你的Safari浏览器被“锁”了吗?千万别付赎金,升级iOS 10.3即可

前两天苹果发布了最新的iOS 10.3更新,这次更新修复了不少安全问题,其中包括对移动端Safari对JavaScript弹出窗口的处理方式的改变。前不久,Lookout发现攻击者正在利用这种处理方式对苹果用户实施勒索,其目标主要是那些在网上找色情内容,和想要非法下载盗版音乐和其他敏感信息的人。你中招了吗?

“漏洞”说明

在本次攻击中,诈骗分子滥用了移动端Safari的弹窗处理方式,通过反复弹窗,让用户无法使用Safari浏览器,除非该用户以iTunes礼品卡的形式向诈骗分子支付赎金。诈骗分子通过这种方式成功“锁定”一个Safari浏览器之后,还会给用户提示各种威胁、恐吓的勒索信息。

不过这种“勒索”程序其实很容易“解锁”,只需要在iOS设置中将Safari浏览器的缓存删除即可。诈骗者其实根本没有向一般的勒索程序那样加密数据,他们的目的就是恐吓受害者支付赎金。

Lookout上个月首次发现这种攻击,他们将发现的相关细节上报给了苹果,包括涉及诈骗活动的多个网站和攻击原理,并强调了经常更新手机服务的重要性。

首次发现

就在今年2月,一位使用iOS 10.2的用户向Lookout反应,他在使用Safari浏览器访问某家网站之后,Safari就彻底失控了,并发给Lookout两张截图。截图有两部分内容,最直观的就是一条来自pay-police.com网站的提示信息“Cannot Open Page”,据受害者反应,他每次点“OK”之后还是提示“Cannot Open Page”,显然网址日志陷入了无限循环,结果就是用户无法正常使用浏览器。还有一部分就是背景部分的勒索信息。

Screen-Shot-2017-03-27-at-3.19.19-PM (1).png

“你的设备已经被锁…”以及“…快支付价值100磅的iTunes礼品卡”,威胁用户支付赎金

移动端Safari弹窗的弊端

如前文所述,攻击者就是利用Safari针对弹窗的处理方式来欺骗受害者,声称“你的Safari已经被我锁了”,并向受害者索要赎金。这种攻击方式并没有突破Safari浏览器的应用沙盒,也没有利用什么exploit代码——这和那些复杂攻击方式完全不是一个层级。

攻击者注册类似police-pay这样的域名,其实是为那些整天找“特定类型内容”的用户准备的,这里的特定类型可能是色情内容,当然也有可能是盗版音乐网站。为了更高效地拿到赎金,他们恐吓受害者以明确的物品来充当赎金,就比如等值iTunes礼品卡。

经分析,诈骗分子的攻击代码似乎针对较老的iOS 8版本开发的,苹果直到iOS 10.3才修复了这个浏览器缺陷。其实“锁”住浏览器的就是一串触发弹窗的无限循环代码。由于iOS 10.3浏览器采用每个标签独立运行的方式,因此在iOS 10.3中单个标签弹窗不会锁住整个浏览器,用户可关闭该标签或移动到另一标签解决被无限弹窗的问题。

快速修复

在获取iOS 10.3更新之前,受害者还可以通过以下方法解“锁”,设置>Safari>清除历史和网页数据;再次启动Safari的时候,勒索消息就消失了。

image00-576x1024.jpg

调查勒索行为

从下面这条指令可以看出,此次攻击利用JavaScript代码是对早期攻击的再利用。

“saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29”

一家俄罗斯网站上曾介绍过这种攻击,JavaScript中包含一些专门将UserAgent string匹配到老版本iOS的代码。

“’Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’”

攻击代码会创建一个弹窗,并无限循环,除非受害者支付赎金。赎金支付可以通过将iTunes礼品卡号发给勒索网页显示的电话号码完成。后续版本的iOS系统中,弹出错误窗口对话框实际上是因为移动版Safari无法找到本次URL查询,不过由于无限循环代码,攻击代码还是会持续弹出错误日志信息。值得一提的是,JavaScript代码被混淆,在分析员的还原之下,发现了它的真实目的。比如,在pay-police[.]com域名的JavaScript代码中,攻击者以十六进制混淆了他的攻击代码。

这种攻击在新版本的iOS中可能会导致浏览器DOS(拒绝服务)。

image03.png

在执行混淆代码之前该网页代码还会运行下面这个脚本

<script type=”text/javascript”>navigator.__defineGetter__(‘userAgent’, function () { return ‘Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’; });</script>

该组织在本次勒索行动中购买了大量域名来吸引用户点进他们设好陷阱的网站,以收取更多赎金。

Lookout研究员还在下列URL中发现相同的恶意JavaScript代码

hxxp://x-ios-validation[.]com/us[.]html

hxxp://x-ios-validation[.]com/ie[.]html

hxxp://x-ios-validation[.]com/gb[.]html

hxxp://x-ios-validation[.]com/au[.]html

hxxp://x-ios-validation[.]com/nz[.]html

每个网站的勒索信息都不同,且针对的对象包括全球不同地区,每个网站各关联一个联系邮箱。可以看出这是一起针对全球范围的钓鱼活动。

各payload对应的钓鱼域名和邮箱地址

U.S.: us.html networksafetydept@usa[.]com

Ireland: ie.html justicedept@irelandmail[.]com

UK: gb.html cybercrimegov@europe[.]com

Australia: au.html federaljustice@australiamail[.]com

New Zealand: nz.html cybercrimegov@post[.]com

*参考来源:lookout,FB小编bimeover编译,转载请注明来自Freebuf.COM0day

通过BSSID和无线流量传输后门Payload

本文将探讨无线接入点(AP)和BSSID(MAC地址AP)。我们不借助文件系统加密和文件系统中(仅内存中)的硬编码Payload即可获得后门Payload,通过该方法可绕过所有的杀软,可以不使用Payload加密而在网络流量(本文中是无线流量)中传输Meterpreter Payload。

攻击者可通过为伪造AP更改BSSID(循环更改)执行此攻击,这意味着通过更改BSSID和将后门Payload逐步注入BSSID(伪造AP的MAC地址)就可以实现这一点。在客户端受感染系统(后门系统),可以在不经用户密码连接到伪造AP的情况下通过扫描AIR上的接入点MAC地址(BSSID)来转储这些Payload。因此,Payload的传输是由Wifi设备进行的,比如wlan(无线流量),在我们的例子中,通过扫描AIR上的BSSID而转储Payload后,是由Ethernet网络建立的Meterpreter会话进行(不使用Wifi /无线设备)。

因此结果是,恶意软件代码或本文中所述的简单的后门代码能以静默方式(本文中为Wlan)使用你的WIFI设备传输/转储Payload,最后可以用简单的C#代码获得meterpreter会话。

在我们的方案中,我们只在传输Payload(第1步)时使用Wifi设备,然后通过扫描Wifi设备MAC地址(BSSID)来转储这些Payload,然后我们的后门将通过eth0或以太网卡建立Meterpreter会话,因此在这个阶段(第2步),我们使用不借助WIFI设备的网络流量来建立Meterpreter会话。

注意:如果你想只通过WIFI设备实现这些(第1步和第2步),我们认为这在技术上是可行的,我们尚未对此进行测试,所以尚不确定。

这一方法的重点是什么?

重点是:恶意软件或后门Payload注入到WiFi设备的BSSID并通过无线流量传输是可以实现的。

扫描从伪造AP注入到BSSID的Payload,步骤

比如,我们要传输以下Payload:

“fec8b00011ddc00945f1”

第1:攻击者系统伪造一个名为“Fake”的接入点,MAC地址为00:fe:c8:b0:00:11

l 注意:Mac地址00:fe:c8:b0:00:11是我们注入的Payload,因此我们的Payload是“fec8b00011”

l 这部分的Payload是“fec8b00011ddc00945f1”

第2:后门系统扫描Essid“Fake”并转储BSSID

l 注意:你的后门代码应该转储这些部分的BSSID或Mac地址fe:c8:b0:00:11 ==> fec8b00011

第3:攻击者系统伪造一个名为Fake”的接入点和Mac地址00:dd:c0:09:45:f1

l 注意:Mac地址00:dd:c0:09:45:f1是我们注入的Payload,因此我们的Payload是“ddc00945f1”

l 这部分的Payload是“fec8b00011ddc00945f1

第4:后门系统扫描Essid “Fake”并转储BSSID

l 注意:你的后门代码应该转储这些部分的BSSID或Mac地址dd:c0:09:45:f1 ==> ddc00945f1

经过这两步的扫描后,你将在被感染系统(后门系统)中获得Payload fec8b00011ddc00945f1

现在你可能已了解了该方法的工作原理,下面我们将通过linux端命令作进一步说明(第1步和第3步)。

接下来是通过命令伪造AP。

可选命令:在创建Wlan0mon之前更改无线网卡的TXPower,这些命令可以帮助你伪造更好的AP信号,所以如果需要你可以手动使用该命令。

图1.png

l 注意:在通过airmon-ng创建Wlan0Mon之前应该使用这些命令,这些命令是可选的(不是必需的)

创建无线网卡的监视模式是伪造AP的重要步骤

使用命令“airmon-ng start wlan0”,你可以为Wlan0创建“Wlan0Mon”(监视模式)。

注意:你可以手动运行此命令仅一次,或者可以在script1.sh文件中使用此命令一次,如步骤(cmd 1-1)所示。我们是在攻击者端手动使用。

第1:攻击者系统伪造一个名为“Fake”的接入点和Mac地址00:fe:c8:b0:00:11

l 注意:Mac地址00:fe:c8:b0:00:11是我们注入的Payload,因此我们的Payload是“fec8b00011”

cmd1-1: airmon-ng start wlan0

l 注意:创建Wlan0Mon(监视模式)

cmd1-2: airbase-ng -a 00:fe:c8:b0:00:11 –essid “Fake”-I 10 -0 wlan0mon

l 注意:你需要让该伪造AP保持15秒,这样你可在15秒后通过killall命令在(cmd 1-2)中杀死这个命令

cmd1-3: sleep 15

cmd1-4: killall airbase-ng

第2步:(无关紧要,所以作者省略了第2步)。

第3:攻击者系统伪造一个名为“Fake”的接入点和Mac地址00:dd:c0:09:45:f1

注意:Mac地址00:dd:c0:09:45:f1是我们注入的Payload,因此我们的Payload是“ddc00945f1”

cmd3-1: airbase-ng -a 00:dd:c0:09:45:f1 –essid “Fake”-I 10 -0 wlan0mon

注意:你需要让该伪造AP保持15秒,这样你可在15秒后通过killall命令在(cmd 3-1)中杀死这个命令

cmd3-2: sleep 15

cmd3-3: killall airbase-ng

从这些步骤可以看到,我们应该使用这些命令,但对于airbase-ng我们有很大的问题。

哪里有问题?

步骤(cmd 1-2)到(cmd 1-3)有问题

在步骤(cmd 1-2)后,你不能停止该airbase-ng命令,只是使用ctrl + c或杀死这个命令,你可以将其停止。所以在我们杀死该进程一次前我们的bash脚本总是停在步骤:(cmd 1-2)。

为解决该问题,我们的解决方案是为这些步骤使用2个bash脚本文件:

l 第一个是用于步骤(cmd1-2和cmd 3-1)的bash脚本文件“Script1.sh

注意:你可以在此bash脚本的第一行中添加一次步骤(cmd 1-1)或手动完成一次。我们是手动执行了(cmd 1-1)一次。

l 第二个bash脚本是步骤(cmd 1-3&cmd 1-4&cmd 3-2&cmd 3-3)的“Script2.sh

所以我们应该首先运行bash脚本“Script1.sh”,然后应该立即或2-3秒后运行bash脚本“Script2.sh”。

所以我们拥有的文件是:

Script1.sh文件:

图2.png

Script2.sh文件:

图3.png

注意:你可以在bash脚本“Script2.sh”文件中使用循环命令,比如( for )。

如图A所示,我们有用于将Meterpreter Payload注入到BSSID的script1.sh文件。

图4.png

图A

从图A中可以看到,我们的MeterpreterPayload从第3行开始。我们的Meterpreter Payload是510字节。

在这种情况下,使用airbase-ng命令,你可以向我们的名为“Fake”的伪接入的BSSID注入5字节的Payload。

因此我们应该有102行用于通过airbase-ng命令将所有Payload注入BSSID。

102 * 5= 510字节

注意:每个BSSID包含5个字节的Payload。

图5.png

在这种情况下,应将两个BSSID MAC地址添加到该script1.sh文件。

从图A中可以看到,我们的脚本的第2行有MAC地址00:ff:ff:ff:ff:ff,这个Mac地址或BSSID是启动攻击和向感染系统传输流量的标志,从图B中可以看到,该文件的结尾应该是BSSID {00:ff:00:ff:00:ff}。

图6.png

BSSID注入循环:更改BSSID(102 + 2)= 104次。

图7.png

图B

你还可以看到第二个脚本script2.sh文件,如图C所示。在这个文件中,你可以使用循环命令,比如(For),或者如图C所示操作。

图8.png

图C

在文件“script2.sh”中,你应该杀死airbase-ng至少104次。

接下来我们通过工具NativePayload_BSSID.exe逐步解释这一方法

步骤:

第0步:创建Wlan0mon(监视模式)。

语法:airmon-ng startwlan0

图9.png

第1:你可以用这个命令为你的后门创建一个Payload:

图10.png

第2:在该步骤中,你应该在payload.txt文件中将Payload的格式从“\xfc\x48\x83\xe4”替换为“fc4883e4”。

你可以使用该工具的 “帮助”来显示所有语法,如图1所示:

图11.png

图1

现在你应该复制你的Payload字符串,并通过切换NativePayload_BSSID的NULL粘贴,如图1-1所示:

图12.png

图13.png

图1-1

现在你应该将所有这些行复制到一个bash脚本,比如“script1.sh”文件。

注意:仅将airbase-ng命令行复制并粘贴到script1.sh文件

在这种情况下,这些行应该是102行+2 = 104行

如图A所示,你应该在脚本的第一行手动添加“#!/bin/bash”,因此该文件中应该有105行。

第3:在这一步,你应该在Linux端运行此Script1.sh。

更改chmod并运行此脚本,如图2所示:

图14.png

图2

第4:在这一步,你应该创建script2.sh并更改该脚本的chmod,但不需要在这一步运行该脚本,如图3所示。

图15.png

图3

l 注意:你应该如图C所示手动创建该bash脚本。

第5:在这一步,你应该运行你的后门,即NativePayload_BSSID.exe工具,从图4可以看到,我们为IP地址192-168-1-50在kali linux中创建了Meterpreter监听器,“script1.sh”成功执行。

因此第5步中的步骤有:

步骤AA:Meterpreter监听器执行(linux)

步骤BB:运行script1.sh(linux)

步骤CC:运行后门“NativePayload_BSSID.exe”(Windows)

步骤DD:运行script2.sh(linux)

步骤CC:这时候应该使用如图4所示的语法执行后门NativePayload_BSSID

图16.png

我们在script1.sh中的ESSID是“Fake”,因此正确的语法是:

图17.png

如图4所示,步骤AA、BB及CC获得执行

图18.png

图4

从图4可以看到,后门被用户“u1”执行,然后应该运行“script2.sh” (步骤DD),如图4所示。

此时后门代码尝试扫描AIR上的ESSID“Fake”,然后转储“Fake” 接入点的BSSID,因此,从图4可以看到,我们的代码转储了BSSID “00:ff:ff:ff:ff:ff”四次,该BSSID是启动攻击和传输Payload的标志。

因此我们在AIR上的步骤如下:

图19.png

接下来应该运行script2.sh(步骤DD)

每运行Script2.sh 15秒后,该脚本将从Script1.sh文件中杀掉一个Airbase-ng命令。

因此,在这一步的AIR上,在运行Script2.sh后,我们有以下步骤:

图20.png

如图5所示,我们的后门在运行“script2.sh”文件后尝试转储BSSID

图21.png

图5:通过BSSID和无线流量传输后门Payload

如图6所示,你将在30分钟后获得meterpreter会话。

图22.png

图6

可以看到,通过我们的C#代码创建了Meterpreter会话,2017版卡巴斯基杀毒软件一次又一次绕过了该方法,最终meterpreter会话成功创建。

注意:从图7可以看到,我们的代码在15秒的延迟后创建了Meterpreter会话,该延迟是由我们的代码导致的。所以,通过我们的代码检查该方法后可知,在转储所有payload后,你应该等15秒,然后你将获得Meterpreter会话。

图23.png

图7

总结

你的无线设备总有漏洞,因此你应该考虑以下威胁:

1. 恶意软件或后门Payload注入到WiFi设备的BSSID并通过无线流量传输是可以实现的。

2. 如果你想为你的客户端和网络基础设施使用WIFI设备,你应该考虑这些威胁。

3. 在该方法中,在开启无线网卡之前你的受感染的系统总是脆弱的,即使开启了无线网卡,攻击者也可能通过手机或伪造AP攻破你的客户端。

4. 在我们的例子中,我们的后门尝试扫描用于转储BSSID的ESSID(比如“Fake”),因此,该流量将以非常缓慢且静默的方式工作。

5. 你的防病毒软件无法检测到,你的LAN/WAN中的防火墙也绕过了这个,因为没有任何流量通过这些基础设施,在我们的例子中,流量是受感染系统无线网卡和AIR上攻击者系统无线网卡之间的直接流量。另外,由后门转储Payload后,我们将有从受感染系统向攻击者系统的经由LAN/WAN的Reverse_tcp Meterpreter会话(不用无线网卡),因此,我们有从后门系统向互联网或局域网中的攻击者系统的传出流量,该流量在大多数情况下不会被windows防火墙等阻止。

C#源代码:https://github.com/DamonMohammadbagher/NativePayload_BSSID

演示视频:https://youtu.be/W0dJGln3tls

参考来源:https://www.linkedin.com/pulse/transferring-backdoor-payloads-bssid-wireless-traffic-mohammadbagher?trk=mp-reader-card

咨询作者后的回复:

第二步省略.png

*本文作者:华为未然实验室,转载请注明来自Freebuf.COM0day

利用背景流量数据(contexual flow data) 识别TLS加密恶意流量

识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等。来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“dataomnia”),不需要对加密的恶意流量进行解密,就能检测到采用TLS连接的恶意程序,本文就该检测方法进行简要描述,主要参照思科在AISec’16发表的文章《IdentifyingEncrypted Malware Traffic with Contextual Flow Data》[1][2][3]。

一、 主要思想

屏幕快照 2017-03-21 下午5.42.05.png

图1 TLS加密恶意流量检测流程

首先,分析百万级的正常流量和恶意流量中TLS流、DNS流和HTTP流的不同之处,具体包括未加密的TLS握手信息、TLS流中与目的IP地址相关的DNS响应信息(如图2)、相同源IP地址5min窗口内HTTP流的头部信息;然后,选取具有明显区分度的特征集作为分类器(有监督机器学习)的输入来训练检测模型,从而识别加密的恶意流量。本方法区别于已有研究方法的地方就是利用TLS流相关背景流量信息(包括DNS响应、HTTP头部等)辅助加密恶意流量检测。

图片2.png

图2TLS流和背景DNS流量

(红色数据用于链接TLS流和DNS流、绿色数据表示背景信息、未标记颜色的数据表示TLS未加密的头部信息)

二、流量数据采集

思科研究人员自己写了一款基于libpcap的通用工具,用于分析并提取捕获到的数据流(恶意流量和正常流量)的数据特征,包含clientHello,serverHello, certificate和clien-tKeyExchange等信息。

1.   恶意流量

采集环境:ThreatGRID[4],一种商业的沙箱环境,提供恶意软件分析功能

采集时间:2016年1月-2016年4月

说明: 沙箱环境接受用户提交(usersubmissions),每个用户提交允许运行5min,所有的网络活动被记录用于分析。

2.   正常流量(DMZ区流量,本文认为该区域包含少量的恶意流量)

采集环境:某大型企业网络的DMZ区某5天的数据量

采集时间:2016年4月

三、流量数据特征

文中对恶意/正常流量中TLS流及背景流量信息(DNS响应信息、HTTP头部信息)进行统计分析,寻找恶意流量和正常流量中具有明显区分度的数据特征以及相应特征值的规律性。

1.   TLS握手信息:

选取拥有完整TLS握手信息的TLS流作为研究对象,通过分析TLS握手信息发现,恶意流量和正常流量使用的加密套件(ciphersuites )、支持的扩展(extensions)等方面有很大不同,详见表1。

表1 恶意流量与正常流量TLS握手信息区别

屏幕快照 2017-03-21 下午6.00.23.png

2.   DNS响应信息:

通过选取和目的IP地址相关的包含DNS响应信息的数据流作为研究对象,提取响应的域名信息进行分析。DNS域名信息也可以从SNI(Server NameIndication)扩展和SANs(subjectalternative names)中得知,但由于TLS版本信息等原因,这些字段有时候是不存在的。

通过分析数据发现, 恶意流量与正常流量的区别主要表现在: 域名的长度、数字字符及非数字或者字母(non-alphanumericcharacter) 的字符占比、DNS解析出的IP数量、TTL值以及域名是否收录在Alexa网站等。

域名的长度:正常流量的域名长度分布为均值为6或7的高斯分布(正态分布);而恶意流量的域名(FQDN全称域名)长度多为6(10)。

数字字符及非字母数字(non-alphanumericcharacter) 的字符占比:正常流量的DNS响应中全称域名的数字字符的占比和非字母数字字符的占比要大。

DNS解析出的IP数量:大多数恶意流量和正常流量只返回一个IP地址;其它情况,大部分正常流量返回2-8个IP地址,恶意流量返回4或者11个IP地址。

TTL值:正常流量的TTL值一般为60、300、20、30;而恶意流量多为300,大约22%的DNS响应汇总TTL为100,而这在正常流量中很罕见。

域名是否收录在Alexa网站:恶意流量域名信息很少收录在Alexatop-1,000,000中,而正常流量域名多收录在其中。

3.   HTTP头部信息:

选取相同源IP地址5min窗口内的HTTP流作为研究对象,通过分析HTTP头部信息发现,恶意流量和正常流量所选用的HTTP头部字段有很大区别。详见表2。此外,正常流量HTTP头部信息汇总Content-Type值多为image/*,而恶意流量为text/*text/html、charset=UTF-8或者text/html;charset=UTF-8。

