4.Satori 的事情现在算完美解决了吗?
李丰沛:Satori的影响确实挺大的。12小时感染26万,报告发出去以后,很多其他安全公司纷纷确认我们看到的数量。每个人都看到说这个僵尸网络怎么这么大。ISP、运营商、DNS运营商他们自发地工作,花了两天,把控制端的域名和IP地址从僵尸网络控制者那里接管过来。
这并不算完美解决。他们可以接管主控的域名和 IP 地址主控,可以显著减缓僵尸网络发展;但是设备的漏洞仍然存在,而且已经有人知道如何做,可以以比较隐蔽的方式重新做一次。
5.再扫描一次,再做一个(控制端)域名就行了?
李丰沛:对,成本很低。
6.那怎么玩?打掉一个又长出来一个。
李丰沛:是。在网络空间做的这些措施,可以抑制减缓这个威胁,比如,攻击者下次不会大张旗鼓地扫,之前12小时扫到了 26万台设备,也许我们采取措施后,后来可以降低到12天扫26万台设备。但也是仅此而已,要归根结底彻底解决这个问题,需要执法机关的“肉体”打击,把嫌疑人关到监狱里。
对付小毛贼,可以用前面提到的网络安全空间的方式解决,但对付真正的江洋大盗,只能靠执法机关。国外银行机构会比较关注这件事,你只要攻击我一次,我一定把你弄到监狱,否则后面有无数人会来攻击我。哪怕你没有直接攻击我,你攻击了我的客户也不行。
结语
如果你曾密切关注华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215的进展,就会发现几天前,国内安全大牛 TK 在微博表示:“关于华为 HG532 远程命令执行漏洞(CVE-2017-17215),所有相关文章中都说厂商已经提供了补丁——写文章的同学们,你们真的看到补丁了?”随后,他称,华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215 可能比目前大家所看到的更危险。触发这个漏洞所利用的端口在默认配置下只能在内网访问,该漏洞完全可以通过 CSRF 远程利用。
这意味着,即使在现有的联合绞杀下,“ Satori”看似沉寂着,但事情远未结束——无论是李丰沛所说的“ Satori”可以轻易改头换面,还是TK 等人发现的该漏洞的新利用形式可引发的新威胁。
僵尸世界,一望无尽。
但还是有希望的。就如李丰沛所说的“有仇必报”的金融业案例——遭到僵尸网络攻击的金融业损失的是真金白银,所以金融机构一定会反击,结合线下打击,给这类攻击者产生了威慑力。
其他行业的受害者、安全从业者与执法机构如果“一追到底”,结果会不会不一样?
我们等待这个答案。
