實況報道
在許多人的觀念裏,網絡安全是企業的責任,只要企業做好防禦措施,避免顧客資料或公司機密被盜並確保公司網站正常操作就行了。
可事實上,一般消費者隨時可能在不知情的情況下成爲網絡攻擊的幫凶。
網絡專家認爲,網絡安全須有“全面防衛”策略,用戶應提高網絡安全意識,做好防範。
你是否在家裏安裝網絡攝像頭用來觀察家中孩子?你在家裏上網時,是否使用無線網絡?這些看似毫無“殺傷力”的互聯網設備,在上個月兩度被用來攻擊星和公司的網站域名系統(Domain Name Services,簡稱DNS)。
事發時,星和提高網站域名系統容量以處理如排山倒海而來的數據,公司系統人員徹夜檢查數據記錄,發現數據來自公司互聯網用戶的家用互聯網設備。這些設備受黑客操控,把數據導向星和的系統,展開分布式阻斷服務攻擊(Distributed Denial of Service,簡稱DDoS)。
網站域名系統在網絡世界中扮演“翻譯”的角色,用戶在浏覽器輸入以英文字母書寫的網址,系統把網址翻譯成由數字組成的互聯網協議(Internet Protocol,簡稱IP)地址,再搜尋並連接上IP地址就能打開網站。
在星和遭攻擊的數小時內,系統突然接到大量打開網頁的要求和各種垃圾數據,數據傳輸通道受阻,以致“網頁無法打開”的情況頻頻出現。
在這起事件中,用戶既是受害者,也是“始作俑者”。
用戶成爲網安軟肋
星和技術總裁莫柏林上月在記者會上說,攻擊系統的數據來自用戶家裏的互聯網設備,如攝像頭、無線網絡路由器(Router)和電腦。有心人要控制這些設備不難,只要掌握設備密碼即可。
舉例來說,路由器有兩道密碼,一道是無線網絡(WiFi)密碼,在電腦或手機輸入密碼就能上網,另一道是能設置路由器功能的行政密碼。
這些由廠商設置的默認密碼(default pin)大多相同,往往是“admin”和“root”,有些設備幹脆把密碼標簽貼在底部,這些密碼也能在網上搜尋到。
多數人會更換WiFi密碼,但往往忽略了行政密碼。有些是爲了方便記憶而不更換密碼,有的根本不知道這道密碼的存在,歹徒就能以默認密碼輕易控制設備。
在這場對抗網絡威脅的“戰爭”中,各大企業都築起防禦壁壘,但黑客卻發現了消費者這最弱的一環,通過消費者對大企業展開攻擊。
網絡安全公司CyberArk亞太技術總監霍超文受訪時指出,網絡安全是每個人的責任,但多數消費者沒受到網絡攻擊而蒙受嚴重損失,因此也就沒采取防範措施的緊迫感。他建議通過公共教育和宣傳,教導人們選擇安全性更強的設備。
他也認爲,制造商也須負一部分責任。“廠商必須確保設備能輕易設置安全措施,尤其是當互聯網逐漸融入我們的生活。”
安全軟件公司賽門鐵克安全顧問尼克(Nick Savvides)也有同感。
他說:“消費者和制造商清楚電腦安全的重要性,但對于連接互聯網的設備如路由器,卻缺乏這方面的意識。這些設備就如當年電腦進入市場初期,沒有劃一的操作標准、商家對網絡安全的了解不足,設備缺乏安全功能。”
他還說,電子科技不斷推陳出新,黑客將針對下一個多人使用的設備下手,消費者在這方面的意識必須提高。
網安局:網安宣傳將擴大至各階層
政府數年來不斷向企業宣傳網絡安全的重要性,接下來會進一步把宣傳範圍擴大到各階層。網絡安全局將在明年初展開網絡安全宣傳活動(Cybersecurity Awareness Campaign),目的是讓公衆了解網絡安全的重要性,同時也教導人們改善使用互聯網的習慣。
通過路由器發動襲擊 黑客輕而易舉
網絡安全專家指出,互聯網服務商爲用戶免費提供的同款無線網絡路由器,讓黑客更容易展開大規模的襲擊。
用戶簽訂寬帶網配套時,服務商都會免費提供無線網絡路由器,不同的價值配套,其路由器的型號和性能也有所不同。這些路由器都由著名品牌生産,但不論是哪種型號,一般都選用常見的默認密碼(default pin),這可能成爲黑客下手的弱點。