表2 恶意流量与正常流量HTTP头部信息区别

屏幕快照 2017-03-21 下午6.02.22.png

四、建模分类

1.   实验数据集

选取拥有完整TLS握手信息且有DNS响应和HTTP头部信息的数据流进行分析建模。

选取的特征值包括两部分(这里不赘述数据特征的表示方法,详见论文):

(1)  可直接观测到的元数据:包长度、包到达间隔时间以及字节分布。

(2) 第三章节提到TLS握手信息及对应的背景流量包含的数据特征,包括ciphersuites、extensions、publickey length等。

分析工具:Python 和 Scikit-learn[5]

2.    实验过程:

本文利用10折交叉验证(10-foldcross-validation)和l1正则化的逻辑回归算法(l1-logistic regression)来进行分类(即判断加密流量是否是恶意的)。文中也针对不同数据特征的组合的分类结果进行了统计(图7-Table 1),可以发现利用背景流量信息进行分类的模型不仅准确率会更高,而且参数会更少(根据交叉验证形成模型参数平均计算可得)。

图7中Table 2 列出了对判别正常流量和异常流量影响权重比较大的数据特征。这些特征很容易解释为什么网络流是恶意的或者是正常的,例如绝大多数的恶意流量样本不会和排名top-1,000,000的网站进行通信。

屏幕快照 2017-03-21 下午5.49.58.png

图3 实验结果分析

文中提到,使用FDR(伪发现率,FalseDiscovery Rate)作为假设检验错误率的控制指标(FDR不超过0.00%)。

我们收集的特征数据除了用于构造机器学习模型之外,还有其它的一些启示。

1.    Client端的client-hello中的SNI与sever端的certificate中包含的SAN都表示服务器主机名,两者的差异性可以用于恶意流量检测;

2.    HTTP流中的User-Agent和从TLS流中ciphersuites和advertisedextensions推测出的User-Agent的差异性也可以用于恶意流量检测。

3.   实验验证:

为了防止过拟合,除了上面提到的交叉验证方法之外,我们额外收集了2016年5月这个月期间相同企业网络中DMZ区的流量,用第五章节训练形成的模型来进行验证。从Table 3中可以看到,结合TLS流的背景流量信息DNS响应和HTTP头部信息进行分类的效果最好,即报警数最少。当l1-logistic regression classifier的阈值(Probabilityof malicious)为0.95时,该分类器只有86个报警(包括29个独立目的IP地址和47个独立的源IP地址),其中有42个报警看似是“误报”。经过分析发现,这些“误报”中,主机是一直和Goolge和Akamai服务器通信,但是从该TLS流的背景流量HTTP流(contexualHTTP)中发现,其与可疑域名进行通信(HTTP中的Host字段),经VirusTotal确认,有50%的反病毒引擎认为和该域名相关的可执行程序是恶意的,这也进一步说明了该模型的有效性。

屏幕快照 2017-03-21 下午5.48.09.png

图4 实验数据验证

五、参考文章

[1]  Identifying Encrypted Malware Traffic withContextual Flow Data http://dl.acm.org/citation.cfm?id=2996768

[2]  不解密数据竟也能识别TLS加密的恶意流量?http://www.freebuf.com/news/108628.html

[3]  传输层安全协议抓包分析SSL/TLS http://www.freebuf.com/articles/network/116497.html

[4]  Cisco AMP Threat Grid  http://www.threatgrid.com , 2016.

[5]  F. Pedregosa, G. Varoquaux, A. Gramfort, V. Michel, B.Thirion, O. Grisel, M. Blondel, P. Prettenhofer, R. Weiss, V. Dubourg, J.Vanderplas, A. Passos, D. Cournapeau, M. Brucher, M. Perrot, and E. Duchesnay.Scikit-learn: Machine Learning in Python. JMLR,12:2825-2830, 2011.

*本文作者:ArkTeam/Ariel,转载请注明来自Freebuf.COM0day

IBM网络安全报告:2016年新漏洞上万、泄露40亿条记录

新报告显示,网络犯罪正在变得越来越明目张胆。与 2015 年相比,2016 年的记录泄露数量激增 556%,达到了 40 亿条。据 IBM 2017 X-Force 威胁情报索引,除了 40 亿条记录泄露,去年还有上万软件漏洞被记录在案,达到了该机构 20 年来的最高值。这份报告还分析了网络犯罪趋势,其中过包括蹿升的垃圾消息。IBM 数据显示,去年垃圾信息量增长达 400%,其中 44% 含有恶意附件,其中大多数为勒索软件。

IBM网络安全报告:2016年新漏洞上万、泄露40亿条记录-E安全

实际上,85% 附件均为此类试图锁定用户计算机、然后通过解密密钥的方式进行敲诈的恶意软件。

2016 年的另一大转变是针对非结构化数据的攻击趋势,攻击者们撬走了成千上万 GB 的电子邮件存档、文档、知识产权、以及源代码等信息。而前些年的数据泄露多聚焦于各种结构化信息集,比如信用卡数据、密码、个人医疗健康信息等。

IBM Security 威胁情报副总裁 Caleb Barlow 表示:“2016 年的网络犯罪在‘持续创新’,我们见到讨人嫌的勒索软件发展成了传染病,同时去年破损的记录达到了历史最高点,我们见到了这种转变”。

网络犯罪分子们的首要攻击对象是金融机构,其次是医疗保健(2015 年的头号受影响领域);2016 年的时候,仅有 1200 万的医疗记录被泄露,而前一年则是 1 亿条。第二大被攻击对象是政府机构,其有 3.98 亿条记录被泄露。0day

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

自特朗普上任以来,他就继承了全世界最强大的间谍机器,这个狭隘且报复心强的人,将会如何利用这个原本就存在权力滥用的复杂间谍组织,非常令人不安,而他与硅谷投资大佬Peter Thiel私交甚笃的关系,也让人对这种局面难以想像。作为硅谷唯一支持并出资协助川普竞选的投资界人士,Peter Thiel和他创建的公司Palantir虽然符合特朗普喜好,但充满争议。Palantir长期为政府提供各类大数据分析挖掘服务,近期,据Theintercept网秘密获取的一批文档显示,Palantir一直致力于推动美国国家安全局(NSA)和其国际合作伙伴的全球信息收集网络建设。以下是Theintercept的深入报道:

关于Palantir和Peter Thiel的政治立场

Palantir公司是由Facebook早期投资人、PayPal联合创始人Peter Thiel,和其他四人联合创立的,其中包括现任CEO的鬼才哲学博士Alex Karp。公司早期投资来自CIA旗下的In-Q-Tel风投基金。

Palantir最为人称道两个案例:一是在美国追捕本拉登行动中,Palantir扮演了重要的大数据情报分析角色;二是Palantir协助多家银行追回了纳斯达克前主席麦道夫Bernie Madoff所隐藏起来的数十亿美元巨款。

Palantir本意是《指环王》里那个能看到看到一切穿越时空的水晶球,在《指环王》里,这个球为进入中土世界的其他地方提供一扇窗户,是精灵们创造的魔法工具。

Palantir公司的早期产品理念完全来自于Peter Thiel,公司产品专注于大数据挖掘、处理和可视化分析显示,通过海量数据的整合处理,将特定的人、位置、实体和活动进行关联分析,最终使关系可视化,方便决策判断。

2015年12月,Palantir完成了震惊创投界的8.79亿美元融资;2016年11月25日,Palantir又完成了不明投资方的新一轮2000万美元融资,目前,公司估值远超200亿美元。

Peter Thiel(彼得·蒂尔):硅谷教父级风险投资家,PayPal创始人、Facebook早期投资者、谷歌风险投资人、对冲基金Clarium Capital总裁,是Palantir的共同创建者,著有畅销书《Zero to One》。去年美国大选期间,在整个硅谷都支持希拉里的情况下,Peter Thiel与众不同,不但出资支持特朗普,还在后期加入了特朗普的政府过渡团队。不过,对于晕头转向的新总统来说,Thiel最能提供支持的估计还是他与Alex Karp和Joe Lonsdale于2004年共同创立的公司Palantir Technologies。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

Palantir与政府情报机构的深度合作

在与美国政府的合作方面,Palantir从未掩饰过它的商业野心,要知道,CIA旗下风投公司In-Q-Tel曾是Palantir的早期投资方。据报道,Palantir2009年与联邦政府签署了高达12亿美元的合同,而Palantir却一直拒绝公开其政府客户信息。在市值高达200亿美金的现在,Palantir还将继续寻求新一轮IPO。2012年的TechCrunch采访中,在谈及与情报界的特殊关系时,Palantir董事Alex Karp以保密协议为由拒绝谈论政府业务。

Palantir这个名字是Thiel取的,来源于《指环王》剧中能穿越时空、看到一切的水晶球Palantiri(Palantir的复数形式),它可以帮助魔王索伦监视、跟踪和威胁对手,而这也代表Palantir产品的初衷:从海量数据中找到事物之间的关联信息。Palantir公司现有两大主打产品——Palantir Gotham和Palantir Metropolis,Gotham主要用于情报、执法和国防安全领域,Metropolis用于金融领域相关的银行诈骗和对冲基金定量数据分析。Gotham通过对结构化数据(如电子数据)和非结构化数据(如图像)的高度集中化分析,得到可视化的关联线索信息,如2010年的一个视频显示,利用Palantir Gotham平台,导入武器装备批号、制造商信息、真主党训练营地等分散数据,就能快速地绘制出中东地区武器流向图。Palantir极具吸引力的特点在于,它不是单一的数据解决方案,其强大的灵活性和兼容性,足以适应任何组织机构对海量数据的处理需求。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

尽管手握利润丰富而又阴暗的政府合同,但对于存在争议的政府监控项目,Palantir董事长Alex Karp似乎也毫不回避自己的立场。在2013年的福布斯采访中,他大打隐私牌,表明“政府不应该知道一个人抽了根大麻或者有婚外情这样的事情。在这方面,我们必须要保护自己不受政府监控,这样我们才能放心成为我们希望成为的那种独特、有趣以及古怪的人。”,同样的观点,Peter Thiel也指出,Palantir的公司宗旨是“减少恐怖主义以保护公民自由”。Snowden泄密事件爆发后,由于Palantir旗下有一款名为Prism软件与美国国家安全局(NSA)的“棱镜计划”英文(PRISM)同名,而被好多人混为一谈,之后,Palantir 在一份官方文件中作出了否认回应

Palantir与XKEYSCORE

Palantir公司网站中关于“隐私&公民权利”的宣传:

Palantir是一家以保护公民基本权利和隐私为主要使命的公司,公司自成立以来,在致力于提供情报分析和金融资本领域最佳解决方案的同时,实现了对公民基本权利的保护。在数据管理和治理方面,只有注重隐私和公民权利保护才能赢得公众信任,这也是Palantir在产品使用中所提倡的。虽然自由和安全互为矛盾的两者,但在在数据分析领域,我们不认为只有牺牲自由才能换来安全。

然而,从斯诺登处获取的文件显示,Palantir公司一直在帮助NSA和其合作伙伴构建基于全球的间谍网络,而这很难与其声称的注重隐私保护所相称。众所周知,NSA的项目XKEYSCORE(关键得分)可以收集获取用户在互联网上的所有痕迹,不仅包括邮件、聊天视频、网页浏览记录、图片、文档、音频、摄像头照片、搜索记录,还包括社交媒体流量、僵尸网络流量、键盘记录、漏洞可利用情况、用户名密码、上传文件、Skype会话等等。XKEYSCORE把收集数据最终形成一个检索库,方便NSA和其全球合作伙伴进行查询。

但是如何处理和归类这些复杂数据呢?Palantir公司的软件派上了用场。在Palantir海量数据分析和可视化分类服务的帮助下,XKEYSCORE变得愈发强大。

Palantir引起GCHQ的注意

Palantir引起政府情报机构的注意可以追溯到2008年。彼时,一年一度由IEEE举办的数据可视化分析年会(VisWeek)在美国召开,英国信号情报局和政府通信总部(GCHQ)的代表慕名而来,会上,来自全球政府和学术部门以及相关私营企业部门组队参加可社化分析(VAST)竞赛设计,而据GCHQ文件描述,当时Palantir团队用其数据分析软件在现场展示了一个完美的设计方案,吸引了很多潜在买家。

会上,Palantir声称利用其软件可以“让多方数据分析专家真正展现集体智慧的发挥”,在Demo展示环节,Palantir工程师利用软件针对维基百科用户进行了宗教派别和社交关系的直观分析描绘,并把这些结果应用在虚拟恐怖组织“帕莱索运动”的追踪定位中,由于实验中所有虚构人物和场景都未有明显语境说明和倾向标记,Palantir软件仅通过虚构用户对维基百科的编辑和社交关系对话,最终确定了该恐怖组织人员。

从VisWeek返会的英国政府通信总部(GCHQ)代表大受震撼,在一份机密的参会总结报告中可以看出他们对于与Palantir的合作充满期待,就连字里行间似乎都透露出一种难以抑制的兴奋感。例如,总结报告一开头就是“Palantir是由CIA投资的硅谷初创公司,公司与美国情报界用户有着深度合作”,报告认为Palantir在VisWeek上展示的Demo“值得关注”,并称这种方式可以方便GCHQ对国内的维基百科用户进行分类,而且认为Palantir的软件“非常高科技和成熟性……,我们都被震惊到了,你只有看到后才会相信这有多牛!”。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

GCHQ报告认为“如果我们自行开发此类与Palantir类似功能的系统将会花费很大代价,而Palantir的服务价格又非常高昂…”,另外,GCHQ认为外包情报分析不能完全依赖于商业产品,而且Palantir公开在网站上宣称产品应用于情报分析领域,这可能会引发一些不安全的因素和担忧,最终,GCHQ还是放弃了与Palantir的直接合作。

Palantir应用于“五眼情报联盟”的情报获取

然而,据我们获取到的文件显示,两年后,在美国、英国、澳大利亚、新西兰和加拿大组成的”五眼情报联盟”中,至少有3国情报机构采用了Palantir的服务进行全球数据的采集与分析,其中就包括GCHQ。Palantir擅长从通话记录、IP地址、金融交易、名字、对话内容、旅行记录等海量零散的实体数据中找到关联信息,并通过集中分类和可社化技术描绘出这些关联信息,从而解决了现代情报收集工作中的一个重要问题:数据过载。

GCHQ把“可视化”定义为:通过多种勾勒和描绘方式提高对现有数据集的了解,而这也是Palantir对情报价值的主张:Palantir分析平台可以很好地整合结构化和非结构化数据,具备信息搜集和发现能力,同时支持知识管理和多方协作功能。Palantir致力于为情报机构提供一个可以定位到基础设施的“全栈”式分析平台。下图为GCHQ文件中描述的用于计算机网络攻击的Palantir服务平台:

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

在共同协定下,“五眼情报联盟”成员国通过XKEYSCORE计划收集了海量数据流和元数据,同时结合这些数据,尝试以黑客手段侵入其它国家网络。

2011年,一份关于GCHQ网络防御情报与安全小组的文件,把Palantir系统形容为具备恶意入侵功能进行数据收集的工具:通过破坏防病毒和其它安全防护软件以追踪用户和渗透网络,同时Palantir软件被形容为“汇聚零散信息并提供独特可视化显示的数据分析平台”,文件同时透露,Palantir与XKEYSCORE系统和其它情报软件被高度整合使用。Palantir系统在网络间谍工作中的应用程度相当广泛,甚至极具前瞻性和想像力。2010年GCHQ和NSA关于“掌控互联网”的监控项目文件提到,在Andriod设备监控中运用Palantir软件,可以实现基于“增强现实(AR)”的信号情报收集,然而,这种说法即使到现在也是不得人知。

在目前曝光的文件中,Palantir软件似乎被描绘成了一种增强型的胶结剂,可以满足所有“五眼情报联盟”情报机构对海量模糊数据的高效获取和关联分析。2007年,GCHQ网络防御情报与安全小组NDIST在“五眼情报联盟”内部的评估文件指出:对海量个人数据的收集是未来信号情报工作一个重要发展方向,但是当前“五眼同盟”内部分析技术实力还不足以应付,必须寻找有力的分析工具作为技术支撑。最终,技术人员在对洛克希德马丁、 Detica等14家公司的分析工具作了评测对比之后,认为后起之秀的Palantir当属最佳产品。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

Palantir深受情报机构分析师欢迎

最终,Palantir不出意外地没让“五眼情报联盟”失望,在其构建的新型平台下,各种数据从四面八方汇聚而来,又通过智能关联和可视化分析方式得到了升华应用。该文件中还高调宣称,在与XKS、Spay等“五眼同盟”的10余套分析软件高度整合应用下,Palantir对数据的高效和多方位分析能力非常突出,甚至广受NSA内部数据分析师的欢迎,例如以下分析师的使用感受:

Palantir是我用过最好的分析工具,它非常直观简单,可以完成很多你从来不敢想像的任务。

今天早上,使用TWO FACE对最近3天的活动数据进行了分析,它比XKS至少可以省去一半的分析时间,非常高效。(TWO FACE貌似是Palantir系统的内部代号)

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

对Palantir的推崇溢于言表地体现在该文档中,在一章标题为“Unexpected Benefits”,看似营销手册的幻灯片中,宣称Palantir可以和包括谷歌地球在内的任何联网应用建立交互联系,甚至还可以在iPhone和笔记本电脑上安装使用,就连在另外一章名为“Potential Downsides(潜在影响)的幻灯片中,也还如此隐晦地对Palantir大加赞赏:“Palantir虽然很贵,但不是想像中那样离谱的贵;Palantir可以做的,就是我们所想的”。所有的这些,也意味着合作仍将继续深入,而为满足情报机构客户的特殊需求,Palantir自身也非常乐意做出适应或改变。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

在GCHQ的一个内部维基网页中,分析师上传了一份对Palantir系统的日常例行使用规范,包括各方面内容:“如何从Palantir获取XKS数据….?”、“如何用Palantir进行批量搜索…?”、“如何用Palantir进行批量数据操作….?”等等。技术支撑方面,Palantir提供1对1指导培训,经常向目标客户机构派驻“前沿部署工程师”(forward-deployed engineers),直接与客户工作互动,确保客户对产品的使用得心应手。另外,如果分析师有任何使用疑问,都可以通过一个定制的即时聊天软件进行反馈。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

GCHQ的内部维基网页中还包括了澳大利亚信号情报局和NSA内部情报百科intellipedia对Palantir的秘密级使用描述链接,虽然我们无权访问这些链接的具体内容,但NSA的intellipedia嵌入HTML文件中提及了多个Palantir项目,包括Palantir Classification Helper、[Target Knowledge Base] to Palantir PXML、PalantirAuthService(TechCrunch于2013年获取的一份Palantir公司内部文档,为Palantir和NSA的合作提供了证据)。

Palantir软件的超级插件Kite

在我们获取的曝光文档中,其中提及GCHQ使用的,包含一个内置名为“Kite”插件的Palantir程序,在所有相关出处文档中都作了隐匿编辑处理,而另外一份对Kite的源码分析文档中显示出Palantir对“五眼同盟”的灵活技术支持程度,前端开发人员和后台数据分析师可以就地通过Palantir平台应用或Kite程序获取相关数据。当所有获取数据被处理分析之后,会被上传到Palantir系统的数据仓库中,而平台其它工作人员可以通过类似于谷歌电子表格的方式来访问这些数据信息。Palantir平台分析师可以利用当前使用程序导入一些需要分析的静态数据,但是如果需要导入数据库或设置自动导入功能,就必须得借助插件Kite。

Kite用于导入一些情报数据并把其转换为统一可存储于数据仓库的XML文件格式,比较独特的是,Kite可以处理多种信息类型,如日期型、图像型、位置型等等,之后,GCHQ为了对一些复杂定制数据类型进行分析,竟然开放了Kite的接口开发,而最终这个导入工具被开发设计为支持静态数据、数据库和第三方数据存储等多种用例的软件。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

在这种以Palantir产品为中心的数据分析环境中,还产生了另外一个工具“XKEYSCORE Helper”,该工具可以向Palantir系统内导入来自NSA管道的数据,经过进一步的调查和可视化分析之后,再分发给“五眼情报同盟”的各位分析师。由于XKEYSCORE强大的全网海量个人元数据高效获取能力,这也导致了其唯一的缺点:产生的提取信息出现超负荷现象。可以简单想像一下,搜索一个Gmail邮箱账户,或许需要遍历全球所有Gmail收件箱中得出关联信息,因此,Palantir应运而生。

Palantir让XKEYSCORE如虎添翼

Palantir软件的主要作用之一就是辅助XKEYSCORE系统进行高效的数据分析处理,就像GCHQ文档中描述的那样,依赖于工具“XKEYSCORE Helper”,可以把XKEYSCORE多种方式获取的各类数据直接导入强大的Palantir,就可以得到一些针对特定目标人物和地点的非常直观的情报信息。例如,针对东部标准时间区的14:15时刻,分析师可以使用XKEYSCORE获取到隶属莫斯科和德黑兰访问某特定网站或进行某特定Skype通话的所有IP地址,之后,把这些相关数据集导入Palantir系统,可进一步识别出这些IP地址之间的关联连接和基于谷歌地球的详细位置信息。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

除XKEYSCORE之外,Palantir产品还被应用于GCHQ代号为“LOVELY HORSE”的开源情报信息项目中,该项目旨在提高GCHQ自身对Twitter、博客和媒体报道等全网公开信息的获取能力。因为此类信息多为非结构化数据,所以Palantir也大有可为,与“LOVELY HORSE”的配合相得益彰,深受好评。

