域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
今天跟女票下班之后直接去電影院看速8,當(dāng)然看完速8之后并沒有去速八而是直接回了家。首先對(duì)電影給個(gè)正面的評(píng)價(jià),但是本人作為一個(gè)信息安全從業(yè)者,有必要扒一扒里面的黑客技術(shù)。
里面涉及到黑客技術(shù)的東西主要有兩個(gè)——天眼(The Eye)和僵尸車隊(duì)(Zombie Cars)。
對(duì)于這兩個(gè)東西其實(shí)和現(xiàn)實(shí)當(dāng)中兩項(xiàng)比較前沿的安全技術(shù)相關(guān)——汽車及物聯(lián)網(wǎng)安全和攻擊者溯源,對(duì)于汽車安全這一部分,我的基友鬧心均@Selfighter是磚家中的磚家,可惜人在HITB,所以我先很業(yè)余的說一些這方面的東西。
首先我們先來說說智能汽車和非智能汽車,智能汽車其實(shí)就可以當(dāng)做一個(gè)物聯(lián)網(wǎng)設(shè)備來解決,也就是說智能汽車的攻擊面和其他IoT設(shè)備的攻擊面是差不多甚至更多的。
其實(shí)汽車和計(jì)算機(jī)一樣,內(nèi)部通信依靠總線進(jìn)行,汽車中的總線是CAN總線。CAN網(wǎng)絡(luò)是由以研發(fā)和生產(chǎn)汽車電子產(chǎn)品著稱的德國BOSCH公司開發(fā)的,并最終成為國際標(biāo)準(zhǔn)(ISO 11898),是國際上應(yīng)用最廣泛的現(xiàn)場(chǎng)總線之一。CAN總線協(xié)議目前已經(jīng)成為汽車計(jì)算機(jī)控制系統(tǒng)和嵌入式工業(yè)控制局域網(wǎng)的標(biāo)準(zhǔn)總線,同時(shí)也是車載ECU之間通信的主要總線。當(dāng)前市場(chǎng)上的汽車至少擁有一個(gè)CAN網(wǎng)絡(luò),作為嵌入式系統(tǒng)之間互聯(lián)的主干網(wǎng)進(jìn)行車內(nèi)信息的交互和共享。CAN總線的短幀數(shù)據(jù)結(jié)構(gòu)、非破壞性總線仲裁技術(shù)、靈活的通訊方式等特點(diǎn)能夠滿足汽車實(shí)時(shí)性和可靠性的要求,但同時(shí)也帶來了系列安全隱患,如廣播消息易被監(jiān)聽,基于優(yōu)先級(jí)的仲裁機(jī)制易遭受攻擊,無源地址域和無認(rèn)證域無法區(qū)分消息來源等問題。特別是在汽車網(wǎng)聯(lián)化大力發(fā)展的背景下,車內(nèi)網(wǎng)絡(luò)攻擊更是成為汽車信息安全問題發(fā)生的源頭,CAN總線網(wǎng)絡(luò)安全分析逐漸成為行業(yè)安全專家聚焦點(diǎn)。如2013年9月DEFCON黑客大會(huì)上,黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實(shí)現(xiàn)方向盤轉(zhuǎn)向、剎車制動(dòng)、油門加速、儀表盤顯示等動(dòng)作。汽車車內(nèi)CAN網(wǎng)絡(luò)安全問題當(dāng)前主要通過安全漏洞的分析和各種攻擊手段進(jìn)行挖掘,因?yàn)槠囓噧?nèi)網(wǎng)絡(luò)安全的脆弱性和威脅模型的分析尤為關(guān)鍵。
這么說來,只要抓住了CAN總線,我們就相當(dāng)于是抓住了汽車的神經(jīng),也就能對(duì)汽車進(jìn)行控制,那么攻擊CAN總線會(huì)引發(fā)什么后果呢?
