從電影《諜影重重5》中得到的信息安全啟示
電影《諜影重重5》的故事剛剛落下帷幕,相信各位影迷依然對主角Jason在希臘雅典以及美國拉斯維加斯的馬路上與反派Asset的兩處飛車角逐片段記憶猶新。
在這些緊張刺激的動作戲以外,說起影迷們最關注的問題,便非它莫屬了:
“電影中展現的種種針對電子設備的監控技術真的存在嗎?”
事實告訴我們,拋開影片需要的藝術渲染效果以外,這些監控技術的存在是真實可信的。實際上,我們每個人都處于一場看不見硝煙的信息戰當中。在某些我們看不見的角落里,有人有能力對個人電腦中的隱私數據進行全方位的窺探。在這一過程中,最常用的工具便是間諜軟件以及木馬程序,公眾通常從行為上把它們統一歸類為“木馬”。
在影片中共計出現了如下幾個給人留下深刻印象的有關木馬的片段:
1、在影片的開頭,前作女主角Nicky在位于冰島雷克雅未克某個黑客聚集地中侵入CIA數據庫,并利用木馬從某臺內網服務器中竊取各種隱秘行動的資料。
2、CIA特工發現這次入侵之后立刻發動反擊,而他們的反擊做法也很好地遵從了“最好的防御便是進攻”這一準則:在獲得入侵者IP之后,他們成功侵入了冰島的電網系統并上傳了一個木馬,隨后對整個地區實施了停電攻擊以中斷Nicky與CIA的連接。
3、本作女主角Heather利用文件中植入的木馬程序實時監控Jason打開文件的行為,并迅速鎖定了他的位置。
4、CIA特工在發現Jason開始在電腦斷網的情況下瀏覽文件之時,當機立斷地決定入侵電腦旁邊的手機,并以它作為跳板對電腦進行控制,強制關機并刪除機密文件。
這些技術細節看上去簡直是匪夷所思,但真的不可能發生嗎?未必,事實上,潛藏在暗處的攻擊者們早就有辦法在技術層面上完成這些看似“不可能”的任務。
1.侵入數據庫
通過Metasploit框架以及各式各樣被公開在安全社區或者地下產業鏈中的漏洞細節、概念驗證代碼(PoC)甚至現成的利用程序(Exploit)和攻擊載荷(Payload),攻擊者們可以對那些已確認的漏洞發起攻擊并迅速取得有漏洞服務器的控制權,更別提上傳一個木馬程序以更方便地操作文件和其他數據了。
防護措施:在杜絕弱口令的基礎上,保持Windows Update處在開啟狀態,及時修復系統中存在的漏洞。
2.侵入電網系統并實施停電攻擊
電影中的片段其實早有原型,在2015年12月23日,烏克蘭電力部門遭遇惡意代碼攻擊,烏克蘭新聞媒體TSN在24日報道稱:“至少有三個電力區域被攻擊,并于當地時間15時左右導致了數小時的停電事故。”;“攻擊者入侵了監控管理系統,超過一半的地區和部分伊萬諾–弗蘭科夫斯克地區斷電幾個小時”。在此次事件中,安全公司ESET表示烏克蘭電力部門感染的是惡意代碼“BlackEnergy”,它曾被用于攻擊歐美SCADA工控系統。
3.監控行為并鎖定位置
當文件被打開之后,被植入其中的木馬程序得到了運行的機會:通常它會快速地在系統目錄下創建自身的副本并添加到自啟動項,使得用戶的電腦每次開機都會啟動木馬程序。之后,木馬程序與它內部設定好的服務器進行通信,并發送自身所在機器的相關信息,其中便包括了受害者的IP地址(Jason便是這樣暴露自身位置的)。而在木馬聯絡的服務器上則會生成一個以該木馬程序為媒介,管理該機器的終端(Shell),便于攻擊者進行操作,但是在電影中,由于主角Jason在閱覽CIA的機密文檔時關閉了網絡連接,使得木馬無法和服務器保持通信,所以CIA的特工們不得不想辦法通過入侵周圍的智能設備來重新取得電腦的控制權。
在中國,木馬雖然沒有和電影中一樣看起來十分炫酷的界面,它們所具有的功能卻是相當齊全的。下圖就是一個簡單的示例:
防護措施:警惕任何從非官方渠道獲取的軟件,使用之前請做好查殺工作,并通過基于行為檢測的威脅分析確認其安全性。要知道,有些木馬是可以通過無法被殺毒軟件識別的編碼方式來繞過靜態查殺的。順帶一提,男主角Jason就是犯了這樣的錯誤,急于閱覽CIA泄露的機密文件以至于在沒有足夠的安全意識的情況下就打開了文件,繼而暴露了自己的位置,也丟失了剛剛到手的文件。
4.入侵智能設備,并以其為跳板對其他PC或智能設備發起攻擊
實際上,在Metasploit框架版本的內置模塊列表中早已準備了針對Android系統的漏洞利用模塊。另外的例子是[2]在2012年的Blackhat黑客大會上,來自CrowdStrike公司的Georg Wicheerski演示了一個Android4.0.1系統上Webkit瀏覽器的遠程代碼執行漏洞。只需要用戶點擊釣魚短信中的鏈接,即可做到隱蔽的遠程控制和任意代碼的執行,其危害性可見一斑。
防護措施:在對第三方應用保持足夠警戒的基礎上請按照官方提供的補丁隨時更新你的智能設備系統,防止遭遇攻擊。
雖然作為電影,適當的藝術渲染手法是必要的,但電影中出現的監控技術絕非空穴來風。結合數日前發生的美國黑客團伙方程式組織(Equation Group)疑似被黑的事件來看,其泄露出的攻擊工具、漏洞利用程序、腳本源碼等數據無不讓人耳目一新,這也從側面證實了攻擊的存在和普遍性。
再一次的,請保持警惕!也許在你的電腦之中,就早已有著一雙睜開的眼睛。
