[“正面的經濟回報一定沒有黑產能提供的多,但出于內心的正義,或是擔心與黑產交易產生的風險,有這樣的機制,就不會讓好孩子變成壞孩子。”]
當信息安全軍備競賽不斷升級,網絡攻擊像核武器一樣無法防御時,我們還能做什么?
今年7月,意大利黑客公司HackingTeam被黑,其400GB資料外泄,引起了黑客界的軒然大波。“這400GB內容讓整個黑客界的技術水平前進了兩年。”中國臺灣黑客組織HITCON領隊與競賽負責人李倫銓如是評價這次事件。
HackingTeam泄露的數據中,包括其開發的能夠監控幾乎所有桌面計算機和智能手機的監聽軟件,以及為實現監控而搜集的大量零日漏洞(0day,未經公開、沒有修補程序的漏洞)。更驚人的是,數據中還有若干國家政府與其交易的信息存檔。“HackingTeam讓圈內人驚嘆,原來只是知道漏洞可以賣,現在才知道居然還可以合法地賣。”李倫銓調侃道。
“今天,有目的的黑客攻擊只靠技術來防御已經遠遠不夠。”曾任美國中央情報局CTO的BobFlores對《第一財經日報》表示,最可怕的是,很多公司在資料外泄時,還沒有意識到已經被攻破了。“最重要的,應該是在事情發生后的應變。”
防不勝防的攻擊
今年4月,美國人事管理局遭到攻擊,超過400萬的政府雇員數據遭到泄露。“現在,確認的泄露資料數字已經刷新到2100萬筆。”BobFlores說。
可怕的是,這次入侵其實在兩年之前就已發生了。BobFlores表示,對美國人事管理局的入侵“只是最近才被發現和公開”。這起入侵是通過竊取美國人事管理局的信息系統承包商的電腦來切入的。
“2013年起,我們進行了一個調查,采樣了臺灣企業的1216臺服務器,結果顯示,平均攻擊潛伏時間(從黑客入侵成功到入侵被發現的時間)達到了559天,極端案例超過了2000天。”趨勢科技臺灣暨香港區總經理洪偉淦向《第一財經日報》記者表示。
如果說早期黑客的攻擊主要是以政府機關為目標,那么最近幾年,越來越多的入侵事件已經轉移到商業機密的竊取上。對于這種有目標的持續性攻擊,防范是非常困難的。目前,業內將這種攻擊方式稱為APT(AdvancedPersistentThreat,高級持續性威脅)。APT的實施者會試圖通過釣魚郵件、網站,以及各種漏洞等一切方式嘗試入侵目標的信息系統,獲取管理員權限并潛伏其中,伺機進行破壞或資料竊取。
2013年發生在韓國的事件是一個典型的APT攻擊案例。2013年3月20日,韓國KBS、MBC、YTN等主要廣播電視臺以及新韓銀行(ShinhanBank)、農協銀行、濟州銀行等商業銀行的計算機網絡全面癱瘓,三大電視臺畫面被控,韓國大量民眾遭遇到無法在ATM取現,也無法用信用卡消費的窘境。事后調查發現,這起攻擊經過至少8個月的策劃,至少6臺相關計算機設備從2012年6月就已經被入侵,黑客植入的惡意程序達76種,超過4.8萬臺設備遭攻擊。
趨勢科技全球研發長暨大中華區執行總裁張偉欽介紹,APT攻擊通常會在被入侵設備上植入后門,在需要發動時,從黑客的“指揮中心”向這些設備發送指令,完成指定的操作。“這些后門可以很容易地寫出大量的變種,查殺是查殺不過來的,但掐斷了指揮中心與后門之間的聯系,后門收不到指令,也就無害化了。”張偉欽笑著說,趨勢還會去購買一些被發現的指揮中心信息加入到趨勢產品中,從指揮中心方面去防范APT。
“美國人事管理局公布的數據,它們在4月一個月當中,系統遭攻擊的次數就達到3.08億次,你說有多少病毒侵入了它們的系統?”BobFlores說,“美國人事管理局的信息安全保護是用所謂的病毒特征方式進行防護,所以它只能偵測已知威脅,沒有辦法防范未知入侵。最糟糕的是,他們雖然有入侵偵測系統,但沒有合理的防護措施,所以東西(黑客)進來他們知道,但沒有辦法把它(黑客)擋下來,人事資料也沒有加密,所以人家一進來就偷走了。”
“最重要的是,你必須知道公司哪些資料是你要優先保護的;還要建立一個處理事件應變的小組;同時,還要教育你的員工如何防范風險,發現有問題了要報告給誰來處理。”BobFlores如是說。
防止人才“黑化”
在防范入侵的同時,一個問題也讓人深思:到底為何這么多“天才”會選擇進入黑客產業鏈?
黑客在很多人心目中是比較神秘的,李倫銓卻表示,黑客其實也是普通人,只不過掌握了很多專業的技能。“給他們一個好的環境,他們就不會流失到黑產中;讓更多的人留在正面去研究怎么防范攻擊,而不是成為攻擊者,這是應對安全問題最釜底抽薪的辦法。”所以,他也戲謔地將HITCON稱為“義工”組織。“我們是義工。”他反復地跟記者重復這句話,面帶微笑。
“其實每個黑客都曾經是一個天真的孩子。”李倫銓給記者講述了一個故事。曾經,一個年輕的黑客發現了雅虎的一個漏洞,出于正義的本性,他將這個漏洞發送給了雅虎的技術人員,然而雅虎卻遲遲沒有做出回應,后來,久候雅虎答復不至的他收到了他聯系的雅虎技術人員個人送給他的一件T恤,于是他在T恤胸前寫上了這樣的字樣表達他的不滿:“IreportedabugtoYahooandallIgotwasthist-shirt.”(我向雅虎上報了一個漏洞,這件T恤是我得到的全部回報。)
“HackingTeam這樣的組織,將監控程序銷售給各國政府可以獲取上百萬美元的回報,因而也可以出數萬甚至更高的價格去收購0day漏洞;與此同時,企業卻往往沒有意識到漏洞的價值,對上報者不聞不問。”李倫銓表示,這也許是很多黑客被吸引到暗面的原因——不僅有高額回報,同時有能夠獲得認可的感覺。
李倫銓現在擔任臺灣黑客年會HITCON的組織者,也會以HITCON的名義,作為領隊組織臺灣的黑客去參與國際上的一些黑客大賽。“我認識的黑客都是比較正派的。”他介紹,HITCON平時也是比較松散的,成員各自有各自的生活,“平常除了吃飯我們也沒有其他事情,大家都很忙。我們很少會聚集。”他所做的,就是鼓勵大家,樹立一些目標,讓大家聯合起來,有一個方向去努力。
除了HITCON成員,李倫銓也接觸過各國的一些其他黑客,不過并不頻繁。“美國,或者中國大陸太大了,見面就要坐飛機,所以很少見。”他向記者表示,在一些重大活動上,他們會見面,不過很多人只知道綽號,黑客彼此之間也有一些神秘感。他表示,他認識的黑客,包括中國臺灣、中國大陸的一些知名黑客,基本都能抗拒黑產的誘惑。“大家都是技術人才,很單純。”不過,他也不忘笑著補上一句,“我也知道非常多抗拒不住的人,當然他們也不會跟你講。”
李倫銓認為,對黑客人才,除了引導之外,也要有合理的回饋機制。“之前那次事件,雅虎被嘲弄了之后,就很快地建立了一套對上報漏洞的人的回饋機制。目前,雅虎花在這方面的錢已經超過100萬美元,做得相當不錯。”李倫銓“洗白”了之前調侃過的雅虎。他也很贊同中國大陸的“烏云”這樣的漏洞平臺在做的工作。“正面的經濟回報一定沒有黑產能提供的多,但出于內心的正義,或是擔心與黑產交易產生的風險,有這樣的機制,就不會讓好孩子變成壞孩子。”
云查殺不是“萬靈丹”
應對防不勝防的APT入侵,安全企業們紛紛把目光投向大數據,希望通過大數據來對未知威脅進行“自動化”的偵測。
在去年的美國DEFCON黑客大會的競賽中,HITCON取得了亞軍的成績。李倫銓向《第一財經日報》記者介紹了比賽的機制。“每個團隊會獲得自己的設備,上面有不同的漏洞,你要在5分鐘之內找到漏洞攻破對手的系統,并盡量不讓自己的系統被攻破,這樣的競爭會重復進行多輪。”他介紹,找到漏洞遠比修補容易,一個漏洞的修補最少也要幾個小時,但攻破只要幾分鐘。因此,美國政府也在嘗試用機器來進行自動化地尋找漏洞、攻擊、修補等過程。
“也許明年,就會有一個初步的成果出來,美國也會邀請全球的黑客團隊去和這個系統比拼,也許到時我們會被打得體無完膚。”他這樣調侃道。不過,他也表示,做出這樣一個系統還是非常困難的。“畢竟這個領域的頂尖人才就那么一小部分,讓這一小撮人才去構造這么大一個系統,進展不會太快。”
而手握多年防護數據的安全企業,也在尋找如何利用這些數據的方法。不過,在個人計算機上已經實踐的“云查殺”,應用到企業并不容易。
“個人與企業的行為和要求都相差很大。例如,一個新出現的程序快速傳播進大量個人電腦,你從這一行為出發判斷它是病毒,準確率達到80%,即使誤判,最多是重裝系統;但在企業,一個新出現的程序快速傳播,可能是企業新開發的核心應用。你如果將它誤判成病毒,殺掉了,企業的業務可能會崩潰。”張偉欽表示,極端情況,例如一些對精密性、實時性要求很高的工控系統,“掃描病毒造成的反應遲緩可能比病毒本身危害性更大。”
今年8月,趨勢科技還特地將其在臺灣舉辦的年度信息安全大會CLOUDSEC2015的主題定位在云安全、移動安全方面,希望尋找新形勢下的企業信息安全管理及防御策略。
“未來的趨勢,更合理的做法是將大數據包裝成一個平臺,交給客戶,上面的各種應用機制由客戶根據自己的特性去調整。”張偉欽說,“直接將大數據打包進一個產品,希望它能夠解決問題是非常難的,因為大數據很難控制。”
京公網安備 11010502049343號