热门图片
 中青在线版权与免责声明

中国青年报手机版

中国青年报手机版二维码

中国青年报-中青在线官方微信

中国青年报-中青在线官方微信平台

2015年05月13日 星期三
中青在线

音书画

没有绝对的安全系统

程曼祺 《 中国青年报 》( 2015年05月13日   11 版)

    4个清洁工打扮的人,在德国安全局大楼垃圾堆上,兴奋地翻找着。

    任何带字的纸片都是目标,而一张印有可爱宠物、姓名和邮箱的卡片,成了重大发现。

    第二天,卡片的女主人收到了一封含有“萌猫”照片的邮件,她忍不住轻轻点击链接。这是名副其实的“小猫钓鱼”,德国安全局网络的大门就这样被撬开了一条缝。

    这是德国电影《我是谁:没有绝对安全的系统》中黑客四人组CLAY入侵德国安全局的前期过程。

    5月11日晚,网易总部大楼内也许上演了类似的情节。从晚上9点开始,网易旗下的网易云音乐、易信、有道云笔记等数款产品以及全线游戏出现了无法连接服务器的情况。第二天早上6点左右,受影响的网络基本恢复。

    网易官方随后宣称故障是由“骨干网络遭受攻击”导致的,虽然具体情况目前未知,这一夜“攻防战”之精彩或许胜过电影。

    在不能没有网的当下,网络安全也变成一个突出问题。根据中国互联网应急中心4月30日发布的《2014年我国互联网网络安全态势报告》,2014年中心通报的漏洞事件达9068起,较2013年增长3倍。

    互联网的每一个普通用户都面临着个人信息安全问题。电影中,黑客组织CLAY入侵只为传奇,不为钱财。但现实中,某些黑客常使用的“钓鱼手法”,却多以金融机构和社交网络为攻击对象,以盗取资产或信息为目标,是让普通用户头疼的安全问题。

    其一般流程是先冒充官方机构,向受害者发送邮件,当受害者点击了邮件中的链接后,就会进入一个和官方页面十分相似的“仿冒网站”,登录后,其账号、密码就会被发给网络中的“垂钓者”。

    而除钓鱼等面向普通用户的简单攻击外,以组织机构为目标的攻击更复杂,更具破坏性。这是目前信息安全产业的热点概念:APT攻击——高级持续性威胁。

    网易很有可能就是中了它的招。

    CLAY最钟爱这种攻击方式。它并不包含颠覆性新技术,但有一套新的组织:把破解、钓鱼、木马等多种黑客常用手段相结合,同时通过在线下对实体目标踩点,与目标机构工作人员周旋,找到突破口。攻击周期一般较长,有周密的阶段安排。

    CLAY用ATP玩得不亦乐乎:控制医药公司大楼,用电灯在楼体上拼出“我们杀害动物”;潜入德国安全局,让整个机构的打印机里充满“CLAY到此一游”。

    但也正是APT攻击,使CLAY一步步走入了危险。因为APT攻击潜伏期长,隐秘性高,可持续进行破坏和信息盗取——它因此成为国际间谍、黑帮和恐怖分子喜爱的攻击方式。

    现实中的ATP攻击,也已成为现代“网络战争”的重要手段:美国、俄罗斯、中国是APT攻击的热点地区,政府机构是APT攻击最集中的对象。

    APT级别的网络攻防,又回到了人类“争斗”的基本形式:不管你手中的武器是石刃,是铁剑,是火枪还是键盘,最后,都是人与人的较量。

    你以为“黑客”的天地只有虚拟网络吗?其实在ATP攻击里已经结合了线下的挖掘信息的技巧。程序只是人类语言的一种特殊形式,“黑客攻击”也只是“挖掘信息”的一种特殊方式。贯穿《我是谁》全片的“社会工程学”讲的就是这个道理:处处都可“编程”。

    创造这一概念的世界头号黑客凯文·米特尼克把它定义为一种高级的“行骗”:“通过蒙敝、影响、劝导来达到获取信息的目的,这就是社会工程师。”

    但这位善于引诱他人的传奇黑客,也败给了自己的好奇心:1994年,米特尼克在攻击圣迭戈超级计算机中心后,被安全技术专家,著名“白帽黑客”下村努用“蜜罐”——伪装成有用数据和故障的诱饵抓住,使其第二次被捕。

    没有绝对安全的系统,因为人心是最大的漏洞。

别让年轻学者的路越走越窄
没有绝对的安全系统
中国的护士从哪儿来
知新