舉例來說,服務商送出一萬台同款路由器,而這些路由器的默認行政密碼都一樣。如果有一半的用戶沒有更換密碼,黑客就能憑著公開的默認密碼一次過掌控5000台路由器。
黑客利用路由器對服務商發動集體攻擊
網絡安全公司綠盟科技(NSFOCUS)網絡安全管理部總監蓋伊(Guy Rosefelt)說:“多數襲擊者知道某些地區的路由器來自哪幾家服務商,也知道默認密碼是什麽。他們掃描互聯網上的IP地址,尋找使用默認密碼的路由器。”
此外,路由器的操作固件(firmware)可能會缺乏安全補丁。
安全軟件公司賽門鐵克安全顧問尼克說:“免費提供的路由器一般會安裝特別訂制的固件,固件因爲甚少有更新版本,而可能比制造商其他路由器的固件還要落後。”
更嚴重的是,由于這些用戶都屬于同一家服務商,黑客就能輕易利用這批路由器對服務商發動集體式攻擊。
一般上,網絡安全系統在突然接到大量數據時會尋找這些數據的源頭並加以堵截,關注點通常放在可疑的IP地址上,甚少會對內部設備或自家顧客諸多防範。
而對于一家互聯網服務供應商來說,用戶的家用設備並非可疑來源,黑客相信是抓准了這一點才襲擊成功。
資訊通信專才協會(Association of Information Security Professionals,簡稱AISP)主席黃開莊說,比起來自外部的攻擊,這類內部襲擊較難探測出來,尤其是當來源和傳輸模式看起來都是合理的。
電信公司:更換路由器默認密碼是關鍵
免費提供同款路由器是業界慣用行銷手法,但本地三大電信公司似乎沒有取消這一做法的打算。
第一通受詢時表示,用戶有多種連接互聯網的設備如路由器和網絡攝像頭,這些設備的來源各不相同,但都有廠商預設的密碼。公司促請用戶更換密碼,並定期檢查安全設置,以防遭人盜用。
新電信發言人則說,公司提供的路由器都符合最高安全標准。新電信也定期爲路由器更新固件以修補安全漏洞,但用戶仍應爲其他設備如桌面電腦和手提電腦做好預防措施。
星和也強調,用戶更換路由器的默認密碼,才是預防黑客入侵的關鍵。
隱私變公開 攝像頭存在風險
用來保障家人安全的家用網絡攝像頭,若沒有妥善的安全設置,不僅家人隱私會泄露出去,還隨時可能成爲網絡罪犯入侵住家無線網絡的大門。
廉價網絡攝像頭在設計時缺乏保安功能,容易受到惡意軟件入侵,許多用戶也疏于更換攝像頭的默認密碼。沒有做好防範措施的結果就是,攝像頭拍攝到的住家畫面可能被傳上網,公開讓他人觀看。
insecam.org網站就是其中一個轉播各種公司閉路電視和家用攝像頭畫面的網站。如果外人從畫面中認出這些商店、工業大樓和辦公室,就可輕易掌握裏面的保安情況。
記者還發現網站上有好幾個組屋走廊和住家客廳的畫面,雖然無法從畫面知道這些住宅單位的具體地址,但用戶的屋內情況和隱私其實已泄露。
資訊通信專才協會主席黃開莊指出,失去隱私的問題不大,較嚴重的是黑客可從網絡攝像頭入侵家裏的無線網絡。
“黑客會記錄你所有通過無線網絡的活動,若你用無線網絡把手機內的照片發送到打印機或電腦,黑客甚至可以截取這些照片。他們也會知道你上過哪些網站,從事何種網絡活動。”
值得慶幸的是,黑客只能看到用戶到訪的網址,看不到用戶在網站上輸入的內容。
黃開莊說,要保護家用無線網絡,關鍵在于無線網絡路由器,只要做足路由器的安全措施,就能防止黑客入侵。公衆可使用網上的免費掃描軟件,尋找家裏存有安全漏洞的設備,設好防線。
家裏裝有四台攝像頭的何川(34歲,房屋經紀)爲每台連接互聯網的設備設置密碼,但沒有定期更換密碼。“如果經常更換密碼,我擔心會混亂。我現在使用的是結合數字和字母的密碼,安全性較高,應該不會有問題。”