網絡安全世界里的雙刃劍

今天我們將講講加密后門。密碼學的世界里，有設置密碼的密碼鎖，但沒有所謂的鎖匠，能破壞原本保持加密狀態的加密內容(除非你是所有者)。但有一個例外，就是加密后門。

加密后門是一個比較簡單的概念。可以把它們想像成你藏在某個角落的備用鑰匙。它們可以由惡意軟件惡意創建，也可以被所有者故意放置在硬件或軟件中。關于加密后門的討論有很多，大家對它的看法角度各不相同，一方面，如果在緊急情況需要，它可以為人們辦事提供非常有用的信息和有用的幫助。另一方面，它們很可能容易被攻擊者發現。

那么加密后門是如何工作的?在什么情況下可以使用它們?支持和反對部署它們的理由是什么?

[[442232]]

我們逐一來分析吧。

什么是加密后門?

加密后門是允許用戶(無論是否經過授權)繞過加密并訪問系統的任何一種方法。加密后門在理論上類似于漏洞，尤其是在功能方面。兩者都為用戶提供了一種非標準的方式，供他們隨意輸入系統。不同之處在于它們背后的人文思維。軟件開發人員或攻擊者會故意設置加密后門。不過，漏洞本質上是偶然的。

在網絡威脅的世界中，后門是最謹慎的一種。它們與勒索軟件截然相反，勒索軟件在網絡上等同于吸引用戶并將其反復打臉。加密后門隱藏得很好，在后臺潛伏著，只有一小部分人知道。只有需要后門提供的功能的開發人員和少數精選用戶才會知道其存在。

后門的強大功能和多功能性使其在網絡犯罪分子中非常受歡迎。實際上，Malwarebytes(美國網絡安全科技公司)在2019年進行的一項研究《2019 State of Malware》發現，包括加密后門在內的后門通常在消費者和企業面臨的最常見威脅中排名第四。該報告還發現，后門的使用正在上升，與去年相比，對消費者的檢測數量增加了34%，對企業的檢測數量則高達173%。考慮到加密后門是后門的主要類型之一，毫無疑問，后門的使用率在增加。

如何使用加密后門?

一些后門旨在幫助用戶，另一些旨在傷害用戶。我們將基于后門程序旨在實現的結果將其分為兩種主要類型：惡意軟件后門程序和內置后門程序。

惡意軟件后門

我們先從壞家伙開始。黑客通過惡意手段創建后門惡意軟件，通過訪問你的個人設備、財務記錄等，竊取個人數據，將其他類型的惡意軟件加載到系統上或完全接管到你的設備上。

后門惡意軟件被認為是特洛伊木馬的一種，這意味著它旨在將自己偽裝成與真實形式完全不同的某種東西。你可能會認為你正在從文件共享站點下載常規的舊Word文檔或受信任的軟件，但實際上你會得到一些東西，這將打開系統上的后門，攻擊者可在任何時候使用該后門進行訪問。

諸如Trojans之類的后門惡意軟件也可以復制自身，并將副本跨網絡分發到其他系統。他們可以自動完成所有操作，而無需黑客的任何輸入。

然后，可以將這些后門用作進一步攻擊的手段，例如：

• 間諜軟件
• 鍵盤記錄
• 勒索軟件
• 加密劫持
• 在DDOS攻擊中使用PC

例如，也許你下載了免費的文件轉換器。你去使用它，它似乎無法正常工作(擾流板警報–從來沒有打算這樣做)，因此你可以從系統中卸載它。雖然你不知道，但該轉換器實際上是后門惡意軟件，現在你的系統上有一個敞開的后門。

攻擊者可以更進一步，并使用功能強大的軟件來創建后門。也許你下載了顯示定期更新的股票價格的小部件。你只要安裝它就可以了，似乎沒有什么不對。但是你并不知道，它已經在你的計算機上打開了后門。

對于網絡犯罪分子來說，這通常只是第一步-站穩腳跟。這時，黑客通常使用的方法是部署rootkit。Rootkit是惡意軟件的集合，該惡意軟件可使其自身不可見，并在你和你的PC中隱藏網絡活動。可以將rootkit看作是一個門擋，它可以使攻擊者保持訪問點的打開狀態。

一般而言，Rootkit和后門惡意軟件可能很難檢測到，因此在瀏覽時要小心，避免來自未知或不受信任來源的文件，保持應用程序和OS的更新，并利用防病毒和防惡意軟件程序。

內置后門

但是，就加密后門而言，這并不全是壞事。正如我們所談到的，它們也可以用于道德目的的。也許用戶被鎖定在關鍵信息或服務之外，并且沒有其他進入方式。加密后門可以恢復訪問。當對軟件問題進行故障排除時，它們也可能會有所幫助，甚至可以用來訪問有助于解決犯罪或尋找失蹤人員和物體的信息。

