2015年一个冬天的早晨,乔纳森·马古利斯从马里兰州银泉的家中去上班时,按下了遥控器上的按钮,想关上车库门。什么也没发生。他又试了一次。还是什么也没发生。马达坏了。
他最终换了一个“智能”开门器,它不仅可以升降门,还可以连接到互联网。通过智能手机轻扫一下,马古利斯就可以操作开门器,如果他忘了关门,开门器会给他发短信。他可以从任何地方关门。这对于像马古利斯这样的人来说尤其有吸引力,他们有时在交通高峰期会恐慌,担心自己把家门大开,毫无防备。对某些人来说,智能开门器可能看起来像是天赐之物。
但36岁的马古利斯并非普通消费者。十多年来,他一直担任网络安全专家,为桑迪亚国家实验室和国家标准与技术研究院进行漏洞和安全评估,最近又为美国司法部工作。他的专长之一是通过像恶意黑客一样思考和行动,识别公司数字基础设施或产品的安全漏洞。
一个联网的车库门开门器让网络安全专家乔纳森·马古利斯踏上了黑客之旅,以弄清他的家在有了这个方便的新设备后有多脆弱。T.J. Kirkpatrick/Redux
识别安全漏洞是道德黑客的第一步,这些“好人”黑客——你希望站在你这边的黑客——利用他们所学的知识来改进电子安全。他们往往痴迷、充满热情且睡眠不足。当他们在虚拟世界中发现裂缝时,他们想窥探一番,看看另一边有什么。
他们变得越来越重要,也越来越引人注目:今年五月,另一位“好人”黑客,一位22岁的英国细心青年,发现了正在展开的全球网络攻击“WannaCry”,并成功阻止了这次攻击。
对于这些“白帽”黑客来说,建立成功防御的关键是在其他人闯入之前发现并修复弱点。鉴于在线通信的普遍性,堵塞安全漏洞在所有层面都至关重要,无论是保护某人的银行账户,还是,比如说,防止政治竞选被黑客攻击以影响全国大选。
马古利斯承认自己不是一个出色的黑客——他更擅长识别安全漏洞,而不是真正复制恶意黑客的破坏性编码和社会工程策略。但即使不在工作中,寻找电子故障线也已成为他的第二天性。“你总是忍不住想搞破坏,”他说。所以,在2015年,他手里拿着一个全新的小玩意,一个需要破解的新系统。
他想知道:这个新的车库门开门器有多脆弱?有没有人能入侵它并未经邀请地进入?一个智能开门器连接到他的家庭网络,所以就像一个闯入房子的窃贼可以在房间里翻找一样,一个控制了车库门的恶意入侵者可以访问家中所有其他联网设备——手机、电视、笔记本电脑及其所有数据。
这是入室盗窃,与身份盗窃同床共枕。
Alison Mackey/Discover
于是马古利斯开始描绘他的新开门器数字设计中的致命缺陷。他能有效率地闯入自己的房子吗?
黑客所有东西!
安全专家对物联网(IoT)既兴奋又焦虑,物联网是不断增长的智能电子设备集合,它们与周围世界互动。这包括像马古利斯的新车库门这样的设备,还有你可以发短信查询牛奶是否不足的冰箱,以及提供更好反手击球技巧的网球拍——甚至是智能情趣用品。技术研究公司Gartner估计,2016年有64亿个此类物联网设备联网,这个数字还不包括智能手机、平板电脑或笔记本电脑。
宏矢量/Shutterstock
但买家请注意:智能设备追求便利和新奇,而非安全。“物联网的挑战在于市场目前非常热情——联网设备非常酷,”Ted Harrington 说,他是圣地亚哥的 Independent Security Evaluators 公司的合伙人,该公司在2007年首次入侵了 iPhone。“问题是,这种热情正在真正掩盖安全挑战。”
2016年10月21日,这些挑战浮出水面。当天,黑客三次攻击了Dyn,这是一家读取你在网页浏览器中输入的URL并引导你到网页的公司——一种数字电话簿。攻击持续了六小时,阻碍或减慢了数十个知名网站的访问速度,包括Netflix、Twitter和Amazon。这种事件被称为分布式拒绝服务(DDoS)攻击,这意味着太多设备同时发送请求,导致Dyn系统不堪重负并崩溃。这是历史上最大规模的此类攻击,但绝不会是最后一次。(5月份的网络攻击蔓延到150个国家的数十万用户,采取了不同的策略来劫持电脑。)
结果,物联网在 Dyn 黑客事件中发挥了重要作用。黑客事件发生后,安全专家确定攻击者劫持了数万个联网的家用设备,包括监控摄像头、路由器和数字录像机,并指挥它们同时连接到 Dyn。这种被劫持的“僵尸设备”集合被称为僵尸网络,设备所有者可能不知道他们的设备正在导致他们在 Facebook 上抱怨的互联网大范围减速。
