第8章 獬豸的预感(1/1)
獬豸已经连续七天没有回家。他的办公室在网域巡捕总部大楼的第四十七层,房间不大,陈设简素得像个审讯室——一张铁灰色金属办公桌,一把人体工学椅,墙上嵌着三块并排的全息监控面板,角落里一台饮水机,冷水键坏了很久,只能出滚烫的热水。他喝热水的习惯就是在这间办公室里养成的,大夏天也端着冒白气的搪瓷杯,手底下的人觉得他有病,没敢说。
办公室里唯一能算得上私人物品的东西,是放在桌角的一个旧相框。相框里不是家人照片,是一张褪色的《瀛海市城市管理条例》扉页复印件,上面用钢笔写了一行字——“秩序不是善,秩序是善的前提。”笔迹很旧了。每个进过这间办公室的人第一眼看到那个相框都会以为里面是老婆孩子,凑近看清之后通常有两秒不知道该说什么。獬豸不在乎。
此刻他正站在那三块监控面板前面,搪瓷杯里的水已经不冒热气了。左手拇指无意识地摩挲着杯沿上一道细小的裂纹,眼睛盯着中间那块屏幕上的几组数据,一动不动站了至少有十分钟。
屏幕上的数据是过去七十二小时内龙吟系统自动标记的异常事件汇总,按时间轴排列——不是什么高危警报,全是低级别的、不成体系的零散信号。凌晨三点十七分,城东旧通信基站的地下光缆节点记录到一次未经授权的维护端口接入,时长二十四分钟,接入期间基站授时服务器的主干同步链路被短暂中断了四十七毫秒。凌晨四点零二分,锈带北变电站的高压侧开关柜控制回路记录到一次设备误报,霍尔传感器输出端电压在零点三秒内异常跳变了零点四伏。同一天下午一点五十分,全城物联网设备安全日志显示,过去两周内有超过一百八十万台智能设备通过厂商固件更新通道接收了同一批次的“安全补丁”,补丁的数字签名证书经查验是合法签发的——签发单位是龙吟系统自己的PKI管理后台,但去年就停用了,而运维日志里找不到任何对应审批记录。
这三件事各自单看都算不上什么大事。维护端口被碰一下不稀奇,锈带那些老旧变电柜误报个电流信号也不是头一回,物联网设备批量打补丁更是每天都有。但獬豸这个人有一个被下属称为“病态”的习惯——他不只看单条事件,他把所有没人管的低级别异常全部拉成清单,逐条比对时间戳,从中寻找被系统判定为“无关联”但事实上关联得整整齐齐的暗线。
凌晨三点十七分授时服务器被碰了一下。凌晨四点零二分锈带变电站有个传感器自己跳了一下。两周内一百八十万台设备被悄悄灌了补丁,数字签名的证书签发权限恰好与PKI后台那个“待处理”的漏洞报告吻合——那份报告在墨影残存信息库里的原件就是从他下属手里截获的,编号眼熟,几个月前曾在一次内部技术会议上被他的副官铁壁提过一嘴。铁壁那个对林劫穷追不舍的行动队长当时问要不要重启调查,被他自己否了。
此刻他把授时服务器异常、变电站传感器误报、固件补丁规模性推送三条线索叠在一起,又去翻看从墨影残存情报网截获的一些暗网言论。过去一个月暗网上有几条来源不明的加密帖子在讨论龙吟系统公共DNS的软件架构——不是那种黑客论坛里常见的炫耀贴,帖子里面的措辞和引用的技术文献显示出相当深的内部知识。发帖人的地理位置经过多级代理隐匿无法溯源,但发布的频率和风格已经被巡捕深度包检测系统打了标签。系统判定这些帖子是“低威胁等级的日常技术讨论”,但獬豸觉得更像是一个人在动手之前反复确认自己理解正确的那股子谨慎——不是炫耀,是核对自己没有遗漏任何细节,像外科医生术前翻病历。
三组DNS根节点同时遭到过载攻击的概率在系统安全评估中被标注为“极低”,因为这需要同时超载三个互为备用的服务器——不,不是极低,是需要同步率在三秒以内——不太可能,但刚好在理论边界之内。如果有人拿到了系统的精确授时,如果有人搭好了足够规模的流量来源,如果物理层的电网节点恰好同步跳闸制造出一个短暂的离线窗口……每一个“如果”套进下一层都像齿轮咬合一样严密。
