网络攻击日渐频发,手段也更加高明,对此是否存在有效的措施?就此问题,我们对互联网应急中心(NICTER, Network Incident analysis Center for Tactical Emergency Response)项目相关的信息通信研究机构网络安全研究机构网络安全研究室高级研究工程师久保正树、以及NICTER操作员岛村隼平进行了采访。
久保正树(右)和岛村隼平。图片中间的屏幕上方显示着日本实时监测到的来自世界各地IP地址发送的 “恶意或非法可疑通信”(拍摄于信息通信安全研究机构网络安全实验室)。
―NICTER项目监测重点是一个被称为暗网的遍布全球的IP地址监测网。原本暗网指的是什么?
IP地址是分配给连接到互联网的设备的唯一号码,在全球范围内共有近45亿个IP地址。最初它由互联网的开发者美国国防部管理,再分配给每个国家,每个国家在国内重新分配。目前是由国际组织互联网编号分配机构(IANA,Internet Assigned Numbers Authority)负责管理,IANA下各国设立各自的管理机构。日本设立了日本网络信息中心(JPNIC),由该机构对IP地址进行再分配。实际上,这是一个金字塔型管理系统,JPNIC和最终用户之间存在指定运营商和互联网服务提供商。为金字塔结构中的每个组织分配的IP地址并不一定全部分配给用户。但是,世界上存在许多有编号却没有用户的IP地址。使用这样的IP地址单方面发送出的通信都可被视为恶意或有非法通信的可能性。
通过与为用户分配IP地址的指定运营商和互联网服务提供商合作,在没有用户的IP地址上设置传感器,可以全天候监控它们通信,这个网络便是暗网。除日本之外其他各国的IP地址也包含在内,因此它可以监测到全球范围的恶意或非法通信。暗网IP地址的数量虽然只是全球IP地址数量的一部分,但仍可以掌握总体趋势动态。
NICTER项目数据显示,IP地址数量2005年为1.6万,逐年增加,2017年达到约30万;监测到的年通信(数据包)数量从2005年的3.1亿增长到2017年的1504亿,相当于平均1个IP地址从1.9万增加到约56万。在日本,由于通信隐私受到保护,所以只能看到发给自己的通信。因此,在正常通信中很难区分合法与恶意信息。但是,由于暗网会接收未经使用的IP地址单方通信,因此没有必要区分它是自动通信还是恶意通信、合法还是恶意信息。通过暗网监测,可以掌握互联网上各种信息传播的实际情况。
——开始使用暗网来探索网络攻击应对措施的契机是什么?
大约在2003年,网络病毒大规模肆虐,一种名为Blaster的病毒感染了全球800万台电脑。如果不知道病毒扩散到何种程度就无法采取措施,我们的危机感越来越强。没有检测手段的话病毒扩散程度就无法掌握,于是我们开始考虑使用暗网是否可行。在日本这种工作通常由官方研究机构来承担,因此信息通讯研究机构负责起该项目。在美国,除密歇根大学等非常积极外,私人安全机构也十分关注网络攻击相关通信的传输情况,经常像天气预报一样在网上发布消息。
——能否稍微详细说明一下网络攻击是什么?攻击目标是?暗网为何能对其进行监测呢?
网络攻击中有一种高级目标型攻击,侵入公司内部进行破坏。与此不同,这种像感染电脑病毒一样在网上扩散的攻击适用于暗网监测。为了找到多个感染目标,寻找宿主的通信也会经常流入暗网。
2016年,一个名为Mirai的恶意软件在全球范围内造成了巨大破坏,仅我们监测到的通信数就高达每天24000个,全球范围将达到几十万至100万左右。被Mirai这样的恶意软件感染的路由器会变为攻击者继续引发感染。路由器被感染后,病毒的传播者就可以看到经由该路由器的通信内容,掌握与之相连的用户的使用情况,进而操纵被感染的路由器,控制这些用户再攻击他处。黑客们就这样蓄意破坏普通人稳定的上网环境。
——请问这些人制造并传播Mirai这类恶意软件有何利益可图呢?没有经济利益,是想造成大规模恐慌然后收手吗?
攻击者还是有利可图的。其实有各种各样的利益,甚至今后会产生一些目前还不为人知的利益。现在还出现了一种包办业务,有人专门帮他人攻击指定企业致其服务器瘫痪。去年12月,制造Mirai的两名美国年轻人被判有罪。这两人研究了有漏洞的物联网终端并将其感染,通过这些终端向攻击对象同时发送大量数据,致使众多企业服务器崩溃。他们成立了一个公司,向遭受Mirai攻击的企业提供抵御攻击的服务,销售保护设备的技术,以此牟利,就好比点了火再去卖灭火器赚钱。
——暗网监测作为抵御网络攻击措施的重要性我们已有所了解了,那么今后在哪些方面还需要强化措施呢?目前的30万IP地址是否充足?此外,有没有普通人必须留心注意的事项呢?
比起增加IP地址,更重要的是建立覆盖全球的监测网络,并扩大与国外组织的合作。不能对外公开与哪些国外组织展开合作,在哪些没有用户的IP地址上安装了传感器,否则可能会成为攻击目标,但强化与国外组织的合作意义重大。例如,曾经有天突然从巴西涌入大量网络攻击相关通信,虽然仅从通信情况就能看出其走势,但无法得知其目标是什么类型的物联网设备。由于没有拿到巴西的感染设备,为了寻找对策,与巴西组织的合作就变得至关重要。中国也有专门致力于暗网监测的安全公司并且对外销售对策报告书,如能与这样的公司实现信息共享对双方都将大有裨益。
在人类世界即使大范围爆发病毒性疾病,也并非每个人都会感染致病性病毒。同样,联网的设备多种多样,即使网络攻击的目标是物联网设备,一般情况下也只是其中特定的设备会受到感染,不过一旦所有设备都遭到感染将会造成巨大的威胁。今后用户多的设备很可能会成为攻击目标,总之可以预测,近两年瞄准物联网设备的网络攻击将会持续增加。家中有物联网设备的用户,最重要的是购买产品时,最好选择发生问题后可以迅速应对的厂家,风险犹存,以防后患。
文 小岩井忠道 客观日本编辑部
相关网站
信息通讯研究机构新闻发布「NICTER监测报告2017年」[网址]
NICTER 监测报告 2017[PDF版]
相关报道
2017年09月15日「NICT特别研究员佐佐木雅英谈有助于构建安全社会的量子通信」[PDF版]
