和“云滴血”事件相比，谷歌破解SHA-1都不算新聞 | 宅客周刊

本周關鍵詞

▼

云滴血 |  加密算法破解 | 俄羅斯黑客 |  朝鮮黑客

網絡嫁禍 | 奇葩竊密手法

上周剛開始，細心的網友在中學教材中發現了一個黃色鏈接，帶領全國網友一起歡快地開起了“黃皮校車”。

1. 中學教材現黃色網站 人教社回應遭網友質疑

據微博網友爆料，自己發現人教版高中語文選修教材《中國古代詩歌散文欣賞》中有一個歷朝詩歌欣賞的網站推薦，該網友想進入學習，誰知搜索該網址后，竟看到了不堪入目的淫穢色情畫面。

很快，人民教育出版社就在其官方微博發布了一條聲明，稱原因已查明，系網頁內容遭到篡改，已向網絡監管部門做了舉報。然而此說法卻立即引來網友質疑。一位網友告訴雷鋒網宅客頻道：

人民教育出版社的官方聲明描述并不準確。所謂網頁篡改應該是網站的所有權是你的，遭遇了黑客攻擊或是利用網站漏洞等特殊手法將內容強行更改。而如今是人教社已經喪失了該網站（域名）的所有權，對方購買了該網站（域名）。

前者是別人在你房間亂寫亂畫，后者是該房間被你棄置，別人買下后，在自己的房間里亂寫亂畫。

根據該網友的域名信息查詢結果，教材上使用的“meansys.com/*”域名于前不久剛剛被創建，聯系人和人教社官方網站域名注冊信息毫無關聯，看起來更像是個人注冊。很快又有其他網友反映，該網站域名系幾年前因資金問題關閉的“敏思博客”。

如果網友所述情況屬實，則真實的情況可能是這樣的：多年前，人民教育出版社的工作人員使用了一個敏思博客上的網頁鏈接，作為詩歌鑒賞推薦內容。其后人教社一直沒有對該鏈接的有效性進行審查，2011年敏思博客關閉后，該鏈接就進入了長達數年的失效狀態。直到2017年1月該網站域名被另一個人購買注冊，并用于運營淫穢色情網，此鏈接才重新被網友發現。

消息一出，網友紛紛感慨:“書中自有顏如玉，老師誠不欺我！”

俄羅斯黑客從未消停，畢竟是戰斗民族。然而最近一則消息依然讓人聽了覺得有些嚇人：3/4 的勒索軟件都是“說俄語的人”做的！光是看到標題就不禁讓人聯想到這霸氣十足的畫面：

2.戰斗民族的黑客又來嚇人：3/4 的勒索軟件都是“說俄語的人”做的！

還記得雷鋒網發過一篇《深度 | 和木馬撕X的三場戰役》嗎？騰訊反病毒實驗室安全研究員劉桂澤曾在采訪中告訴雷鋒網：“你有沒有發現，所有勒索軟件都屏蔽了俄語和俄羅斯的機器，這說明：要么是俄羅斯干的，要么就是容易被俄羅斯砍殺，因為有卡巴斯基?！?/strong>

這一說法又添新證據了，據外媒 softpedia 報道，75%的勒索軟件都是由說俄語的網絡罪犯搞出來的——人家還說得特別委婉，不是俄羅斯黑客，而是“說俄語的網絡罪犯”喲！

雷鋒網還發現，這事居然是卡巴斯基捅出來的，真是幫理不幫“親”。

據卡巴斯基實驗室的勒索軟件高級分析員Anton Ivanov 表示，過去一年中，該公司發現的 62 個加密勒索軟件家族中，47 個由俄羅斯人或說俄語的人開發。

“這個結論是基于我們觀察網絡上的地下論壇、控制基礎設施等得來的。很難說為什么這么多勒索族譜有俄羅斯血統，可能是因為俄羅斯和周邊國家有很多受過良好教育，會熟練代碼編寫的作者吧！”卡巴斯基的分析員這么說。