他把搪瓷杯搁在桌上,按下通讯器。铁壁的响应一贯很快,快不是因为敬畏,是习惯。通讯器那头传来他一贯没情绪的声音:“在。”
“最近四十八小时内的低级别异常报告,全部调到主屏。把舆情监控小组的实时数据也接进来。让网络安全部门把固件更新的日志全部重新过一遍,不要系统自动过的,用人眼。”
铁壁顿了一下,显然在盘算这意味着多大的工作量。但他没问为什么,只说了个“好”就切断了通讯。
獬豸在办公室里来回踱了整整一个小时。他甚至调出了龙吟系统最近几周所有关于物联网设备异常的统计图表——设备离线率和固件版本分布。离线率在几周内比基线高了百分之零点三,单独看不构成任何警戒阈值,但把数字放到一张图上和几年前数据库里某次僵尸网络事件的先例叠在一起看的时候,那条上升曲线的增长斜率几乎完全吻合。
凌晨两点钟的时候,所有舆情监控的实时数据陆续汇集到屏幕上。从主城区网络论坛中抓取到的关键字频率开始上升——用户抱怨最近家里的智能设备动不动就不响应,甚至有人的冰箱半夜突然自己重启了。还有车主发帖说车载系统在导航的时候莫名其妙跑偏,地图定位频繁提示授时服务异常,重启之后又恢复了。这些抱怨零零星星,还不足以被官方媒体注意,但分布在主城区不同区域、不同运营商、不同设备型号上的投诉在几小时内陡然增加了,密度远高于正常基线。用系统自动归类的话会认为这是“偶发性的网络波动”,但獬豸把这些投诉的发生时间放在时间轴上,发现它们和那批固件补丁的推送节点分布几乎完全重合。
他站住脚,拿起通讯器:“铁壁,把现阶段所有已知的公共DNS异常上网波动曲线和出行模式发到我终端。再把近三年每季度举行的联合反恐演习记录调出来。”
反恐演习记录和网域巡捕的日常好像扯不上关系,但獬豸有一条自己的逻辑——演习是最容易暴露系统薄弱环节的时机,因为演习期间各部门会故意关掉几组备份服务器来测试压力极限,这些测试结果事后被归档封存,无人问津。如果有人想针对龙吟系统的基础结构动手,他一定会从这些测试数据中寻找突破点。
他的手指在控制面板上滑动着,数据一排排地滚过去。当年那些测试数据里,有几组数字他很熟悉——某次模拟中备用电源的切入时间被人为设置了一个延迟,那次模拟的结果是主城区几个医院在短短几秒内出现了设备失压。那组数字让他几个月前在一次技术会议上否决了铁壁所有关于进一步排查PKI后台漏洞的请求——他当时对铁壁说,“这个先不急”。
但现在所有的节点——固件补丁、僵尸网络、信号误报、时间校准、物理节点、甚至博士那个“绿波”项目残留的交通信号模拟数据——都像被人用一根看不见的线穿在了一起。每一环单独看都只是技术上的一处疏忽,但整套拼图放在一起,答案只有一个。
有人在准备一场对龙吟系统的全面攻击。
獬豸把搪瓷杯里早已冷透的水一口喝完,水里有股金属味,是杯壁上那层搪瓷掉了一小块之后露出来的铸铁锈味。他把通讯器换到全频道广播模式,对着所有单位下令:全体进入一级战备状态,取消轮休,所有休假人员二十四小时内归队。无人机编队预位,交通枢纽加强巡检,应急通讯备用线路每两小时测试一次,各级指挥系统从待机模式切换至战斗值班。
挂断通讯之后,屏幕上的数据还在无情地跳动。每一条低级别的异常都在叠加,每一条都在加深他的判断——但他仍然不知道攻击会从哪个方向、在哪个时间点以什么形式发动。他只知道一件事:那根绷了太久的绳子,剪刀已经抵上去了。空气里弥漫着一股生铁锈的味道。