强大的Palantir引发的担忧

和数据分析功能一样,Palantir的数据挖掘能力也相当出彩,可圈可点,但由此也带来一些担忧和风险。由于Palantir软件的主要功能就是辅助分析师对一些复杂不易理解的数据信息进行精选和筛分,因此,最终分析结果和决策判断的好坏,多少还和分析师自身有关。

就比如,GCHQ信号情报发展与领导小组(SDSG)的一份2011年文档就提及了一些使用Palantir的顾虑,在名为“风险与挑战“的表格中,SDSG表示“Palantir可能会使分析师过度关注数据分析方法,而忽视本质的情报需求,造成对情报分析能力的弱化和分心。”,然而,基于Palantir强大的数据分析能力,SDSG想知道如果他的技术分析师在被限制所有可访问操作权限,或根据不同分析师的技术水平,对一些必要时才能使用的功能对软件进行相应配置,会产生怎样的后果。如果Palantir继续注重于数据的情报利用问题,那么越往后,随着挖掘技术和提炼程度的加深,将会产生大量的信息图表集,可能会引发数据“过度分析”问题,而最终让分析师“迷失”的不是工作任务,而是Palantir生成的各种图表。

Palantir与公民隐私

另一方面,如果说Palantir的情报机构客户在使用Palantir产品时会存在滥用风险,那么这种情况也可能发生在以“隐私和公民自由权”为幌子的Palantir自己身上,尤其是2012年Palantir还成立了“隐私与公民自由顾问委员会”(PCAP),更是给自己披上了一件“高级”的大衣。

而就像Palantir在Kite插件的使用协议中声称那样,用户将不会违反任何适用法律、公民隐私和第三方权利。但在如今无孔不入的监控环境下,没理由不怀疑NSA和他的伙伴们会利用Palantir产品侵犯广大民众的隐私和自由权。对于普通民众来说,这种所谓的使用协议不过是种隔靴搔痒的安慰和冠冕堂皇的麻痹罢了。

Theintercept网站获取的相关文档:

GCHQ VisWeek 2008 Conference Report

Palantir Executive Summary

NDIST Cyber Defence

Mastering the Internet

The Tale of Two Sources

TWO FACE on GCHQ Wiki

XKEYSCORE Helper Notes

SDSG Integrated Analytics Workshop

*考来源:theintercept,freebuf小编clouds编译,转载请注明来自Freebuf.com。0day

保护物联网安全的六大原则

如今,越来越多的物品贴上了“智能”标签,成为了联网设备。生活方式更简化和便利的同时,这些设备的安全问题常常被人忽视。物联网设备通常是默认联网的,采用的也多是开源软件,因此很容易被黑客攻击。

威斯敏斯特大学的教授 Mercedes Bunz 表示,物联网设备普遍存在不安装安全软件的问题。他们与物联网安全公司Ardexa联手做了相关的研究实践,希望借此帮助那些实施物联网解决方案的企业检查其方案是否安全可靠。
开发安全性较高的端到端物联网解决方案涉及多个层级的问题,但是在物联网安全架构中,大致可以归纳为四个不同的层级,包括:设备层、通信层、云端和生命周期管理。

六大原则:保护物联网安全-E安全.jpg

安全的设备层

设备层是指部署物联网解决方案时所涉及到的硬件,即物理上的“事物”或产品。设计和生产设备的ODM、OEM厂商们致力于在他们的硬件和软件上同时集成更多的安全功能,以提高设备层的安全性。

重要的物联网安全架构特征
一些制造商正在引入安全芯片TPMs (Trusted Platform Modules,也叫可信任平台模块),因为密钥被存储在硬件中,被窃的数据无法解密,从而从根源上保护了敏感信息和凭证。(即,不是在芯片外部设置加密秘钥)

安全启动机制可以确保只有经过验证的软件才能在设备上运行。

采取物理层的安全保护措施(例如,对所有内部电路进行全金属屏蔽),这种方式下即使入侵者获得对设备的物理访问,至少也能够防止信息被篡改。

虽然这些“ hard identities ”或“ 物理保护屏障 ”在特定情况下可能是有价值的,但是数据移动和设备处理复杂任务的能力决定了该设备所面临的风险水平。从一开始就重视设备的边缘处理能力和复杂的安全功能是一条重要的原则。

原则一:设备智能化是处理复杂的、安全性要求高的任务的前提条件
目前许多可用的终端设备(比如电器、工具、玩具或配件)都能通过以太网或WiFi网络与云平台或服务器进行“沟通”,但是这些设备通常只通过一个微处理器进行驱动,并不能处理复杂的网络连接,因此不应该用于处理物联网应用中的前端任务。

有效的、安全的连接必须由一个智能化的设备提供,这个设备需要具备加密、认证、时间戳、缓存、代理、防火墙、连接丢失等能力。设备必须具有鲁棒性,并且能够在有限的支持下进行现场操作。

原则二:边缘处理的安全优势
智能设备是一种能够自我“进化”的设备,能够随着时间的推移让自己更加强大、有用。

例如:机器学习算法目前已经达到能让一些小型设备拥有处理视频流的能力,边缘处理意味着这些智能设备可以在本地处理相关的数据,而不用将数据上传到云端。其可以增强设备的安全性也经得起考验,因为边缘处理意味着敏感信息不需要上传到云端,因此在设备层处理数据有助于强化整个网络。

六大原则:保护物联网安全-E安全.jpg

安全的通信层

通信层指的是物联网解决方案的连接网络,即安全地发送/接收数据的媒介。敏感数据能否在物理层,网络层或应用层等不安全的通信信道中传输是一个值得注意的问题,因为这些数据很可能受到诸如中间人攻击(MITM)之类的攻击形式。

重要的物联网安全架构特征

以数据为中心的安全解决方案能够确保数据在传输(静止)时被安全地加密,除非对方拥有正确加密密钥的用户(个人,设备,系统或应用)解锁代码,否则即使数据被拦截了也毫无用处。

防火墙和入侵防御系统用来检查特殊数据流(如,非IT协议),并在设备端将其拦截,所以越来越多地被应用于检测入侵,同时防止通信层上的恶意活动。

通信层的物联网安全架构原则

原则:启动与云端的连接
当防火墙端口向网络打开的瞬间就意味着设备已经面临着来自网络上的重大风险,因此通常只有在必要的情况下才打开防火墙。然而,给现场设备所提供的支持达不到与诸如web 、电子邮件或语音/视频服务器等同一程度。这些现场设备与云服务器相差甚远,它们没有管理员可进行漏洞修补、重新配置、测试和监视软件。

也就是说,允许设备直接连接到网络不是一个太好的主意,设备必须首先启动与云端的连接。且设备连接到云端还可以促进双向信道,从而允许物联网设备被远程控制。在大多数情况下,这是非常有必要的。

与这一原则密切相关的是使用虚拟专用网络(VPN)来访问物联网设备。但使用VPN的危险性可能与允许传入服务一样危险,因为它允许个人或网络访问自己网络内的资源。尽管VPN在非常特殊的情况下是可以发挥作用的。
原则:信息的固有安全
应重视物联网设备的通信安全,无论信号是从设备端进行上传还是下载到设备端。对于物联网终端设备来说,轻量级的基于消息的协议具有许多独特的优势,是非常不错的选择,包括双重加密、排队、过滤甚至与第三方共享等。

使用正确的标签,每个消息都可以根据适当的安全策略进行处理。例如,限制 “远程控制”功能,或者仅允许在单方向上进行“文件传输”,又或者对客户数据进行双重加密。利用这种安全策略,可以控制消息流的安全传输。在物联网设备中,消息传递及其相关的访问权限设置在通信层上发挥着强大的作用。

六大原则:保护物联网安全-E安全.jpg

安全的云服务层

云服务层是指物联网解决方案的软件后端,即来自设备的数据被大规模采集,分析和处理,用以产生洞察力并采取相应的措施。当评估一项解决方案采用云服务或者本地服务所要面临的风险时,安全性一直是讨论的核心问题。然而,对于物联网的发展来说,云服务的广泛采用是一个不容忽视的推动因素。

物联网云服务层安全原则

原则:设备需具备识别,认证和加密功能

人们总是使用一个密码来访问云服务。在某些情况下,可能有两个验证因素,如“密码+一次密码生成器”。
然而,当访问云端服务的时候,机器在处理数字证书方面做得更好。因为数字证书使用是非对称的,加密的身份认证系统,不仅可以验证事务,还可以在身份认证发生之前将从设备到云端的通道进行加密。数字证书还可以提供加密标识,如果使用用户名/密码很难实现的相同的安全效果。

生命周期管理层的安全

安全的生命周期管理是一个包罗万象的整体性层级,即确保从设备制造、安装再到物品处置,整个过程中都有足够高的安全级别。设计只是保持物联网解决方案安全的第一步,整个生命周期中还包括策略执行,定期审核和供应商控制等环节。

生命周期管理的安全原则
原则:远程控制和更新的安全
远程控制功能和在设备的生命周期内向其发送命令的功能是两个非常敏感的但又非常强大的功能。可以进行远程控制的设备需要拥有诸如远程诊断、更新配置、更新出错的软件、检索文件、使用全新的数据重新设置机器学习算法、添加新功能等众多功能。安全更新和远程控制的关键是确保设备禁止接入其他连接,即使这个设备能够进行双向连接并且得到正确的保护,依然应该使用消息交换机作为通信通道并采取正确措施。这么做的结果是,设备上的软件充当本地服务器,此时它只与云端进行连接。

总结

以上四个不同层面提出了六个重要的物联网安全架构特征,并突出强调了每个原则的重要性,鉴于物联网安全设计非常复杂。安全解决方案通常会由多个关键要素共同发挥作用,用以规避各种威胁或风险,所有物联网解决方案在一定程度上都需要对安全进行全面的考虑。0day

美国公立学校服务器被黑 教学秩序受影响

E安全3月30日讯 据报道,美国福赛斯公立学校上周末(周五或周六)遭遇恶意软件攻击,给学校教师、学生、家长和地区行政人员造成影响。

负责人丁尼·班尼特表示,令人庆幸的是,无论幕后黑手是谁,攻击者最终并未入侵系统窃取信息,只是为了破坏系统。运行学生管理系统的这款软件程序已经恢复正常,目前学生数据未丢失。

但教师就没有学生那么走运。大多数教师的信息,包括课程计划、时间表等都是以Word和PowerPoint这样的公开访问格式存储在本地区的服务器上。班尼特指出,该地区的IT人员仍在努力恢复教师的文件,仍存有一线渺茫的希望。该地区当地时间周四应该知道能从Visions项目中恢复多少内容。Visions项目曾用来管理该地区的工资单。

美国公立学校的服务器被黑 教学秩序受影响-E安全.jpg

班尼特还指出,报道中说的此次攻击行为中国也参与其中并不属实。这跟中国没有干系,尽管所有的迹象都表明看似是中国黑客所为。

班尼特表示他们不确定是否是因为周五是PIR(Pupil-Instruction-Related,学会指导日)日。黑客向该地区发送三封勒索电子邮件,警告称,如果不支付赎金,该地区的计算机系统将被黑。但这些信息并没有引起重视,因此该地区的服务器遭遇攻击。

学校校长雪莱-维特表示,此次网络攻击打乱了学校的正常次序,但教师还能继续教学,只是需要进行部分调整。

教育行业正面临着网络攻击的威胁

学校不仅包含有大量学生、教师等的个人信息,还涉及课程、教学计划等内容。

校网络正在日益成为网络攻击的受害者。每年,学校都会招收数千名新学生,这些学生通常会携带多个存在潜在漏洞的设备入学,很可能引入恶意软件等等可能导致数据泄露的安全隐患。让情况更为复杂的是,多数大学校园都在使用诸如Blackboard和Moodle这样的数字平台,方便提交作业和测试,虽然可以简化流程,但这些应用一旦离线就会带来重大的问题,这些在线门户网站也就成为拒绝服务攻击的主要目标。

因而,E安全也注意到大家更关注个人信息安全相关的安全问题,忽略了黑客攻击给学校的正常秩序可能带来的负面影响。这次美国的校园攻击事件也给教育行业信息安全敲了各警钟。哪怕校园数据可以得到很好的保护,但教学秩序一旦被打乱,将会给学校带来很多麻烦。

例如,几年前,美国拥有近65000个在校本科生的罗格斯大学也曾遭到网络攻击。该校的学生每天都会访问学校的门户网站。罗格斯大学的计算机科学系在美国排在第34位,然而却反复遭受到名为Exfocus的黑客发起的攻击。这名黑客宣称他发起了针对罗格斯大学的6次独立攻击。这些攻击导致了学校网络的瘫痪。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报

路由交换市场份额领先的思科(Cisco)公司于3月17日发布了IOS和IOS XE Software安全漏洞(CNNVD-201703-840),引起了广泛关注。该漏洞允许未授权的攻击者执行任意代码、提升权限、重启设备等。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,具体情况如下:

一、  漏洞简介

Cisco IOS/IOS XE Software是美国思科(Cisco)公司为其网络设备开发的操作系统,也是一个与硬件分离的软件体系结构,随网络技术的不断发展,可动态地升级以适应不断变化的技术。集群管理协议(Cluster Management Protocol,CMP) 是集群成员之间内部使用TELNET来进行信号和命令控制的协议。

多款Cisco产品中的IOS和IOS XE Software存在远程代码执行漏洞(CNNVD-201703-840,CVE-2017-3881)。该漏洞源于未能将CMP-specific Telnet选项限制于内部集群成员之间的本地通信使用,允许任意设备通过远程登录连接的方式接受并处理这些选项,并且错误处理格式不正确的CMP-specific Telnet选项,导致远程攻击者可以利用该漏洞通过发送畸形CMP-specific Telnet选项,向受影响设备建立一个Telnet会话,进而执行任意代码,提升权限,完全控制受影响的设备或导致设备重启。

以下设备受到影响:Cisco Catalyst switches;Embedded Service 2020 switches;Enhanced Layer 2 EtherSwitch Service Module;Enhanced Layer 2/3 EtherSwitch Service Module;Gigabit Ethernet Switch Module (CGESM) for HP;IE Industrial Ethernet switches;ME 4924-10GE switch;RF Gateway 10;SM-X Layer 2/3 EtherSwitch Service Module。

本次受影响设备达319种型号,具体型号见思科官网:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

二、  漏洞危害

截至3月30日,根据安赛科技的“天象网络空间图谱系统”,发现全球思科设备约有 1130 万台,其中可能存在上述漏洞的相关设备约有 47.6 万台。其中,中国范围内可能受影响的设备约2.65万台,上海和北京受影响较为严重。

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

图1 思科设备全球分布

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

图2 可能受影响的思科设备全球分布

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

图3  可能受影响的思科设备中国分布

三、  修复措施

3月29日,思科官方已针对该漏洞发布安全公告:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvd48893

请受影响用户及时检查是否受该漏洞影响。

受影响的CiscoIOS版本为: 15.0(2)SE 10

可将其升级至如下版本以消除漏洞影响:

  • 15.2(5.5.20i)E2
  • 15.2(5.5.15i)E2
  • 15.2(5)EX
  • 15.2(4)E4

本通报由CNNVD技术支撑单位——北京安赛创想科技有限公司、远江盛邦(北京)信息技术有限公司、北京白帽汇科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn0day

市场经济与网络空间安全对抗的类比

杨义先,钮心忻

北京邮电大学信息安全中心

公共大数据国家重点实验室

摘要:借助充分竞争的市场经济类比,本文从中观角度,描述了网络空间安全对抗的运动规律和演化过程。结果发现,若只考察“行为举止”,那么,市场经济与网络安全简直就是活脱脱的一对双胞胎:熟知的许多市场经济现象,在网络对抗中几乎都能找到相应的影子,反之亦然。过去,安全专家都只关注网络对抗的“局部微观画像”(比如,加密、病毒、木马、入侵等核心安全技术),这在节奏相对较慢的“人与人对抗”环境中,确实可以说是唯一重要的事情。但是,随着机器黑客的即将登场,“机器对机器攻防”的节奏,将以指数级速度增加,因此,从中观和宏观角度去了解网络战场,就显得十分重要了;否则,若“只见树木,不见森林”,就一定会失去网络对抗的主动权。类似的情况,在半个多世纪前就已出现过:若无数据通信,就不需要《信息论》,因为,早期的电报和电话等,根本就没有带宽和速度的需求压力。幸好,结合文献的结果,至此,网络安全对抗的“中观画像”和“宏观画像”都已绘制出来了。

市场经济与网络空间安全对抗的类比-E安全

(一)前言

网络安全对抗很实!因为,当你中招后,你的真金白银可能瞬间化为乌有,你的电脑可能立马死机,你的汽车可能失控,甚至你的心脏起搏器也可能乱跳…;总之,你遭受打击所感觉到的真实程度,一点也不亚于当头棒喝。

网络安全对抗很虚!因为,在网络这个典型的虚拟空间中,安全对抗不但没有硝烟,甚至根本看不到敌人在哪;也很难知道你是被谁击中的,以及是如何被击中的;你对“邻居”的安全处境更是一无所知,甚至不知道他到底是敌还是友等等。

那么,我们对抽象的网络战争,就真的只能“两眼一抹黑”吗?!

当然不是,其实,顶级红客(安全专家),可通过精准分析,描述出网络对抗的局部微观战况,这便是常规网络安全技术所实现的主要目标;而在文献[18]中,我们借用经济学的一般均衡理论,给出了网络对抗的宏观画像,即,存在一只看不见的手,它能抚平对抗的各方,让大家都满意地休战,因为大家都已最大限度地达到了自己的预期目标,若再不休战,自己将受损;本文将借助耗散结构理论,给出网络对抗的中观战况画像

从中观角度看,网络空间安全的最佳类比,也许仍然是充分竞争的市场经济:一个网络(子)系统,可类比于一种商品;相互对抗的红客和黑客,可类比于市场中的供应方和需求方;攻防双方的各种手段,可类比于市场中抬价与压价的各种花招;网络(子)系统的不安全熵,可类比于商品的价格。经济中有一只看不见的手,能通过调节商品价格,使供需各方都很满意,从而市场趋于稳定;类似地,网络(子)系统中,也有一只看不见的手,能使相应的不安全熵,稳定在某个量值,从而抚平攻防各方,使网络战场趋于平静。同样的商品,在不同的地域(时间),可能稳定于不同的价格;类似地,同样的网络子系统,处于不同的环境(时间段)时,也可能稳定于不同的不安全熵状态。一种商品(比如,汽油)的价格波动,可能引起另一种商品(比如,汽车)的价格波动;类似地,一个子系统的不安全熵的变化,可能引起另一个子系统的不安全熵的变化。供货量(需求量)的增加,将会打破平衡,引起商品价格的下降(上升);类似地,红客(黑客)水平的提高,将会打破平衡,引起不安全熵的下降(上升)……。总之,充分竞争的市场经济,与网络空间安全对抗,几乎遵从同样的变化规律。理解了相对直观的市场经济状态,就隐约看见了抽象的网络空间安全对抗。

当然,经济学与网络安全的类比,绝不是机械的照搬,甚至,从“一般均衡理论”这个研究经济学的利器角度看,供求双方价格最优化的边界条件,就完全不适用于红客与黑客的对抗,从而导致价格理论几乎无法应用于网络安全研究。

不过幸好,耗散结构理论可同时应用于研究充分竞争的市场经济和网络空间安全对抗。本文借鉴文献[20]的思路和手法,绘出了网络空间安全对抗的“中观画像”,并且,再一次表明:市场经济与网络安全实在是“长得太像了”,若只看画像的话,它们简直就是一对双胞胎。

(二)网络空间对抗的耗散行为

早在文献[1]中,我们就指出:网络安全是负熵,或不安全是熵;而且,还遵从热力学第二定律,即,若无额外的安全加固措施,那么,系统(子系统)的不安全熵就会自动增大。在文献[9]中,我们更进一步地指出:红客维护网络安全的唯一目标,就是控制不安全熵的增大。当然,在[1]和[9]中,我们其实都暗含了假设:相应的网络系统是“封闭系统”,即,与外界不进行物质和信息的交流,与外界无明显联系,环境仅仅为系统提供了一个边界,不管外部环境有什么变化,封闭系统仍表现为其内部稳定的均衡特性。

而本文考虑的网络(子)系统不再封闭,而是“开放系统”,即,在系统边界上与环境有信息、物质和能量的交流。在环境发生变化时,网络(子)系统通过与环境的交互,以及本身的调节作用,达到某一稳定状态,从而实现自调整或自适应。

一个远离平衡态的开放网络(子)系统(以下均简称为“系统”),通过红客和黑客的攻防对抗,不断与外界交换物质、能量和信息,从周围环境中引入负熵(红客的功劳)和正熵(黑客的后果),来改变不安全熵的取值。由于内部各子系统之间的非线性相互作用,通过涨落,便可能使各个子系统合作行动,从而形成某种时间、空间和功能稳定的耗散结构,使不安全熵稳定在一定的量值附近。更具体地说,系统的不安全熵的改变dS由三部分组成:其一,是系统内部本身的不可逆过程(比如,非人为的设备老化、自然故障等)所引起的不安全熵增diS;其二,是黑客攻击系统所造成的不安全熵增deS;其三,是红客保障系统安全所引起的不安全熵减dgS。并且,这三股熵流合成后就有dS=diS+deS+dgS,其中前两项diS(自然熵流)和deS(黑客熵流)均为非负,而第三项dgS(红客熵流)为负值。如果红客的安全保障能力足够强,使得│dgS│>diS+deS,那么,dS就为负,即,系统因为红客的负熵流(dgS),抵消了黑客和自然退化所引起的熵增,从而,系统整体的不安全熵就会减少,安全度就不断提高,最后稳定在一种较平衡的不安全熵总值更低的新状态,即,形成了耗散结构。