因為俄羅斯程序員多所以四分之三的勒索軟件都是他們寫的，這個邏輯好像聽起來有點怪怪的。果然不久就出現了“情節反轉”：

3.黑客嫁禍俄羅斯被揭穿：連俄文都寫錯了！

有研究人員最近得到了幾份惡意軟件樣本。發現里面雖然有許多俄文，但是許多語句看起來狗屁不通，許多單詞都牛頭不對馬嘴，看起來像是有人故意用翻譯軟件將語言翻譯成俄文的。

舉個例子，在惡意軟件樣本中有一個這樣的詞：“kliyent2podklyuchit” ，分析人員用逆向工程翻譯成英文就是：“client2connect" （客戶端連接）。眼尖的分析人員一下就看出端倪，真正的俄羅斯本地人絕不會用“kliyent”這樣的單詞！在實際當中，說俄語的人通常會使用“client" 或者”Klient"，但絕不會用蹩腳的“kliyent"。

經過分析他發現，很可能是嫁禍者在使用在線翻譯工具，將軟件語言翻譯成俄文時，犯了一個錯誤，他把俄文底下的發音誤認為是單詞了。

這就好比嫁禍者把“client”翻譯成中文“ kehu （客戶）”,然后想當然地認為中國的開發者會用 “ kehu ”來表示客戶端一樣，實際上我們的開發者并不會這么去做。

分析人員發現，類似的錯誤比比皆是，由此可以斷定，有人故意使用俄羅斯語言以嫁禍他人或者混淆視聽。通過對此次惡意軟件樣本進行分析，已有一定技術性證據表明該次攻擊活動和一個叫做“ Lazarus Group”的黑客組織有關。

Lazarus Group 可大有來頭。據雷鋒網了解，該組織至少自2009年就開始活動，且多年來一直在對韓國及美國的各政府機構及私人組織發動各類攻擊。2014年索尼電影娛樂公司遭遇攻擊；2016年孟加拉中央銀行 8100萬美元被洗劫；前不久發生的一起針對波蘭多家銀行的惡意軟件攻擊事事件，這些都和他們有關。

甚至有研究人員通過分析該組織的作息規律，竟發現他們疑似是來自朝鮮的黑客組織。不過這年頭只有掌握充分證據才能下結論，否則可能又會出現更高明的嫁禍。

最近各種腦洞大開的奇葩黑客手法層出不窮，比如：

4.黑客通過控制麥克風竊取超過600GB的數據

研究人員曝光了利用麥克風竊取情報的網絡間諜行動。攻擊者從大約 70 個目標竊取了超過 600 GB 的數據，這些目標包括了關鍵基礎設施、新聞媒體和科研機構。攻擊者首先向目標發送釣魚郵件，惡意程序隱藏 Microsoft Word 文檔中，一旦感染目標之后利用惡意程序控制設備的麥克風去記錄對話、屏幕截圖、文檔和密碼。

收集的情報上傳到 Dropbox 賬號。研究人員根據其使用麥克風和Dropbox 而將這一行動稱為 Operation BugDrop。大多數被感染的目標位于烏克蘭，其余目標位于沙特和澳大利亞。

好了上面這個是依靠控制麥克風來竊取數據，下面來看一個更奇葩的招式：

5.竊取敏感信息新招數：將硬盤閃爍和耳機變成突破口

黑客們通常都神通廣大，但它們攻破嚴密的防御多數還是靠代碼這一武器，不過現在有一批大牛要上天了，他們居然能從臺式機上閃爍的 LED 燈搜集到敏感信息。

借助能“偷數據”的無人機，研究人員錄下了電腦上閃爍的 LED 燈，這些閃爍在他們手中成了摩爾斯電碼，借助這些看似無規律的閃爍，研究人員們成功拿到了電腦隱藏的秘密。

據悉，發現這一“驚天秘密”的是來自以色列本·古里安大學的一個研究團隊。他們表示

我們發現硬盤上的 LED 指示燈是個很好的突破口，它每秒最多能閃爍 6000 次。因此，黑客可以借助這些閃爍遠程獲取數據，數據傳輸速度雖然不快，但半小時就能傳輸 1MB。有時候，1MB 的敏感信息就能產生巨大的破壞了。”

