又一網(wǎng)絡(luò)攻擊的案例，在上周五的美國成為現(xiàn)實(shí)。黑客們利用數(shù)百萬臺日常設(shè)備——聯(lián)網(wǎng)攝像頭和打印機(jī)等——對互聯(lián)網(wǎng)的關(guān)鍵部分發(fā)動了攻擊。

大致情況如下：

黑客們利用公開可用的源代碼，組建了一支以聯(lián)網(wǎng)設(shè)備為主的僵尸網(wǎng)絡(luò)大軍，然后向DNS提供商發(fā)送了大量垃圾數(shù)據(jù)處理請求。

這項(xiàng)攻擊主要針對于總部設(shè)在新罕布什爾的網(wǎng)絡(luò)服務(wù)供應(yīng)商迪恩公司（Dyn），使其無法發(fā)揮作為互聯(lián)網(wǎng)“接線總機(jī)”的作用；而消費(fèi)者也無法再訪問包括 Twitter，Tumblr、亞馬遜、Netflix、Raddit、Airbnb 等諸多知名網(wǎng)站，因?yàn)槿肯萑霐?shù)小時的癱瘓狀態(tài)。

值得欣慰的是，這些網(wǎng)站無法被訪問，并非服務(wù)器癱瘓，而是他們的 DNS 服務(wù)器被攻擊導(dǎo)致域名無法被正確地解析為IP地址。也就是說，在攻擊發(fā)生時，你無法通過www.Google.com訪問Google的網(wǎng)站，但理論上你還是可以通過 Google的IP地址74.125.29.101來訪問。

不過無論如何，此次事件的發(fā)生還是引起了全球的關(guān)注和思考。到底是什么原因?qū)е率录陌l(fā)生？誰又該對此負(fù)有責(zé)任？往后，我們又該如何規(guī)避風(fēng)險，提升徜徉于互聯(lián)網(wǎng)海洋中的安全生存系數(shù)呢？

千瘡百孔的程序應(yīng)用和設(shè)備，誰之責(zé)？

我曾在 《“被物聯(lián)網(wǎng)”的我們，何以在信息化的時代里安身？》 一文中，跟大家探討過關(guān)于程序和設(shè)備開發(fā)者的責(zé)任心問題?；趯κ袌隼娴淖非螅嗟娜诉x擇放棄安全保障以換取搶占先機(jī)，卻不愿意去多想可能帶來的“后患無窮”。

再次套用Facebook軟件開發(fā)人員的那句格言—— “Move fast and break things”，可謂是一語中的，說破了當(dāng)前世界大部分程序開發(fā)者的指導(dǎo)精神：關(guān)鍵在于產(chǎn)出程序代碼的速度，即便有問題或安全隱患也在所不惜。這種指導(dǎo)思想和行事態(tài)度，又怎么能不讓蹣跚起步的互聯(lián)網(wǎng)時代變得千瘡百孔呢？而防不勝防的安全漏洞，又怎么能不讓黑客有可乘之機(jī)呢？

尤其，我們基本上時刻不離身的手機(jī)，對風(fēng)險的防范能力就像一個剛出身的嬰兒般脆弱。如果有人想要黑進(jìn)一部手機(jī)，基本上就簡單到跟發(fā)一通簡訊差不多。而手機(jī)之所以如此脆弱，跟操作系統(tǒng)不無關(guān)系。早在2014年，邁克菲確認(rèn)已知的手機(jī)惡意軟件數(shù)目高達(dá)近400多萬。

“我們需要制訂相關(guān)法律，對銷售不安全設(shè)備的企業(yè)進(jìn)行民事和刑事處罰?！睂τ凇度A爾街日報》資深科技評論專欄作家克里斯托弗·米姆斯（Christopher Mims）在推文中表達(dá)的觀點(diǎn)態(tài)度，我表示深深地認(rèn)同。

使用的惰性讓我們變得岌岌可危

不少人認(rèn)為，用戶也應(yīng)該在這場網(wǎng)絡(luò)攻擊中承擔(dān)同樣的責(zé)任。使用不慎，不僅讓自己處于危險之中，也讓整個互聯(lián)網(wǎng)深陷危局。

在此次事件中，Dyn聲稱攻擊來自全球的一千萬個 IP 地址。黑客之所以能利用如此之多的日常設(shè)備，跟這些設(shè)備使用者的簡單密碼設(shè)置不無關(guān)系。據(jù)相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，123456、123456789、111111、123123、000000、888888、admin、password、P@ssw0rd和123qwe這10組密碼能夠控制互聯(lián)網(wǎng)上10%的設(shè)備。 這些基本可以說是“意思意思”的密碼設(shè)置，好像就是在告訴黑客“我家大門常打開，歡迎隨時過來?！?/p>

