作者簡介:elknot,奇虎360企業安全集團安全服務jmpesp實驗室資深安全研究員,研究方向為資料驅動的安全運營
今天跟女票下班之後直接去電影院看速8,當然看完速8之後並沒有去速八而是直接回了家。首先對電影給個正面的評價,但是本人作為乙個資訊保安從業者,有必要扒一扒裡面的黑客技術。
裡面涉及到黑客技術的東西主要有兩個——天眼(the eye)和殭屍車隊(zombie cars)。
對於這兩個東西其實和現實當中兩項比較前沿的安全技術相關——汽車及物聯網安全和攻擊者溯源。
首先我們先來說說智慧型汽車和非智慧型汽車,智慧型汽車其實就可以當做乙個物聯網裝置來解決,也就是說智慧型汽車的攻擊面和其他iot裝置的攻擊面是差不多甚至更多的。
這麼說來,只要抓住了can匯流排,我們就相當於是抓住了汽車的神經,也就能對汽車進行控制,那麼攻擊can匯流排會引發什麼後果呢?
第乙個後果是失控:can匯流排主要應用之一是支援主動安全系統的通訊,道路車輛行駛的時候,主動安全系統將是一把雙刃劍,在它們發揮著不可替代的功能時候,但是考慮到主動安全系統的可操作和有能力調整正確的輸入,也會引起駕駛者對主動安全系統的完全依賴。因此乙個突然的故障會引起不可預知的危險後果。為了引發乙個危險的條件,惡意的攻擊者將會在can匯流排中注入錯誤幀,讓主動安全系統失靈。例如,在牽引力控制系統裡安裝乙個攻擊,會造成車輛失去控制等危險。如果攻擊者的目標是自適應巡航系統,將會導致汽車不會安駕駛者預期的那樣停止。此外,為了最大可能的傷害汽車駕駛者,假如資料可以直接從can匯流排上獲取,攻擊者可以根據特定的條件,觸發乙個dos攻擊。例如汽車某一特定速度,特定的節氣門百分比或者是某一確切的gps位置等。
第二個後果就是勒索:乙個惡意的攻擊者將在can匯流排中某一目標幀中設定攻擊,這將會導致駕駛者無法控制節氣門的位置從而不能讓汽車移動。儘管這些不會必定發生危險狀態,乙個以金錢為目的的攻擊者,將會利用車載娛樂系統的漏洞,停止汽車,並在娛樂系統螢幕上顯示訊息,車主為了重新獲取汽車的操控權而去付贖金。
第三個可能是盜竊:大部分現代昂貴的汽車門鎖通過can連線到ecu來控制,通常通過obd-ii埠可連線。隔離負責控制鎖/解鎖車門的資料幀比逆向主動安全裝置更簡單、更快捷。因此,幾分鐘左右乙個攻擊者將會隔離負責鎖車門的資料幀,編寫他的裝置程式-特定幀的dos攻擊,然後把裝置插入到obd-ii的介面,阻止車門鎖住。對於乙個攻擊者來說,這個攻擊結果是可能的。通過低成本的花費就能進入到車內,隨後就能夠竊取車內任何貴重物品。
長期以來,幾乎整個汽車界都有這樣的共識:can匯流排是沒法保護的。兩方面的原因,其一,ecu的計算處理能力不足;其二,車載網路的頻寬有限。有些lin匯流排使用的mcu甚至是16bit或8bit,但aes使用的加密演算法只能處理16位元組區塊的資料,這意味著很多時候lin匯流排根本就是處在「裸奔」的狀態。所以汽車安全未來肯定是炙手可熱的一部分。
接下來我們說說天眼,其實天眼的目標很簡單——我知道乙個人的一部分資訊,如何根據一部分資訊去拼湊出乙個完整的資訊,比如他去過什麼地方,幹過什麼事情,目的是什麼,用了什麼東西,也就是廣義上的了解你的敵人。對於安全工作者來說,轉化到現實當中的問題就是甲方安全團隊在找到攻擊者之後如何讓攻擊者不再攻擊你?單單從防禦的角度上來說,我們可以上規則、上裝置,但是這樣並不能從根本上解決問題。繼續說回電影,其實《赤道》中香港、南韓兩方面只希望把**送走,確保不在香港交易同時回到南韓,這樣就解決了這個問題。但是宋總不是這麼想,宋總站在了更高的角度上,他不希望把香港變成真正的地下**販賣中心,也就是要把地下**交易這個鏈條徹底打碎。從解決問題的角度上來看這兩者都沒錯。
回到正題,對於攻擊者來說,攻擊者一旦發起攻擊就會在目標系統中產生資料,不管有用也好無用也罷,總之資料都會產生,諸如流量資料、操作日誌、爆破記錄、工具指紋、網路位址等資訊。
其實攻擊溯源,其實是資料驅動的企業內部安全運營的一部分,需要大量資料的支撐以及分析才能找到攻擊者,而企業內部我們見到最多的資料無非就是日誌了,所以日誌的分析和內網威脅情報的提取是非常重要的一環。
針對安全運營來說,我個人認為所有的攻擊者不可避免的都會產生操作日誌,針對內網內的安全裝置也好,非安全裝置也好,肯定或多或少的存在日誌。
針對企業內部的日誌,大體上可分為四類:安全裝置日誌、非安全裝置日誌、感測器日誌和外部資料。
對於追蹤來說一般有這麼三種套路:
安全裝置日誌:這些日誌**可以是硬體也可以是軟體,首先就硬體來說注入ids/waf或者siem中的日誌、硬體防火牆等等日誌,軟體日誌包括防病毒軟體、安全agent、准入系統等軟體系統的日誌。這些日誌一般都是攻擊者進行攻擊時會進行被動觸發,這樣的話可以檢索到很多攻擊資訊,諸如使用的ip、埠、工具指紋等等。
