【国际快讯】帮FBI破iPhone的安全公司竟被黑?900G数据失窃!
翻译:WisFree
预估稿费:140RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
事件报道
就此看来,黑客也会有被黑的那一天!根据国外媒体的最新报道,曾帮助美国联邦调查局解锁iPhone的以色列著名安全公司Cellebrite(这是一家以入侵移动手机为主要业务的公司)遭到了黑客的非法入侵,并泄露了大约900GB的机密数据。目前,Motherboard已经获取到了部分泄露数据,其中包括公司的客户信息、数据库、以及大量与Cellebrite产品有关的技术细节。
机密数据也许是黑客最感兴趣的东西
现在,越来越多的黑客开始对数据窃取感兴趣了,而且他们往往对那些大型企业比较感兴趣,尤其是那些在监控领域和网络入侵领域非常出名的公司。
Cellebrite是一家以色列公司,该公司的主打产品是一种名叫"通用取证提取设备"(UFED)的装置。这种设备只有台式笔记本大小,只要UFED的使用者可以物理访问到目标设备,它就可以从目标手机中提取出取证数据,这些数据包括SMS短信、电子邮件、以及通话记录等等。值得注意的是,UFED还支持上千种不同型号和不同品牌的移动手机。
Cellebrite公司一直都与美国联邦调查局和美国州政府执法部门有着密切来往,而且根据此次泄露出来的信息显示,Cellebrite似乎也与很多独裁政府有联系,例如俄罗斯、阿拉伯联合酋长国、以及土耳其等等。
研究人员在对泄露数据进行了分析之后发现,这些数据似乎是从Cellebrite网站的多台服务器中窃取来的。泄露数据中还包括Cellebrite网站用户的登录名和密码,而遭到攻击的服务器绑定的都是公司的my.cellebrite域名,这些网站是专门给公司客户访问的,客户可以在这个网站中了解到Cellebrite的最新产品和软件更新。
对泄露数据的简单分析
Motherboard对泄露数据中的电子邮件地址进行了验证,并且尝试利用这些电子邮件地址来注册Cellebrite账号,但基本上都无法进行注册,因为系统提示称这些地址已经被使用了。我们还与其中的一名客户取得了联系,并且他也证实了部分细节信息的真实性。除了客户信息之外,泄露数据中似乎还包含有Cellebrite的产品从移动手机中提取出来的取证文件和日志记录。
根据攻击者透露的信息以及部分泄露文件的时间戳来看,其中的一部分数据似乎在去年就已经从Cellebrite的服务器中泄露出来了。
Motherboard在获取到了这些泄露数据之后也在第一时间将此事件告知了Cellebrite。为此,该公司专门在周四时发表了一份官方声明,并在声明中写到:"Cellebrite的外部网站服务器近期经历了一次未经授权的非法访问。公司目前正在对此次事件进行调查,也在对此次数据泄露的影响范围进行评估,此次受影响的服务器包括my.Cellebrite的后备数据库服务器和公司的终端用户许可证管理系统。目前,公司已经将部分业务迁移到了新的用户账号系统之中。根据安全技术人员当前的调查结果来看,攻击者已经获取到了用户的一些基本信息以及Cellebrite账号的哈希密码。"
数据的泄露也许永远都不会停止
安全起见,Cellebrite建议广大用户尽快修改自己的账号密码,公司还表示他们会积极与有关部门合作,并配合展开深入调查。
早在2014年,一位自称"PhineasFisher"的黑客声称自己入侵了英国间谍软件公司Gamma,并泄露了40GB的敏感数据。而在2015年,PhineasFisher有对意大利安全公司Hacking Team进行了非法入侵,随后便公布了该公司大量的内部邮件和机密文档。
与PhineasFisher不同的是,此次Cellebrite数据泄露事件中的攻击者并没有将其机密文档发布到网络上供所有人随意下载,但他们的动机貌似并没有多大区别,其实说白了也就是个人英雄主义那点事儿。
这名攻击者在接受Motherboard的采访时表示:"目前我们已经将其中的部分数据进行了出售。说实话,如果没有我们,估计大家永远都不知道这家公司一直都在与西方国家的政府有着密切合作。但是我在这里不能告诉你太多的事情,我们这样做只是想警告他们,希望他们不要再人前说一套背后做一套了。"
网络欺骗,教你如何把来犯的黑客玩弄于股掌之间 阅读原文»
本文转自雷锋网,原文《网络欺骗,教你如何把来犯的黑客玩弄于股掌之间》,作者:谢幺 ,文章转载已获授权。
导语:面对网络攻击如何"忽悠"回去?如何将来犯的黑恶玩弄于股掌之间?网络欺骗也许能给你一些思路。
当你发现自己正在遭遇黑客攻击,你是否想到佯装被骗,将计就计来迷惑甚至反击黑客?