这次黑客攻击最令人不安的部分是它的简单性。攻击者不需要编码技巧或好莱坞电影级别的黑客能力。相反,他们只是通过登录来控制设备——使用制造商提供的默认用户名和密码,而设备所有者从未费心更改过。
“还记得以前大家客厅里都有录像机吗?”芬兰计算机安全专家Mikko Hypponen问道。“它总是闪烁12:00,因为时间没有设置。它指望你去拿说明书设置时间,但你从来没有这样做。”他说,物联网设备也是如此。“你去买你的监控摄像头,把它拧到墙上,它就能工作。它实际上现在正在闪烁12:00。这就是Dyn攻击所使用的默认密码。”
王梅对这次袭击也不感到惊讶。几年前,她帮助创办了Zingbox,一家总部位于旧金山的安全公司,专注于物联网设备。Zingbox设有一个内部物联网实验室,工程师和计算机科学家在那里尝试破解各种联网设备。它们撑不了多久。“我们很多设备在几分钟内就能被破解,”她说。
数字安全专家Mikko Hypponen同意恶意黑客攻击可能会增加。Mikko Hypponen
这不仅仅是更改密码。(请参阅第55页的“保护你自己”。)王说,2016年的Dyn攻击显示了智能设备中隐藏的漏洞。“物联网的全部意义在于让所有人与所有人、万物与万物相互连接。”
物联网安全的主要挑战是保护和连接之间的权衡。“我们必须假设好人和坏人会混在一起,”王说。“谁是坏人?谁是好人?”
这会带来真实的后果。对这个问题给出错误的答案可能会付出相当大的代价。(参见本页的“黑客风云人物”。)
黑客就是黑客
当好人黑客开始一个新项目时,他们会从简单的问题开始,例如谁需要被保护,谁必须被拒之门外。所以当马古利斯坐下来研究他的车库门开门器时,他知道从哪里开始。它能让他控制门,同时将黑客拒之门外吗?
首先,他想到了普通的车库门开启器。它们很容易被黑客攻击,只需在五金店购买一个替换遥控器,然后在受害者的车库里花几分钟,将其与开启器同步。或者,再多花一点功夫,他可以数字窃听从遥控器发送到开启器的代码。他得出结论,在如此薄弱的安全性下,车库门一直以来都更多地是象征性的而非保护性的。
黑客风云榜
物联网并非唯一易受攻击的目标。五月,黑客发动了一场名为“WannaCry”的网络攻击,通过利用微软Windows的漏洞,瘫痪了150个国家的数十万台电脑。这是一个勒索软件的例子,这种恶意计算机代码会禁用系统,直到受害者支付巨额罚款。在这种情况下,黑客要求支付300美元来解锁受感染的机器。(专家建议受害者不要支付,因为不确定是否能找回文件,而且这会鼓励更多的攻击。)
宏矢量/Shutterstock
勒索软件攻击正在增加。一月份,圣路易斯公共图书馆网络遭到感染。图书馆读者无法借阅书籍,图书馆的电脑也无法使用。肇事者索要35,000美元的比特币,这是一种难以追踪的数字货币。去年十一月,黑客瘫痪了旧金山公共轻轨系统的售票系统,并索要73,000美元,同样是比特币。2016年三月,勒索软件瘫痪了马里兰州和肯塔基州的医院。这些机构都没有支付赎金(尽管其他一些攻击中有人支付了);它们都恢复了系统,通常是通过擦除受影响的服务器或电脑,并从备份中恢复数据。
更糟糕的是,对手们开始玩“持久战”——进入网络并长时间不被发现地潜伏。“专业黑客已经将其发展成为一门科学,”美国司法部安全行动中心(U.S. Department of Justice Security Operations Center)的布赖恩·瓦林(Brian Varine)说。“他们进去之后,就一直待在里面。”
2013年,全国各地的Target商店遭到了黑客攻击。攻击者利用一家HVAC公司的登录凭据访问Target的网络,并从中获取收银机权限,安装软件窃取信用卡信息。该商店的损失估计为4.2亿美元。Zingbox联合创始人兼首席技术官May Wang将此描述为跳板攻击:黑客通过薄弱环节潜入,然后伺机进行更大的窃取。
黑客攻击方法也变得越来越阴险。2016年末,芬兰计算机安全专家Mikko Hypponen的雇主F-Secure开始追踪一个黑客团伙,他们发布了一款名为Popcorn的恶意软件。它会加密一个人的文件,直到受害者支付1比特币(撰稿时约合2,900美元)。无法支付的受害者如果感染了两个朋友,并且朋友支付了赎金,就可以免费取回他们的文件。