系统偏离平衡态的程度,可由三股流(自然熵流、红客熵流、黑客熵流)的“力量”强弱来表征。系统处于平衡状态时,三股“熵流”与产生熵流的“力量”综合皆为零;当系统处于非平衡态的线性区(称为“近平衡区”)时,如果“力量”和“熵流”为非线性关系,即“力量”较强时,系统就会远离平衡状态,处于非平衡、非线性区。非平衡过程的“不安全熵流”,不仅取决于该过程的推动“力量”,而且,还受到其它非平衡过程的影响;换句话说,不同的非平衡过程之间,存在着某种耦合。用F表示系统的不安全熵流,{xi}表示系统中影响不安全熵流的各种“力量”,它们其实就是影响系统安全的各种因素(比如,红客的安全保障能力、黑客的攻击能力和系统的自然退化力等,当然,这些“能力”其实也可以分为多个组成部分),则F是{xi}的函数,即,F=F(x1,x2,…)=F({xi})。以平衡状态作为参考,将函数F展开成泰勒级数,便有

F({xi})=F({xi,0}) + ∑i[dF/dxi]oxi+ (1/2){∑m,n[d2F/(dxmdxn)]o}xmxn+……

系统远离平衡状态时,该泰勒级数中将保留非线性的高次项,影响系统安全的“力量”与“不安全熵流”是非线性关系。如果红客的安全保障能力足够强,则不安全熵就会不断减少,最后稳定在一种不安全熵较小的较平衡状态,由此可知,系统远离平衡时,不仅影响系统不安全熵流的力量较强,而且,由于非线性的耦合作用,影响系统安全的各种因素,都会彼此作用,最终产生协同,形成新的平衡状态。而且,在该稳定状态系统中,众多子系统的不安全熵流相互弥补和抵消,保证了整体系统的宏观状态显现稳定性,而这种稳定性需要不断耗散物质、能量或信息来维持。

如果你觉得上述描绘太过定性,下面就来做些定量的描述。其实这些描述不仅仅限于网络安全对抗,而且,对经济状态(见蔡绍洪等教授的文献[20])甚至一般的耗散系统都有效。

设非平衡系统中,各子系统的不安全熵流分别是q1,q2,…,qk,……,它们都是时间t和各自面临的不安全因素rk1,rk2,…的函数。所以,整体系统可以描述为状态矢量q=(q1,q2,…,qk,…)= {qk:k=1,2,…} = {qk(rki,t):k,i=1,2,…}。

由于存在着不安全熵流的耗散,对于稳定的非平衡定态网络系统而言,在其内部某一确定的子系统和某一确定的时间内,红客输入的熵减,必须等于在同一子系统和同一时间内,由黑客和自然退化原因耗散掉的熵增。如果红客、黑客和自然等三方力量输入的不安全熵出现了“堆积”(无论是正堆积,还是负堆积),那么,当前的定态便会失稳。只有在无“堆积”的情况下,系统才能维持其定态的稳定,这便是网络空间安全对抗中的“不安全熵守恒定律”。

设在定态条件下,第i个子系统的不安全熵为Mc(因为,对任何系统来说,安全只是相对的,不安全才是绝对的,所以,Mc不会为0,而是正值),外界在单位时间内向该子系统输入的不安全熵为Ma(它其实是黑客的增熵,减去红客的负熵),与此同时,该子系统向外界耗散出的不安全熵为Mb,则该子系统定态稳定的条件就是:Ma=Mb或者,等价地Ma/Mc=Mb/Mc;此处MD=Ma/Mc称为耗散参量,MT=Mb/Mc称为输入参量,它们都是无量纲的参量。于是,在未达非平衡相变临界点时,系统是定态稳定的必要条件是MT=MD

MD当然是熵流q的函数,比如,表示为非线性泛函数MD=f(q1,q2,…,qn),它与网络系统中的各种不安全因素(无论来自黑客、红客还是自然力量)都有关。假定,在整个非平衡过程中,MT的变化是连续平滑的。由于耗散能力有限,当系统趋于平衡相变临界点时,便有MT≠MD,这时原有的耗散模式就不再守恒,因此,就在系统内形成“堆积”,使原定态失稳。这种“堆积”迫使处于非稳的系统寻找新的耗散途径,以便重新稳定下来。这时相干性增强,各种涨落更加活跃,推动着系统进入一个新的耗散状态,使MD=MT重新得以满足。新的耗散模式维持了系统新的定态稳定,即在非平衡定态背景下,系统由原来的状态,跃迁到一种新的状态上,从而完成了一次非平衡相变:不安全熵稳定在新的水平上。由此可见,当黑客、红客和自然退化力量的平衡被打破后,网络系统(或子系统)又会在新的情况下,达到新的平衡。

借用耗散结构理论的方法,不安全熵流矢量q=(q1,q2,…,qn)的一般运动规律,可以用广义郞兹万方程描述为:

dqi/dt=Ki(q)+Fi(t)    (i=1,2,…,n)

其中,Ki(q)=Ki(q1,q2,…,qn)是非线性函数,代表各种影响安全的力量导致的不安全熵流,Fi(t)是各种微扰引起的随机和涨落力。如果微扰足够小,即,Fi(t)可以省略不计,那么,上面的广义郞兹万方程,就可简化为:

dqi/dt=∑k=1naikqk+ fi(q)   (i=1,2,…,n)

此式中{fi(q)}为q的一组非线性函数,由于此时系统的定态点是稳定的,其线性项系数矩阵的本征值具有负实部,即矩阵[aik]是负定的,即,总可以通过线性变换(或选取适当的新坐标),使得该矩阵对角化,这时便有方程组:

dq1/dt=-R1q1+g1(q1,q2,…,qn)

dq2/dt=-R2q2+g2(q1,q2,…,qn)

……

dqi/dt=-Riqi+gi(q1,q2,…,qn)

……

dqn/dt=-Rnqn+gn(q1,q2,…,qn)

这里{Ri}为阻尼系数,它们都是正数,{gi(q)}为q的另一组非线性函数。至此,网络中各子系统(网络)的不安全熵流变化是彼此关联的,网络整体上仍然显得杂乱无章;如果考虑到随机力Fi(t)的作用,网络的安全状态(即,不安全熵),只能作无规律的起伏。但是,对一般的非平衡相变系统,其变量q中包含着序参量u和耗散参量MD。当红客和黑客等外界力量,使系统趋于临界点时,序参量的衰减阻尼系数将变为零,而其它参量的衰减阻尼系数虽不为零,但却有限;于是,u就会出现“临界慢化”,整个系统的演化,便将由u所主宰,其余变量(包括耗散参量MD)都将受到u的支配。

不失一般性,可记u=q1和MD=qa,此处2≤a≤n。于是,前面的方程组可重写为:

du/dt =-R1u+g1(u,q2,…,MD,…,qn)

dq2/dt=-R2q2+g2(u,q2,…,MD,…,qn)

……

dMD/dt=-RaMD+ga(u,q2,…,MD,…,qn)

……

dqn/dt=-Rnqn+gn(u,q2,…,MD,…,qn)

当网络系统趋于不安全熵的非平衡相变临界点时,根据协同学原理,将出现极限R1→0,并且,其它Ri>0(n≥i≥2)且有限,即,此时除u是软模变量之外,其它量(包括MD)都是硬模变量。根据支配原理,若令其它参量都不随时间而变化,那么,略去第1个方程后,上述的方程组又可再简化为:

-R2q2+g2(u,q2,…,MD,…,qn)=0

……

-RaMD+ga(u,q2,…,MD,…,qn)=0

……

-Rnqn+gn(u,q2,…,MD,…,qn)=0

求解这(n-1)个联立方程,可得q2=h2(u),…, MD=ha(u),…,qn=hn(u),即,硬模变量q2,…, MD, …, qi, …,qn都被序参量u支配。将这些解,代入序参量u的变化方程(即du/dt的那个方程),便有:

du/dt=-R1u+g1(u,q2,…,MD,…,qn)= -R1u + g1[u,h2(u),…, ha(u),…, hn(u)]=-R1u+G(u)

注意到MD的非线性泛函数表达式MD=f(q1,q2,…,qn),于是,将上面的各qi表达式代入此式,便知,在网络安全对抗系统非平衡相变临界点的无限小邻域内,成立MD=f[u,h2(u),…, ha(u),…,hn(u)]=E(u),此式中,E(u)是序参量u的某种非线性函数。当外界红客和黑客的控制力量相抵消时,序参量u与约化临界距离之间便有如下依赖关系:u=εβ(ε→0,E→0)。其中,β为序度临界指数,其值与网络安全系统的临界类型有关;ε=(R-Rc)/R,此处的R和Rc的含义是:在一般情况下,非平衡相变的过程,可由系统控制参量(红客、黑客和自然退化的对抗)R来控制,网络(子)系统趋于临界点的程度,可用临界距离(R-Rc)来表征,Rc是控制参量R的临界值。

由于各类非平衡相变临界点,都有一个共同特征:在临界点,序参量由0开始,连续生成;或由非零开始,连续消失而生成。即,当系统趋于临界点时,有:u→0, (ε→0, E→0)。可见,在非平衡相变临界点的无限小区域内,u的量值很小,因此,公式MD=f[u,h2(u),…, ha(u),…,hn(u)]=E(u)的右端,可按自变量u,在临界点进行幂级数展开。设该幂展式中,低阶不为零项的幂指数为ψ,则当系统趋于临界点(u→0)时,函数E(u)便可渐近地表示为:E(u)→Auψ,这里A为原展式中,最低阶不为零项的系数,故在非平衡临界点的无限小邻域内,MD正比于uψ。而ψ与系统的具体耗散模式和耗散内容有关,在非平衡系统中,对于不同的定态ψ,可以取不同的值(正、负或零)。

这也意味着,当网络系统趋于不安全熵的非平衡相变临界点(即,R1→0)时,耗散参量MD(u)也与│ε│βψ成正比,它揭示了MD与临界距离ε之间的依赖关系。当然,若βψ=0,则系统就处于平衡状态了。

综上可知,在网络安全对抗系统的非平衡相变临界点,耗散参量MD会出现某种奇异特性,即,可能出现某种跃变或发散。当控制参量ε→0时,意味着红客对网络安全的保障能力和黑客的破坏能力,成为至关重要的因素,它们将导致网络的安全状态稳定在更高一层的安全状态,或跌落到更低一层的安全状态,甚至可能造成网络的彻底崩溃。

(三)网络空间安全态势的中观描述

结合前面的推论,到目前为止,网络空间安全态势的“中观画像”其实已很清楚了。不过,在“知其然”的基础上,我们还想借助耗散结构理论,更进一步地“知其所以然”。

其实,网络空间安全的发展过程,是一个典型的演化过程,推动该演化的力量主要来自三方面:网络系统的自然退化、黑客的攻击、红客的安全保障措施等。演化的要点,可以概括为如下八个方面:

1)网络系统及其子系统的开放性(即,攻防各方的介入)是形成新的安全状态(不安全熵稳定在新的量值)的前提和基本条件。对任何网络系统而言,安全只是相对的,不安全才是绝对的;而且,不安全性(安全性)是熵(负熵),它也遵守热力学第二定律,即,封闭网络在没有人为攻防力量介入的条件下,其自发演化的趋势将是:不安全熵达到最大。此时,不仅不能形成新的安全结构,就连原来的安全结构都将被破坏和瓦解。但是,当红客和黑客介入后,网络系统就会不断从外部(环境)引入物质、能量和信息的正负不安全熵流,并不断排出其代谢产物,吐故纳新。如果红客的安全保障能力足够强,那么,网络系统的不安全熵的总值将保持不变,甚至趋于减小,从而维持、形成并保持网络系统的安全状态。

2)自然退化和攻防对抗的非平衡,是不安全熵达到新稳态的源泉。所谓平衡状态,就是指构成网络系统的各种安全要素在物质、能量和信息分布上的均匀、无差异状态。

3)远离平衡态是形成新的安全结构(新的不安全熵量值)的最有利条件。网络系统的非平衡态,有近平衡态和远离平衡态之分。这里的“远”和“近”,并非是物理上的距离,而是由影响不安全熵的“当前力量”来定义的,比如,力所不及处,便称为“远”,反之,则为“近”。网络系统的安全状态,既不能从不安全的平衡态产生,也不能从不安全的近平衡态产生;只有远离不安全的平衡态,才有可能使原有的不安全状态失稳,并进而产生新的安全结构。当然,这种安全结构必须要有足够的负熵流(来自于红客的安全保障措施)才可能产生、维持与发展。这种在远离不安全平衡态条件下,网络系统与外部环境相互作用而形成的新的安全结构,其实就是某种耗散结构,因为,这种安全状态只能依靠红客不断地从外部引入优质低熵的物质、能量或者信息。

4)“网络系统内部,攻防各方之间,存在非线性的相互作用”是新的安全结构形成并得以保持的内在根据。网络系统若要形成新的安全结构,那么,构成该系统的各种安全要素之间,既不能是各自孤立的,也不能仅仅是简单的线性联系。因为,线性关系是一系列不稳定状态的序列与集合,此时系统只能处于一种水无休止的发展变化之中,而得不到片刻安宁,其不安全熵更不可能趋于稳定;同时,由于受环境资源的限制,客观世界也不容许包括网络在内的任何系统,以线性方式无休止地向前发展。因此,只有在网络系统的各安全要素之间,存在非线性的相互联系和相互作用时,才能使它们产生复杂的相干效应和协同动作,使得红客的“建设力量”与黑客和自然退化的“破坏力量”形成暂时的均衡,从而网络系统进入某个暂时的稳定状态,进而形成并维持与该状态相对应的新的安全结构。

5)“涨落”是安全结构形成的“种子”和动力学因素。“涨落”是指系统中某个变量或行为对平均值所发生的偏离。对于网络等任何多自由度的复杂体系,这种偏离都是不可避免的。但它对具有不同安全性的系统,其作用是不相同的。对于原本稳定的安全系统,由于该系统本身具有较大抵抗能力,涨落并不总能对它构成严重影响;而对于已达临界稳定状态的安全系统,即使较小的涨蒋也可能使它失去稳定性,从而导致系统从安全状态演化为不安全状态,就像那“压死骆驼的最后一根稻草”。其实,任何一种安全状态的出现,都可看作是另一参考系失去稳定性后的演化结果;因而系统就可以“通过涨落达到安全”。在系统的演化过程中,系统中那些不随时间而衰减,相反却增大的涨落,便成为新的安全结构的“种子”。

6)“涨落达到或超过一定的阈值”是使系统形成新的安全结构或使系统原有安全结构遭到破坏的关键。任何网络系统都有保持其本质的规定性或稳定性的临界度。“度”,即保持自身特质并可以与他质相区别的阈值。当网络系统中的涨落运动所引起的扰动和振荡达到或超过一定的阈值,就会使原有系统的安全结构遭到破坏,为出现新的安全结构提供可能;相反,新的安全结构要想保持自身,就必须将系统的涨落控制在一定的阈值(即临界度)以内,否则,安全结构就会被新的结构所取代。

7)可以用网络系统的不安全熵的阈值来表示“度”。当不安全熵不断增大时,系统可能会逐次出现相继的分叉,而且,每个分叉中既有确定性不安全因素,也有随机性因素。在两个分叉点之间,系统遵从确定性定律和化学动力学的某些规律,但在各分叉点附近,“涨落”却扮演着重要作用,甚至决定了系统所追随的分叉支线。

8)网络系统通过“自组织”形成新的稳定安全结构。在平衡状态下,子系统表现得相对独立,而在远离平衡态的非线性系统中,子系统之间就会产生相干性,存在某种“长程力”作用,或有某种“通讯”联系在进行信息传递,以致每个子系统的行为都与整体状态有关。这时网络系统的一个微观随机小扰动,可能就会通过相干作用得到传递和放大,使微观的局部扰动发展成为宏观的“巨涨落”,使系统进入不稳定状态。在这种状态下,系统各要素之间就会相互协同作用,寻求着信息深层结构的内在联系。一旦某种信息之间建立了精约同构(即,两种事物深层次里具有的少而精的共性)的联系,系统就会由不稳定状态跃迁到新的稳定状态。

(四)结束语

由于“类比”在本文中扮演了重要角色,因此,在结束语中,我们就来介绍一下“类比”这种科研方法。

对未知的恐惧,促使人类不断探索世界,发现新东西,刷新世界观;与已知现象的类比,则是理解新事物的有效手段,同时,类比也能够帮助人类揭示新奥秘。所以,社会的进步,就是在“类比”和“新发现”两者间的相互促进过程中完成的。更新世界观,将产生新的未知领域,将更新类比模式,从而将引导新发现。本文正是借助类比,利用大家比较熟悉的市场经济现象,来介绍抽象的网络空间安全对抗,这也许是一条捷径,因为,要想单独给网络安全对抗“画像”,实在太难。

“类比”是重要的科研方法,它首先针对“原问题”,寻找一个有效的并且一般来说相对容易(或已有答案)的“类比问题”;然后,通过解决“类比问题”,再反过来探索“原问题”的解决办法。虽然不能将类比对象的结果照搬到原问题,但是,类比往往确实很有启发性。可见,运用类比法的关键,是寻找一个合适的类比对象。比如,本文就以“市场经济”作为“网络安全”的类比对象。

其实,无论古代、近代,还是现代,类比就一直被普遍应用;而且,还随科学思维水平的提高而不断发展。其具体表现为:从简单到复杂,从静态到动态,从定性到定量的发展。

在古代,为认识某事物所具有的性质,往往采取将该事物与某个已知事物作定性类比;即,根据两者具有相类似的许多性质,从而推想它们还具有其他类似的性质。例如,我国古代科学家宋应星,为了认识声音的传播,就把击物的声音与投石击水的纹浪进行类比:既然水能以波动方式传播,那么声音也能以波动方式传播。

在近代,类比已不再局限于定性了,定量的类比、甚至是定性和定量相结合的类比,被普遍应用于科研工作之中。例如,科学家欧姆,就把电流的传导同热传导进行类比:把电流类比成热量,电压类比成温差,电导类比成热容量。于是,已知的热传导数学公式“热量=热容量x温差”,就被类比于电流传导中的数学公式“电流=电压x电导”,从而,在电功的研究中,取得了重大突破。

如今,类比方法(包括定性、定量、以及两者的结合)在自然科学研究中,已变得越来越重要了。一般说来,定性类比是定量类此的前提和条件,定量类比则是定性类比的发展和提高。甚至科学发展已与定性类比密不可分:巧妙的定性类比,往往能为科学的进一步发展指明方向;当然,后续还必须有充分的定量研究,才能达到精确的规律性认识。因此,用市场经济来类比网络安全,这只是一个开端,还必须有更深入的后续量化研究。

与科研中的归纳法和演绎法相比,类比法有时会独树一帜,发挥特有的效能。虽然,归纳、演绎和类比都是重要的推论方法,都可能从已知前提推出未知结论,而且,这些结论也都要在一定程度上受制于前提;但是,它们的结论被前提制约的程度是不同的:演绎的结论受到前提的制约最大,其次是归纳,再次才是类比;即,类比的结论受到前提的限制最小。因此,类比在科学探索(特别是初期探索)中发挥的作用最大。而网络安全对抗的中观和宏观“画像”,就处于初期探索的状态,但愿基于市场经济的类比,能够发挥有效的作用。

在科研前沿,由于探索性强、资料奇缺(当前网络安全攻防就处于这种状况),类比的运用就更加重要。例如,上世纪60年代,物理学家们,正是通过将抽象的“夸克”与当时已了解较深的磁极进行类比,才把夸克理论引向了新的起点,并做出了重要预测,从而开辟了一条建立夸克基本理论的新途径。

类比还常用于解释新理论和新定义,因为,类比具有很强的提升理解力的作用。当某新理论提出时,最有效的做法是:通过类比,用熟知的理论去说明新理论和新定义。比如,在气体运动论刚被提出时,就是将气体分子与一大群粒子进行类比:假定粒子服从牛顿定律并发生碰撞而无能量损失。事实证明,该类比在气体行为理论的历史中,发挥了非常重要的作用。只有与已知理论进行类比,新理论才能得以解释,才能被更好地理解。

类比还与模拟实验密切相关。所谓模拟实验,就是在客观条件受限而不能直接考察被研究对象时,依据类比而采用的间接实验。例如,生命是如何起源的,这一直是个谜,由于生命的原始状态已无法回溯,所以,无法直接研究了。于是,科学家米勒,只好通过类比,设计了—个生命起源的模拟实验。他在密封的容器里,放入了氢、氧、碳、氮、甲烷和水等物质,然后,又模拟了风、雨、雷、电等原始大气环境。一周后,在容器里竟然发现了多种氨基酸!这为揭开生命起源的奥秘,迈进了一大步。这些成果再一次充分显示了,以类比为逻辑基础的模拟实验是多么重要。

总之,类比在科研中的作用,决不可忽视。其实,全球网民一刻也离不开的东西,也要归功于类比;因为,计算机就是类比人脑的产物,所以,它本该叫做“电脑”。0day

美国信号情报战略的威胁

美国信号情报战略的威胁-E安全

又被美国黑科技惊呆了

最近,安全圈的看客又被阿桑奇披露的VAULT 7刷屏了,又被美国的黑科技惊呆了,又被身临其境的威胁吓坏了。曼宁、斯诺登和阿桑奇近年来披露了大量美国“偷鸡摸狗”的内幕,数量之多令人震惊。从斯诺登披露的“棱镜”开始,出现了无数的秘密计划代号,大家被搞得晕头转向,难以及时消化。而美国官员还出来澄清,现有曝光的秘密计划根本没有触碰到美国情报科技的“皇冠”。

美国信号情报战略的威胁-E安全

美国信号情报战略的威胁-E安全
美国信号情报战略的威胁-E安全
美国信号情报战略的威胁-E安全

美国情报来源分类

要想理解美国黑科技秘密计划代号,需要了解美国情报来源的分类。美国情报搜集管理按照来源分为5个主要部分,分别是HUMINT(人工情报)、SIGINT(信号情报)、IMINT(图像情报)、MASINT(测量与特征情报)和OSINT(开源情报)。其中前4个情报来源都是保密的,但都需要得到OSINT(开源情报)的支持。后4个情报来源必须依靠技术手段才能获得,尤其是SIGINT特别需要黑科技的支持。SIGINT包括了COMINT(通信情报)、TELINT(武器测试数据情报)和ELINT(电子辐射情报)三个需要高端技术支持的内容。