第一個(gè)后果是失控:CAN總線主要應(yīng)用之一是支持主動(dòng)安全系統(tǒng)的通信,道路車輛行駛的時(shí)候,主動(dòng)安全系統(tǒng)將是一把雙刃劍,在它們發(fā)揮著不可替代的功能時(shí)候,但是考慮到主動(dòng)安全系統(tǒng)的可操作和有能力調(diào)整正確的輸入,也會(huì)引起駕駛者對(duì)主動(dòng)安全系統(tǒng)的完全依賴。因此一個(gè)突然的故障會(huì)引起不可預(yù)知的危險(xiǎn)后果。為了引發(fā)一個(gè)危險(xiǎn)的條件,惡意的攻擊者將會(huì)在CAN總線中注入錯(cuò)誤幀,讓主動(dòng)安全系統(tǒng)失靈。例如,在牽引力控制系統(tǒng)里安裝一個(gè)攻擊,會(huì)造成車輛失去控制等危險(xiǎn)。如果攻擊者的目標(biāo)是自適應(yīng)巡航系統(tǒng),將會(huì)導(dǎo)致汽車不會(huì)安駕駛者預(yù)期的那樣停止。此外,為了最大可能的傷害汽車駕駛者,假如數(shù)據(jù)可以直接從CAN總線上獲取,攻擊者可以根據(jù)特定的條件,觸發(fā)一個(gè)DoS攻擊。例如汽車某一特定速度,特定的節(jié)氣門百分比或者是某一確切的GPS位置等。
第二個(gè)后果就是勒索:一個(gè)惡意的攻擊者將在CAN總線中某一目標(biāo)幀中設(shè)置攻擊,這將會(huì)導(dǎo)致駕駛者無法控制節(jié)氣門的位置從而不能讓汽車移動(dòng)。盡管這些不會(huì)必定發(fā)生危險(xiǎn)狀態(tài),一個(gè)以金錢為目的的攻擊者,將會(huì)利用車載娛樂系統(tǒng)的漏洞,停止汽車,并在娛樂系統(tǒng)屏幕上顯示消息,車主為了重新獲取汽車的操控權(quán)而去付贖金。
第三個(gè)可能是盜竊:大部分現(xiàn)代昂貴的汽車門鎖通過CAN連接到ECU來控制,通常通過OBD-II端口可連接。隔離負(fù)責(zé)控制鎖/解鎖車門的數(shù)據(jù)幀比逆向主動(dòng)安全設(shè)備更簡單、更快捷。因此,幾分鐘左右一個(gè)攻擊者將會(huì)隔離負(fù)責(zé)鎖車門的數(shù)據(jù)幀,編寫他的設(shè)備程序-特定幀的DoS攻擊,然后把設(shè)備插入到OBD-II的接口,阻止車門鎖住。對(duì)于一個(gè)攻擊者來說,這個(gè)攻擊結(jié)果是可能的。通過低成本的花費(fèi)就能進(jìn)入到車內(nèi),隨后就能夠竊取車內(nèi)任何貴重物品。
長期以來,幾乎整個(gè)汽車界都有這樣的共識(shí):CAN總線是沒法保護(hù)的。兩方面的原因,其一,ECU的計(jì)算處理能力不足;其二,車載網(wǎng)絡(luò)的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit,但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數(shù)據(jù),這意味著很多時(shí)候LIN總線根本就是處在“裸奔”的狀態(tài)。所以汽車安全未來肯定是炙手可熱的一部分。
接下來我們說說天眼,其實(shí)天眼的目標(biāo)很簡單——我知道一個(gè)人的一部分信息,如何根據(jù)一部分信息去拼湊出一個(gè)完整的信息,比如他去過什么地方,干過什么事情,目的是什么,用了什么東西,也就是廣義上的了解你的敵人。對(duì)于安全工作者來說,轉(zhuǎn)化到現(xiàn)實(shí)當(dāng)中的問題就是甲方安全團(tuán)隊(duì)在找到攻擊者之后如何讓攻擊者不再攻擊你?單單從防御的角度上來說,我們可以上規(guī)則、上設(shè)備,但是這樣并不能從根本上解決問題。繼續(xù)說回電影,其實(shí)《赤道》中香港、韓國兩方面只希望把武器送走,確保不在香港交易同時(shí)回到韓國,這樣就解決了這個(gè)問題。但是宋總不是這么想,宋總站在了更高的角度上,他不希望把香港變成真正的地下武器販賣中心,也就是要把地下武器交易這個(gè)鏈條徹底打碎。從解決問題的角度上來看這兩者都沒錯(cuò)。
