正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2016-08-09 14:13

“维基解密成员”讲述如何攻破民主党的邮箱

本文是一篇虚拟口吻的改编,希望你喜欢,全文 4515 字,阅读时间预计 4 分钟,除了一系列信息安全的知识,你还将看到:


  • 【史无前例】来自 “维基解密成员” 的 “自白书”;

  • 【偶然中的必然】为什么说 DNC 高层的邮箱一定会被攻破;

  • 【这个世界总是蠢人比较多】我们又应该如何保护自己的信息安全。


撰稿:季星 加辰 房宫一柳 贺冠华,编辑:袁帅,顾问:覃超 talich,制图:加辰 房宫一柳。


姓名不重要,我是维基解密成员,我们今天聊一聊信息安全。


2016 年 7 月 22 日,我们公开了民主党全国委员会(以下简称 DNC )内部时间跨度长达 16 个月的 19252 封邮件,里面的内容足以让世界上所有的电视频道在当天只能播报这一件事。


这些邮件清楚地显示了,民主党内做了如下几件事,保送希拉里胜选:


▲民主党高层助攻希拉里打击党内、党外对手的一系列行为可能触及了道德、法律的双重底线。(深蓝制图)


同时,希拉里团队号称为民主党募集的 6100 万美金中,只有 1% 留在了党内金库,剩下的绝大部分都由希拉里团队派发和使用——主要用途是用来打击桑德斯。


我们在民主党内放了一颗原子弹。如果这些事情能够在法律层面上坐实,有些大人物就要坐上联邦法院的被告席。


第二天,一路高歌的希拉里女士遭遇“滑铁卢”,民调指数被特朗普以 3% 的优势反超。


▲邮件泄露后后,民主党高层地震,主席黛比 · 沃瑟曼 · 舒尔兹(Debbie Wasserman Schultz), 首席执行长艾米 · 达西(Amy Dacey)和公共主管路易斯 · 米兰达(Luis Miranda)相继引咎辞职。(深蓝制图)


之后的 27 号,我们又公布了 29 段民主党内部的录音文件。Google、Facebook,所有叫得出来叫不出来的名字,都将我们列为危险网站。媒体们则说我们可能受雇于普京——这实在是太好笑了。


然而,这一切,并不是一个意外事件。接下来的篇幅,我想从信息安全的角度说明两个问题:


第一,为什么 DNC 高层邮箱地址百分之百会被攻破。
第二,DNC 应该怎样加强他们的信息安全防御体系。


为什么DNC 高层的邮箱 100% 会被攻破?


我们先说几个前提设定:


信息安全的战场上,永远是两拨人在对抗:进攻方不停尝试新的攻击手段,防守方对应采取新的防护措施。


▲信息系统中的安全攻防战:一守一盗。


防守方想要保证信息资源只被经授权的合法用户使用。而进攻方则要绕开防守方设置的重重障碍,不经授权就获取信息资源。


虽然这听上去都是一些显而易见的 “废话”,但这正是为什么 DNC 高层的邮箱一定会被我们攻破。我用如下四点来说清楚:


第一,信息安全的本质是 “验证”。而验证需要在每一个环节中进行。


验证一共需要在四个环节中进行:验证信息使用者是否合法是否可信任;如果是可以被信任的的,那么还需要规定他的权限;规定好权限后,要验证他每一步的行动;最后还需要验证他的行动能够调动多少资源。


▲验证信息系统是否安全的四大环节。(深蓝制图)


这其中的每一个环节都会成为是黑客的攻击点。而愚蠢的防御方一般都会忽略 “每一个环节” 这五个字。


比如一个最常见的错误,就是防御方往往设定只要信息使用者是值得信任的,那其他元素就不用再去判断。


其实最大的安全谬误就是假定在系统内部一切都是安全的。


就好像机场的安检一样,安检之前的水是无法通过检查的,但过了闸机后,每个人都可以随意喝水买水,至于水是不是偷带的、水有没有问题,都没有人再检查。因为机场安检这套系统认定——能通过安检的人都是安全的。这显然存在安全漏洞。


再比如,黑客也可以从使用者行动中盗取信息。举个例子,大家常见的无线键盘就是一个安全隐患。


▲敲击键盘这一行为本身,也是黑客攻击的火力点。


无线键盘会定期发送无线信号。用户击键时,黑客可以从 250 英尺的范围内监听键入的内容,从而可以盗取口令、银行卡信息或其他敏感数据。


一些硬件大厂商都忽略了这些漏洞。2016 年 7 月,一家叫 Bastille 的无线安全厂商就爆出包括惠普、东芝在内的至少 8 个品牌的无线键盘都存在安全漏洞,非常可能已被监听。