美国信号情报战略的威胁-E安全   
美国信号情报的战略意图

斯诺登披露的绝密文件“信号情报任务战略规划(2008-2013)”和“信号情报战略(2012-2016)”,可以帮助我们“管中窥豹”了解隐藏在那些秘密计划代号后面的战略意图。

美国信号情报战略的威胁-E安全

信号情报任务战略规划(2008-2013)

“信号情报任务战略规划”由美国国家安全局(NSA)组织250多个单位共同参与完成。其愿景是完全控制国外情报机构对网络的影响。规划确定了三大目标:一是每年提高SIGINT国家情报重点任务“priority I”和“Band A”的整体性能。二是为分析人员提供及时准确挖掘、发现和利用国际网络中秘密信息的辅助分析工具,并能显著转化为国家的成果。三是逐年增加商业化操作调拨资金的渠道和稀缺技能投资的比例,不断提高资金使用的绩效。经费投入的6个方面包括:搜集与操作(Collection and Operations)、处理与利用(Processing and Exploitation)、分析与产品(Analysis and Production)、任务管理(Mission Management)、研究(Research)、企业信息化与企业管理(Enterprise IT and Enterprise Management)。

    规划附录提出了6项迫切需求(IMMEDIATE IMPERATIVES),其中明确提出:“渗透获取伊朗、朝鲜、中国等重点目标国家领导、军队和安全部门的核心保密通信信息和数据。

美国信号情报战略的威胁-E安全 
1.美国发展信号情报技术成体系,任务按照需求有优先级。

2.有庞大的国家预算(Black Budget)支持,经费投入有整体规划。

3.中国是美国情报部门关注的重点

信号情报战略(2012-2016)

愿景:确保提供的信号情报对美国国家安全利益具有全局和决定的优势。

五大目标

1.彻底改变分析方法:根本改变分析过程中出现偏差的方法,通过创新客户/合作伙伴关系,从根本上提高对所有任务运行的影响力。

1.1 通过先进的间谍情报技术和自动化技术,大大提高全球网络的控制力。

1.2 对信息时代人们如何相互作用进行独到的分析。

1.3 传播第一关联点的数据,共享大数据,满足客户特殊要求。

1.4 推动敏捷技术(agile technology)应用,支撑大尺度分析、发现、法规遵从和协作。

彻底改变就是革命,美国政府搞黑科技的决心很大,坚持不懈,不断改进和创新技术,目标是通过提高对全球网络的控制力,获取情报。

美国信号情报战略的威胁-E安全
2.充分利用NSA合作伙伴协同发现目标,找出其弱点,攻克其防御。

2.1 大力支持应对最关键的密码分析挑战的能力建设。

2.1.1 采用多学科交叉方法研究密码分析问题,利用并整合endpoint和midpoint的能力,确保能够破解密码。

2.1.2 反击无处不在的、有效的商业网络加密的挑战。

2.1.3 利用所有可用的SIGINT和HUMINT能力,打击其他国家本土密码产业计划。

2.1.4 通过商务关系、HUMINT、第二和第三方合作伙伴,影响全球的商业加密产品市场。

2.1.5 持续投资工业基地和驱动超算(HPC)工艺水平,维持国家密码分析能力的优势。

2.2 攻破对手的网络安全防护措施,保证能从任何人、任何时候、任何地方获得SIGINT需要的数据。

2.3 具备先进的谍报技术架构,以获得有关关键任务的人物、网络、访问、信号和技术的发现能力。

2.4 面向使命整合能力,强化工作人员先进网络和信号分析的技能,优化流程和政策。

1.  极度关注其他国家密码技术应用情况。其他国家密码产品和自主安全无论做得好还是不好,可能不仅仅是技术原因,还存在美国影响的因素。

2.  重点关注“能从任何人、任何时间、任何地点获得信号情报”,所以美国情报部门会那么关注手机、电脑和家电等人们日常应用的电子产品。

3.  关注重点人物、重点事件的情报获取。

美国信号情报战略的威胁-E安全
3.动态整合endpoint、midpoint、产品隐藏和密码分析能力,以支持对以前无法进入的目标的利用、网络防卫和网络操作。

3.1 推动支持同步、集成、多功能操作的SIGINT任务架构,并扩展到任务的合作伙伴。

3.2 整合SIGINT系统成为国家传感器网络的一部分,并能以机器速度提供交互和彼此感知、反应、预警的能力。

3.3 基于当前和预计的对关键SIGINT任务的贡献,不断调整访问和接入能力的组合。

3.4 利用全球商业趋势和通信服务,确定新的数据接入、搜集和利用方法。

具有同步、集成、多功能、实时的架构,并扩展到“5只眼”、“14只眼”和NATO等30多个国家的合作伙伴,感觉比阿波罗登月计划还要庞大。

美国信号情报战略的威胁-E安全
4. 共同营造鼓励多样性、自主、创新、敢于承担风险和敏捷的环境。

4.1 鼓励员工决策和推动改变,投资和奖励创新、冒险和合作。

4.2 构建符合法律的系统和工具,保证员工在法律框架内操作而不担心。

4.3 共同努力推进细化、可实现和演进的策略。

4.4 提供必要的培训,保证情报的领先地位和最具能力的SIGINT服务。

5. 通过建立新的业务流程、强化客户关系、必要的内外部合作伙伴关系,进一步优化和有效管理任务和业务。

5.1 追求、发展和实施符合任务执行速度和范围的政策。

5.2 构建具备自动化、端到端价值导向评价能力的SIGINT产品和服务。

5.3 创造和维持自主和敏捷任务管理环境。

5.4 提供SIGINT相关同步的任务预算、资源、技术和研究活动的能力。

5.5 调整规范SIGINT行政业务流程,减少对企业的官僚负担。

5.6 支持统一的用户参与策略,简化流程,提高效率,消除冗余。

       We will constantly strive to improve our knowledge, our people, our technology, and our products. Through innovation and personalization, we will advance the SIGINT system. Our customers and stakeholders can rely on us to provide timely, high quality products and services, because we never stop innovating and improving, and we never give up!

美国信号情报战略的威胁-E安全
文/田夫笔耕 中国保密协会科学技术分会

0day

面对恐怖袭击问题 信息安全与个人隐私该如何平衡? WhatsApp通讯软件又被抛向风口浪尖

英国内政大臣Amber Rudd认为,聊天内容加密的聊天软件为恐怖分子通信提供了很好的机会,而这种聊天服务的端到端加密 聊天 技术加密功能是无法接受的。

周日,内政大臣Amber Rudd重申称,技术公司必须与执法部门合作,共同打击恐怖主义威胁。技术公司应停止使用加密信息系统,“为恐怖分子提供隐秘的藏身之所”。

3月22日,英国伦敦市中心议会大厦附近3月22日下午发生恐怖袭击事件,据最新消息,伦敦恐怖袭击死亡人数升至5人,另有约40人受伤。据英国媒体报道,恐怖分子Khalid Masood在发动伦敦袭击前曾发送过一条加密信息。

恐怖袭击让隐私与安全的矛盾再次暴露出来

Rudd表示,“将阻止极端恐怖主义分子把社交媒体当作平台”,还要求提供WhatsApp之类通讯应用的技术公司之间相互合作。

这是完全不能接受的,我们应让恐怖分子无处藏身。我们必须确保WhatsApp和其他类似的服务不得为恐怖份子联系提供秘密场所。”

需要确保我们的情报服务部门有能力应对加密WhatsApp服务这样的情况。”伦敦袭击事件再次点燃了隐私和安全之间如何折中的辩论,而情报机构警告称,欧洲可能会有新的恐怖袭击。

执法部门在即时通信服务中留后门 是否有助于控制恐怖袭击

Rudd补充说,英国的案例与苹果公司的圣贝纳迪诺枪击案完全不同。“这完全不同。我们没有说让他们打开手机,我们不想进入云端获取信息,我们不想做任何这样的事情。

“但是我们希望他们意识到,当发生恐怖袭击时,他们有责任与政府合作,与执法机关合作。”

Rudd表示,科技公司要更好地监督他们的网站,防止“他们的网站、平台以及出版公司被恐怖分子使用”。

而真正的问题是,如果执法部门在主要的即时通信服务中留有后门,是否就能够挽救伦敦袭击中的丧失的生命呢?

本文由:securityaffairs 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/how-to-balance-information-security-and-privacy
如果此文章侵权,请留言,我们进行删除。

0day

下面请CTF比赛高手聊聊CTF夺旗赛的经验 来大家坐好 听听CTF攻防比赛思路和经验总结

2016年9月, Facebook公开自己的CTF夺旗比赛平台源码 界面功能看起来朴素实用 似乎还有教学模式 ,详细的介绍看后面的文章,有两家CTF平台的介绍。要想玩CTF,需要进阶到高级玩家,需要熟练掌握的知识包括语言运用、Web安全、安全加固、密码算法及网络取证,这其中CTF高手提到要想玩好,需要在四个方面多留点心眼,多跟自己队友交流聆听,不断提升自己的学习能力,注意加强合作分工,赛后的总结分享非常重要。

在前面,让我们先来看看CTF夺旗赛的介绍。

什么是CTF夺旗赛

Capture The Flag(简称CTF),翻译为“夺旗比赛”,起源于1996年举办的DEF CON全球黑客大会,最早是交流安全技术的重要途径,发展至今已有21年的历史,是目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

随着安全攻防技术的发展,CTF比赛也逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球网络安全圈最流行的一种竞赛模式,其比赛形式与内容拥有浓厚的黑客精神和黑客文化。

近年来,CTF比赛的数量与规模发展迅猛,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为了学习提升信息安全技术,展现安全能力和水平的绝佳平台。

CTF基础知识

语言运用 :计算机语言可以大致分为机器语言,汇编语言,高级语言,计算机每进行的一次动作,一个步骤,都是按照计算机语言编好的程序来执行。而在CTF比赛中,计算机语言的了解与掌握会有事半功倍的效果,进程的动态调试、防护脚本的编写、源代码审计等工作都是建立在对计算机语言有所掌握的基础上进行的。

Web安全 :目前国内大多数CTF比赛都以Web安全为主,但是Web安全涉及的内容非常广泛,就典型的Web服务来说,其安全问题可能来自于Web服务器、数据库、Web程序本身与开发语言等。了解一个Web应用的组成架构、装载与配置、指令操作及组件缺陷,是参赛者知识储备环节中不可或缺的部分。

安全加固 :安全领域的精髓在于攻防,在CTF比赛也是同样的道理,比赛成绩不仅取决于在有效的时间内拿下多少flag,还取决于能抵御多少次外来攻击。有一些比赛队伍不注重或者不善于漏洞加固,即使得到很多分数,但是优势还是会被慢慢的蚕食掉。所以,了解漏洞的产生原因、减小漏洞的影响范围以及行之有效的安全加固也是一个成功队伍的重要能力。

密码算法 :参赛者需要了解主流的密码算法,如对称密码、公钥密码、流密码、哈希密码算法等。在不断的攻防对抗中,一些关键信息或者突破口,往往会通过算法的加解密将它们“隐藏”起来增加解题难度。此外还会伴随着弱口令尝试,密码字典的暴力猜解等。

网络取证 :对于网络攻击行为的溯源分析、漏洞挖掘过程中的抓包分析往往是很多参赛队伍在攻防对抗中忽略的问题,能够在最短的时间内抓到线索并做出行之有效的响应,这方面的能力也就成为了高手和顶尖高手之间的分水岭,古人常说:“天下大事,必作于细;天下难事,必成于易”,我想应该就是这个道理。

CTF比赛模式

解题模式 :大多数为线上比赛,选手自由组队(人数不受限制),出题者把一些信息安全实战中可能遇到的问题抽象成一个题目,比如一个存在漏洞的网站让选手入侵,一个有漏洞的程序让选手分析来写出漏洞利用程序,一段密文让选手解密,一个图片选手你从里面找出隐藏的线索等等。在完成这些出题的题目后,可以获得一串奇怪的字符串,也就是所谓的flag,提交它,就能获得这道题目的分数。

攻防模式 :大多数为线下比赛,参赛队伍人数有限制(通常为3到5人不等),参赛队伍保护自己的服务器,攻击其他队伍的服务器,每个队伍的服务器开始拥有相同的配置和缺陷,比如几个有漏洞的二进制程序、有漏洞的Web应用、某些权限账户弱口令等等,然后队员需要找出这些漏洞并进行加固,同时利用这些漏洞来攻击别人的服务器,拿到其他队伍的权限后,会获取到相应flag后提交,从对方身上赚取相应的分数,每隔一段时间后,可以再次攻击并利用未加固的漏洞获取flag并赚取分数。

混合模式 :解题模式和攻防模式同时进行,解题模式可能会根据比赛的时间、进度等因素来释放需解答的题目,题目的难度越大,解答完成后获取的分数越高;攻防模式会贯穿整个CTF比赛的始终,参赛队伍需不断积累分数,最终参数队伍的名次由两种模式累积的分数总和决定。有些有趣的CTF比赛,还会引入一些情景剧情和现场观众的互动,来增加比赛的趣味性。

CTF比赛经验

交流聆听 :CTF比赛通常强度都很大,少则几小时多则好几天,即使是特别要好的队友,也难免会有意见与思路不统一的时候,这个时候与队友的交流和聆听则显得尤为重要。一句温馨的关怀,一个会心的微笑甚至一个肯定的眼神都会让你的队友倍感温暖,正面的交流与聆听会鼓励大家共同前进,克服困难。

学习能力 :CTF比赛中的题目与攻防手段往往没有特定的规律,因此更看重人临场的快速学习以及把理论付诸实践的能力,而并非大量的知识储备。一定的知识量储备肯定是必要的,但并不能期望完全依靠知识储备来获得胜利。

合作分工 :CTF的成绩主要还是看团队的综合实习。就如学生时代的中考高考一样,考核的总分成绩,往往各个科目都比较好的人才能获得比较高的成绩。如果队伍成员都是只擅长Web安全,其他领域涉及很少,就算研究Web安全研究的再精通也取得不了好名次,一个团队中既要有攻城拔寨的急先锋,也同样需要留守加固的中流砥柱,需要尽可能的面面俱到。

总结分享 :通常专业的CTF队伍人员会比较稳定,如果想通过比赛的历练成为顶尖队伍,除了上述几点外,比赛过后以及日常的分享总结也是非常重要的。无论取得怎样的成绩,相信每一个队员心里都会有困惑或者看法,那么赛后队员坐在一起进行讨论、分析、总结不仅可以拉近队员间的感情,提升团队凝聚力,还可以收获更多的经验与心得。

CTF攻防平台

Facebook CTF平台

Facebook的CTF平台具备进行黑客大赛所需要的一切,包括游戏地图、团队登记和评分系统。还可以按需提供逆向工程逆向工程、Web应用安全、取证、二进制开发和加密等挑战。用户还可以使用Facebook CTF平台定制或自定义挑战项目。

挑战分为以下两类:计算机安全方面的小问题,以及漏洞利用和黑客方面的标记问题。标记挑战要求参与者完成一项诸如转储数据库、获取系统外壳或操纵应用程序等任务。

“通过CTF平台,你可以学习到常规计算机科学项目中学习不到的技巧。此外,这个平台还帮助你进入安全行业。”Facbook威胁基础设施团队的软件工程师Gulshan Singh说。“在开始找全职工作时,我发现安全职位的面试很像CTF挑战,有了后者的经验,我可以更好地展示技能。第一天入职我就让人感觉非同凡响。”

怎么使用FBCTF

  • 可以组织一场比赛,最少2个人,最多数百人。参赛者可以在本地或者在线,或者两种形式均可。
  • 按照安装说明来设置平台基础架构
  • 输入challenges进入管理界面
  • 参赛者注册为战队
    • 如果是一场封闭的比赛 :
      • 在管理页面,生成并导出令牌,然后分享给核准的团队,然后引导参赛者到注册页
    • 如果是一场开放的比赛:
      • 直接引导参赛者到注册页面

Facebook CTF源码下载

CTF平台可以搭建在运行Ubuntu操作系统的系统(物理机或虚拟机)上。Facebook已提供了关于如何安装和使用平台的说明。下载地址在这里:https://github.com/facebook/fbctf/

绿盟科技CTF平台

绿盟科技信息安全攻防实训与竞技产品,包括绿盟科技信息安全实训平台和绿盟科技信息安全竞技平台,如下图所示:

整体框架如上图所示,产品特性说明如下:

  • 整体方案采用B/S架构对外提供新安全课件培训、实验训练和攻防保障服务。使用人员可以结合自身情况,灵活选取远程在线和线下面对面的实时教学形式。
  • 两个平台可以支持进行课件培训、实验训练和攻防保障三大功能。课件培训主要以课件宣讲为主,实现信息安全知识的直接传递;实验训练以安全攻防模拟操作实验为主,使得被培训对象对安全技术的建立直观印象;攻防保则主要为被培训对象提供攻防的虚拟环境,实际检验被培训对象的安全水平。
  • IT支撑基础资源主要包括安操作系统、数据库、中间件、网络设备和安全设备等,通过与虚拟技术相结合,用以保障上层的实训场景和竞技场景。

A . 绿盟信息安全实训系统 : ISTS -Information Security Trainning System,为信息安全培训、教学及科研提供一个完整的、一体化的实验教学环境。打造全方位的专业信息安全实验室。主要建设内容包括以下内容:

  • 通过各种形式的信息安全意识教育实践、培训及宣传,使得信息安全意识融入到生活工作中,变成一种常态化的工作。
  • 以理论学习为基础,结合最全面最专业的实训,增加被培训对象对信息安全诸多领域的深入理解。提供多个方面的实验、实训及工程实践,涵盖多层次的实验操作,以真实环境的真实案例为操作指南,贴近实际岗位能力要求,提供完整的实验教学环境。

B . 绿盟信息安全竞技系统 : ISCS -Information Security Competition System是围绕信息安全理论和知识,组建的信息安全对抗技能实战赛。也可以承载信息安全对抗攻防演练项目,考察攻防演练者网络安全理论知识与实际问题处理能力,旨在借助攻防演练培养一批具备信息安全素养的优秀实战专业的安全人员。

安全攻防竞赛平的攻防竞赛模式可以分为单兵作战挑战赛、分组对抗赛、网络靶场及网络混战四种形式。

本文由:nsfocus 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/ctf-game-experience
如果此文章侵权,请留言,我们进行删除。

0day

诈骗分子利用 GiftGhostBot 僵尸网络窃取零售商礼品卡余额

Distil Networks 安全专家称,网络犯罪分子正利用僵尸网络 GiftGhostBot 窃取全球主要零售商提供的礼品卡余额。

GiftGhostBot 是一种专门用于礼品卡诈骗的新型僵尸网络,攻击目标为面向消费者提供礼品卡消费途径的所有网站,如奢侈品零售商、超级市场、咖啡店网站等。

据悉,诈骗分子不仅利用该僵尸网络对全球范围内近 1000 个网站发起攻击,还公然窃取合法消费者礼品卡余额。他们通过暴力攻击每小时测试多达 170 万张礼品卡帐号并查询账号余额。一旦礼品卡帐号与余额匹配正确,诈骗分子无需任何身份验证即可自动登录受害者账号。由于诈骗分子成功获取余额后即迅速潜入黑市转售帐号或直接消费,追踪此类犯罪行为具有较大难度。

Distil Networks 首席执行官 Rami Essaid 称,像其他复杂网络攻击一样,为了逃避检测,GiftGhostBots 僵尸网络正通过全球托管服务提供商、互联网服务提供商和数据中心执行 JavaScript ,模拟常规浏览器。因此,任何提供礼品卡的零售商都可能受到攻击。为防止资源流失,个人和企业必须共同努力将危害范围控制到最小程度。

原作者:Wang Wei, 译者:青楚,校对:Liuf
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接0day

网络间谍活动再起波澜,El Machete 大肆窃取全球政府机构数据

近期,黑客组织 El Machete 使用定制恶意软件面向全球知名国际政府机构发起攻击,并通过社工方式传播蔓延。目前,该黑客组织已窃取数据逾 100 GB。

研究人员称,尽管 El Machete 将拉丁美洲锁定为主要攻击目标,但加拿大、英国、德国、韩国、俄罗斯、乌克兰和美国等政府机构也纷纷受其影响。据卡巴斯基实验室研究人员介绍,该黑客组织自 2014 年以来一直处于活跃状态,其最早活动时间可追溯至 2012 年。

Cylance 研究人员表示,El Machete 采用的恶意软件主要依赖于 Windows API( 应用程序编程接口 ),旨在逃避传统防病毒程序检测。过去几年间,El Machete 开展的网络间谍活动可谓畅通无阻。尽管公开可用的防御系统中包含诸多威胁识别指标,但多数杀毒解决方案的检出率仍非常低。

据悉,El Machete 仍在不断加强自身网络攻防能力,而此举无疑会使相关国家受到威胁。此外,许多国家的内部网络能力尚未获得提升,亦有可能被黑客组织列为攻击目标。

原作者:India Ashok, 译者:青楚     校对:Liuf
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接0day

DDoS 网络攻击业务利润率竟高达 95%

卡巴斯基实验室专家称,DDoS 攻击在网络黑市上仍是一个有利可图的业务。针对目标组织的 DDoS 攻击成本低至每小时 7 美元,而针对目标企业的 DDoS 攻击费用可高达数千或数百万美元。

DDos 攻击(分布式拒绝服务攻击):借助于客户 / 服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。(百度百科)

2017032723

卡巴斯基实验室发布了一份有关 DDoS 攻击成本的有趣报告。安全专家称,利用云僵尸网络中 1000 台计算机进行 DDoS 攻击的成本约为每小时 7 美元,而 DDoS 攻击服务通常每小时 25 美元,这意味着犯罪分子的预期利润大约为每小时 18 美元。

据悉,DDos 攻击组织建立了一个整体,他们为需要的用户提供注册站点,用户选择所需服务进行付费购买,然后将会收到有关攻击报告。专家称,犯罪分子在黑市中轻松支付购买 DDoS 攻击服务,这些服务易于使用且提供高效报告系统。

