2038年，互聯網世界會好嗎？

2038年，互聯網世界會好嗎？

2017年08月14日

iWeekly

從千禧年爆發的「千年蟲」病毒到蔓延全球的勒索病毒，一場場互聯網安全危機讓人們愈發看清了網路技術的另一面。萬維網之下的暗網體系、計算機軟體的漏洞與風險、黑客技術的低門檻化等等都如同潛伏在互聯網虛擬深海中的暗礁，若忽視這些隱藏的威脅，就將是危險來臨之時。▲今年3月，科技大會CeBIT在德國漢堡舉行，「物聯網」成為大會討論的話題之一。

把我拉進加州大學爾灣分校的一間小實驗室后，27歲的美國黑客托米，有點霸道地對我說：「你如果不想讓我什麼都知道，最好把手機完全關掉。」

托米是個自稱了解「暗網」的安全技術人員。「你平常所看到的互聯網，只不過是冰山一角，」他對我說，「你做好準備沒有？」

在打開一個第三方伺服器后，互聯網瞬間變成一個我們完全不認識的模樣。這個模樣，我難以形容。托米自言自語：這裡，任何人，可以做任何事。如果你在其中隨波逐流，那麼，回頭時，你幾乎無法看到法律。

2013年，FBI拿掉「絲綢之路」（Silk Road），2015年，「暗殺市場」（Assassination Market）成為熱點，2017年，「阿爾法灣」（AlphaBay）及其26歲創辦者、加拿大人亞歷山大•卡茲自殺，成為焦點。

儘管暗網被關的消息不時見諸報端，新法律法規不斷被創建出來，但技術不斷發展的同時，亞文化也在不斷進化。在極度自由、缺乏監管、完全匿名的環境下，人性暴露出的本性，殘酷得驚人。

對戰互聯網的陰暗威脅

7月末舉辦的全球頂級黑客大會Black Hat恰逢20周年紀念。在這個被譽為「洞悉未來安全形勢的水晶球」上，人們不斷提出關於未來20年的問題。

殘酷的現實，大會創始人傑夫•莫斯認為，是維護安全的方式和配套措施，遠遠跟不上技術進步發展的腳步。而現在已經到了「必須要做些什麼」的時候。▲今年5月，勒索軟體「想哭」肆虐歐洲，造成大規模感染，多個公共設施被迫關閉。

「雖然我還不能告訴你究竟是什麼，但我可以很確定地告訴你，我們正處於一個（未來時代的）邊緣。」莫斯在會上說。

今天，實施黑客入侵的成本確實相當低廉。只要擁有相關知識基礎，「一個價值僅為10美元的SD讀卡器」就可以發動可能造成巨大損失的攻擊。而這樣的結論，在信息安全領域，早就不是新聞。

依照Facebook首席安全官亞歷克斯•斯達莫斯（Alex Stamos）的說法，在信息安全領域，「我們（白帽黑客社區）遠未發揮出應有的潛力」。

「我們一直在熱衷於發現越來越複雜的技術問題，卻忽視了人為的風險；我們參與保護這個世界的方式效果不佳；業界總是糾結於在不完美的世界當中實施的不完美解決方案，卻忽視了問題的本質與根源，即保護那些我們需要保護的人……」斯達莫斯在Black Hat2017年主旨演講中指出。

他呼籲與會者，包括安全從業人員、供應商、學者等，不要再單純著眼於發現錯誤及零日漏洞，而應關注那些不太有趣但卻會造成潛在人身傷害的安全問題。面對攻擊面正日益增大的共同安全威脅，斯達莫斯指出，安全人員或許更需要同情心，更需要有一顆更柔軟的心。

2038年，全球軟體面臨的難題

還記得2000年時的千年蟲危機嗎？所有的人都很擔心，計算機在內部時鐘里只用了兩個數字來代表年份，這樣2000年1月1日就會被顯示為「1/1/00」，這與1900年1月1日的顯示結果是一樣的。

這個問題現在看起來已經遙遠的問題，在1999年，計算機里的時間錯誤會讓很多系統完全亂套，甚至崩潰。通過改寫軟體程序，技術人員繞過了千年蟲問題。雖然千年蟲並未演變成一場災難，但整個世界上每一家使用軟體的公司都必須正視千年蟲問題並且聘請專家來解決它。最後，千年蟲並沒有給普通民眾帶來任何麻煩，但是技術行業卻為此花費了大量的時間和資源。

今天，另外一個跟軟體編程有關的全球性難題正在日益臨近：由於軟體代碼運行時檢測時間的方式存在一些問題，大量計算機軟體很可能會在2038年失效。所有利用32位簽名整數來存儲時間的軟體都會受到2038問題的影響。

上世紀70年代開發出世界上的第一款UNIX操作系統時，技術人員做出了一個很隨意的決定，即使用32位簽名整數（或數字）來代表時間。大多數基於UNIX的系統都使用的是起始時間為1970年1月1日的32位時鐘，那個時鐘系統將在2038年發生溢出錯誤。計時器可能會停止工作，跟時間有關的所有系統都會亂套。簡單地說，如果無法解決2038問題，地球上的所有計算機將在那個時刻點將時間計數「歸零」，重新從1970年1月1日算起。