这听起来有些玄乎,但类似的事情居然在一千年之前就曾发生过。
赤壁之战前夕,周瑜佯装醉酒,故意让曹操派来的间谍蒋干盗走一封降书,让曹操错杀了曹瑁、张允两位将领,不费一兵一卒就除掉了自己的眼中钉。这个"蒋干盗书"的历史典故如果发生在当今网络攻防的环境下,情节可能是这样:
曹氏集团派出黑客蒋干成功渗透到竞争对手东吴集团内部,成功拿到东吴集团高管的邮箱权限。
根据邮件透露,曹氏集团的核心技术骨干蔡瑁、张允曾多次和东吴集团通信,出卖核心技术资料。
情报传回曹氏集团后,蔡、张二人很快被当做"内鬼"处理,被冤枉的二人心生怨恨,于是跳槽到东吴集团。而事实情况却是,那封邮件是东吴集团的网络高手周瑜伪造,故意放出来给攻击者的 "蜜饵"。
周瑜发现黑客入侵后,没有选择一味的防御,而是主动出击设置陷阱将计就计,最终用很小的代价就挖到了对手的两位核心技术骨干。
【历史典故的攻防分析(By arkteam)】
以上内容虽是雷锋网(公众号:雷锋网)基于历史典故的虚构,但事实上,在如今的商业甚至国家网络安全层面的网络攻防中,诸如此类的"防御者诡计",早已经被用得淋漓尽致,甚至已经发展成了一项专门的技术。
攻防中的网络欺骗
最初,这些借刀杀人,以逸待劳的计谋,更多被用于进攻,比如:
水坑攻击,黑客先攻破企业内网的一个普通站点,然后将受害者必须下载的文档替换成了木马,从而让对方自投罗网,以逸待劳。
鱼叉式钓鱼,先搞定你的客户的电脑,然后用他的账号给你发带木马的邮件,借刀杀人。
除此之外,攻击者还会利用各种各样的人性弱点,进行社会工程学攻击。
因为攻击者总是处于主动、有利的位置,传统的被动式防御措施在如此攻势下难免捉襟见肘,可一旦防御者能采取网络欺骗的策略,反向欺骗回去,情况则大不相同。
在 FIT 2017 互联网安全创新大会上,Arkteam 安全团队的刘潮歌进行了一场名为"防御者的诡计"的主题演讲,讲述了在现如今网络攻防当中,网络防御者如何通过将计就计的手段来迷惑、拖延甚至反击对手。
在刘潮歌看来,与其把网络欺骗作为一门技术,更不如称之为一种应对策略。在APT 攻击(高级持续性威胁)日益增多的环境下,一味的防守最终会束手无策,而网络欺骗则打开了新的思路。
他认为,网络欺骗相较于传统的被动式防御,是一种更为积极主动的防御方式,它的优势主要体现在三个方面:
1. 可以发现网络攻击:对于一个网络攻击,及时的发现它是非常重要的,而网络欺骗可以帮助防御者发现正在进行的攻击,甚至是潜在的攻击。
2.可以"黏住"网络攻击:通过迷惑攻击者,达到消耗对方时间精力,从而为后续的防御工作留下时间,或者迫使对方放弃此次攻击。
3.可以溯源和反制:通过欺骗来让对方暴露自己的攻击意图和攻击手段,最终可以溯源取证和采取反制措施。
网络欺骗的关键技术有哪些?