2017032724

卡巴斯基的专家称,DDoS 攻击服务价格取决于生成及攻击流量来源。例如,IoT( 物联网 )僵尸网络驱动的 DDoS 攻击比服务器僵尸网络服务器支持的 DDoS 攻击便宜。

目标及特征也是影响 DDoS 攻击服务价格的另一个因素。一部分服务甚至可以用来打击资源丰富的网站,例如政府网站。当然,此类服务的要价会贵一些。此外,网络攻击的成本也取决于目标网站的位置,英语网站上的 DDoS 攻击通常比对俄语网站的攻击更为昂贵。

调查表明,犯罪分子为敲诈勒索提供 DDoS 攻击,DDoS 攻击勒索已成为高利润业务,卡巴斯基的专家表示,一次攻击的盈利高达 95 %,而受害者通常愿意支付赎金阻止进攻。据悉,未来一段时间里 DDoS 攻击的平均成本将持续下降,而频率却会不断增加。

原作者:Pierluigi Paganini, 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 0day

1亿美元:立陶宛钓鲸黑客被美国司法部起诉

伊瓦达斯·利马索斯卡斯,一名48岁的立陶宛人,被控通过钓鲸攻击骗取两家美国互联网公司1亿美元。

美国司法部宣称,经由临时逮捕令,利马索斯卡斯已于上周末被立陶宛官方在首都维尔纽斯逮捕。

他的罪名是以钓鲸攻击骗取1亿美元。钓鲸(BEC)是一种社会工程欺诈方式,犯罪分子诱骗大公司的财务管理人员,将钱打到错误的银行账户中。此类攻击的成功率远超想象。

代理美国检察官金俊称:“伊瓦达斯·利马索斯卡斯隔着半个地球盯上跨国互联网公司,诱骗他们的代理和雇员将1亿多美元电汇到了他控制下的海外银行账户中。该案应被当作对所有公司的一记警钟——即便最高端的公司也会沦为网络罪犯钓鱼攻击的受害者。”

FBI副局长小斯维尼称:“据称,伊瓦达斯·利马索斯卡斯针对两家特定受害公司,展开了颇具创意的商业邮件侵入阴谋。最初进行的很成功,他汇到世界各地银行账户中款项达到了1亿多美元。但他的踪迹终将引领调查人员找到真相。而今天,我们揭露了他的谎言。”

本周公开的起诉书显示,他在2013-2015年间策划了该行动方案,目标是一家跨国技术公司和一家跨国在线社交媒体公司,诱骗这两家公司往其控制下的账户汇款。

涉案银行账户归属利马索斯卡斯自己建立的公司,该公司与受害公司合法商业伙伴(某亚洲计算机硬件制造商)同名。

利马索斯卡斯的钓鱼邮件伪装成真正的硬件制造商,要求受害公司支付合法货物和服务的款项到他设立的公司账户中。

一圈到款项,利马索斯卡斯便将这些骗来的钱汇到全球各个地区的账户中,包括拉脱维亚、塞浦路斯、斯洛伐克、立陶宛、匈牙利和香港。

他还伪造看起来像是受害公司高管和代理签署的发票、合同和信函,并贴上带受害公司名称印花的邮票,提交给银行用作审批大笔电汇转账的证明。

利马索斯卡斯被控1项电汇欺诈罪,3项洗钱罪,每一项都够他在监狱里蹲满20年;另外还有1项恶性身份盗窃罪,而这就最少要判2年的监禁。0day

公民信息黑产报价单曝光 网站成泄露隐私重灾区

进入3月以来,陌生骚扰来电进入高发期。一边是各地公安机关不断加大严打力度,另一边是被捣毁地下黑产窝点规模依然在不断壮大。而类似的诈骗行为之所以屡禁不止,与网络黑色产业链的不断成熟、日趋发达有直接关系。近日,一份来自地下黑产的公民信息报价单浮出水面,其中手机话费详单的单条报价就高达3000元,黑产暴利让人诧异。

“报价单”浮出水面

去年以来,全国各地公安部门进入了严打个人信息非法交易的高峰期,全国一批黑产犯罪团伙陆续落网。而通过安全技术顾问身份加入到打黑战役的腾讯守护者计划安全团队,通过梳理几次重大案件中犯罪分子公认的信息,于日前发布了一份黑产公民信息报价单,涉及十三项公民信息种类,报价最低1元一条,最高达到3000元。私家侦探及地下要债公司是在幕后推高公民信息售价的主要根源。
根据报告显示,报价最高的是手机话费账单(详单),每一份的报价高达2000元~3000元。一位业内人士透露,由于话费账单中可能涉及各类商务往来的关键信息,因此经常流通于私家侦探业务市

以及非法讨债公司之间,甚至会有商业间谍依托查询竞争对手的手机通话信息来获取关键突破信息,牟取暴利。因此目前,这一类信息在地下黑市的报价最高。

其次是公民银行流水单,每份的报价为1000元~3000元,其中最大的买主同样是来自私家侦探业务以及非法讨债公司。这两大逐步形成成熟交易链条的行业是目前地下黑产最为稳定且主流的交易“伙伴”,而随着国家对地下黑产市场的严打,敏感调查对象的价格正在水涨船高。

此外,另一股与信息泄露相关的犯罪势头也在不断上升,窃取用户信息后再加工,其中PS动态认证视频,每组视频报价1000~2000元,用于冒用他人身份注册网店,或进行第三方支付平台账户实名认证;而PS企业五证的报价为800~1000元/套。看似简单的技术操作,背后却包含危险动机,除了申请支付接口外,这些假证件用于转移非法资金及洗黑钱;或者冒用他人企业名义,开办虚假诈骗网站或钓鱼网站,以及推动恶意贷款率的上升。

身份证户籍信息、制作假文凭、假证书、开房记录、手机基站位置等信息在地下黑产的报价相对较低,平均在10~500元之间不等。但危害却不容忽视,其中身份证户籍信息的泄露,可让犯罪分子用来冒名办理信用卡,冒名在网贷平台恶意贷款以及冒名开办银行卡及第三方支付账号,接收和转移非法资金及洗黑钱;冒名挂失他人手机号码,为实施诈骗等犯罪作准备,一旦犯罪分子成功,对公民人身安全、账户安全将形成不可估量的危害。

网站成信息泄露最大源头

近两年来,国家信息安全相关部门频频出手严打公民信息泄露源头,从目前来看,数据量巨大的电商网站、游戏网站以及不少O2O应用都是犯罪分子紧盯的重要目标。

京东在今年3月被爆出涉及50亿条公民信息泄露,这已经是去年下半年京东因网站框架缺陷导致大规模用户信息泄露以来第二次曝光的安全事件。据京东官方消息,涉及信息泄露的是2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏,他是黑产团伙的重要成员,曾就职亚马逊中国、百度和新浪微博从事网络安全相关工作,长期与盗卖个人信息的犯罪团队合作,通过各种方式贩卖。同时该团伙通过入侵社交、游戏、视频直播、医疗等各类公司的服务器,非法获取用户账号、密码、身份证、电话号码、物流地址等公民信息50亿条。

此外,黑客大多数是通过攻击网站获取公民信息。去年5月,江阴警方破获的全国最大一例盗取和倒卖公民个人信息案件中,警方发现涉案人员遍布全国15个省市,主要通过大肆攻击各种类型网站,非法盗窃1.1亿条公民个人信息、新鲜数据6000万多条进行售卖。网名为“佳佳拍”邱同(化名)通过QQ沟通,从上游黑客或内鬼手中获得信息资料,再转手卖给下游以欺诈团伙为主的买家;邱同共有3个QQ号,用于和不同的上下线买卖数据;涉及QQ群46个,群成员高达2万多人。

今年2月28日上午,广东省警方在“飓风1号”专案行动中摧毁侵犯公民个人信息犯罪团伙6个,抓获犯罪嫌疑人138名,缴获涉及全国公民个人信息近1亿条。在这背后正是一家私人讨债公司在作祟。犯罪团伙借资产管理公司广州分公司名义,购买金融单位不良债权,通过追讨欠债获利。为准确掌握债务人身份、地址等个人信息,大规模“搜索”各个债务人员的开房、电信、快递等一系列信息,由此形成巨大犯罪网站,这个犯罪团伙自称“16K”,即可以快速准确获取多达16个省的公民个人信息及行踪。而做到这一切,只需要通过一台笔记本电脑和公共无线网络,就能入侵绝大多数网站。

因此除了个人增强防范意识外,互联网企业也应该加大数据安全防控的投入。业内人士认为,过去不少互联网企业为了节省成本,很少主动增加安全防控领域的投入,很多企业都抱着信息泄露与企业业务无直接关联的想法,即便被攻击瘫痪,处理解决的开支也远低于在安全防控上的投入。因此随着互联网对人们生活的影响日益增大,互联网企业应该具备更多责任意识,担负起公民信息安全防护的重要职责。

来自地下黑产的公民信息报价单

信息项目:身份证户籍信息
价格:10-40元/条
用途:制作假通缉令、法院查封令实施精准电信诈骗;
用他人身份注册网店,销售毒品等各类违禁物品和假冒伪劣产品;
冒名办理信用卡等进行恶意透支;
冒名在网贷平台进行恶意贷款;
冒名开办银行卡及第三方支付账号,接收和转移非法资金及洗黑钱;
冒名挂失他人手机号码,为实施诈骗等犯罪作准备;

信息项目:车辆信息
价格: 10-40元/条 仿冒交通违章类电话短信实施诈骗;发送车险等恶意推销广告;

信息项目:高学历人口信息
价格: 20-60元/条
用途: 制作假文凭、证书;进行MBA培训班等精准营销;

信息项目:开房记录
价格: 150-500元/次
用途: 私家侦探业务:捉奸、查婚外情;非法讨债

信息项目:手机基站位置
价格: 200-500元/次
用途: 私家侦探业务;非法讨债

信息项目:手机话单
价格: 2000-3000/次
用途: 私家侦探业务;非法讨债;商业间谍

信息项目:银行开户资料
价格: 1-10元/条
用途: 精准发送钓鱼或木马链接,实施银行卡盗刷等诈骗;
冒充银行职员或公检法人员进行电信诈骗;
非法查询他人财产状况,为其他犯罪作准备;

信息项目:银行流水单
价格: 1000-3000元/份
用途: 私家侦探业务;非法讨债;

信息项目:火车购票信息
价格: 100-200元/次
用途: 私家侦探业务;行踪调查;

信息项目:PS手持身份证
价格: 150-200元/张
用途: 冒用他人身份注册网店,或进行第三方支付平台账户实名认证;
申请POS机,用于转移非法资金及洗黑钱;

信息项目:PS动态认证视频
价格: 1000-2000元/个
用途: 冒用他人身份注册网店,或进行第三方支付平台账户实名认证;
对违规第三方支付账号进行解冻;

信息项目:PS企业五证
价格: 800-1000元/套
用途: 申请支付接口,用于转移非法资金及洗黑钱;
申请POS机,用于转移非法资金及洗黑钱;
冒用他人企业名义,进行恶意商业营销活动或诈骗;
开办虚假诈骗网站或钓鱼网站;
开网店、网贷等业务,销售假冒伪劣产品;
恶意贷款;

信息项目:PS银行回执单
价格: 300元/份
用途: 汇款转账类诈骗0day

广西男子自学黑客技术盗取个人信息 贩卖获利26万

中新网柳州3月27日电3月27日上午,广西柳州市柳江区人民法院公开审理一起涉嫌侵犯公民个人信息罪案件。犯罪嫌疑人覃某通过自学网络渗透技术,获取公民个人信息进行贩卖,获利26万余元人民币。

据了解,覃某为广西柳江人,初中辍学。2014年覃某在网上自学网络渗透技术,同年4月,覃某在网上认识谭某(另案处理)后得知,可以利用网络渗透技术获取公民个人信息,并将这些信息卖给谭某。

2014年5月起,覃某就开始入侵网站,将获取的公民个人信息以0.4或0.5元每条的价格卖给谭某等人。两年多的时间里,覃某入侵约81个网站,涉及广西、广东、福建、江苏、海南等省市,非法下载公民个人信息1500多万条,涉案金额达26万余元。

2016年,覃某获取2016年广西第二次会计从业资格考生信息后,贩卖给谭某。谭某利用考生信息以出售考试真题及答案为由诈骗考生蒙某28960元,蒙某于2016年6月21日向公安机关报案,8月18日覃某在柳江县被公安机关抓获。

公诉机关指控覃某在2014年至2016年8月期间,利用自学互联网技术,在家中非法入侵网站,获取个人信息后贩卖,非法获利26万余元,请求法院以非法获取公民个人信息罪追究覃某刑事责任。

法庭上,覃某对自己的行为感到后悔,并表示自己本来对网络技术感兴趣,想要从事这方面的工作才学习的,没想到一念之差走上歧途。

该案目前正在审理当中,法院将择期宣判。0day

Let’s Encrypt向PayPal钓鱼网站签发了超过1.4万个证书

过去一年,Let’s Encrypt CA 被发现向含有 PayPal 一词的域名或证书标识签发了 15,270 个 SSL 证书,其中 14,766(96.7%)个证书是签发给了托管在钓鱼网站上的域名。Let’s Encrypt CA 不是唯一一个向钓鱼网站签发 SSL 证书的 CA,其它 CA 也存在这一问题,但数量要比提供免费服务的 Let’s Encrypt CA 低几个数量级(只有几百个)。

钓鱼者较少其它 CA 的一个原因是这些 CA 提供的是商业服务,会拒绝含有热词如 PayPal 的证书申请,而 Let’s Encrypt CA 的证书签发是自动化的并没有专人审查。Let’s Encrypt CA 旨在推动更安全的 HTTPS 网站的普及,它认为自己没有责任去检查网站是钓鱼网站还是合法网站。

0day

反混淆:恢复被OLLVM保护的程序

译者序:

OLLVM作为代码混淆的优秀开源项目,在国内主流app加固应用中也经常能看到它的身影,但是公开的分析研究资料寥寥。本文是Quarkslab团队技术博客中一篇关于反混淆的文章,对OLLVM项目中的控制流平坦化、虚假控制流、指令替换等混淆策略进行了针对性分析,并展示了利用符号执行对OLLVM混淆进行清理的一些思路和成果。

文章侧重于反混淆思路的讲解,并没有提供完整的代码方案,部分关键点也有所保留。文章末尾会提供编译好的测试程序(基于LLVM3.6.1),对OLLVM反混淆感兴趣的读者可以结合实例继续研究,后续有机会也会分享关于OLLVM还原的实例分析案例。外文技术文章翻译确实不易,初次尝试难免有误,欢迎留言指正。

【原文】: 《Deobfuscation: recovering an OLLVM-protected program》

我们最近研究了Obfuscator-LLVM项目,目的是测试其不同的保护策略。下面是我们关于如何处理代码混淆的结论与解决方案。

介绍

由于有时需要处理一些经过重度混淆的代码,我们打算研究Obfuscator-LLVM项目,检查其所生成混淆代码的优缺点。我们使用其可用的最新版本(基于LLVM3.5)。下面将展示如何使用Miasm逆向工程框架来突破所有的保护。

敬告:本文只是为了展示解决OLLVM混淆处理的一种方法。虽然包含许多代码示例,但本文不是Miasm教程,也没有提供相应的Python脚本打包下载。当然我们可以搞长篇大论,分析一个被OLLVM混淆保护的复杂程序,或者是一个Miasm不支持的CPU架构等等…然而并没有这些。我们将保持简单化,并展示我们如何清理混淆代码。

首先,我们会介绍分析过程中使用的所有工具,然后针对一个简单的示例程序,展示如何逐层(最后累加)打破OLLVM的保护方案。

免责声明:Quarkslab团队也在开发基于LLVM的混淆保护。所以我们对于设计混淆器和反混淆都有过一些研究。但这些成果尚未公开,并且也不准备公开。所以我们研究了OLLVM,因为我们了解其中会遇到的的困难。OLLVM是一个有意义的项目,在混淆的世界里所有一切都是关于(错位)的秘密。

混淆是什么?

代码混淆意味着代码保护。混淆修改后的代码更难以被理解。例如它通常被用于DRM(数字版权保护)软件中,通过隐藏算法和加密密钥等机密信息来保护多媒体内容。

当任何人都可以获取访问你的代码或二进制程序,但你不想让别人了解程序的工作原理的时候,你就需要代码混淆。但混淆的安全性基于代码模糊程度,破解它也只是时间问题。因此混淆工具的安全性取决于攻击者打破它所必须花费的时间。

使用的工具

测试例子

我们的测试目标是一个对输入值进行简单计算的单一函数。代码包含4个条件分支,这些分支取决于输入参数。测试程序在x86 32位架构下编译:

unsigned int target_function(unsigned int n) 
{
  unsigned int mod = n % 4;
  unsigned int result = 0;
  if (mod == 0) result = (n | 0xBAAAD0BF) * (2 ^ n);
  else if (mod == 1) result = (n & 0xBAAAD0BF) * (3 + n);
  else if (mod == 2) result = (n ^ 0xBAAAD0BF) * (4 | n);
  else result = (n + 0xBAAAD0BF) * (5 & n);
  return result;
}

下面是IDA的控制流程图展示:

1.png

我们可以看到使用布尔比较和算术指令计算的3个条件和4个分支路径。我们这样做的目的是为了充分测试OLLVM所有的混淆策略。

这个函数虽然很简单,但它是研究反混淆最好的方式。因为我们的目标是为了研究OLLVM行为,而不是获得一个百分百通用的反混淆工具。

Miasm框架

Miasm是一个Python开源逆向工程框架。最新版本获取:https://github.com/cea-sec/miasm。正如我们前面所说的,虽然我们会展示一些代码示例,但是本文并不是Miasm教程。虽然其他工具可以同样用来做反混淆,但本文对于Miasm框架是一个很好的展示机会,Miasm框架更新比较活跃,可以用来做为强大的反混淆工具。

敬告!Miasm API可能在以后的提交更新中发生变化,所以请务必注意本文中提供的Miasm代码示例仅适用于本文发布时的最新版本(commit a5397cee9bacc81224f786f9a62adf3de5c99c87)。

图形展示

在我们开始分析混淆代码之前,关键的一点是决定我们想要的反混淆输出结果的展示形式。这并不简单,因为反混淆工作可能需要耗费一些时间,并且我们想有一个简单易懂的输出。

我们可以将基本块内容转换为LLVM中间表示(IR),这样可以重新编译混淆后的代码,并通过“优化传递”来清除无用代码然后生成新的程序,但是这个方案比较耗时,不过可以作为未来的改进目标。所以我们选择IDAPython构建流程图(使用GraphViewer类)作为我们的反混淆输出。这样,我们可以轻松地构建出节点和路径,然后使用Miasm的中间表示(IR)去填充代码基本块。

示例,下面的流程图是我们通过脚本对前面的测试程序生成的:

2.png

使结果输出展示更容易理解还需要有一些努力改进,但对于本文来说足够了。在上图中,我们可以看到3个条件和4个路径及其各自的运算。当然展示的图形是无法去执行的,但它为分析者正确地理解函数含义保留了足够的信息。而这就是反混淆的意义所在。

我们的脚本生成图形比较简陋,在基本块中没有颜色和美化。并且这不是纯粹的Miasm IR代码,阅读起来比较困难。所以我们选择将IR转换为一些伪代码(近似Python)。

所以当我们完成一些反混淆测试需要展示结果时,我们可以使用同样的方法生成图形输出,将其与上面的原始截图进行比较。

OLLVM反混淆

快速演示

在这里我们不会详细解释OLLVM的工作原理,因为这些在其项目网站(http://o-llvm.org)中已经被很好地阐释说明。简单来说,它由3种不同的保护方式组成:控制流平坦化,虚假控制流和指令替换,这些保护方式可以累加,对于静态分析来说混淆后代码非常复杂。在这一部分,我们将展示如何逐一去除每种保护,最后去除全部方式累加后的混淆保护。

控制流平坦化

关于“控制流平坦化”解释如下: https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening

使用以下命令行编译测试代码:

../build/bin/clang -m32 target.c -o target_flat -mllvm -fla -mllvm -perFLA=100

这个编译命令会对我们的测试程序所有函数开启“控制流平坦化”保护,以便确保我们的测试具有针对性。

被混淆保护的函数

通过IDA查看被混淆目标函数的控制流图如下:

3.png

混淆代码的行为很简单。在“序言”中,状态变量受数字常数的影响,而该数字常量通过“主分发器”(包括“子分发器”)指引到达目标基本“关联块”所需的路径。“相关块”就是没有经过混淆的函数的原始块。在每个基本“相关块”的结尾,状态变量受另一个数字常量的影响,再指示下一个“相关块”,以此循环类推。

原始条件被转换为CMOV条件传送指令,然后根据比较结果,在状态变量中设置下一个“相关块”。

由于这种转换传递在指令级别并没有添加任何保护,所以混淆后代码仍然保持了可读性。只有控制流程图被破坏打乱。我们现在的目标是恢复函数原始的控制流程图。我们需要恢复所有可能的执行路径,这意味着为了重建控制流程图,我们需要知道所有基本“相关块”之间的链接关系(父子节点)。

这里我们需要一个符号执行工具来遍历代码,并尝试计算每个基本块的目标终点。当出现判断条件分支时,它将帮助我们尝试运行并获取所有分支可能到达的目标地址列表。Miasm框架包含有一个符号执行引擎(支持x86 32位等架构),其基于自身的“中间表示”(IR)实现,并且可以通过反汇编器转换二进制代码到“中间表示”(IR)。

下面是Miasm 脚本代码,通过这个代码我们可以在函数基本块上进行符号执行来计算其目标地址:

# Imports from Miasm framework

from miasm2.core.bin_stream                 import bin_stream_str

from miasm2.arch.x86.disasm                 import dis_x86_32

from miasm2.arch.x86.ira                    import ir_a_x86_32

from miasm2.arch.x86.regs                   import all_regs_ids, all_regs_ids_init

from miasm2.ir.symbexec                     import symbexec

from miasm2.expression.simplifications      import expr_simp

# Binary path and offset of the target function 【程序路径与目标函数代码偏移】

offset = 0x3e0

fname = “../src/target”

# Get Miasm’s binary stream [获取文件二进制流]

bin_file = open(fname, “rb”).read() # fix: (此处原文代码BUG,未指定“rb”模式可能导致文件读取错误)

bin_stream = bin_stream_str(bin_file)

# Disassemble blocks of the function at ‘offset’ 【反汇编目标函数基本块】

mdis = dis_x86_32(bin_stream)

disasm = mdis.dis_multibloc(offset)

# Create target IR object and add all basic blocks to it 【创建IR对象并添加所有的基本块】

ir = ir_a_x86_32(mdis.symbol_pool)

for bbl in disasm: ir.add_bloc(bbl)

# Init our symbols with all architecture known registers 【符号初始化】

symbols_init =  {}

for i, r in enumerate(all_regs_ids):

symbols_init[r] = all_regs_ids_init[i]

# Create symbolic execution engine 【创建符号执行引擎】

symb = symbexec(ir, symbols_init)

# Get the block we want and emulate it 【获取目标代码块并进行符号执行】

# We obtain the address of the next block to execute

block = ir.get_bloc(offset)

nxt_addr = symb.emulbloc(block)

# Run the Miasm‘s simplification engine on the next

# address to be sure to have the simplest expression 【精简表达式】

simp_addr = expr_simp(nxt_addr)

# The simp_addr variable is an integer expression 

# (next basic block offset) 【如果simp_addr变量是整形表达式(下一个基本块的偏移)】

if isinstance(simp_addr, ExprInt):

  print(“Jump on next basic block: %s” % simp_addr)

# The simp_addr variable is a condition expression 【如果simp_addr变量为条件表达式】

elif isinstance(simp_addr, ExprCond):

  branch1 = simp_addr.src1

  branch2 = simp_addr.src2

  print(“Condition: %s or %s” % (branch1,branch2))

上述代码只是针对单个基本块进行符号执行的示例。为了覆盖目标函数代码的所有基本块,我们可以使用这段代码从目标函数的序言开始跟踪函数执行流程。如果遇到判断条件则逐一探索每个流程分支,直到完全覆盖目标函数。

当执行到函数返回位置后还需要继续跟踪下一个有效分支,我们就必须有一个分支栈来处理这些情况。我们需要保存每一个分支状态,当需要后续处理的时候就可以用来恢复所有符号执行过程的上下文信息(例如寄存器)。

中间函数

通过应用之前的解决思路,我们可以重建中间控制流程图。下面通过流程图处理脚本进行展示:

4.png

在这个中间函数流图中,现在可以清楚看到所有有用的基本块和分支条件。“主分发器”及“子分发器“对代码执行有用,但对于我们恢复原始控制流程图的目标来说是无用的。我们需要清除这些分发器代码,只保留“相关块。

为了实现这个目标,可以对OLLVM控制流平坦化后的函数固定“形状”分析。实际上大多数“相关块”(除了序言和返回基本块)位于可以被检测的明确位置。为了定位这些“相关块”,我们需要从被保护的原函数开始,构建编写一个具备通用性的算法:

  • 序言块位于函数开始(相关块)
  • (译者补充:序言的后续子节点为主分发器),处于主分发器时获取其父节点(非序言):预分发器
  • 标记预分发器的所有父节点为相关块
  • 标记没有子节点的单独块:返回块

这个算法很容易实现,如前文所见,Miasm反汇编器可以为我们提供目标函数反汇编后的基本块列表。当获得相关的块列表后,我们就能够在符号执行时通过以下规则算法重建原控制流:

  • 定义一个父节点块(开始处序言)的集合变量(只有“相关块”才能加入)
  • 对于每个新块,如果它在相关块列表中,我们可以将它和父节点块链接起来。并将此新块设置为父节点。
  • 在每个条件分支下,每个路径都有自己的父节点相关块变量。
  • 其他等等。

为了说明这个算法,以下是示例代码:

# Here we disassemble target function and collect relevants blocks

# Collapsed for clarity but nothing complicated here, and the algorithm is given above

relevants = get_relevants_blocks()

# Control flow dictionnary {parent: set(childs)} 【控制流字典变量 {父节点: 集合(子节点)}】

flow = {}

# Init flow dictionnary with empty sets of childs 【使用空集合初始化控制流变量】

for r in relevants: flow[r] = set()

# Start loop of symbolic execution 【开始符号执行循环】

while True:

    block_state = # Get next block state to emulate

    # Get current branch parameters 【获取当前分支参数】

    # “parent_addr” is the parent block variable se seen earlier 

    # 【”parent_addr”即前面所说的父节点块】

    # “symb” is the context (symbols) of the current branch 【”symb”即当前分支上下文】

    parent_addr, block_addr, symb = block_state

    # If it is a relevant block 【如果是相关块】

    if block_addr in flow:

        # We avoid the prologue’s parent, as it doesn’t exist 【忽略序言父节点】

        if parent_addr != ExprInt32(prologue_parent):

            # Do the link between the block and its relevant parent 【关联目标块与其父节点块】

            flow[parent_addr].add(block_addr)

        # Then we set the block as the new relevant parent 【将当前块设置为新的父节点块】

        parent_addr = block_addr

    # Finally, we can emulate the next block and so on.

恢复函数

通过使用上面的算法,可以生成如下控制流程图:

5.png

如上,原始代码被完整恢复。我们可以看到用于计算输出结果的3个条件分支和4个计算表达式。

虚假控制流

关于“虚假控制流”的解释:https://github.com/obfuscator-llvm/obfuscator/wiki/Bogus-Control-Flow

使用以下命令行编译测试代码:

../build/bin/clang-m32 target.c -o target_flat -mllvm -bcf -mllvm -boguscf-prob=100 -mllvm-boguscf-loop=1

该编译命令可以在我们的测试程序的函数上启用“虚假控制流”保护。我们将“-boguscf-loop”参数(循环次数)设置为1,对反混淆处理没有影响,只是代码生成和恢复过程会比较慢,并且内存消耗更多。

被保护函数

当我们使用IDA Pro加载目标程序时,控制流图如下:

6.png

屏幕分辨率在这里已变得不再重要,因为从上图中我们足以看出混淆后的函数代码非常复杂。“虚假控制流”保护会对每个基本块进行混淆,创建一个包含“不透明谓词”的新代码块,“不透明谓词”会生成条件跳转:可以跳转到真正的基本块或另一个包含垃圾指令的代码块。

我们可以同样使用前文中的符号执行方法,找到所有有用基本块并重建控制流。但还存在一个问题:“不透明谓词”,如果包含垃圾代码的基本块返回它的父节点块,这种情况下如果我们在符号执行过程中还按这个路径去跟踪,将导致陷入死循环。所以需要先解决“不透明谓词”问题,以避免垃圾代码块,直接找到正确的执行路径。

下面是“不透明谓词”问题在OLLVM源码中的图形注释:

// Before :

//                       entry

//                         |

//                   ______v______

//                  |   Original  |

//                  |_____________|

//                         |

//                         v

//                       return

//

// After :

//                       entry

//                         |

//                     ____v_____

//                    |condition*| (false)

//                    |__________|—-+

//                   (true)|          |

//                         |          |

//                   ______v______    |

//              +–>|   Original* |   |

//              |   |_____________| (true)

//              |   (false)|    !———–> return

//              |    ______v______    |

//              |   |   Altered   |<–!

//              |   |_____________|

//              |__________|

//

//  * The results of these terminator’s branch’s conditions are always true, but these predicates are

//    opacificated. For this, we declare two global values: x and y, and replace the FCMP_TRUE

//    predicate with (y < 10 || x * (x + 1) % 2 == 0) (this could be improved, as the global

//    values give a hint on where are the opaque predicates)

在进行符号执行时,我们需要简化这个“不透明谓词”:(y <10 || x *(x + 1)%2 == 0)。Miasm框架仍然可以帮助我们完成这个任务,因为框架包含了一个基于自身IR(中间表示)的表达式简化引擎。我们还需加深对不透明谓词的了解。因为这两个表达式之间通过“或”连接,并且结果必须为真,所以简化一个表达式足矣。 当下目标是使用Miasm框架进行模式匹配,并将表达式x *(x + 1)%2替换为0。这样“不透明谓词”的正确结果为真,这一点很容易解决。 看起来OLLVM项目的程序员在上面的代码注释中犯了一点错误:代码注释中说的“不透明谓词”是错的。最初使用Miasm框架的简化引擎没有匹配到目标表达式。通过查看Miasm框架代码中给出的表达式,我们发现实际的“不透明谓词”方程是:(x *(x + 1)%2)(减1而并非加1)。 这个问题可以通过查看OLLVM源码来验证:

*BogusControlFlow.cpp:620*

//if y < 10 || x*(x+1) % 2 == 0

opX = new LoadInst ((Value *)x, “”, (*i));

opY = new LoadInst ((Value *)y, “”, (*i));

op = BinaryOperator::Create(Instruction::Sub, (Value *)opX,

ConstantInt::get(Type::getInt32Ty(M.getContext()), 1,

false), “”, (*i));

这段代码展示了上述问题。代码注释中写的(x + 1),但实际上代码使用了sub指令,说明表达式应该是:(x-1)。因为最后做模2操作,所以对计算结果值影响不大,因为两种表达式的结果是相同的,但对于使用模式匹配来说这个信息很关键。

因为我们确切地知道匹配目标,以下是使用Miasm模式匹配的代码示例:

# Imports from Miasm framework

from miasm2.expression.expression           import *

from miasm2.expression.simplifications      import expr_simp

# We define our jokers to match expressions

jok1 = ExprId(“jok1”)

jok2 = ExprId(“jok2”)

# Our custom expression simplification callback  【表达式匹配回调函数】

# We are searching: (x * (x – 1) % 2)

def simp_opaque_bcf(e_s, e):

    # Trying to match (a * b) % 2 【尝试匹配(a * b) % 2】

    to_match = ((jok1 * jok2)[0:32] & ExprInt32(1))

    result = MatchExpr(e,to_match,[jok1,jok2,jok3])

    if (result is False) or (result == {}):

        return e # Doesn’t match. Return unmodified expression

    # Interesting candidate, try to be more precise 【进一步精准匹配 b == (a – 1)】

    # Verifies that b == (a – 1)

    mult_term1 = expr_simp(result[jok1][0:32])

    mult_term2 = expr_simp(result[jok2][0:32])

    if mult_term2 != (mult_term1 + ExprInt(uint32(-1))):

        return e # Doesn’t match. Return unmodified expression

    # Matched the opaque predicate, return 0 【匹配到表达式后返回0】

    return ExprInt32(0)

# We add our custom callback to Miasm default simplification engine 

# 【添加自定义回调函数到Miasm默认简化引擎中】

# The expr_simp object is an instance of ExpressionSimplifier class 

# 【expr_simp对象是ExpressionSimplifier类的实例】

simplifications = {ExprOp : [simp_opaque_bcf]}

expr_simp.enable_passes(simplifications)

这样当每次我们调用方法:exprsimp(e) (“e”是一个Miasm IR 的lambda表达式),如果其中包含“不透明谓词”就会被简化。由于Miasm IR类有时调用exprsimp()方法,此回调函数在IR修改期间可能会被执行。

中间函数

现在我们需要使用与之前相同的符号执行算法,但无需处理相关块。因为无用的块不会被执行,它们将被自动清除。可以获得以下控制流图:

7.png

添加“不透明谓词”识别到我们的原来的算法中后,Miasm框架会简化这些表达式,最后得到上图展示的结果。符号执行会找到所有的可达路径,并忽略不可达路径。可以看出函数流程图的“形状”是正确的,但是这个结果图还比较难看,因为其中还包含了OLLVM添加的剩余指令和一些空的基本块。

恢复函数

现在可以使用与以前相同的算法去清除残留垃圾代码(控制流平坦化)。虽然这个方法不是很优雅,但不得不这么做,因为我们无法使用编译器优化这些。 最终我们获得以下流程图,它和原始流程图已非常接近:

8.png

混淆后的代码被完好恢复。同样可以看到3个条件分支和4个用于计算输出值的计算表达式。

指令替换

关于“指令替换”的解释:https://github.com/obfuscator-llvm/obfuscator/wiki/Instructions-Substitution 使用以下命令行编译测试代码:

../build/bin/clang -m32 target.c -o target_flat -mllvm -subv

上述编译命令会在我们的测试程序的所有函数开启“指令替换”保护。

保护函数

“指令替换”保护不会修改函数原始的控制流程,使用Miasm IR图形展示中如下:

9.png

正如期望的那样,函数流程图“形状”没有改变,仍可以看到相同的条件分支,但是在“相关块”中,可以看到对输入值的计算过程变得更繁杂。因为这个例子中代码比较简单,所以混淆复杂度看起来还能够接受,但如果是比较庞大的函数源码,这样的混淆也足够恶心。 OLLVM项目把普通算术和布尔运算替换为更复杂的操作。但由于“指令替换”只是一个等价转换表达式列表,我们仍然可以通过使用Miasm模式匹配去解除这种保护。 从OLLVM项目官网上我们可以看到,根据运算符不同,有以下几种指令被替换:+, – ,^,| ,& 以下是简化OLLVM项目 XOR指令替换的代码:

# Imports from Miasm framework

from miasm2.expression.expression           import *

from miasm2.expression.simplifications      import expr_simp

# We define our jokers to match expressions

jok1 = ExprId(“jok1”)

jok2 = ExprId(“jok2”)

jok3 = ExprId(“jok3”)

jok4 = ExprId(“jok4”)

# Our custom expression simplification callback 【表达式匹配简化回调函数】

# We are searching: (~a & b) | (a & ~b) 【匹配表达式(~a & b) | (a & ~b)】

def simp_ollvm_XOR(e_s, e):

    # First we try to match (a & b) | (c & d)

    to_match = (jok1 & jok2) | (jok3 & jok4)

    result = MatchExpr(e,to_match,[jok1,jok2,jok3,jok4])

    if (result is False) or (result == {}):

        return e # Doesn’t match. Return unmodified expression

    # Check that ~a == c

    if expr_simp(~result[jok1]) != result[jok3]:

        return e # Doesn’t match. Return unmodified expression

    # Check that b == ~d

    if result[jok2] != expr_simp(~result[jok4]):

        return e # Doesn’t match. Return unmodified expression

    # Expression matched. Return a ^ d  【匹配成功返回a ^ d】

    return expr_simp(result[jok1]^result[jok4])

# We add our custom callback to Miasm default simplification engine

# The expr_simp object is an instance of ExpressionSimplifier

simplifications = {ExprOp : [simp_ollvm_XOR]}

expr_simp.enable_passes(simplifications)

这个方法对于所有指令的替换恢复都是相同的。只需检查Miasm框架是否正确匹配即可。但Miasm有时会出现一些匹配上问题,这可能会有点棘手或耗费时间,这时对公式匹配就需要特殊处理。但是当它完成…一切就搞定了。 另外在这个问题上我们有一个重要优势,就是正在被分析的混淆器是开源的,通过查看源代码就可以知道指令替换公式。如果是在闭源的混淆器中,我们就必须手动找到它们,这个过程可能非常耗时。

恢复函数

将所有OLLVM的替换公式添加到Miasm简化引擎后,我们可以重新生成如下控制流图:

10.png

可以看到在上面截图中的基本块比较小,指令混淆已经被清理替换。这样我们得到了原始函数,这对分析者来说比较清晰易懂。

完整保护

逐个打破所有的保护是个可行的思路,通常来说,混淆器的保护力度是可以被叠加的,这使得未处理的混淆代码很难被理解。另外在现实情况中,一般都会启用最大保护级别去混淆模糊目标软件代码。所以能够处理完整保护显得非常重要。

使用以下编译命令对测试目标函数启用OLLVM完整保护:

../build/bin/clang -m32 target.c -o target_flat -mllvm -bcf -mllvm -boguscf-prob=100 -mllvm -boguscf-loop=1 -mllvm -sub -mllvm -fla -mllvm -perFLA=100

保护函数

通过IDA查看被保护的函数代码,可以看到以下控制流图:

11.png

可以看出很重要的一点,通过保护方式叠加似乎明显地提高了代码的混淆程度,因为“不透明谓词”可以通过“指令替换”来转换实现,而“控制流平坦化”又会被应用于“伪造控制流”保护后的代码。从上面的截图中可以看到更加庞杂的相关块。

恢复函数

我们没有对前文中描述的方法进行任何修改,直接运行我们的脚本后就可以完全恢复被混淆后的函数代码,虽然上面混淆后的函数代码看起来非常糟糕,但是可以说在保护级别上,叠加保护和之前的保护并没有任何区别。

12.png

可以看到一些无用指令行并没有被我们的启发脚本完全清除,但这些可以被可忽略,因为我们已经恢复出原始函数的“形状”、条件分支和运算公式。

附加

如上文所述,我们可以通过“重建控制流并使用易懂伪代码填充”的方式清除控制流保护。在我们的下面测试例子中,我们将使用Miasm符号执行引擎展示另一种不同思路。

目标函数接受参数输入并输出值,结果取决于输入。我们可以这么做,在符号执行期间,每次到达一个分支结尾(返回)时,输出EAX(x86 32位架构中返回值寄存器)对应的表达式。对于此示例,如上文所见,我们已经激活了完整的OLLVM保护选项。

# .. Here we have to do basic blocks symbolic execution, as we seen earlier ..

# Jump to next basic block

if isinstance(simp_addr, ExprInt):

# Useless code removed here…

# Condition

elif isinstance(simp_addr, ExprCond):

# Useless code removed here…

# Next basic block address is in memory

# Ugly way: Our function only do that on return, by reading return value on the stack

elif isinstance(simp_addr, ExprMem):

print(“-“*30)

print(“Reached return ! Result equation is:”)

# Get the equation of EAX in symbols 【读取EAX对应表达式】

# “my_sanitize” is our function used to display Miasm IR “properly” 【格式化表达式】

eq = str(my_sanitize(symb.symbols[ExprId(“EAX”,32)]))

# Replace input argument memory deref by “x” to be more understandable 【替换参数为x更易读】

eq = eq.replace(“@32[(ESP_init+0x4)]”,“x”)

print(“Equation = %s” % eq)

通过符号执行运行上面的代码,我们得到以下输出:

starting symbolic execution…

——————————

Reached return ! Result equation is:

Equation = ((x^0x2) * (x|0xBAAAD0BF) & 0xffffffff)

——————————

Reached return ! Result equation is:

Equation = ((x&0xBAAAD0BF) * (x+0x3) & 0xffffffff)

——————————

Reached return ! Result equation is:

Equation = ((x^0xBAAAD0BF) * (x|0x4) & 0xffffffff)

——————————

Reached return ! Result equation is:

Equation = ((x&0x5) * (x+0xBAAAD0BF) & 0xffffffff)

——————————

symbolic execution is done.

非常好,这个表达式结果正是我们测试例子的源代码中所写的!

