不过我的假的烤面包机并不会允许这样粗鲁行为,它会切断连接。
接下来下午2点07分的攻击来自另一个IP,并试图使用不同的身份登陆,紧接着2点10分,2点40分,2点48分又分别受到攻击。最终至11点59分,我的蜜罐受到了来自超过300个不同IP地址的攻击。他们很多人尝试了一个相同的密码“xc3511”,这是在上周的网络摄像头劫持攻击中中枪无数的一款网络摄像头的默认出厂设置。
我承认这种规模的攻击并不是很典型。我将我的假烤面包机托管在了亚马逊的虚拟服务器上,而不是一个真的接入家庭网络的烤面包机,。黑客们并非手动输入这些密码,他们会使用脚本机器人去做这些苦力,每小时扫描成千上万的开放的网络端口。
并且我猜这些脚本一直倾向频繁地在亚马逊的IP地址池里面拖网作业,希望抓到一些易受攻击的菜鸟的服务器。(如果我也曾经在不知情的时候做过受害者,我很遗憾,请不要伤害我。)我的经历与安全公司观察到的一致,如今黑客们确实有能力扫描整个网络,寻找易受攻击的服务器端口。并且每一个被攻破的计算机继而成为了这个搜索大军的一份子,使得搜索目标的时间几何级数减少。
接入互联网的设备容易被黑。Reuters/Robert Pratta
Cloudflare的联合创始人兼CEO马修·普林斯曾说,当一个人把一个防护不周的设备接入互联网的时候就该预料到不出一周这个小东西就会被黑了。
“假如一个设备能被公共网络访问,那被黑的几率是百分之一百”,他说。“IPv4地址池并不是足够大,如今你可以在几小时内扫描整个空间中的地址,尤其当你有个大僵尸网络在手。这些扫描是持续的,并且在过去几年中加速了。”
这并不意味着每一个物联网设备都容易受攻击。你通过家庭WiFi接入互联网的大部分设备可能没问题,因为你的路由器阻止了绝大多数黑客攻击。(当然如果你连路由都已经被攻破的话……)更值得你担心的是那些你直接连在猫上的设备,这也是工业界常见的配置。
不管怎样,互联网的广袤已经无力继续保护我们。在安全方面我做过数不清的粗心的事,因为我觉着我不过是一个不值得(黑客)注意的小小个体。我重复使用密码,把私钥嵌在程序里,把服务器开放的放在网上。现如今即使是我们中最不起眼的人也会被徘徊在网络上的脚本意料之外地迅速找到。
文:zrdw/煎蛋网
关于煎蛋:资深新鲜事推送鸡。网站 Jandan.net,公众号:煎蛋(公众号ID:jandancom,并没有i)