回到正題,對(duì)于攻擊者來說,攻擊者一旦發(fā)起攻擊就會(huì)在目標(biāo)系統(tǒng)中產(chǎn)生數(shù)據(jù),不管有用也好無用也罷,總之?dāng)?shù)據(jù)都會(huì)產(chǎn)生,諸如流量數(shù)據(jù)、操作日志、爆破記錄、工具指紋、網(wǎng)絡(luò)地址等信息。
Phase 1:從日志分析的角度上來講,既然我們有這么多的設(shè)備,有這么多的日志,我們要做的就是把這些想關(guān)的攻擊向量和行為日志收集起來,統(tǒng)一到一起,看看有什么線索。
Phase 2:既然我們已經(jīng)收集到了很多的日志和數(shù)據(jù),那么我們可以從日志中把這些信息拼湊成一個(gè)完整的攻擊行為記錄:即它是通過什么漏洞進(jìn)來的,如何進(jìn)來的,進(jìn)來之后做了什么,對(duì)系統(tǒng)有什么影響。完完全全使之成為一個(gè)攻擊的模型,這樣的話也就完成了對(duì)入侵的推演。
Phase 3:我們既然知道了他是如何進(jìn)來了的,從甲方安全運(yùn)營的角度來講,我們需要確認(rèn)其他機(jī)器當(dāng)中是否有相同的漏洞和配置錯(cuò)誤,要避免其它的人利用相同的方法入侵系統(tǒng),畢竟不能在一個(gè)坑栽倒兩次。
Phase 4:我們現(xiàn)在有了攻擊者的一些信息,我們是否可以通過外部威脅情報(bào)數(shù)據(jù)來看看這個(gè)攻擊者是不是之前攻擊過其他系統(tǒng),攻擊是不是有針對(duì)性,工具用的是進(jìn)口的、國產(chǎn)的還是自己寫的,是不是有其他的同伙或者幫手,他到底是懷揣著什么目的去攻擊我們的系統(tǒng)。
Phase 5:如果我們確定他的身份是惡意的,并且對(duì)我們的系統(tǒng)造成了很嚴(yán)重的影響,我們是不是應(yīng)該知道這個(gè)人是什么來頭,他的個(gè)人信息(虛擬身份和真實(shí)身份)我們是不是要了解,我們是不是應(yīng)該去用法律手段搞他,等等。
其實(shí)攻擊溯源,其實(shí)是數(shù)據(jù)驅(qū)動(dòng)的企業(yè)內(nèi)部安全運(yùn)營的一部分,需要大量數(shù)據(jù)的支撐以及分析才能找到攻擊者,而企業(yè)內(nèi)部我們見到最多的數(shù)據(jù)無非就是日志了,所以日志的分析和內(nèi)網(wǎng)威脅情報(bào)的提取是非常重要的一環(huán)。
針對(duì)安全運(yùn)營來說,我個(gè)人認(rèn)為所有的攻擊者不可避免的都會(huì)產(chǎn)生操作日志,針對(duì)內(nèi)網(wǎng)內(nèi)的安全設(shè)備也好,非安全設(shè)備也好,肯定或多或少的存在日志。
針對(duì)企業(yè)內(nèi)部的日志,大體上可分為四類:安全設(shè)備日志、非安全設(shè)備日志、傳感器日志和外部數(shù)據(jù)。
對(duì)于追蹤來說一般有這么三種套路:
- IP->域名->Whois信息->社交網(wǎng)絡(luò)信息->真實(shí)信息:這個(gè)套路對(duì)于現(xiàn)在來說可能用處不是特別大,但是根據(jù)歷史Whois信息也是可以得出一些啟發(fā)性的結(jié)論的,當(dāng)然這些威脅情報(bào)數(shù)據(jù)可能付費(fèi)。
- IP->VPN->IP->社交網(wǎng)絡(luò)信息:這種情況一般是大多數(shù),解決方法是通過查詢IP反連記錄,解析操作和一些fingerprint獲得他的虛擬身份信息,當(dāng)然也是要收費(fèi)的
- IP->botnet->IP->社交網(wǎng)絡(luò)信息:這種廣泛分布于挖礦、刷票、DDoS這種肉雞類型的,可以想辦法截獲起botnet樣本進(jìn)行逆向分析,獲取其c&c服務(wù)器地址,然后對(duì)服務(wù)器進(jìn)行反連查詢。沒錯(cuò)還是要收費(fèi)的。
- 安全設(shè)備日志:這些日志來源可以是硬件也可以是軟件,首先就硬件來說注入IDS/WAF或者SIEM中的日志、硬件防火墻等等日志,軟件日志包括防病毒軟件、安全Agent、準(zhǔn)入系統(tǒng)等軟件系統(tǒng)的日志。這些日志一般都是攻擊者進(jìn)行攻擊時(shí)會(huì)進(jìn)行被動(dòng)觸發(fā),這樣的話可以檢索到很多攻擊信息,諸如使用的IP、端口、工具指紋等等。