结论

虽然这些脚本对于反混淆是一个不错的开端,但它不可能适用于所有被OLLVM保护的代码,一方面在一些目标程序上总是存在特殊的情况,这些脚本还需要相应地进行改进以适应不同情况。而且它还依赖于Miasm框架,其本身还存在一些功能限制,需要实现或提交改进。

在例如“循环”这样更复杂的函数上我们测试了这些脚本,它仍然效果良好。但也存在其无法处理的特殊情况,比如当输入参数决定循环停止条件时。这种情况处理起来比较困难,因为我们必须处理已经遇到的分支,否则将很快导致符号执行陷入死循环。为了检测这些情况,就需要通过分支状态差异来推断循环停止条件,以继续正常地符号执行。

OLLVM是一个非常有趣并且有意义的项目,它实例展示了如何通过操作LLVM构建自己的混淆器,并支持多CPU架构。显而易见,与闭源的商业保护方案相比,能够查看源码对于对抗保护非常有用。这也显示了一个强大的混淆器所依赖的秘密:如何使用变换,变换依赖于什么,如何组合保护策略等。所以,真的非常感谢OLLVM团队公开这些。

代码混淆做起来是非常困难的,这与大多人的想法都不同。混淆不是禁止访问代码和数据,而是预见突破保护层所需的时间成本。

致谢

  • 感谢OLLVM作者的优秀项目
  • 感谢Fabrice Desclaux创建优秀的Miasm框架
  • 感谢Camille Mougey对Miasm的贡献和帮助
  • 感谢Ninon Eyrolles的帮助和指正

附件-测试程序下载链接:https://share.weiyun.com/c38128f2b56d60fbfac6d6144f52fa8a

* 本文作者:渔村安全(企业帐号),转载请注明来自FreeBuf.COM0day

涉嫌入侵雅虎的俄罗斯黑客Alexsey Belan常用渗透手段(TTPs)

01.png

曾记得,2012年1月22日一大早,我和Mike Arpaia就前往肯尼迪机场赶飞机。当时,我们都高薪受雇于██████机构,这次出差是前往某遭受数据泄露的当事公司进行应急响应。到达现场后,经过一星期左右的大量取证分析工作,我们查明此次事件的幕后攻击者是一个被称为“M4g”的俄语黑客。

其实,M4g就是最近FBI披露参与雅虎数据窃取的黑客Alexsey Belan(亚历克斯·贝兰),他是黑客界的数据窃取老手,也是2013年FBI十大网络通缉犯之一,而且,还涉嫌参与去年俄罗斯针对美国大选干预攻击事件,自其犯下累累罪名以来,曾被美国司法部四次公开起诉通缉。起初,Belan的下手目标多为美国西海岸一带公司,他被认为是2012年2013年间多起严重数据泄露事件的“直接元凶”,尽管当时有很多新闻报道,但他并没有因此受到关注,直到最近因雅虎数据泄露事件再次被FBI起诉,他和同伙才曝光在聚光灯下。

本篇文章根据我多年的取证经验,结合Alexsey Belan的三次入侵事件调查分析,对Alexsey Belan的网络攻击手法(TTPs)作个简单总结,作为参考借鉴,望引起相关方重视。

Belan的网络攻击特点

通过Google和Linkedin搜索发现攻击目标外围web服务;

使用披露的通用WordPress漏洞和一些特殊的bug入侵PHP网站;

改变Linux认证机制模式获取相关账户密码信息;

使用Nmap进行内部网络服务识别;

利用企业内部Wiki网页发现一些管理流程和VPN相关信息;

利用票务、编程缺陷跟踪、版本控制等类似系统获取相关账户信息,如密钥、许可证种子、哈希、密码和源代码等;

从一些弱保护措施的非产品实例系统中(如过渡系统或staging登台环境)获取Cookie,并应用于尝试绕过双因素认证措施;

通过邮件、票务或文件系统发现客户端证书,并结合已知的相关凭据进行企业内部VPN登录攻击

利用获取的开发工程师账户密码信息向版本控制系统中上传隐藏后门程序。

内网Wiki:类似于维基百科式的企业内部知识管理和交流平台。

登台环境:Staging Environment,也叫模拟环境、准生产环境、部署环境、过渡环境、临时环境,多应用于研发部门,可以理解为产品环境的镜像, QA在staging server上对新版本做最后一轮verification, 通过后才能部署到产品线上。为开发出优秀的应用程序,企业通常需要多个研发环境,如产品环境、开发环境、QA环境和登台(staging)环境。而生产环境也就是上线之后正式投入运营服务的的真实环境。

电子邮件账户密码信息总是与数据泄露事件如影随形,尤其是一些公网邮箱的此类信息更是倍受关注,因为可以利用这些信息,结合VPN或其它手段,进一步获取企业用户内部网络访问控制权。

Alexsey Belan的三次入侵事件

Alexsey Belan入侵公司A事件:利用WordPress漏洞

目前,据调查和掌握消息显示,第一家已知的Belan下手攻击机构,由于其分支公司在企业广域网上运行有WordPress服务,未被部署于隔离区或DMZ之内,通过该服务可以实现内网访问,因此被Belan成功利用并实现渗透入侵和数据窃取。Belan通过谷歌搜索关联到该项WordPress服务并利用CVE-2011–4106漏洞实现入侵,之后,他通过wget方式从m4g.ru下载后续利用工具,并通过CVE-2010–3856实现系统提权。

02.png

以下为Belan进一步实施内网渗透的大概5天周期性步骤:

替换WordPress登录管理页面l10n.php为钓鱼页面,以此方式获取管理员或相关账户密码信息;

利用Nmap识别企业内网服务和内部Wiki平台;

通过获取的WordPress账户信息尝试Wiki认证登录;

通过Wiki平台获取网络系统管理流程相关信息;

在尝试登录一些具有双因素认证(2FA)的管理系统失败后,转向尝试那些不需要2FA认证的登台环境管理系统,一旦成功进入,便手工进行一些目录遍历和文件上传测试;

通过登台环境构造一些可以成功绕过产品环境管理登录2FA认证cookie,实现对企业产品环境的入侵;

综合利用以上各类漏洞获取系统管理控制权限和MySQL数据库管理账户密码信息,以此深入获取数据库服务环境中的顾客数据;

运行MySQL自带工具MySQLDump备份数据库,并把备份文件命名为1.txt;

压缩备份数据库文件为1.tgz类型,并尝试通过scp命令回传到远程控制主机中的mnogo.mobi和m4g.ru域名目录结构下;

如果scp过程失败,则把1.tgz分割存放于网络生产环境中部署静态内容的网络文件系统(NFS)中,之后,再通过共享或其它方式逐步窃取数据。

SCP命令:scp -r dbremotehot:/usr/local/mysql/data  #用于数据库的快速备份并拷贝复制远程服务器中。

Alexsey Belan入侵公司B事件:利用Linkedin来发现目标系统外围服务

Belan的另外一家入侵公司是FBI由数据泄露线索发现的,后来,经我们调查掌握,该公司的一个工程师账户被Belan利用,不小心以俄罗斯IP地址登录进入公司内部VPN系统,随后,我们发现,该工程师位于Santa Clara家中部署于一台iMac上的自架web服务器被入侵。该web服务架设于一个Linux虚拟机中,而该虚拟机又通过iMac主机虚拟机软件Parallel搭建;Belan通过该工程师的公开Linkedin档案发现了这台个人自架服务器:

03.png

该Linux虚拟机中还部署了大量PHP站点,Belan通过以下步骤层层渗透控制了该Linux虚拟机和主机系统,最终,获得了开展进一步入侵其所在公司的相关信息:

对部署于虚拟机中的PHP站点进行手工漏洞测试;

成功发现并利用了一个通用的任意文件上传漏洞;

利用CVE-2010–3856漏洞进行root提权;

替换Linux和PHP服务管理认证机制钓取用户管理密码信息;

对获取到的/etc/shadow密码哈希值进行破解;

对MacOS主机与Linux虚拟机之间的SSH连接服务进行暴力破解;

利用日志分析工具分析Linux虚拟机内的utmp和wtmp日志,识别系统登录用户行为;

通过破解或获取的一组用户密码尝试与主机MacOS系统进行SSH连接登录;

从该工程师的MacOS主机内获取到其公司的内部VPN网络配置信息,包括网关信息、客户端证书和认证私钥等;

结合以上信息,利用该工程师的VPN登录账户密码顺利进入该公司的企业VPN网络。

在此次事件调查中,由于发现数据泄露线索之后该公司才意识到被入侵攻击,而其中一些应用程序、数据库和基础设备的日志设置了14天的回滚覆盖周期,造成我们的深入调查受限。但可以肯定的是:

至少在成功入侵之后的4个月时间左右,Belan可以随意访问登录该公司内部企业VPN系统

Belan从该公司的网络服务环境(生产环境)中窃取了大量顾客数据

Alexsey Belan入侵公司C事件:缺少双因素认证措施+云端数据存储系统=不敢想像的脆弱防护

据不完全统计,到2013年中旬左右,Belan通过入侵各种行业公司,手上至少拥有包括邮箱地址、密码和安全问题答案在内的2亿条用户凭据信息。而与此对应存在风险的是,一些采用云端数据存储的公司和组织机构却因缺乏双因素安全认证措施,而使其自身庞大的云端数据成为了黑客一直觊觎的目标。

04.jpeg

而Belan也利用手中掌握的用户凭据信息为切入点,通过以下方式,入侵了第三家大型公司:

使用有效的用户名/密码组合登录入侵了该公司某员工的谷歌邮箱;

通过用户身份数字识别系统OpenID获取了项目事务跟踪管理系统JIRA的授权访问权限;

通过JIRA系统发现了公司内部的SVN版本控制服务器;

通过SVN服务器中获取了一些内部资料,从其/etc/shadow中获取了一些公司开发员工的密码信息,之后,进行了系统提权;

利用破解的员工用户凭据入侵Git服务系统;

通过Git系统在公司软件产品中写入了隐蔽的了JSP网页后门(webshell)代码;

之后,毫不知情的开发工程师把该websell代码部署于公司的最终服务平台;

Belan通过他植入的网页后门从某应用服务器中间接获取了该公司服务端数据库信息;

利用工具mysqldump将数据库备份为1.txt,经过压缩、分割和转移方式从上述中转应用服务器中逐步窃取整个数据库文件。

 总结与建议

目前,据官方初步调查,Alexsey Belan入侵窃取了多家美国科技公司和行业系统数据,这些数据包括用户名、密码哈希和安全提问答案等多达12亿信息,而受影响的公司除了雅虎(Yahoo)之外,还有Evernote、Scribd和Zappos等知名企业。而据估计,Alexsey Belan还可能从其它我们尚未掌握的受害者系统内窃取了多达数百万条用户数据。被Belan Belan“盯上”并入侵攻击的组织机构,大多都提供顾客和用户在线服务,或架设有企业管理、项目开发和协作交流平台等应用系统,比如:

销售和营销相关的门户网站;

涉及Outlook部署的公司邮件服务系统或在线Gmail邮箱;

与Slack、HipChat、SharePoint和Confluence等系统整合的企业沟通协作平台;

开发运维一体化平台DevOps;

支持Github、JIRA(项目状态跟踪管理)、持续集成和持续交付(CI/CD)工具的研发平台 。

另外,一些公司用户也经常把内部VPN配置信息无意间泄露、保存或遗留于邮件、票务或聊天系统中,这也间接对企业安全造成了风险隐患。

综上所述,作为建议,可以考虑在整个网络系统边界和服务系统中采取以下安全防护措施:

隔离存在风险的联网服务(如第三方PHP站点);

尽量不要在公司内部Wiki网页、票务、项目跟踪等系统中留下个人密码信息,不要使用email发送敏感保密材料(如密码、认证证书、密钥等);

不要在多个网络设备服务或非正式使用环境(如开发或过渡系统)中使用相同的密钥、种子或密码信息;

鉴于一些被入侵的服务器可能会偶尔向外发送DNS请求,可以考虑使用一些DNS分析工具来识别这些恶意请求;

可以考虑使用安全的双因素认证(2FA)机制或一些安全密钥硬件设备,如YUBIKEY便携式外连认证设备。

*参考来源:medium,freebuf小编clouds编译,转载请注明来自Freebuf.com。0day

【实验】如何本地搭建Struts2框架对S2-045漏洞进行利用

一:搭建struts2

1.整个工程架构图:

11.png

2.所需要的jar包,注意struts2的包要在Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10之间选择

22.png

3.UploadAction.java:

33.png

4.struts.xml文件:

44.png

5.index.jsp文件

55.png

6.web.xml文件

66.png

部署工程然后执行,本地测试工程可以正常上传照片后进行漏洞利用

二:漏洞利用以及遇到的错误解决

1.漏洞利用工具“Struts2_045-Poc-master”下载地址:

https://github.com/tengzhangchao/Struts2_045-Poc

1.png

2.解压缩,在文件中打开命令行窗口执行命令:

python s2_045_cmd.py http://127.0.0.1/fileUpload/upload.action

遇到问题1:

3.png

解决问题方法:

下载poster模块,下载地址:http://download.csdn.net/download/mrcongshansheng/9170469

解压缩后将文件都拷贝到漏洞利用工具文件夹下

99.png

接着执行命令,遇到问题2:

4.png

解决问题:在s2_045_cmd.py文件头中指定要使用http1.0协议,添加以下三行代码:

00.png

再次执行命令成功,成功后就可以利用CMD口令对其进行利用

5.png

* 本文作者:青离,转载请注明来自FreeBuf.COM0day

德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击

E安全3月28日讯 上周五,德国高级官员向路透社透露,德国去年阻止了两起APT28组织发起的网络攻击。APT28又名花式熊、Fancy Bear、Pawn Storm、Sednit、Sofacy和Strontium。美国网络安全公司FireEye认为,APT28是俄罗斯政府幕后支持的黑客组织,专攻军事机构和情报机构。

德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击 - E安全

APT28在曾对德国发起多次网络攻击

德国联邦信息安全局(BSI)局长阿恩·肖恩波姆表示,第一起攻击发生在2016年5月,黑客企图为总理默克尔波罗的海地区的基督教民主联盟(CDU)党创建一个互联网域名。

第二起攻击发现在几个月之后,黑客针对联邦议院的政党发起鱼叉式网络钓鱼行动。专家指出,攻击者使用NATO域名试图将恶意软件注入政客网络。

美国情报机构今年年初就警告称,俄罗斯可能会在接下来几个月瞄准其它欧洲国家,尤其正在进行重大选举的法国和德国。

肖恩波姆接受路透社采访时表示,“高度数字化以来,德国仍处于网络域的危险地带。数字化越发达,我们对网络的依赖性就越强,面临攻击的风险也就越大。”

肖恩波姆解释称,德国政府大力投资改善网络安全,防范网络攻击。德国正在开展意识活动,培训政客和政党如何保护网络。

肖恩波姆表示,“我们为政客和政党提供建议,并采取一些措施帮助他们。但到最后,每个政党都担负着自己的职责。”

他补充道,德国正与其它政府(APT28组织的攻击对象)共享信息,包括美国和法国。

德国成功阻止APT28的攻击

2015年,APT28组织从德国议会窃取16G数据。12月,APT28组织还针对欧洲安全与合作组织(简称OSCE)发起攻击,当时OSCE还是一个安全和人权监督机构,APT28发起的攻击属于网络间谍行动。

肖恩波姆指出,2016年,APT28针对德国的攻击——或一系列他未详细说明的攻击均未取得成功。然而,至于德国政党受到多大程度的影响,尚不清楚。

肖恩波姆希望与默克尔联合起来制定法律,加强德国的安全态势。法律将保护越来越多的家用联网家电安全。

随着物联网设备的普及,要保护用户安全,必须提升安全。

他指出,可能会发生最坏的情况:消费者因为害怕入侵而拒绝使用所谓的“物联网”设备。德国想实现成功的数字化。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

伦敦遭恐怖袭击之后 英国政府提议禁止公民加密通信

E安全3月28日讯 英国出生的哈利德·马苏德几天前在英国伦敦议会大厦附近行凶伤人,并刺杀一名警察致死。在行凶之前,他曾使用WhatsApp。该事件发生之后,英国政府再次提议,禁止公民加密通信。

伦敦遭恐怖袭击之后  英国政府提议禁止公民加密通信 - E安全

英国内政大臣安布尔·拉德差点就效仿巴西彻底禁止加密个人信息。拉德上周末在BBC电视台抱怨,这些应用程序成为恐怖分子的“藏身之所”,并表示不应为恐怖分子提供藏身之所,在想了解嫌疑人时,执法机构应获许拆开信封,或监听电话。

政府访问加密通信长期以来就是激烈争论的焦点,因此,出现这种评论不足为奇。

拉德在BBC一台安德鲁·马尔秀上表示,“我们需要确保情报机构有能力进入加密通信,例如WhatsApp。”

当马尔将英国这场争论与美国执法机构长期寻求取得后门进入iPhone加以比较时,她的说法让人捉摸不透。

“如果我和蒂姆库克谈话,我会说出完全不同的话。我不会说“开放”,我们不想进入云,我们不希望做所有这类事情。但是我们想让他们认识到,当出现恐怖袭击时,他们有责任与政府和执法机构接触。我们将认真思考,合法安排实施这一切。他们不能置身之外,说什么‘我们的情况有所不同’,他们不能这样做。”

不知道拉德到底意欲何在:一方面提出要获取想要的信息,一方面却不要求提供商开放云端的内容。

欲知后事如何,可继续关注接下来她与Facebook等的会面。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士

E安全3月28日讯 美国位于俄亥俄州赖特帕特逊空军基地有一个网络空间研究中心(CCR),数百名网络战士在此学习网络进攻和防御能力。美国的网络战士每天都在应对数百万起网络攻击,阻止网络黑客在相隔数千公里之外入侵美国。网络黑客“唯恐不乱”,他们可能会攻击水处理、化工厂、电网、金融机构,并禁用武器系统。

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士 - E安全

网络空间战真实存在,并非纸上谈兵

战略与国际研究中心(简称CSIS)高级副总裁詹姆斯·刘易斯表示,俄罗斯、中国、伊朗和朝鲜是美国的主要网络对手和国家安全的最大威胁。

国防部发言人詹姆斯·布林德尔表示,国防信息系统局每天都要应对8亿起威胁国防部网络的事件。

美国空军技术学院(简称AFIT)网络空间研究中心主任马克·里斯表示,单就去年,美国空军在网络防御的内层就阻止了13亿恶意网络入侵。美国国土安全部、私有部门和政府机构共同合作应对并防止美国国内的网络攻击。

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士 - E安全

赖特帕特逊空军基地空军技术研究所网络研究中心主任马克ž里斯上校

赖特帕特逊空军基地本身就是攻击目标

美国国防承包商Riverside Research网络研究总监兼前美国空军网络专家罗斯提·鲍德温表示:

具体细节不便透露,但赖特帕特逊空军基地肯定开发了最先进的武器系统。该空军基地人才济济,而且正在钻研令人难以置信的创新,必然成为众矢之的。”

外媒体报道称,赖特帕特逊空军研究实验室(简称:ATRL)负责秘密钻研高超声速等其它秘密工作,该实验室一直是并将继续是主要目标。

设在赖特帕特逊总部的其它机构担负着重要的真实网络战任务:保护武器免遭网络威胁——这是空军生命周期管理中心和国家航空航天情报中心为美国空军分析空中、空间和网络威胁的重中之重。

美国国家安全局副局长理查德·莱吉特在阿斯彭研究所某论坛上表示,网络盗窃、拒绝服务和破坏性攻击是美国在网络域面临的主要威胁。美国企业面临知识产权的风险,保健提供商和保险公司也面临巨大风险,不断联网的智能家居数量使众多家庭面临风险。就俄亥俄州西南部,网络黑客和大规模数据盗窃事件就影响了数百万人。

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士 - E安全

研究生在赖特帕特逊空军基地AFIT网络研究中心分析信号,并研究蓝牙网络和设备中的漏洞

美国过去曾面临多次重大网络攻击

  • 美国司法部本月起诉两名俄罗斯间谍和两名与2014年入侵5亿雅虎账号有关联的网络罪犯。
  • 2015年,黑客入侵美国人事管理局的服务器,从中窃取超过2000万离职和在职联邦雇员的安全背景信息。
  • 朝鲜因涉嫌于2014年入侵并公开索尼影业娱乐公司的私人电子邮件而遭到奥巴马制裁。
  • 俄罗斯黑客入侵民主党全国委员会并向外界泄露信息。美国情报机构认为,其意在干扰2016美国总统大选,助特朗普上台。有媒体报道特朗普“通俄”,特朗普反怼称是“假新闻”。FBI局长詹姆斯·科米三月向国会说明,FBI已就该事件展示调查。

刘易斯表示,对手通过网络攻击企图影响选举,攻击索尼这样的公司窃取信息等等,而最令人恐惧的企图之一是:他们可能意在攻击电力供应这类关键基础设施。

位于华盛顿特区的关键基础设施技术研究所联合创始人詹姆斯·斯科特表示,美国人事管理局遭受网络攻击一事就是真正的网络“珍珠港事件”,其影响将延续到接下来50年。而现在,那些虎视眈眈的人现在瞄准的是关键基础设施高管,这是一个大问题。

网络犯罪分子是第二大正在崛起的风险。大部分网络犯罪分子是俄罗斯人,而且与俄罗斯政府有关联,他们具备在几小时内盗取金融机构数百万资金的这种能力是一个相当大的风险。

斯科特表示,恐怖组织也是威胁所在。特朗普呼吁削弱对手的网络战行动能力,并力求在90天内启动网络计划。因担心伊朗开发原子武器,美国和以色列联已手通过“震网蠕虫”病毒感染伊朗的核加工厂。

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士 - E安全

研究生埃迪ž卡本瑞特上校正在AFIT网络研究中心通过汽车模拟器研究挫败入侵车辆控制的方法

美国国内最担忧网络攻击者针对电网展开攻击

刘易斯指出,这也许是错误的看法。事实证明,俄罗斯最感兴趣的目标是选举系统。

人们不了解电网脆弱到什么地步,因此担心电网易受攻击。某些公共事业公司做得很好,也有很多公司的工作不到位,这些都无法预测。

刘易斯表示:

“在某些方面,我们一直专注错误的问题。社会开始谈论网络“珍珠港事件”,以及恐怖分子如何通过网络攻击瞄准关键基础设施。根本不是那么回事,实际上这是间谍活动,是犯罪行为,是政治胁迫行为。”

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士 - E安全

随着威胁日益猖獗,美国军方已在扩充部队

AFIT(美国空军技术学院)一年就有700名学生取得网络战士的资格。国防部拥有约5000名网络操作人员,到2018年底预计还将新增1200名左右。

联邦政府从俄亥俄州、印第安纳州和密歇根三大国民警卫队成员中选定近40名成员组成网络保护小组,负责保护国防部的基础设施。

印第安纳国民警卫队的副官考特尼-凯尔表示,

确实存在一个严重的威胁,导致国防部的各个方面均遭受攻击,因此需要网络任务部队帮助缓解这些漏洞。”

黑客攻击:看美国俄亥俄州空军基地如何训练网络战士 - E安全

研究生埃迪ž卡本瑞特使用驾驶模拟游戏和汽车网络不减研究入侵漏洞

在印第安纳州马斯卡塔塔克城市培训中心,网络战士能关闭水处理设施并解锁电子监狱门。这个中心拥有一个真正的城市的物理设施供学员们模拟学习,通过网络能在现实中打开/关闭真实系统中的泵。

AFRL(赖特帕特逊空军研究实验室)的前网络专家网络兼Tenet3联合创始人和总裁杰夫-休斯指出,网络战士通过学习过去的攻击提升网络战的能力,而且对如何应对问题更加熟稔于心。里斯称,在AFIT,研究生学习必需的“基本网络知识和批判性思维技巧”,以适应网络威胁。

夏威夷考艾岛28岁的空军上校埃迪-卡本瑞特研究并演示了如何通过车载娱乐系统入侵汽车的电脑,使里程计实体模型迅速加速到每小时100英里以上。除此之外,还能让驾驶员驶入墙体或在不当的时候启动刹车等等,破坏驾驶员对汽车的控制。”

AFIT计算机工程助理教授斯科特-格雷汉姆表示,

“随着汽车日益联网,攻击面也在不断扩大。黑客的知识也在不断的提升,未来,这将成为更大的威胁。”

AFIT 27岁研究生Jose Gutierrez del Arroyo研究了如何保护蓝牙低功耗无线设备免于遭受网络入侵,并开发出针对该问题的一款应用,该应用可以发现笔记本电脑、计算机平板和电子设备的使用情况,并称“这会成为未来防御攻击的奠基石。”

除此之外,物联网也是风险所在。里斯表示,“随着蒸蒸日上的物联网行业,几十万嵌入式设备推入市场,大部分这些设备并没有在开发时就考虑了安全性。”

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day