感谢华为未然实验室的投递
在美国,任何方面的紧急情况都可以拨打911,民众对警察的依赖性也非常大,所以911报警电话对美国人民的重要性不言而喻。但是,一种可让911瘫痪的新型攻击已经出现,美国几位专家的研究解释了攻击者如何利用系统的漏洞发动攻击,证明了这些攻击可以对公共安全产生极其严重的影响。
近年来,人们对一种称为“拒绝服务”的网络攻击有了越来越多的了解,该种攻击可以导致网站流量超出负荷——流量通常由大量被黑客劫持并互相感染的计算机产生。这种情况一直在发生,并对金融机构、娱乐公司、政府机构乃至关键的互联网路由服务造成了影响。
可以对911呼叫中心发起类似的攻击。今年10月,一名18岁的黑客在亚利桑那州通过智能手机首次进行了此种攻击并因此被逮捕,他被指控针对本地911服务进行了电话拒绝服务攻击。要防止此类事件在更多地方发生,就需要了解911系统如何工作,及弱点在哪里——包括技术和政策方面。
了解拒绝服务
计算机网络有能力限制——其一次只能处理有限的流量和连接。如果超过负荷,新的连接便无法建立,电话线也是同样的道理。
因此,如果攻击者能够用恶意流量占用所有可用的连接,那么合法的信息(比如人们正常浏览网站或在真正的紧急情况下拨打911)便无法通行。
这种类型的攻击最常用的攻击方式是,将恶意软件传播到大量计算机上,感染计算机,然后远程控制计算机。也能以这种方式劫持智能手机(相当于小型计算机)。然后攻击者便可让恶意软件用海量流量淹没特定网站或电话号码,使其瘫痪。
很多互联网公司已经采取了重大措施来防止这种在线攻击。比如,谷歌公司使用Google Shield服务保护新闻网站免受攻击——使用谷歌庞大的互联网服务器网络过滤掉攻击流量,只放行合法连接。但是电话公司没有采取类似的行动。
认识911电话系统
1968年之前,美国各地采用自己的紧急服务电话号码。人们必须拨打特定的号码请求火警、警察或救护车服务,或者可以拨打“0”接通接线员,由接线员帮其转接。但是,这是不方便且危险的——人们记不住正确的号码,或因为人们只是访问某地区,所以不知道该地区的号码。
911系统作为一个更加通用和有效的系统便应用而生。911呼叫者与称为公共安全应答点的专门呼叫中心连接,该呼叫中心负责从呼叫者获得信息并分派适当的紧急服务。
这些呼叫中心位于全国各地的社区,每个都为特定地理区域提供服务。有些服务于个别城市,有些服务于更广泛的区域。当电话客户通过固定电话或移动电话拨打911时,电话公司的系统将呼叫转接到合适的呼叫中心。
为了更好地了解拒绝服务攻击如何影响911呼叫系统,美国的这几位专家创建了北卡罗来纳州911基础设施的详细计算机模拟,及整个美国紧急呼叫系统的通用模拟。
调查攻击的影响
在建立模拟之后,他们进行攻击,以了解系统有多脆弱。他们发现,仅感染6000(这一数量仅是该州人口的0.0006%)部手机便可显著降低911服务的可用性。
仅使用这一相对较少数量的电话,就可以有效阻止来自北卡罗来纳州20%的固定电话呼叫者和一半的手机客户。在他们的模拟中,即使人们回拨四五次也不能接通911接线员获得帮助。
在全国,同样的百分比(即只需劫持20万部智能手机)可产生类似的效果。但在某种意义上,这是一个保守的结果。美国国家紧急电话协会政府事务总监Trey Forgety在《华盛顿邮报》中回应了这些专家的研究结果,他称,“我们实际上认为,漏洞实际上比研究人员计算的更严重。”
政策使威胁更甚
如果在发生恶意呼叫时可以识别并加以阻止,那么就可以让此类攻击不那么有效。移动电话具有两种不同类型的识别信息。IMSI(国际移动用户识别码)是一个人要接通某电话所须拨打的电话号码。IMEI(国际移动识别码)用于跟踪网络上的特定物理设备。
可以设置防御系统来识别来自在给定时间段内进行了超过一定数量的911呼叫(例如在过去两分钟内进行了多于10次的呼叫)的特定电话的911呼叫。
但这提出了伦理问题——如果是真实的、持续的紧急情况,而有人在与调度员谈话时不断失去信号,这种情况该怎么办?如果他们回拨太多次,他们的呼救会被阻止吗?在任何情况下,接管了大量手机的攻击者都可以通过让其劫持的手机降低呼叫频率并通过让更多的个人电话呼叫来规避这种防御。
但是,确保公众可以获得紧急服务的联邦规则意味着这个问题可能无解。联邦通信委员会(FCC)1996年的一项命令要求移动电话公司将所有911呼叫直接转给紧急调度员。不允许手机公司检查正在致电的电话是否拥有已付费的活跃账户。他们甚至不能检查手机是否安装有SIM卡。FCC的规则很简单:如果任何人在移动电话上拨打911,那么必须将其连接到紧急呼叫中心。
从公共安全的角度而言,这条规则无可非议:如果某人正在经历(或见证)威胁生命的紧急情况,那么不应该因为他们没有支付自己的手机账单或者碰巧没有活跃账户就被阻止寻求帮助。
但这一规则在系统中打开了一个攻击者可以利用的漏洞。一个经验丰富的攻击者可以感染一个电话,让电话拨打911,但让电话报告未安装SIM卡。这个“匿名”电话报告没有身份、没有电话号码及没有拥有者信息。电话公司和911呼叫中心都无法在不阻止合法的呼叫求助的情况下阻止该呼叫。
现有的或可能的对策困难重重且有很大缺陷。其中很多涉及阻止某些设备呼叫911,这具有阻止合法呼叫求助的风险。但这些对策表明了可以在哪些方面通过进一步研究及研究人员、电信公司、监管机构及应急人员之间的合作取得突破。
比如,可以让手机运行监测软件,以防止其欺诈性呼叫911。或者,911系统可以检查来电的识别信息,并且优先考虑来自不试图隐藏自己的电话的呼叫。在此也希望有关专家能尽快找到保护911系统的方法,因为911可是肩负着保护所有美国人的使命。