- 非安全設(shè)備日志:諸如路由器、交換機(jī)、網(wǎng)關(guān)、網(wǎng)閘等硬件設(shè)備以及操作系統(tǒng)、應(yīng)用軟件、服務(wù)器軟件日志等軟件日志,這些日志中可以分析出攻擊者的目的,是為了單純滲透玩一下還是想要通過控制機(jī)器作為跳板機(jī)進(jìn)行進(jìn)一步的滲透工作,還是說僅僅是安全部門進(jìn)行掃描產(chǎn)生的日志。
- 傳感器日志:企業(yè)內(nèi)部通常會(huì)部署一些蜜罐系統(tǒng)、流量傳感器等,這些設(shè)備一方面可以有攻擊預(yù)警和反橫向滲透的效果,但是里面也會(huì)存在一些攻擊者的行為,比如SSH蜜罐會(huì)存下攻擊者在這臺(tái)機(jī)器上的操作,流量傳感器會(huì)對(duì)數(shù)據(jù)包進(jìn)行DPI解析方便流量分析,這些數(shù)據(jù)中肯定殘存著一些有用的信息可以幫助我們確定攻擊者的行為、技能點(diǎn),甚至可以進(jìn)一步判斷該攻擊者的能力,是腳本小子還是大黑闊。
- 外部日志:一些常用服務(wù)的日志,比如說郵件、DNS等日常服務(wù)的日志,這些日志可以幫我們確定攻擊者是否是一種APT攻擊,或者是是否是來種植Botnet的。同樣可以確定攻擊者的動(dòng)機(jī)。
說完了日志,我們緊接著可以說一下攻擊者的動(dòng)機(jī)判定,攻擊者想要入侵一個(gè)系統(tǒng)肯定會(huì)對(duì)這個(gè)系統(tǒng)進(jìn)行偵查,諸如端口掃描、脆弱性檢測(cè)、exp測(cè)試等手段,這里面很容易和安全部門的安全常規(guī)巡檢的日志起沖突,大多數(shù)公司都會(huì)把掃描機(jī)群放到白名單里。這樣產(chǎn)生了類似的日志就會(huì)觸發(fā)報(bào)警,我們可以進(jìn)一步分析這些日志提取出一些攻擊者的行為、動(dòng)機(jī)等等,以及他的目的甚至他的技能點(diǎn),我們都可以初步判斷。
通過對(duì)以上日志的分析,我們可以基本上確定攻擊者是什么途徑進(jìn)來的,用何種攻擊方式拿到機(jī)器權(quán)限,有沒有執(zhí)行什么敏感的操作,是否有進(jìn)一步滲透的趨勢(shì),是不是在嘗試提權(quán)之類的操作等等,這樣我們就對(duì)攻擊者有一個(gè)大概的了解。
接下來我們就需要借助外部威脅情報(bào)的力量來獲取攻擊者的身份,我個(gè)人比較喜歡國內(nèi)的微步在線和國外的PassiveTotal這兩個(gè)平臺(tái),尤其是后者,數(shù)據(jù)比較全而且覆蓋度很廣。當(dāng)然不差錢的各位可以選擇去買威脅情報(bào)服務(wù),更專業(yè)。
簡單說一下威脅情報(bào)可以幫我們干什么,威脅情報(bào)其實(shí)就是根據(jù)上面獲得殘破的攻擊者畫像變得完整,威脅情報(bào)一般可以獲得這個(gè)攻擊者有哪些常用的IP,這些IP分別都是干什么的,有沒有什么社交信息,社交信息又有什么關(guān)聯(lián)。舉個(gè)不恰當(dāng)?shù)睦泳褪窍喈?dāng)于你知道一個(gè)人的身份證號(hào),然后警察用這個(gè)身份證號(hào)去查這個(gè)人有多少錢,資產(chǎn)有多少等等。這樣你就可以獲得一個(gè)較為完整的攻擊者畫像。
到了這里其實(shí)我們知道了攻擊者的信息,就可以選擇怎么解決,拉倒辦公室彈jj10分鐘是一個(gè)解決方案,扭送到警察蜀黍那里也是解決方案,但是需要提醒大家注意執(zhí)法力度和執(zhí)法手段,不要知法犯法(逃。
說到以上大家會(huì)覺得我偏題了,你娃不是說要講天眼么,怎么扯了一大堆安全運(yùn)營上的事兒,這跟天眼有什么關(guān)系。那么接下來的事情就和天眼有關(guān)系了:
在電影中,飛車家族只需要輸入一個(gè)名字就可以去找到這個(gè)人,確定他的位置,然后上門送溫暖喝熱茶。但是現(xiàn)實(shí)當(dāng)中,重名的你懂得,所以我們現(xiàn)在從其他的地方下手:
Part 1:長相,這里無非就是涉及到人臉識(shí)別技術(shù),沒什么好說的(其實(shí)是我不懂)
Part 2:身份證號(hào)碼,這個(gè)就比較重要了,身份證號(hào)碼對(duì)于廣大人民群眾來說,變的機(jī)會(huì)基本為0,很多企業(yè)不管是干什么的也好都喜歡玩實(shí)名制,尤其是一些小的金融公司和P2P公司,總喜歡沒事問你身份證號(hào)。鑒于我國信息泄露這個(gè)問題還是挺嚴(yán)重的,所以我們不能保證別人沒有我們的身份證號(hào)。我們來說有了身份證號(hào)能干什么:先來造一張假的身份證,然后利用這張身份證(照片或者掃描件)去搞一些不需要實(shí)體身份證的東西,比如你懂得。這樣我們就能把這個(gè)人的一些賬戶劫持了,能干啥你現(xiàn)在應(yīng)該明白了。
Part 3:手機(jī)號(hào)碼,一般我們通信都用手機(jī)號(hào)碼,手機(jī)號(hào)碼泄露更是屢見不鮮,和身份證號(hào)一樣,許多企業(yè)都是動(dòng)不動(dòng)就跟你要。手機(jī)號(hào)碼泄露更是一件蛋疼的事情,騷擾電話短信不說,由于現(xiàn)在很多手機(jī)號(hào)碼和業(yè)務(wù)是綁定的,也就是用手機(jī)號(hào)碼就可以登錄相關(guān)的業(yè)務(wù),這樣的話手機(jī)號(hào)碼的泄露很有可能就會(huì)聯(lián)系到相對(duì)應(yīng)的身份,舉個(gè)最簡單的例子:手機(jī)號(hào)碼綁定QQ號(hào)碼,然后QQ號(hào)碼可以查詢?nèi)宏P(guān)系,之后通過群關(guān)系能搞出很多信息,后果你懂的
Part 4:QQ號(hào)碼,其實(shí)上面已經(jīng)說了,QQ號(hào)碼相當(dāng)于虛擬版本的身份證號(hào),很多東西都和QQ有關(guān)系,比如iCloud賬號(hào)、游戲賬號(hào)、甚至是一些信用卡賬單啊什么的綁定的郵箱都是QQ的。QQ號(hào)碼能查的東西那就太多了,上面就是個(gè)例子。
Part 5:電子郵箱,這個(gè)在國內(nèi)似乎用的比較少,但是企業(yè)內(nèi)部的電子郵箱是討論的重點(diǎn),企業(yè)內(nèi)部電子郵箱是很多攻擊者最喜歡的地方,因?yàn)榭梢砸源藶橥黄瓶讷@取企業(yè)內(nèi)部的一些信息。當(dāng)年在甲方做安全運(yùn)營的時(shí)候經(jīng)常收到各種同時(shí)轉(zhuǎn)發(fā)過來的釣魚郵件,就是用來騙取Exchange郵箱賬戶的,這些對(duì)企業(yè)內(nèi)部安全構(gòu)成了嚴(yán)重的威脅。
補(bǔ)充:有個(gè)網(wǎng)站可以查到某個(gè)郵箱/手機(jī)號(hào)注冊(cè)了什么網(wǎng)站。。。。。
所以,天眼的實(shí)現(xiàn)基礎(chǔ),其實(shí)是背后的數(shù)據(jù)在做支撐,數(shù)據(jù),其實(shí)就是泄露的數(shù)據(jù),民間收集的數(shù)據(jù)來源主要還是各大數(shù)據(jù)庫泄露的SQL文件等,當(dāng)然不排除有些萬惡的黑產(chǎn)玩無間道,此處有句xxx我一定要講。
其實(shí)《速度與激情8》里面的黑客技術(shù)就現(xiàn)在看來是可以完全實(shí)現(xiàn)的,只是實(shí)現(xiàn)的成本有高有低,但是搞攻防的話,一定要站在攻擊成本的角度上去考慮,安全無絕對(duì),所以大家也沒有必要為這些事情擔(dān)心,安全研究院和廠商之間的互動(dòng)越來越多也從側(cè)面證明了現(xiàn)在大家對(duì)安全的重視,作為安全工作者,我們也非常愿意幫助廠商做好安全這一部分。先說這么多吧,此文僅作為科普,如需討論細(xì)節(jié)還請(qǐng)回復(fù)或者發(fā)私信。
【本文是51CTO專欄作者elknot的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過51CTO獲取授權(quán)】
戳這里,看該作者更多好文
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!