提及网络欺骗的具体技术手段,刘潮歌说,网络欺骗的关键技术通常有四部分:蜜罐、蜜饵/蜜标/面包屑、虚拟资产和影子服务。
1.蜜罐
蜜罐技术如今已经成为一项很常见的网络防御措施,顾名思义,蜜罐就是网络防御者精心布置的"黑匣子",专门用来引诱黑客攻击的服务器。看似漏洞百出,实则尽在掌握,它的作用就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址。一台合格的蜜罐不仅拥有发现攻击、产生警告、数据记录、欺骗、协助调查的功能,在必要时还可以根据蜜罐收集的证据来起诉入侵者。
【蜜罐应用示意图】
2.蜜饵/蜜标/面包屑
这些方式和蜜罐技术类似,只是具体实施手法不同。蜜饵通常是布置一些攻击者可能感兴趣的资源作为诱饵,比如某某作战计划、某某商业合同等等,平常状态下,这些文件不会被打开,因此一旦发现这些这些文件被他人碰触或打开,则基本可以断定有人入侵,有必要仔细检查一下内网的安全了。
【蜜饵应用示意图】
蜜标同样如此,很多人不知道的是,我们常用的 Word 文档、PDF 文档中其实可以植入一个URL地址,当攻击者打开这个文件时,链接可以被自动打开,而且是以 HTTP 的形式打开,因此当攻击者打开蜜标文件时,防御者就可以借机获取他的IP地址、浏览器指纹等攻击者的信息,从而溯源攻击者。
【蜜标应用示意图】
和蜜饵/蜜标相比,面包屑更为主动,防御者通过故意释放出更多更零散的虚假信息,比如虚假的 Cookie 信息、虚假的浏览器记录密码、SSH 秘钥、VPN 秘钥等等,许多攻击者拿到这些信息时,往往会以为自己捡到了宝贝,殊不知自己得到的是一剂"毒药",这些面包屑会将攻击者引诱至提前布置好的蜜罐或影子服务当中,从而瓮中捉鳖。
无论是蜜罐、蜜饵还是面包屑,都是基于"诱饵"的思想,这些诱饵既可以是一些虚假的代码注释,可以是故意用来给攻击者的虚假网站后台,可以是一条数据库记录,当有人用SQL注入来获取这条记录的时候,就相当于给你报警了。
刘潮歌强调,如果企业希望通过网络欺骗来进行防御,那么不妨提前根据自身的网络环境来了解,哪些东西可以真正作为诱饵。
3.影子服务
影子服务是由 ArkTeam 自己提出来的防御方式,较传统的蜜罐来说更具有迷惑性和实用性,但也更加复杂。所谓影子服务,就是一个和真实服务看起来一模一样的网络服务,不同的是,真实服务提供给用户,而影子服务提供给攻击者。当有一些可疑流量过来时,可以先把它带到影子服务器上进行监控分析,如果发现是攻击者,则进行下一步监控、警报和记录攻击行为。
【影子服务应用示意图】
4.虚拟资产
除了诱饵,防御者还想到了为自己的重要资产找一些"替身",这就是虚拟资产。在传统的防御状态下,一个企业的内部网络对于黑客来说并不会太复杂,只要突破内外网的围墙式防御就可以为所欲为,很快就能接触到企业的重要资产,因此有人也将围墙式的防御比作是椰子,外表很坚固,里面很美味。
但如果防御者部署了大量虚拟资产,则可以让攻击者无法触碰到真实资产,让他好似进入迷宫找不到出口,一步步耗费时间精力,赢得更多反击时间,甚至逼迫对方主动放弃攻击。
从某种层面来说,影子服务也起到了类似的作用――"黏"住黑客。
【图片来源:长亭科技】
网络欺骗对防御者越来越重要
雷锋网注意到,刘潮歌在演讲中多次强调一件事――网络欺骗将逐渐在网络攻防中扮演越来越重要的位置。他说,2014 年美国空军发布了一个研究报告(BAA-RIK-14-07), 指出要研究网络欺骗技术,并在次年签订了两份总值9800万美元的合同,其中一份就是关于网络欺骗技术的。美国军方公开采购了这一合同,这在学术界或商业界都实属罕见。
【美军发布网络欺骗相关报告】
在商业应用方面,专业研究机构 Gartner 也在2015年7月发布的报告中也指出,基于欺骗的安全防御技术将会有很大的市场前景,并预测到2018年,将会有10%的单位使用欺骗工具或策略来对抗网络攻击。
甚至在学术界,网络欺骗也逐渐得到重视,2016 年7月,Springer 出版了一本名为《Cyber Deception: Building the Scientific Foundation 》的书籍,书中集合了世界各地顶级网络欺骗研究人员的最新研究,目的就是为网络欺骗建立学科基础。
雷锋网编辑认为,世间万事万物,道理总是相通,有人说商场如战场,有人说官场如战场,也许在刘潮歌的眼中,网络世界也是一片充满谋略、尔虞我诈的战场,而网络欺骗技术和古代战争中的计谋也并不区别,策略还是那些策略,兵法还是兵法,只是实施的地点从一个战场转移到另一个战场罢了。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论