“天哪,那真是阴险,”Hypponen说。“当他们如此有创意时,你几乎很难对这些人感到愤怒。这真的很糟糕,但也很聪明。”
但智能开门器不同。它们不仅对房主构成风险,还会危及整个社区的房主。一个成功的黑客可以访问成千上万的物联网开门器,理论上,可以发送信号同时打开所有这些门,将紧闭的门变成邀请。马古利斯发现,开门器的密码重置系统只要求一个电子邮件地址,这是一个糟糕的方法。任何进入某人电子邮件账户的黑客都可以简单地搜索密码重置说明,然后轻松进入系统。马古利斯还注意到,他唯一需要提供给公司的信息是他的街道地址。这也是一个糟糕的举动:这意味着攻击者如果进入公司系统,可以简单地调出地址列表,一个充满漏洞、任人宰割的开门器目录。
作为一名负责任的黑客,马古利斯将他的担忧通过电子邮件告知了制造商。他概述了缺陷及其带来的风险——并将设备的联网部分收进壁橱,转而依赖老式的离线功能。
了解他们对抗的是谁和什么,是成为白帽黑客的关键部分。“我们过去只有一个敌人,”Hypponen 说。他在1990年代初开始了“为善而黑”的职业生涯,当时很少有设备联网。他早期对计算机犯罪的调查主要集中在通过软盘传播的恶意软件——这种磁性存储设备看起来像塑料方块,可以存储大约三分之一首流行歌曲。“当时的攻击者非常容易定义,”他说。“所有的攻击、所有的病毒都是无聊的少年编写的。”
Hypponen 在1984年初,13岁时收到了他的第一台家用电脑。他的反应是强烈且不可逆转的。“我立刻沉迷其中。”此后的几十年里,电子设备和黑客文化共同发展,但他说至少有一件事没有改变:那些发现黑客是其职业的人,从小就知道了这一点。
“我认为最优秀的黑客几乎一直都知道他们擅长这个,”他说。“他们可能在数学方面很有天赋,或者在技术方面很有天赋。书呆子才会做的事。”黑客就是那些拿着父母的自动车库门遥控器走在街上,按住按钮看哪些门会打开的孩子。
Hypponen说,有天赋的黑客会分析一个系统,看到与设计者意图不同的东西。例如,假设你想通过登录界面入侵一个系统。但你没有输入登录名,而是做了一些完全不同的事情——比如在用户名框中复制粘贴一张巨大的图片。“也许网站的创建者没有想到这一点,然后它就破坏了系统,”Hypponen说。他说,如果黑客运气好,那个裂缝就会暴露一个漏洞。
对软件修修补补感兴趣的人常常最终会触犯法律,但如今他们也有合法的表达途径。Hypponen 指出“漏洞赏金”——公司向发现漏洞的黑客提供的奖金。“你可以尝试攻破系统,而且你有权限这样做,”他说。“发挥你的技能,满足你的好奇心。我认识一些靠漏洞赏金生活的人。”
Hypponen 工作的公司 F-Secure 鼓励人们尝试入侵他们的系统。“如果我们的服务器或软件存在漏洞,我们希望你告诉我们,”他说。“我们希望你把这些信息卖给我们,而不是卖给其他人。”
携手并进
这种文化变革使像萨米·卡姆卡(Samy Kamkar)这样的人受益匪浅。他十几岁时就开始入侵私人在线社区,14岁时参加了他的第一次DEFCON大会——这已成为世界上最著名的地下黑客会议。现年31岁的洛杉矶人卡姆卡主持着一个名为“应用黑客”(Applied Hacking)的流行YouTube频道,他在其中利用日常物品(如密码锁、锁定的汽车和锁定的电脑)中的安全漏洞。他的视频观看次数达数百万。
可被黑客攻击的家:一个家庭的联网设备数量——每个设备都是“物联网”的一部分——可能只会增加。但随着便利性的提高,恶意黑客进入你数字生活的机会也会增加。以你的家庭网络作为中心枢纽,任何设备的渗透都可能使你的整个家处于危险之中。Macrovector/Shutterstock
在一个令人难忘的插曲中,他入侵了他最好的朋友马特的无线门铃。卡姆卡学会了如何通过发送短信让门铃响起来。这导致了实时的闹剧:卡姆卡发短信,门铃响,马特走出去,重复。卡姆卡称这次黑客攻击为“数字叮咚骗局”。一个小时的幽灵般响铃后,马特打电话给卡姆卡,感到很可疑。
卡姆卡说,纯粹的好奇心,而非恶意,激发了他的冒险。“我会有一个想法,或者想理解一些事情,”他说。“什么让我夜不能寐——以一种好的方式——是,接下来能做什么?最前沿的东西是什么?”