引以為鑒，還是建議大家趕緊給自己的網(wǎng)絡(luò)設(shè)備設(shè)置一個復(fù)雜些的長密碼吧。雖然這樣做并不能保障你的絕對安全，因?yàn)樵購?fù)雜的密碼只要黑客花心思總還是能被攻克的，但至少可以讓你不那么輕易地淪陷，不做身先士卒的網(wǎng)絡(luò)炮灰。

小小應(yīng)用程序，大大應(yīng)用風(fēng)險

會寫出應(yīng)用程式，從中取得你的資料再加以販賣的，可不只有Rovio、Zynga、Snapchat這些應(yīng)用程式制造商，組織犯罪集團(tuán)現(xiàn)在也學(xué)會了這一套。我們可能會用邏輯來推測，以為應(yīng)用程式只要能放上谷歌的Google Play或是蘋果的App Store，程式原始碼和開發(fā)者應(yīng)該都經(jīng)過了嚴(yán)格的安全審查吧？

情況并非如此。在安卓與iOS的生態(tài)系統(tǒng)里，應(yīng)用程式的數(shù)量都超過百萬之多，經(jīng)過人工驗(yàn)證的數(shù)量少到驚人；而罪犯對此可是非常了解的，甚至早就多次利用這些應(yīng)用程式商店犯下罪行，致使大家以為應(yīng)該值得依賴的應(yīng)用程式商店里，有愈來愈多應(yīng)用程序隱藏著惡意軟件的禍心。 早在2013年，谷歌應(yīng)用程式商店里，就有超過42000種應(yīng)用程式被發(fā)現(xiàn)含有間諜軟件或是竊取資訊的木馬程式。

大家在安裝應(yīng)用的時候，務(wù)必也要多留個心眼。如果一個手電筒，要求存取你的通訊錄或GPS定位之類的，就擺明了是要偷取你的資料的。一旦你給予授權(quán)了，也就為盜賊打開了一扇可以長驅(qū)直入的大門。

轉(zhuǎn)黑客為白帽以換取一片藍(lán)天

期望力挽狂瀾，改變當(dāng)下人人自危愈演愈烈的趨勢方向，我大膽設(shè)想，或許可以通過足夠的激勵刺激，達(dá)到催生安全的網(wǎng)絡(luò)運(yùn)算環(huán)境，讓黑客為我所用的目的。當(dāng)然，這可能會讓你覺得“姑息養(yǎng)奸”，甚至“助紂為虐”。

但是，當(dāng)黑客發(fā)現(xiàn)軟件程序代碼的漏洞，賣給黑市的犯罪集團(tuán)便能大賺一筆，但如果他告訴軟件開發(fā)商，可能非但什么都賺不到，反而有被告的風(fēng)險。那在這時候，何去何從就成了一個沒有選擇的選擇題。

至于激勵方案的效用，其實(shí)我們可以從很多先例中得到印證。很多時候，甚至可以讓棘手的問題得到革命性的解答。早在1714年，英國國會希望能夠強(qiáng)化海上的導(dǎo)航技術(shù)，于是提供2萬英鎊（相當(dāng)于今天的100多萬英鎊），懸賞能夠測量經(jīng)度誤差在半度之內(nèi)的解決方案。這項(xiàng)大獎激勵了一個自學(xué)的鐘表工作——約翰·哈里森，他發(fā)明航海天文鐘，解決了這個問題。

無獨(dú)有偶，查爾斯·林白之所以成了第一個飛越大西洋的人，除了因?yàn)樗拿半U精神，還有另一個比較不為人知的原因，就是因?yàn)橛幸还P2.5萬美元的懸賞給“同盟國首位單趟飛越大西洋的飛行員”。

當(dāng)然，這也在我們的現(xiàn)實(shí)在開始推行。比如谷歌的賞金大賽——“The Project Zero Prize”，將對找到最佳安卓漏洞的黑客以20萬美元的獎勵，第二名和第三名的獎金分別為10萬美元和5萬美元。慢慢地，當(dāng)基于漏洞查找與反饋的機(jī)制成為常態(tài)的時候，或許就是我們向網(wǎng)絡(luò)安全又邁進(jìn)了一大步。