內置后門是由硬件和軟件開發人員有目的性部署的，通常在創建時并沒有考慮到惡意的手段。通常，它們只是開發過程的一部分，因此開發人員可以在編寫，測試和修復錯誤時更輕松地瀏覽應用程序。沒有后門，他們將不得不經歷許多的麻煩，例如創建“真實”帳戶，輸入常規用戶通常需要的個人信息，確認其電子郵件地址等。

這樣的后門并不是要成為最終產品的一部分，但有時它們會偶然不可避免的成為其中一部分，最后與漏洞一樣，攻擊者有可能會發現并利用它。

內置后門的另一個主要類別是國家政府和情報機構特定要求的。五眼(FVEY)情報聯盟的澳大利亞，加拿大，新西蘭，英國和美國，一再要求技術和軟件公司在其產品中安裝后門。他們的理由是，這些后門程序可以幫助找到用于刑事調查的關鍵證據。但蘋果，Facebook和Google都拒絕了這些要求。

為什么呢?如果這些公司同意安裝后門，則有可能會發生 “供應鏈后門”危害。供應鏈攻擊通常發生在制造和/或開發過程中，此時產品的組件仍在供應鏈中的某個位置浮動。例如，可以將后門裝載到芯片制造商工廠的微處理器上，然后將其發送給各個OEM以便用于消費產品。也可以在將成品發送給消費者時加載它，例如，政府機構可以攔截針對最終用戶的設備運輸，并通過固件更新加載后門。加密后門可以在制造商知道的情況下安裝，也可以秘密進行。

我們剛說過供應鏈后門也可能在軟件開發過程中發生。開源代碼對開發人員而言具有許多優勢，可以節省時間和資源，而無需浪費時間。功能強大且久經考驗的庫，應用程序和開發工具的創建和維護是為了更大的利益，所有人免費使用。它被證明是一個有效而強大的系統。

當然，除了有意在某個地方種植后門時。對開放源代碼的貢獻要經過審查，但是有時惡意的后門會越過漏洞，將其傳播給開發人員和最終用戶。而GitHub(一個面向開源及私有軟件項目的托管平臺)在2020年的一份報告中發現，故意惡意創建惡意軟件漏洞的比例接近五分之一。

現實中的加密后門事件

讓我們看一下一些最重要的，眾所周知的加密后門實例，以及與之相關的后果：

• 1993年 Clipper Chip(加密芯片)率先獲得了主流的關注。該芯片是美國國家安全局(NSA)努力創建的安全系統，該系統雖然足夠安全，但在必要的情況下，調查人員也可以隨意破解。它的工作方式是在制造芯片時將80位密鑰燒入芯片中。該密鑰的副本保存在托管中心，并且必須具有足夠權限的政府特工才可以訪問它。這個概念在行業內遭到了沉重的抵.制，從未真正起步，并在幾年之內消失了。

• 2005年– Sony BMG(索尼音樂)–十年前，當大家在收聽50 Cent或Mariah Carey(美國歌手)時，Sony發行了數百萬個包含rootkit(木馬病毒)的CD。作為一種版權保護措施，這些病毒將在你插入CD時自動安裝在你的PC上。它不僅試圖防止你刻錄CD，而且還監視了你的收聽習慣并在計算機上打開了后門。結果，索尼面臨一波訴訟，召回了有問題的CD，并賠償了數百萬美元。

• 2013年–愛德華·斯諾登(Edward Snowden)事件，政府在多種情況下截獲了通往最終用戶的網絡設備，并在其設備上加載了受損的固件。當然，該固件包含一個后門，NSA(美國國家安全局)可以(或經常)使用后門來訪問用戶的網絡。

• 2014年– Emotet惡意軟件，尤其是銀行木馬，Emotet本質上是一個信息竊取者。它最初旨在收集敏感的財務數據，但現在主要用作后門。截至2019年，它仍然是網絡空間中最普遍的威脅之一，通常被用作發起勒索軟件攻擊的起點。

• 2015年–美國蘋果公司一直拒絕美國政府要求的在蘋果產品中放置后門。最著名的事件發生在2015年圣貝納迪諾恐怖襲擊之后。聯邦調查局(FBI)發現了一個肇事者擁有的iPhone，并要求蘋果幫助解鎖。蘋果公司表示拒絕，甚至齊心協力使他們的設備更難破解。FBI(美國聯邦調查局)最終只能使用第三方來訪問iphone。

• 2017年WordPress插件事件– 2017年的SEO騙局最終影響了超過300,000個WordPress網站(一種使用PHP語言開發的博客平臺)，圍繞著一個WordPress插件“ Simply WordPress”(一個博客免費程序)，很不幸，這是一個CAPCHA插件，其功能不只是廣告，它還帶有一個“功能”，該功能可以打開后門，從而為管理員提供對其安裝站點的訪問權限。

關于加密后門的爭論

關于加密后門，尤其是內置后門存在的爭論已經持續了數十年。由于預期用途和實際用途具有“灰色陰影”的性質，因此辯論沒有跡象表明很快就會放慢速度。特別是考慮到加密后門的主要支持者，即各國政府，也是唯一可以合法地將其取締的政黨。那么，爭論的兩個方面是什么?

