有一种专门从事“扫描互联网”的技术人员,他们就像经过一个街区的搜索团队,只不过他们检查的不是每扇门的把手,而是在线设备的网络入口,以看看哪些是开放的。这些人一直在大声疾呼,有很多东西是不应该被暴露在互联网上的:医疗设备、发电厂、监控摄像头、路灯、家庭监控系统,等等等等。但不可思议的是,他们的声音似乎没有被人们听到,因为他们的扫描工作不断发现有新的设备暴露在危险中。

当人们在周日举行的Defcon黑客大会上谈到这个问题时,安全工程师保罗·麦克米兰(Paul McMillan)拿出了自己形状奇特的扫描器,以扫描那些安装有远程访问软件却没有设置密码的电脑。在短短一小时里,结果纷涌而来:5900端口上有成千上万台使用一款VNC远程访问程序的电脑,总数可能超过3万。

那些使用该程序的人都没有设置密码进行自我保护,这意味着任何看到的人都能查看他们在电脑上的活动,并操控他们的电脑。麦克米兰设置扫描器对所有暴露在网上的电脑进行了截屏,我浏览了这些日前被截取的屏幕画面,看到人们在查看Facebook、玩电子游戏、观看《安德的游戏》(Ender's Game)、浏览Reddit、进行Skype通话、查看监控摄像头、在亚马逊(Amazon)购物、阅读电子邮件、编辑价格清单和票据,当然了,还有观看色情片。

我看到了药店、POS机、电厂、加油站、科技和媒体公司、牛群追踪公司以及韩国数千辆出租车管理系统的界面。这不只是看到别人如何使用他们的电脑,扫描器能够找到这些设备也意味着任何人都可以操控它们,改变电厂的设置,暂停正在播放的色情视频,浏览一家公司的记录,或者是查看药店顾客的处方记录。

想要入侵这些电脑的黑客并不需要费多大劲,因为电脑主人已经开了一扇没有锁的后门。“这就像你把已经开机、未上锁的电脑放在一个拥挤的公交汽车站,然后走开。”安全工程师丹·滕特勒(Dan Tentler)说,他跟麦克米兰一起进行了展示。渐渐地,一切事物都跟互联网连接到了一起。而不幸的是,人们并不总是知道如何安全地进行连网。

“这次扫描只触及到这个问题的皮毛,记住这一点很重要。”麦克米兰说,“鉴于法律问题,我们不能对使用默认密码的进行扫描,但我敢肯定,如果我们那样做了,结果会糟糕得多。”

我在截屏中看到了一些人的Facebook和电子邮件信息—其中包括一家知名科技公司的雇员—我联系了这些人,但没有收到回信。当我发现一家好莱坞药店的电脑截屏后,我打电话把这件事告诉了他们,以防娱乐新闻网站TMZ的记者发现这个漏洞。“这真的令人震惊。”在我描述自己看到的情景时,药剂师这样说道。他立刻联系了自己的软件供应商,后者惊讶地发现存在一种绕过防火墙的方法,软件供应商立即关闭了药店终端的VNC设置。

在很多截屏上,我们很明显可以看出已经有其他人已经开始入侵那些设备。有些人试图获得root访问权限(即系统最高权限—译注),有些人在电脑上留下“你被入侵了”的信息,还有人以“你可能想要为VNC软件设置一个密码”谷歌搜索结果页面的形式给电脑主人提个醒。

那些获得设备访问权限的人可能乱改设置或是进行大规模的恶作剧。韩国数百辆出租车的广告屏幕似乎很容易被人远程控制,“设想一下,把韩国所有出租车显示的广告瞬间改成 朝鲜投降! ”滕特勒说。还有一些重要的系统被扫描器捕获到,如意大利的一家电厂、关键基础设施以及医疗设备—,这些正是美国国土安全部(Department of Homeland Security)担心遭到黑客攻击的系统,然而它们就摆在那,连密码保护都没有。

在Defcon的另一场展示会上,肖恩·梅丁杰(Shawn Merdinger )和斯科特·厄文(Scott Erven)发现医疗设备非常容易遭到入侵,这要“归功于”它们暴露在开放的互联网上。“人们认为医疗设备受到防火墙的保护,但他们错了。”梅丁杰说,他通过一个不同的漏洞进行了互联网扫描,最后发现有成千上万的医疗系统暴露在网上,从工资记录到心脏起搏器不一而足。梅丁杰甚至发现胎儿监护仪被暴露在互联网上,“你应该有机会在出生前不遭到黑客进犯。”他如是说。

恶意黑客是否已经利用暴露的医疗设备从事不法活动,这一点尚不清楚,但厄文确实提到一个案例:一位枪伤受害者入侵了自己吗啡点滴系统,以增加自己的用量。因此,入侵此类设备肯定存在一定的利益,有时候入侵者就是使用设备的病人本身。

那么,我们该怎么办呢?首先,如果你在上面截屏里看到自己的电脑,或是在裸奔使用VNC软件,请立即改变那种做法。安全地使用电脑,给那样的软件设置密码保护。

保罗·麦克米兰说,没有什么组织或个人肩负着发现这些风险以及发出警告的义务,所以解决方案总是治标不治本。就好比,我打电话通知了那家药店,让他们知道自己的电脑暴露在公开网络上。“问题在于,这总是反复出现。”麦克米兰说,“这次扫描得到的结果跟我在8月前得到的完全不同。我当时发现的水力发电系统这次没有出现,但看起来我至少又找到一个新的。这次的药店也和上次不同,但问题还是那个问题。众多消费设备可能无法解决该问题,但我们可以要求制造商(尤其是开发人机交互界面的公司)停止提供此类服务,尤其是不设置密码(或是使用默认密码)的情况下。不幸的是,涓滴效应将需要20年时间才能让绝大多数系统得到升级。”

“这个问题糟糕的地方在于,受影响的个人通常毫不知情。”麦克米兰继续说道,“让家庭或小企业用户得到专业级别的安全审查,这在经济上是不划算的。我们竭尽所能应对最糟糕的问题,并希望坏人们没有第一个注意到它们。”

译 何无鱼 校 徐笑音