第二,信息安全的本质—— “验证”,注定是不完善的。


信息系统非常复杂,内部有很多分支,每个用户行动都不只用到一个分支的资源。如此复合的步骤中,总有系统漏洞可以供黑客去攻击。


美国花费数十年和数十亿美元打造的爱国者导弹防御系统,理论上可以拦截绝大多数导弹。然而飞毛腿导弹却轻易地突破了它的防线,它的造价仅为爱国者导弹的 1/100。


验证系统只能无限接近完善,但世界上没有最完善的系统可以信任。


第三,攻防双方在成本和效率上是不对称的,防守方处于绝对劣势。


一个悲催的真理:信息防守方在效率和成本上处于绝对劣势,就像病毒感染的成本永远低于疫苗研发成本。


▲在黑客与防御方的攻防战役中,攻击的成本远低于防守的支出。


破坏总是比建设容易,感染一定比免疫轻松。没有战无不胜的系统,只有防不胜防的黑客。


所谓木桶定律,即一只水桶能装多少水取决于它最短的那块木板。一个信息系统的安全程度也取决于它最薄弱的环节。


2014 年索尼公司的 PS 网络系统被黑客攻击,大量个人资料被窃,损失达到 1.7 亿美元。而对黑客来说,成本只是一台电脑和一根网线。在网上,一些用来盗取别人账户的软件只需要几十美元就可获得。


第四,在信息安全的战场上,人是最大的不确定因素,而傻子总是比较多。


除了系统原因之外,人是最大的不确定因素。由人的疏忽、被欺诈所导致的信息安全事故约占到了总数的 85% 。


全球首屈一指的网络安全解决方案供应商 Check Point 曾就 700 多名 IT 专业人士进行调查。结果显示如下:


▲人的疏忽大意,而非技术漏洞,是安全事故频发的主要原因。(深蓝制图)


87% 的受访者认为,最大的威胁来自公司内部粗心员工;近三分之二的受访者认为,客户数据频繁泄漏极有可能是由于内部员工的疏忽。


其实早在 2015 年秋,DNC 内部的信息安全专家就其脆弱的内部网络警告过党内高层,而这些建议均被置之不理。这批专家们经过两个月的调查,在一份报告中建议:DNC 应该雇佣专业人士,升级系统,并设置可追踪侵入者的防御机制。


FBI 同样也多次对 DNC 的网络安全系统发出警告:“可能存在问题”。2015 年,FBI 曾敦促一些 DNC 的人员检查内部系统是否有不寻常活动的迹象,但 DNC 什么都没能发现。


直到 2016 年 4 月 DNC 高层才开始重视这些警告,雇佣了私人安全公司 CrowdStrike 对系统进行整顿。然而,我们在内网中已经潜伏了超过一年。


正如我们的一位同僚,罗马尼亚黑客 Guccifer 2.0 形容的——希拉里的邮件服务器像 “一朵开放的兰花,对于任何人而言都很容易攻破。” 


你们可能要问我:为什么选择攻击 DNC 高层?


当然不必再说我们的立场就是反对 DNC。DNC 代表了硅谷大财团的利益,而我们是海盗。我们会尽力破坏希拉里当选的机会—— “选择她就是选择无休止的战争”。但我们今天不谈政治。


信息安全如同安保服务一样,保镖的价格取决于被保护的人/财产的价值。信息安全也一样。


黑客们最喜欢攻击的行业是价值密集的领域,比如金融、比如政府。当然这些领域也最愿意为信息安全买单——只有大家伙最愿意为恐惧买单。


▲与早年的单纯破坏性行为不同,如今的黑客攻击更多带有牟利色彩。


2016 年 6 月 IBM 联合 Ponemon Institute 发布报告《2016 年数据泄露成本研究:全球分析》,对 383 家遭遇过数据泄露事件的企业进行了调研。报告显示:从行业的角度来看,公共部门和教育机构的信息安全问题信息非正常流失率最少,而金融和医疗机构则是信息安全的重灾区。


价值越高,我们就更愿意去铤而走险。DNC 高层的邮箱,关系到整个国家的政治格局,尤其在大选关头,于是成为我们一直以来的目标。


DNC实在太蠢了,如果是我......