不過，他們也敬告一些不安好心的人，想通過這種方式黑掉別人的電腦并不容易，拿無人機錄下電腦上 LED 燈的閃爍連個開胃菜都算不上。因為攻擊者首先要通過 USB 或 SD 卡將惡意軟件植入目標系統，這樣無人機才能搜集到有效信息。

最近兩天大新聞不斷，

6. Google震驚密碼界，攻破了網絡加密的基石SHA-1算法

在美國的2月23日，Google在密碼學領域干了一件大事，它宣布了一個公開的SHA-1算法碰撞方法，將這種算法攻破了。這也是對曾經在密碼學中最流行的 SHA-1 算法宣判死亡。

公司研究人員在博文中稱，有足夠的計算力（其中一個階段就花1個GPU大約110年的計算）就能實現碰撞，有效地破解算法。

其實在之前，大家就知道這是可能的，但沒人這么做過。而 Google之所以要那么做，很可能是因為它想結束爭論，因為放棄SHA-1也是花了行業人士不少時間和精力的，而且不是每個人都想這么做。如果直接破解了它，就能給反對的人致使一擊，快速結束戰斗。

雷鋒網了解到，Chrome早在2014年就開始對SHA-1加密的網頁進行警告，Firefox和微軟的Edge和IE也迅速跟進了。雖然現在來看，整個事件的影響不會很大，但我們應該慶幸的是，行業的進步很快，迅速棄用了原來的加密方式，否則現在來看就危險了。

不過和下面這件事相比，Google 破解 SHA-1 算法這件事簡直就不是新聞：

7. 數百萬網站數據泄露長達數月，這也許是史上最大的云安全事故

昨日（2月24日），一個可能影響互聯網為之一顫的漏洞轟然出現，知名云安全服務商 Cloudflare 被爆泄露用戶 HTTPS 網絡會話中的加密數據長達數月，受影響的網站預計至少200萬之多，其中涉及Uber、1password 等多家知名互聯網公司的服務。

據雷鋒網了解，Cloudflare 為眾多互聯網公司提供 CDN、安全等服務，幫助優化網頁加載性能。然而由于一個編程錯誤，導致在特定的情況下，Cloudflare 的系統會將服務器內存里的部分內容緩存到網頁中。

因此用戶在訪問由 Cloudflare 提供支持的網站時，通過一種特殊的方法，可以隨機獲取來自其他人的會話中的敏感信息。這就好比你在發郵件時，執行一個特定操作就能隨機獲得他人的機密郵件。雖然是隨機獲取，可一旦有心之人反復利用該方法，就能積少成多就能獲得大量私密數據。

聽起來是不是有些像當年席卷整個互聯網的心臟滴血漏洞？ 因此也有網友稱此次漏洞為“云滴血”。

可怕的是，該漏洞自首次被 Google 公司的安全人員發現，至今已有好幾個月。也就是說，在這一期間甚至是在這之前，很可能有不法分子利用該漏洞，造訪了所有 Cloudflare 提供服務的網站。而 Cloudflare 服務的互聯網公司數量眾多，其中不乏我們所熟知的優步（Uber）、OKCupid、Fibit 等等。

漏洞最初是由谷歌 Project Zero 安全團隊的漏洞獵人（國內稱白帽子）塔維斯·奧曼迪發現的，當時他在谷歌搜索的緩存網頁中發現了大量包括加密密鑰、cookie 和密碼在內的數據。于是他很快告知Cloudflare ， Cloudflare 派出團隊來處理此事，結果發現導致問題的幾個重要操作分別發生在數天和數月之前。

有趣的是，漏洞發現者奧曼迪在帖子中特別提到，Cloudflare 的漏洞賞金最高只獎勵一件T恤。因此有網友開玩笑地表示：“據說是Google的人先把這個問題報告給 Cloudflare ,但只被獎勵了一件T恤，然后就在推特公開?！?/span>

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。