加密后門的優點

五眼聯盟的成員認為，內置加密后門是維護國家和全球安全的必要條件。當時的聯邦調查局局長克里斯托弗·雷(Christopher Wray)試圖總結美國政府在2018年的立場，他這樣解釋：

“我們不是在尋找'后門'，我理解這意味著某種秘密，不安全的訪問方式。我們要求的是一旦獲得獨立法官的逮捕令后便能夠使用該設備，我們是有目的性有原因地使用。”

政府官員經常指出，他們真正想要的更像是一個“前門”，只有在滿足特定條件的情況下，才可以授予訪問權限和解密權限。從理論上講，只有“好人”才能使用。

那些支持后門程序的人認為，當局與網絡犯罪分子之間的技術差距正在擴大，并且執法機構的法律和技術權力目前還不足以跟上。因此，需要捷徑，秘密途徑。

在其他情況下，主管部門僅需要獲取有關案件的證據和信息。由于無法訪問鎖定的手機設備，許多刑事調查被擱置了。畢竟，手機中的信息不是警察能夠有權使用搜查令就能進行訪問信息的。

關鍵托管后門

內置后門支持者提出的常見解決方案是使用所謂的“密鑰托管”系統。其概念是，受信任的第三方將充當密鑰的安全存儲庫，并在執法部門獲得法律許可的情況下允許解密。

公司通常在內部使用密鑰托管，以防丟失對自己數據的訪問。但是，當涉及到公共使用時，這是一個具有挑戰性且實施成本很高的系統，還存在很大的安全風險，因為攻擊者解密某個東西所需要做的最大量工作就是訪問密鑰存儲位置。

加密后門的缺點

從理論上講，給好人一個“前門”聽起來很棒。從功能上講，問題在于這個“加密前門”與加密后門之間沒有太大區別。不管你想稱呼它為什么，黑客都可以找到存在的方法。因此，大多數大型科技公司都不希望其產品中使用加密后門。因為那樣，他們將把自己的品牌名稱貼在帶有即裝即用漏洞的不安全產品上。

即使制造商和/或政府是最初知道后門的唯一人，攻擊者最終還是會不可避免地發現它。大規模后門的泛濫肯定會導致網絡犯罪的增加，并造成巨大的漏洞利用黑市。對廣大公眾可能會產生嚴重而深遠的影響。例如，公用事業基礎設施和關鍵系統可能隨時對來自國內外的威脅發起攻擊。

當涉及加密后門時，也存在隱私問題。如果后門無處不在，那么政府可以隨時竊聽公民，并根據需要查看其個人數據。即使一開始沒有，但可能性仍然存在，而且這是一個濕滑的斜坡，隨著時間的推移會變得越來越滑。例如，一個敵對和不道德的政府可以利用后門找到反對該政權的異.議人士，并使他們保持沉默。

總體而言，當涉及到加密時，要使其生效，絕對需要一些基本知識：

• 沒有解密密鑰就無法解密數據
• 解密密鑰只能由所有者訪問

后門損害了第二點(在某些情況下是第一點)，從這個意義上說，它們首先破壞了加密數據的整個目的。

加密后門的未來

迄今為止，巨型科技公司拒絕授予加密后門，特別是蘋果公司在2015年采取的行動，至今都未能為后門樹立任何法律先例。如果它們中的任何一個被默認，那么無疑會創建出更多的加密后門。盡管在某些情況下加密后門可能會帶來積極的結果，但它們也使我們的設備遭受更大的攻擊風險為代價。

由于物聯網和智能設備在我們整個家庭和工作場所中被廣泛應用，這些風險已經在逐漸增加，在沒有后門的情況下，攻擊者都可能會破壞物聯網設備，并在與你自己的PC的連接鏈中繼續前進，而如果有了后門之后則會使攻擊變得更加容易。

在安全專家和隱私權擁護者的立場上，我們會主張維護盡可能強大的加密措施和實踐。而站在對立面的立場上，像一些政府則會希望通過后門來幫助解決犯罪和維護公共安全。顯然這些討論并沒有休止跡象，并且很可能隨著技術的不斷發展和傳播而更加熱烈。

無論哪種方式，你我都必須繼續盡最大努力保護我們自己的數據。我們不一定可以通過我們不知道存在的內置后門來阻止攻擊，但是我們可以采用安全軟件和最佳實踐的智能組合來幫助減輕惡意軟件后門的風險。確保使用你信任的加密算法對數據進行加密，并完全控制加密密鑰。如果其他人可能有你的數據密鑰，那么它就會是不安全的。

【責任編輯：趙寧寧 TEL：（010）68476606】