黑客行为可能看似一项孤独的运动,但卡姆卡看到了协作的价值,这就是他分享所学的原因。“我交往的人都是友善的黑客,”卡姆卡说。“如果我分享一些别人可以使用的东西,他们会想到我从未想过的事情。这基本上会把我推向未来。我们互相提升。”
这个想法在物联网村(IoT Village)得到了共鸣,这是一个由 Ted Harrington 的公司 Independent Security Evaluators 组织的活动。在那里,黑客们解决挑战,比如在物联网设备中发现已知的漏洞,或者在新设备中发现未知的安全缺陷。在去年的物联网村活动中,其中一个奖品是一台智能电视——就是黑客们刚刚破解的那台。
Samy Kamkar 主持了一个受欢迎的 YouTube 节目,他在节目中入侵各种设备,从锁定的电脑到密码锁。他这样做是出于好奇,而不是恶意。Julian Berman
“我们把所有对解决安全问题同样充满热情的人聚集在一起,”哈灵顿说。“他们互相竞争,也与现状竞争。”
哈灵顿、王和其他人表示,为了在不久的将来超越恶意行为者,协作是必要的。医疗设备、交通基础设施和电网都存在漏洞。哈灵顿担心僵尸网络和其他攻击在好转之前会变得更糟,他认为消费者没有从去年的Dyn攻击中吸取任何教训。他们仍然不会更改出厂设置的密码。他说,这种攻击今天可能仍然会成功。人们不会认真对待安全问题——例如,更新固件、禁用不需要的功能以及在不使用时拔掉设备——直到悲剧发生,“当我们看到有人因连接设备受伤或死亡的事件时”。人们不知道他们每天距离潜在的毁灭性黑客攻击有多近。
这就是为什么白帽黑客们不断寻找漏洞并指出来,以使情况变得更好。马古利斯最终收到了车库开门器制造商的回信,信中说他们会研究如何最好地解决这些安全问题。白帽黑客的工作只能到此为止;要求安全是消费者的责任,认真对待安全是开发者的责任。
哈灵顿表示,开发人员需要在设计过程早期识别潜在的黑客攻击和威胁,特别是对于物联网设备,并在成品中内置保护措施。除了更好地保护人们,这种方法最终会为公司节省更多资金。他表示,这不是一个复杂性问题,而是一个优先次序问题:“制造商要充分构建安全性,一点都不难。”尽管专家们对于内置安全性的最佳方式存在分歧,但设计者可以简单地从要求用户在设置时更改密码、收集更少的个人数据,甚至允许消费者选择退出数据收集开始。
如今,智能设备在安全性方面并不“智能”已不是秘密。哈灵顿将这些设备比作汽车:“沃尔沃以安全著称。关心安全的人愿意支付溢价购买沃尔沃,”他说。“今天,在物联网领域,你没有选择购买沃尔沃版安全产品的权利。你只能买到那些气囊很烂的产品。”
保护你自己
当人们不采取基本预防措施时,网络攻击就会成功。以下是保护你数字自我安全的五种方法。
1. 自己设置密码!智能设备自带默认密码;尽快更改。黑客知道大多数人不会更改,这意味着他们可以轻易入侵。对于你的其他小工具:如果它有密码,就更改它。这适用于设备、路由器、电子邮件账户和手机。
2. 盖住你的网络摄像头。摄像头很容易被黑客入侵,但有一个简单的解决方法:用一块胶带盖住镜头。这样即使你被黑客入侵,他们也无法看到任何东西。去年秋天,前联邦调查局局长詹姆斯·科米报告说他这样做,其他政府雇员也这样做。
3. 如果可能,使用双因素认证。许多应用程序现在提供这种额外的安全层,它需要某种额外的验证来确认您是您声称的身份。例如,除了标准密码外,还需要向安全电话号码发送验证码,或者需要实体ATM卡和PIN码。
4. 备份你的文件。如果你确实被勒索软件攻击了,专家建议不要向攻击者支付赎金,因为他们可能根本不会提供帮助。相反,定期将你的数据和文件备份到外部离线硬盘上。
5. 及时更新软件安全补丁。五月份的全球网络攻击利用了微软Windows的一个漏洞——但补丁早在三月份就已发布。打上补丁的机器是安全的。