而在此之前，其他風險已經來臨或近在咫尺。老牌黑客、F-Secure首席安全官米可•海波寧（Mikko Hypponen）指出，未來20年，網路加密貨幣將會極大改變網路金融安全格局、犯罪與執法的類型將不同以往；物聯網的崛起將在改變人類生活的同時，展示出更多漏洞和風險；量子技術發展到一定程度或將會威脅最高安全級別，國際SSL加密也同樣面臨威脅……

2038年——20年後的世界，聽上去還很遙遠，人們或許自然而然地認為，還有足夠多的時間去解決和修復現有問題，然而，「我敢保證，到2038年來臨的時候，你會發現，時間根本不夠用」，海波寧說。▲網路安全專家尼克•海波寧在2015年都柏林的科技大會上發言。

互聯網安全，關鍵何在

就在兩三年前，許多人還不知道互聯網是怎麼回事，今天，卻恨不得一下子把自己所有一切暴露在互聯網上，但「安全，卻彷彿是根本不需要考慮的問題」，資深女黑客Ping Look在Black Hat對我說。這個代號為「你最不想惹的人」認為，公眾安全意識尤為重要。

「我不可能奢望我媽媽懂什麼安全技術，但我希望，她能定期查看信用卡記錄，而不是完全依賴自動還款，我希望她能定期升級系統，定期更換密碼。」Ping說。

未來20年，應對安全，最關鍵的要素，仍是人和技術。破解了智能手機系統的360公司UnicornTeam安全團隊負責人楊卿認為，「其中，人的因素更為關鍵」。

「在，安全人才多半是偏才和怪才，大多自學成才，但未來，安全應是每個企業、公眾都必須極為重視的問題。」楊卿說。

與之類似，斯達莫斯強調，安全隊伍的建設和培養更需要重視人才的多樣性，需要不拘一格地使用人才，並為他們搭建「參與社會」的更高效的平台。他認為，好的防衛來自理解攻擊，而這尤其需要「不同文化背景、不同理念的人共同發揮潛能」。

莫斯認為，應對風險最重要的解決方案是加強合作。對於這個老調的結論，我有點不以為然。但他的聲調卻突然提高，顯得有些激動，「安全隱患，如同創新的副產品，你不能只看到技術進步，而忘記另一面。安全是全球性問題，沒有國界，這與打擊恐怖主義、兒童色情這些問題是一樣的，必須增加國際合作、政府和非政府組織，以及業界的合作，這也是最重要的解決方案之一」。

「必須強調的是，我們的終極任務，不是去保護設備和電腦，而是去保護人——我們自己。」海波寧說。

iWeekly+近期與暗網有關的犯罪案

訪美學者章瑩穎綁架案

距離訪問學者章瑩穎在美國伊利諾州失蹤事件發生已超過60天，嫌疑人克里斯滕森（Brendt Christensen）依舊拒絕交代章瑩穎下落。嫌疑人曾經在暗網上瀏覽網站「綁架101」（abductuion101）里關於完美綁架幻想、綁架計劃等內容的帖子成為其犯案的有力證據。「綁架101」是一個以有虐戀傾向的另類性癖好人群聚集而成的社交暗網，有近600萬註冊用戶在該網站上分享超過3000萬張圖片與4萬段錄像。由此推斷，克里斯滕森極有可能將章瑩穎綁架后通過暗網進行人口販賣交易。

英國女模從暗網組織虎口脫險

英國女模特克洛伊•艾琳（Chloe Ayling）在義大利米蘭遭遇綁架，被帶到都靈附近的一個偏僻村莊，並被注射了麻醉藥。綁架者是一個名為「黑色死亡」（Dark Death）的暗網人口販賣團伙，他們最初向艾琳的經紀人勒索贖金，而後將她在暗網上公開拍賣，標出相當於30萬歐元的比特幣價格。幸運的是，艾琳只被關押了6天就被釋放了，綁架者聲稱他們發現艾琳有一個2歲的孩子，而他們的原則是不綁架母親。目前米蘭警察局已逮捕犯罪綁匪赫爾巴（Lukasz Herba），他已供認所有罪行。

全球最大暗網交易平台被封殺

上個月，美國司法部長傑夫•塞申斯（Jeff Sessions）宣布，他們已剷除全球最大的毒品、軍火、惡意軟體和其他非法物品交易的暗網平台「阿爾法灣」（AlphaBay）。自2014年創立以來，阿爾法灣的交易超過了10億美元。它聚集了約20萬個用戶和4萬個賣家，超過35萬種違禁物在售。有報道稱，阿爾法灣整體市場交易規模達此前被取締的暗網毒品市場的10倍之多。其創始人為加拿大籍電腦編程師亞歷山大•卡茲（Alexandre Cazes），他在泰國被捕後於獄中自殺。

勒索病毒比特幣交易

蔓延全球150多個國家和地區近20萬台設備的「勒索病毒」，最初發源於黑客在暗網中銷售的勒索軟體工具，使用者用其控制受攻擊的電腦文件，並勒索比特幣作為文件解密的贖金，贖金額為每人等值300美元的比特幣。比特幣正是當前暗網中秘密交易的流通貨幣，由於其目前處於監管空白地帶，而且對其來源的追蹤溯源難度非常大，因此可以確保交易者身份的匿名性，比特幣的使用也導致勒索病毒得以肆無忌憚地傳播、勒索贖金。iWeekly周末畫報，全球視野的精英數字媒體，1000萬用戶的移動閱讀之選提供iPad/iPhone/Android多平台下載。