我们能轻易攻破 DNC 高层的邮箱,与其说我们厉害,不如说他们太蠢了。


DNC的 IT 系统安全防护手段极其落后。2016 年 5 月,我们曾经多次成功入侵 DNC 的网络系统,曝出了 DNC 主要捐款人信息等一系列文件(包括捐款人姓名、职业、地理位置与金额)。然而他们的系统仍然没有更新加密方式。


IT 系统与技术的演变导致了对安全需求的变化:边界消失、渗透成为常态。


▲过去只要把守住 IT 系统的 “城门”,就能确保系统万无一失。


过去 IT 系统像是古老的城堡,系统和外界只能通过有限的 “城门” 交流。而现在系统向外联通度越来越高,城堡的 “城墙” 消失,发展成向外不断扩张、内部四通八达的现代化城市。人们无法在不影响信息系统正常工作的情况下,继续用建高墙的方式处理信息安全问题。


边界的消失让攻击模式发生变化。之前对信息系统的破坏像军队攻城,直接从外部击破,讲究一击毙命。当边界消失后,攻击手段演化成了间谍惯用的 “渗透” 手段,长期潜伏在信息系统内部,伺机而动。


如果我来负责 DNC 的信息安全,如下四件事情是我会在第一时间做的:


第一,建议搭设零信任网络模型,淡化安全假设。


DNC 的安全系统是非常传统的。访问 DNC 成员们的邮箱,系统会区分内、外网络,如果地址是从内网访问,使用者将被赋予更高的信任级别,有更多权限读取系统信息。


这种区分内外网的做法默认存在 “守门人”,而 “城内一定安全” 。就像我们刚才提到的机场安检的例子——机场安检系统默认安检门内的候机厅绝对安全。对于这种传统的边界安全模型,黑客们只要能混入系统内部,就很容易访问到内部应用。


只有搭建一套 “零信任” 架构,才能打破内外网之别。


对于系统而言,不应该存在绝对安全的区域或元素。实际上,现在越来越多的访问发生在移动端和云端,边界愈发模糊,所以不妨一视同仁。


无论希拉里以及其他 DNC 高层身在何方,在竞选办公室、集会现场,还是在家,都必须用一样的访问方式:所有到邮箱的连接都要进行加密;所有联网设备,包括笔记本电脑和手机,都要保留信任信息和设备号在服务器中。


“零信任” 的模式下,过去那些能够渗透进内部的攻击,不可能再进入内网如入无人之境。Google 在五年前就开始应用这一思路,改进安全模型,他们称其为 BeyondCorp。


▲BeyondCorp 的安全架构示意图。(深蓝制图)


2014 年开始,谷歌逐步将自己的全部应用组件迁移至 BeyondCorp,并公布了文档《BeyondCorp: 谷歌的设计到部署》,其他有计划部署 “零信任” 架构的公司可以根据文档跟进部署。目前可口可乐、威瑞森通信、马自达汽车公司都在做类似的改造。


经过实证,“零信任” 系统在取消内网的 “信任特权” 后,并不会影响用户的使用便捷性。唯一的坏处是,信息安全团队的工作量可能会大大增加。


第二,引入机器学习和人工智能工具。


不要老想着只用机器学习和人工智能干点下象棋的事情,它们更是抵挡黑客攻击的利器,能够搭建更为智能的 “免疫系统”。


计算机最能做的事情是什么?是做重复的事情。简单来说,机器学习能通过分析海量的数据,比人类能更快、更精准地监测出系统风险。我在前面说过了,不要忘了,在信息安全的战场上,人是最大的不确定因素,而傻子总是比较多。计算机有时候比人类靠谱。


▲机器学习技术的应用拓展了安全工具,并且 “机器学习本身就是黑客技术,数学和统计学知识的加和” ——德鲁 · 康威(Drew Conway),美国数据科学家 。(深蓝制图)


Cylance 是值得一提的信息安全初创公司,它由全球最大的专业安全技术公司迈克菲(McAfee) 的前 CTO 创立。他们开发了一套基于机器学习的检测系统危险的方法,宣称能检测出 99% 的入侵恶意软件,而传统方法的识别率只有 40%。


