起底那些網絡安全中不為人知的事
網絡處處是陷阱突破束縛困難重重
互聯網是自由的,在網上我們可以隨心所欲的獲得我們想要的信息,做我們想做的事。然而,無論你做任何事,你的每一步行動都有一雙隱藏在黑暗中的眼睛監視著你,記錄著關于你的一切。“黑客只需向你的郵箱發送一封郵件,只要你點開查看,你的所有郵件信息就盡在對方的掌握之中。”一位名為Only_Guest的烏云白帽子介紹道,“即使退出登錄,重新啟動電腦,刪除Cookie亦或使用目前流行的殺毒軟件查殺都無法擺脫控制,突破束縛困難重重。”
早在2010年,Struts2就被爆出安全漏洞,后來雖被修補,但在2013年最新發布的2.3.15版本出現了一次大爆發,黑客利用這個重大的安全漏洞遠程執行服務器腳本代碼,可造成系統無法運行。利用此漏洞也可以引導用戶點擊進入釣魚網站,獲取用戶的密碼。烏云平臺負責人瘋狗說:“此次漏洞的大爆發,讓國內外眾多知名企業網站紛紛中招,幾乎所有使用Struts2的企業均存在漏洞,這讓白帽子驚心動魄,一邊流淚一邊審核。其中一家企業甚至影響到了主域名(www.xx.com),如果被利用,那么其最核心的業務服務器將全部被黑客掌握。到那時候,黑客將指哪打哪,隨心所欲。”
“有人問,如果我只注冊賬號,而沒有任何的使用,不會留下任何痕跡,這樣會安全嗎?答案是否定的。”Only_Guest說,“即使你的賬號沒有做任何事,但是你的用戶名,綁定的手機號、QQ號、郵箱等信息均會被黑客所獲得,并借此查找到這些賬號在其它任何網站所注冊的信息,依然逃脫不了被監控的命運。”
通信防線薄如蟬翼號碼復制盜用輕而易舉
電信詐騙近些年呈現直線上升的趨勢,手段不斷翻新,令人防不勝防。現如今又出現了偽造號碼和復制USIM卡的詐騙方式。那么這些是如何做到的呢?
“有這樣一個案例,女大學生失蹤遭到遙控,騙子冒充女大學生的手機給其家人打電話詐騙,甚至到了最后連公安局電話也被人偽造。”烏云白帽子畢月烏說道,“實現這個并不難,只需利用現在方興未艾的網絡電話,利用其沒有身份校驗的漏洞,騙過網絡運營商,即可達到偽造號碼的目的。”
畢月烏表示,實現號碼偽造也就是兩分鐘的事,電話費不過幾毛錢一分鐘,然而對于受害者就可能是幾十萬甚至上百萬的損失。為了確定實現偽造號碼的真實性,畢月烏還在現場做了演示。演示過程中可以看到,無論嘉賓需要什么號碼,都可以迅速的實現偽造,顯示在被叫人的手機上。
白帽子現場演示偽造手機號碼
除了偽造號碼,還有一種危害更大的電信詐騙方式——復制USIM卡。
復制卡就是平時所說的“黑”卡,它是一張與原USIM卡一模一樣的卡,可以被運營商正確識別,并使用與原卡相同的功能,包括撥打電話,接收短信等等。很多詐騙短信就是復制卡和貓池所為,讓用戶可能遭受損失的同時給查處一定困難。更重要的是,現如今我們很多賬號都與手機號碼綁定,而一些企業將手機號碼設定為“最高級別”。例如支付寶,當我們需要修改賬戶密碼時,只需向手機發送一條驗證碼,便可將密碼重置。而復制卡就可以輕松的實現這一點,讓個人的賬戶岌岌可危。
“2G時代的SIM卡缺陷早已被眾人所知,而到了3G和4G時代,盡管USIM卡已經做了加密處理,但是展開旁路攻擊仍然可以進行破解。”來自上海交通大學LoCCS實驗室的葛毅杰說,“在加密過程中會釋放中大量的物理信息,包括功耗、電磁、時間、溫度等等,利用這些信息用專業的設備和算法對USIM卡進行分析,即可成功的攻破防御。”
安全大任,望君莫辭
中國的白帽子群體在世界上的規模數一數二,并且相當一部分是來自于世界500強企業,或者世界級的互聯網巨頭。但是,中國的信息安全現狀缺依然不容樂觀,安全事件比比皆是,企業漏洞也依舊呈增長趨勢。何為?維護網絡的安全,不能僅僅依靠白帽子,而需要個人、企業、政府的共同努力。
“現如今,很多企業或個人尚未意識到網絡安全問題的危害,對安全方面的信息了解甚少。對于個人而言最典型的就是弱口令,為了記憶方便將密碼設置的過于簡單,而被黑客輕松破解。很多人的意識不到潛伏的危機,認為沒有被盜用就是安全的,等到遭受損失后才意識到問題為時已晚。”瘋狗說。
在互聯網界,主動攻擊才是最好的防御手段,白帽子尋找漏洞也經常需要對可能存在問題的點進行攻擊,發現漏洞后將信息提交給相關企業。至于漏洞的修復工作,只能由企業完成。而一些企業并未對此重視,沒能及時修補,因此造成本可避免的損失。
“烏云平臺一旦發現漏洞便會第一時間上報,但是一些企業對于安全問題的態度讓人難以接受。曾經我們發現某網站存在支付漏洞,就是可以免費購買服務和商品那種。我們直接提交給廠商,廠商很快便給了‘已進行修復’的回應。原本以為這件事就過去了,然而幾天后又有另一個白帽子提交了相同的漏洞,溝通中我們得知此漏洞廠商并未修復,可能是企業內部的協調溝通不是十分妥善。”瘋狗說,“只有企業和個人都更多的投入到維護網絡安全的工作中,對網絡安全問題有了一定的認知和重視,才能避免由于信息不對稱而導致行動意愿南轅北轍,漏洞越補越多的惡性循環當中。”
京公網安備 11010502049343號