黑客開始利用蜜罐系統誘捕安全研究人員?
對于網絡安全來說,LastLine公司可以說保持最后的防線作為自己的使命。作為一家從事安全研究以及“為現有反病毒軟件和防火墻提供補充保護技術”的公司,它采用了先發制人的模式,通過“對每天搜集的數百萬可疑網址和二進制信息進行分析,獲取網絡犯罪行為的相關信息”,并將分析結果應用到安全策略的基礎開發上。
在最近的研究工作中,公司遇到了如同《是統計信息還是人在撒謊?》一文中描述的事件。在對安全黑客的服務器進行攻擊后,研究人員破解了相關密碼,并進入一臺用來進行非法惡意軟件活動的“后臺服務器”。結果卻發現,被懷疑的服務器并不是象預期的那樣,屬于惡意軟件的命令和控制系統。
安全研究人員和其它網絡安全專家經常使用的研究方法就是“蜜罐”系統。所謂的蜜罐就是一臺存在漏洞的假服務器。惡意安全黑客發現它的存在,并通過漏洞獲取到控制權,而沒有意識到這里并不存在有價值的東西,僅僅是一個誘餌。在他們這樣做的時間,活動信息會被記錄下來,系統管理員們就可以發現存在的漏洞;這種模式可以讓系統管理員們收集網絡法證數據和感興趣的其它信息,并利用這些數據來追捕罪犯,鞏固自己的防御措施,或兩者兼而有之。
具有諷刺意味的是,這也就等于說,LastLine公司在服務器上發現的是:一個蜜罐系統。
關于該事件的討論在幾篇文章中出現過,舉例來說,卡巴斯基實驗室的“威脅日志”安全新聞服務就報告了該事件,題目為《攻擊者現在開始使用蜜罐系統誘捕安全研究人員》。但是,僅僅依靠來自一起單獨特定事件的證據并不能充分支持這樣的結論。事實上,在這起事件中的蜜罐系統很可能是用來誘捕企圖劫持該服務器的其它惡意安全黑客的。
沒有更多信息的話,根本沒有理由認為在這起事件中,蜜罐系統是專門用來誘捕安全研究人員的。當然,我們可以對現有信息進行深入詳細的分析,這樣做也是很有好處的。這種情況說明掌握了先進安全防范措施的惡意黑客也開始利用以其人之道還治其人之身的方法來保護自己了。
【編輯推薦】
