來自以色列SafeBreach公司的研究人員對隱蔽數據外泄方法進行了廣泛的分析，并且發明了他們心目中“完美” 的方法。

SafeBreach的研究人員從2015年就開始尋找高度安全的組織中竊取少量機密信息的完美方法。惡意攻擊者經常會從公司竊取GB級的文件，但是少量的關鍵信息同樣可以非常有價值，例如，加密密鑰、密碼、甚至是一些可以暴露公司的一些戰略決策的只言片語。

專家分析發明的數據滲透方法針對的情景是外部攻擊者已經在某個目標組織內植入了惡意軟件，或者內部人員希望在不被發現的情況下泄露機密信息。

完美方法的要求和條件

上周在阿姆斯特丹舉行的HITB大會上，SafeBreach公司CTO、聯合創始人ItzikKotler和公司安全研究副總裁AmitKlein向大家展示了完美的數據外泄方法和其中的因素。

專家詳細解釋了他們的“十誡”，就是要完成完美的數據外泄需要滿足的要求和條件。

第一條，也是最重要的規則是，技術必須要可測量的、并且是安全的。專家稱，數據滲透應當遵守柯克霍夫原則：即使密碼系統的任何細節已為人悉知，只要密匙（key，又稱密鑰或密鑰）未泄漏，它也應是安全的。這樣的密碼系統就足夠安全，因為相同的算法可以反復使用不同的密鑰。

其他的要求包括僅使用普通的流量類型(如 HTTP, DNS 或者 TLS)，還有不要利用任何可能被認為能夠傳輸信息的方式(如郵件、論壇發帖、加密文字、文件分享服務)，以免引起懷疑。

攻擊者在進行數據泄露的時候應當假設企業有相當完善的網絡監控系統，包括異常檢測、各協議的數據包分析和基于信譽的機制。如果這些分析系統被用于檢測向可疑IP和主機傳輸的流量的話，發送者和接受被盜數據就不應該有直接的通信。攻擊者要假設TLS通信會在網關被解密并且審查。

Kotler 和 Klein所描述的攻擊情景中，接收方沒有限制，它的行為活動不受監控。

另外一個條件是，發送者和接收方的時間得要幾乎完全同步。

幾乎完美的數據外泄

過去幾年，研究人員描述了幾種可以被用來泄露幾比特(bits)數據而不會引起注意的方法。這些方法只對小規模數據有效，比如密碼或者加密密鑰，因為他們要想傳輸一個字符就要用到8比特。

比如，IPv4 header中的ToS(type of service)可以被用來泄露1比特。但是Windows工作站上的ToS值會被設置為0，改成1會有警報。另外，公司企業可以通過防火墻把ToS改成0輕易阻止這種攻擊。

更加高效的方法就是使用web計數器。舉個例子，Bit.ly這種短網址服務會統計一個URL被訪問過幾次。攻擊者可以利用這個來傳遞0或者1比特。攻擊者在特定時間訪問特定網址，接收者檢查URL計數器，通過在特定時間網址被訪問過(1)或者沒有被訪問過(0)來接收數據。

這個方法不會引起注意，但是卻能輕易被干擾：對方可以攔截Bit.ly的請求，然后在連接后面加上個“+”（這樣計數器就不會計數），或者直接把用戶重定向到完整網址，這樣的話計數器就不會技術，數據就無法泄露。

YouTube 和 StackOverflow也有計數器可以用來計數，但是專家注意到YouTube可能會被某些企業屏蔽。

　　完美的數據泄漏

SafeBreach找到了他們認為的完美方法。他們把它稱作HTTP服務器端緩存。

攻擊者首先得要找個流行的網站，網站內有很多網頁被緩存。電子商務網站應該可以，但是最好是跟目標企業相關的電商網站以免引起懷疑。

很多網站會對html網頁做緩存，從而提高網站體驗，而網頁的緩存時間一般可以從HTTP響應頭獲得。Kotler和Klein所描述的攻擊情景中，機密信息的發送方和接收方確定一個網頁和一個特定時間，這個網頁的訪問量不能特別大，防止正常的訪客造成干擾。如果發送方沒有在這個特定時間訪問這個特定網頁，則代表發送”0”，反之，則發送1。

接收者可以通過檢查網頁是否在最近被緩存來判斷發送者有沒有訪問網頁。如果在特定時間的10秒鐘后訪問了網頁，就可以知道網頁是最近被緩存(記為1)還是沒被緩存(記為0).

很多網站都可以被用來執行這種攻擊。研究人員提供了宜家、EasyJet、Zap.co.il（以色列電商網站）的例子。

SafeBreach發布了一個PoC攻擊用來自動化攻擊，包括獲取緩存時間信息，在特定時間訪問設定的URL，判斷發送的是0還是1。

Kotler 和Klein說，這樣的攻擊可以被稱為完美的數據泄露攻擊方法，因為它完全符合之前提到的“十誡”。這種方法還十分高效，因為它只是用了常規的web流量，不需要額外的軟件，網絡監控系統也不會發現任何可疑情況。

雖然這應該是完美的數據泄漏方法 ，但研究人員稱，還有一些其他因素需要考慮。例如，網站會一直變動，因此應該建立一個更新網址的機制。另外要想完美實現方案，發送方和接收方的時間需要同步好。

另外，攻擊者還得對網站做些研究，如果網站使用了多個緩存服務器或者對不同地理位置的訪客使用分布式服務器的話就不適用。

防御手段

研究者稱，一種防御方法就是截獲所有http請求，然后延遲幾秒，然后看網頁有沒有被接收者訪問，但是使用這種方法會對用戶體驗造成嚴重影響，如果接收者設定10秒鐘后訪問這個網頁，那每個請求起碼得延遲11秒。

SafeBreach稱還會帶來針對大量數據泄露的完美泄密方法，還會尋找方法抵御完美泄密方法。