非安全裝置日誌:諸如路由器、交換機、閘道器、網閘等硬體裝置以及作業系統、應用軟體、伺服器軟體日誌等軟體日誌,這些日誌中可以分析出攻擊者的目的,是為了單純滲透玩一下還是想要通過控制機器作為跳板機進行進一步的滲透工作,還是說僅僅是安全部門進行掃瞄產生的日誌。
感測器日誌:企業內部通常會部署一些蜜罐系統、流量感測器等,這些裝置一方面可以有攻擊預警和反橫向滲透的效果,但是裡面也會存在一些攻擊者的行為,比如ssh蜜罐會存下攻擊者在這台機器上的操作,流量感測器會對資料報進行dpi解析方便流量分析,這些資料中肯定殘存著一些有用的資訊可以幫助我們確定攻擊者的行為、技能點,甚至可以進一步判斷該攻擊者的能力,是指令碼小子還是大黑闊。
外部日誌:一些常用服務的日誌,比如說郵件、dns等日常服務的日誌,這些日誌可以幫我們確定攻擊者是否是一種apt攻擊,或者是是否是來種植botnet的。同樣可以確定攻擊者的動機。
說完了日誌,我們緊接著可以說一下攻擊者的動機判定,攻擊者想要入侵乙個系統肯定會對這個系統進行偵查,諸如埠掃瞄、脆弱性檢測、exp測試等手段,這裡面很容易和安全部門的安全常規巡檢的日誌起衝突,大多數公司都會把掃瞄機群放到白名單裡。這樣產生了類似的日誌就會觸發報警,我們可以進一步分析這些日誌提取出一些攻擊者的行為、動機等等,以及他的目的甚至他的技能點,我們都可以初步判斷。
通過對以上日誌的分析,我們可以基本上確定攻擊者是什麼途徑進來的,用何種攻擊方式拿到機器許可權,有沒有執行什麼敏感的操作,是否有進一步滲透的趨勢,是不是在嘗試提權之類的操作等等,這樣我們就對攻擊者有乙個大概的了解。
簡單說一下威脅情報可以幫我們幹什麼,威脅情報其實就是根據上面獲得殘破的攻擊者畫像變得完整,威脅情報一般可以獲得這個攻擊者有哪些常用的ip,這些ip分別都是幹什麼的,有沒有什麼社交資訊,社交資訊又有什麼關聯。舉個不恰當的例子就是相當於你知道乙個人的身份證號,然後警察用這個身份證號去查這個人有多少錢,資產有多少等等。這樣你就可以獲得乙個較為完整的攻擊者畫像。
到了這裡其實我們知道了攻擊者的資訊,就可以選擇怎麼解決,拉倒辦公室彈jj10分鐘是乙個解決方案,扭送到警察蜀黍那裡也是解決方案,但是需要提醒大家注意執法力度和執法手段,不要知法犯法(逃。
在電影中,飛車家族只需要輸入乙個名字就可以去找到這個人,確定他的位置,然後上門送溫暖喝熱茶。但是現實當中,重名的你懂得,所以我們現在從其他的地方下手:
所以,天眼的實現基礎,其實是背後的資料在做支撐,資料,其實就是洩露的資料,民間收集的資料**主要還是各大資料庫洩露的sql檔案等,當然不排除有些萬惡的黑產玩無間道,此處有句***我一定要講。
其實《速度與激情8》裡面的黑客技術就現在看來是可以完全實現的,只是實現的成本有高有低,但是搞攻防的話,一定要站在攻擊成本的角度上去考慮,安全無絕對,所以大家也沒有必要為這些事情擔心,安全研究院和廠商之間的互動越來越多也從側面證明了現在大家對安全的重視,作為安全工作者,我們也非常願意幫助廠商做好安全這一部分。
由csdn主辦的中國雲計算技術大會(cctc 2017)將於5月18-19日在北京召開,spark、container、區塊鏈、大資料四大主題峰會震撼襲來,包括mesosphere cto tobi knaup,rancher labs 創始人樑勝、databricks 工程師 spark commiter 范文臣等近60位技術大牛齊聚京城,為雲計算、大資料以及人工智慧領域開發者帶來一場技術的盛大party。現在報名,只需599元就可以聆聽近60場的頂級技術專家分享,還等什麼,登陸官網(趕快報名吧!穩 準 狠 京東開放平台的「速度與激情」
最近,速度與激情7 在國內颳起了一股不小的旋風,據統計,速度與激情7 上映首日便以4.25億的成績傲視群雄,遠超去年7月 變形金剛4 創下的2.23億首日紀錄。現如今,任何熱點事兒都得冠上 速度與激情 的字眼,這無疑從側面反映了這部劇的火爆。資料顯示,截至2014年底,已有6萬個商家入駐京東開放平台...
資訊保安的核心 密碼技術
資訊保安的核心 密碼技術 http ccw.唐正星 資訊保安技術是一門綜合的學科,它涉及資訊理論 電腦科學和密碼學等多方面知識,它的 主要任務是研究計算機系統和通訊網路內資訊的保護方法以實現系統內資訊的安全 保密 真實和完整。其中,資訊保安的核心是密碼技術。隨著計算機網路不斷滲透到各個領域,密碼學的...
網路資訊保安技術的學習感悟
網路資訊保安要學習的知識很多,而且經常會更新,如果不是從根系統地學習,會很累人的,而且效果也很差。前幾天看一直在思索這個問題,很多中國人都是應試考試,那些學習很努力的人,考前死記硬背,考後又忘了,這種考試模式小學 初中到高一還行,再往後就不行了。大學可以混混日子,工作後更完蛋。反而真正學習好的人,學...