如果说机器学习可以更精准地发现风险,人工智能工具则可以更智能地提出解决方案:代替人类,对系统发现的漏洞进行研究,发开补丁程序,最后完成部署,实现系统安全自动化。


在这方面走得比较前沿的是美国初创企业 PatternEX ,他们推出了一个 “虚拟安全分析师”的智能平台,能够实时追查并理解系统运行数据,最终模拟人类分析师的直觉,形成威胁预测模型。另外,隶属美国国防部的研究部门 DARPA,也在着手打造 “自动检测—自主修复” 一体的人工智能系统。


第三,搭建安全感知预测系统。


面对安全威胁,报警系统和修复工具还远远不够。因此除了升级防护工具,还需要搭建一个并行的安全风险提前感知系统。


简而言之,安全风险提前感知系统就像精准的天气预报系统。气象专家通过读取雷达、卫星等收集的数据,了解当前的大气状况,并在此基础上给出天气预测。


在安全感知系统中,防火墙、防病毒软件和入侵检测系统(IDS)等安全工具就是雷达,它们检测到的数据能反映当前系统状态,也是感知系统做短期预测的基础。


安全感知系统的工作原理和人脑理解外界信息的认知过程是类似的,包括 “获取信息—理解—未来预测” 三部分,如下图显示:



一套安全感知系统的构成:


  •  数据来源:防火墙、防病毒软件和入侵检测系统(IDS)等安全工具检测到的数据;

  • 现状理解:形成分析报告,包括各种网络设备运行状况、网络行为以及用户行为等,提供辅助决策信息;

  • 短期预测:将当前态势映射到未来,预测使用者行为,并对结果进行评估。


安全感知系统和人脑一样,复杂而耗费资源众多。在数据端需要强大的数据挖掘和处理能力。系统运行产生的海量数据中,仅有 20% 是可以直接利用的。而能否将剩下 80% 数据结构化并加以利用,决定了信息安全团队在面对安全威胁时的响应速度。


提升系统的理解能力和推理能力,则需要依赖机器学习、人工智能等来模仿人脑的工作方式,理解当前系统状态,并推演出短期内系统运行情况变化。


大厂商已经在尝试了。2016 年 5 月,IBM 推出了 “认知安全” 工具 (IBM Watson for Cyber  Security),能够对检测到某个异常数据做快速关联分析——比如异常行为发生次数,涉及的文件、和资产等,同时生成自己的 “判断观点” 以及支撑细节信息。这款 “认知安全” 工具在数据结构化上有很大优势,每天能处理 20 万条安全事件数据。


▲IBM 推出了 “认知安全” 工具 (IBM Watson for Cyber  Security)工作流程。(深蓝制图)


第四,覆盖物联网设备。


如前面所说,黑客可以从使用者行动中盗取信息,比如大家常见的无线键盘就是一个安全隐患。


除了常用的电脑手机,DNC 团队使用的各种联网设备必须纳入到搭建的安全系统中来。比如竞选总部的智能电视机,工作人员和志愿者的 iWatch 和各种手环,就连希拉里家里的可以上传运动数据的跑步机等等,都可能是隐患点。


▲DNC 内部使用的一切智能设备在网络中畅联无阻时,也让黑客的突破变得简单。(深蓝制图)


最安全的地方就是最危险的地方。百密一疏,容易酿成大祸。


黑客可以轻易地从智能设备入手,作为收集信息、捕获安全信任凭证的跳板,发起后续攻击。然而大多数人,不论是生产商还是使用者,完全没有意识到这些联网设备正是IT系统的薄弱环节。


云服务可以解决这些智能设备的问题——将多种联网设备都托管到云,并对设备和云端的所有数据传输进行加密。


比如美国的一家提供物联网云安全基础设施的初创公司 Afero,智能设备可以通过他们提供的嵌入式蓝牙模块(ASR-1),实现所有设备间的安全连接。


▲Afero 的云平台是整套系统的核心所在。(深蓝制图)


以上便是我作为一个良心黑客从信息安全角度对 DNC 做的一点良心建议。


人们愿意花越来越多的钱在信息安全这件事上——人们为恐惧买单。2015年,全球信息安全的开支 750 亿美元,美国政府花销 86 亿美元。摩根大通(JP Morgan)每年的信息安全开支是 5 亿美元,美国银行(Bank of Ameirca)的信息安全预算则是 “没有上限”


希望大家都能觉得物有所值。


文章来自深蓝Deeperblue,搜索微信公众号 “ deepbluetech”,关注最懂商业的科技媒体。欢迎转载,如需授权,请联系微信号:jixingjoyce

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: