8
| 本文作者: 史中 | 2016-04-03 13:22 |
你的QQ賬號被提示在異地登陸,你的 Apple ID 被提示異地登陸,甚至小米賬號都被提示異地登陸。
你接到莫名其妙的電話,電話那頭的“銀行客服”竟然能一字不錯地說出你的銀行卡號,還告訴你卡上被誤扣了錢款。如果你跟隨他的指導進行操作,銀行卡上的錢最終會莫名其妙地被劃走。
你收到了一封郵件,來自你剛剛購買的淘寶店鋪。你打開了看起來再正常不過的附件,一天之后卻發現銀行卡里的資金全部不翼而飛。
這些事情如霧霾一樣,彌散在我們周圍,很多童鞋因此損失財物。在慨嘆這個世界變得瘋狂而危險的同時,你有沒有浮現出深深的疑問:對方為什么會如此精準地掌握了你的個人信息?你的個人資料究竟是怎么到了壞人的電腦里?
自稱草根的趙武,在互聯網威脅情報界摸爬滾打多年。用嫉惡如仇來形容他并不為過。
他曾經反黑進黑客的服務器,拿回被黑客竊取的個人信息,然后依次給受害者打電話提醒他們改密碼。
他曾經破解了黑客用偽基站竊取的用戶數據庫,然后向警察叔叔報案。警察:你是受害者嗎?趙武:不是。警察:受害者都沒報案,你報什么案?
2015年他創建了安全公司白帽匯,專門提供威脅情報,用以對抗用戶信息泄露、網絡詐騙等黑產。之所以說他是草根,主要因為他的“辦案”手法異常接地氣:通過白帽匯,把上千個白帽子(白帽子,就是心地善良,從事安全行業的黑客)作為“眼線”撒到黑色產業內部,通過這種“地下工作”實時掌握黑客們的動向。
趙武說,你根本想象不到這些白帽子有多神通廣大,他們和黑色產業有著千絲萬縷的聯系。我不關心白帽子是通過什么“野路子”拿到這些消息的,我要做的只是用技術和非技術手段對于小道消息小心求證。
這些“料”來自“敵人的心臟”,往往獨家而隱秘。說起來,他的白帽匯更像是威脅情報界的“私家偵探”。在安全牛威脅情報解決方案峰會上,這位專門對抗黑業的“草根黑客”揭秘了黑客的“游戲規則”。
【在 Nosec 上提交的泄露信息和漏洞】
你的信息是怎樣被泄露的呢?它們就像進行了一次長途旅行,通過“火車、汽車、牛車”這樣的接力,最終到達黑客手里。而這第一站就是各種電商網站或者社區平臺。用戶在購物時,都要填寫自己的真實的住宅信息和信用卡信息。而這些信息存儲在網站的服務器上,原則上是絕不能對外泄露的。
黑客想要拿到用戶的個人信息,就必須進攻網站的服務器。進攻網站的服務器,就要繞過網站的“保安”。繞過網站的“保安”,需要挖一條“地道”。這些特別的地道就叫做“漏洞”。
在黑客眼里,漏洞和古玩市場里的青花瓷瓶一樣,是有“品相”之分的:
有的漏洞可以直達對手心臟腹地,有的漏洞卻仍只能讓黑客在金庫外圍徘徊。有的漏洞可以通吃所有網站,有的卻只能擊敗幾個對手。
無論是在黑色產業鏈還是安全產業中,這些漏洞都有專業的黑客負責挖掘,根據他們的目的不同把這些黑客分為了“黑帽子”和“白帽子”。白帽子發現漏洞,會及時通知網站進行修復,而黑帽子發現漏洞,則會盡快出售給“下家”用于網絡攻擊。而一旦發現自己的網站出現異常,電商企業也會求助于白帽匯這樣的安全公司緊急查找修復漏洞。
漏洞是有“生命周期”的。從被發現到被修復,這一段時間是被黑產利用的黃金時期。
如果一個通用漏洞只有少數幾個黑客掌握,而所有的網站都毫不知情,它就被稱為“0Day”漏洞。著名的互聯網漏洞平臺“烏云”就是一個鼓勵白帽子提交各種漏洞的社區。很多極具殺傷力的“0Day”漏洞經常出現在烏云上。根據烏云的規則,漏洞被白帽子提交之后,會通知相關廠商修復,然后會把技術細節依次向核心白帽子、普通白帽子和公眾公開,級別越高的白帽子看到技術細節的時間越早。
而正是因為這個規則,一個核心白帽子的賬號和密碼在黑市中的價格會超過萬元。因為他們有權限在大多數人之前看到漏洞細節。對于瞬息萬變的互聯網世界,這個時間差已經足夠了。
在大多數人得知這個漏洞細節之前,黑產便發動手中強大的“戰爭機器”,用這個鋒利的漏洞地毯式轟炸一大批網站,迅速盜走其中的用戶信息,甚至安插后門,以便今后隨時“光顧”。當這個漏洞普及之后,許多網站再進行修復,其實已經于事無補了。
【漏洞交流社區 烏云】
這樣精妙的時間差,加上巨大經濟誘惑下黑產強大的資源調度能力。讓大多數網站防不勝防。但是趙武告訴雷鋒網,更多的網絡進攻實際上沒有這么驚心動魄。即使一個漏洞被爆出很久,成為了“NDay 漏洞”,仍然會有一大批網站由于技術、成本、認識等等原因不去修復。例如在2014年爆出席卷全球的“心臟滴血”漏洞,有的企業至今還在“施工中”。
在真實的場景中,往往會發生這樣的事情:
黑客給某企業 CEO 發一封偽裝成應聘郵件的釣魚郵件,附帶上一個利用“老掉牙”漏洞的木馬,瞬間就會感染公司內部,讓黑客拿到一切資料。
現在,你的個人信息已經和眾多無辜的人一起到了黑客的手里。然而,他們對你的傷害還遠遠沒有停止。龐大的個人信息庫被從各個站點拖出來,匯集成為一頭脫韁的野獸。
在黑色產業鏈中,有專門的團體負責“撞庫”——用已知的賬號和密碼去大量嘗試其他網站和平臺。
大多數人都有一個習慣,那就是在不同的網站使用相同的密碼。這個糟糕的習慣會造成難以挽回的惡果:
原本只是你的網易郵箱賬號被盜,黑客通過撞庫,卻進入了你的 Apple ID 和淘寶賬號,進而獲得你的手機隱私、銀行卡號和家庭住址。通過對你發送釣魚郵件, 甚至可以獲得你的銀行卡密碼。
簡單的郵箱泄露,卻藉由幾層跳板直達你的財務系統。這就是“撞庫”這頭血腥猛獸的恐怖之處。依靠著“漏洞—拖庫—撞庫”的循環往復,跟據不完全統計,僅僅在中國,在黑產中流傳的賬號密碼就已經累計超過20億個。也就是說如果至今為止你人生中還沒有改過密碼,那么你在黑客眼中十有八九已經“透明”了。
趙武說,他的團隊曾經攻破了1900多家釣魚網站,在其中提取了16000多名受害者的完整信息。這里的完整信息是指:用戶名、銀行卡號、密碼、身份證號、家庭住址、聯系電話。如果你還不知道這意味著什么,可以試著把這些信息告訴你的朋友,一個普通人幾乎都可以利用這些信息毫不費力地轉走你的資金。
今年央視315晚會曾經報道,黑客向受害者發送一個 App 鏈接,只要安裝了這個 App,受害者的手機通話記錄和短信就全部被黑客拿到。這在技術上來書是確實可行的。
【315晚會上展示如何通過掃碼盜取用戶個人隱私信息】
在黑客的服務器上,趙武發現了密密麻麻的個人短信。每個人的聊天記錄都赤裸裸地躺在磁盤中。其中的通信內容不免讓人唏噓。讓趙武記憶猶新的是,有一個人給老婆發短信,興沖沖地告訴她自己中獎了,要趕快把家里的銀行卡號發來。這個讓老婆管錢的可憐人只是眾多受害者中再普通不過的一個。而堆疊億萬受害者,就像水滴匯成海洋,我們最終將會從倒影中看到自己。
黑色產業內部的分工和協作已經遠遠超出了大部分人的想象。漏洞挖掘,拖庫、撞庫、洗庫、實施犯罪,這些環節由不同的團伙負責,而你的個人信息就這樣赤裸裸地在不同的空間“自由流轉”。
從一個簡單的例子,就可以看出黑產的分工精細到何種地步:
黑客擴大攻擊的重要手段是釣魚郵件。用戶上當之后會進入黑客構建的釣魚網站,從而在誘騙之下輸入敏感的個人信息。為了防止公安和安全公司的追蹤,就連釣魚網站使用的服務器都不是黑客自己注冊的。在黑色產業鏈中,專門有一批人申請服務器,以一個星期2000塊的價格租給釣魚網站的使用者。白帽子一旦反向偵察,只能定位到服務器申請人,而難以捕捉真正黑色產業從業者的蛛絲馬跡。
之前所說的黑產和白帽子之間的對抗,都像是在下一盤棋,按照攻守的邏輯套路對弈。而發生在現實世界的對抗,還要復雜得多。
所謂進攻的最高境界,就是“手中無劍,人劍合一。”這并不玄妙:
如果黑客拿到了公司內部人員的賬號,通過合法的手段登陸公司內網,再不急不緩地把所有敏感信息拖出來。沒有任何防御措施可以防止這一點。因為黑客攻擊的不再是系統,而是人。
當然,拿到一個人的賬號,仍然可以通過前述的黑客手段。然而,最難以防備的是通過互聯網之外的手段。例如商業行賄、美人計。現實世界的好處在于,它的想象空間要遠遠超越賽博世界,在這里你可以無所不用其極。
當黑客們在實踐中意識到其實做黑產其實并不需要攻擊系統,而僅僅需要攻擊這個系統中的人。他們的世界就豁然開朗了。
最近被廣泛關注的拉鉤員工黑進Boss直聘 App 開發者賬號一事,就是因為外部人員掌握了公司核心的開發者密碼。而這個密碼很可能是通過線下渠道泄露出去的。而追查這種毫無蹤跡的信息泄露,難度可想而知。
【Boss直聘發布的聲明】
企業面對黑客們的“降維打擊”,每一步操作看上去都“合理合法”,而最終的結果卻是雞飛蛋打。企業精心構建的邊界防御在“人”的面前土崩瓦解。
現實世界和結合讓反黑產的工作難度陡增。趙武同樣根據這個思路提出了對抗的辦法,那就是:通過反制手段直接攻入黑客們的老巢,定位這些罪犯的身份信息,在現實世界里把這些黑客繩之以法。
由于黑客在釣魚或者詐騙時,一定會留下回連的接口,用以接收搜集來的隱私信息。理論上來說,循著這條狹窄的通道,白帽子一定可以觸碰到黑客本人。
通過這種無間道,白帽子可以回連到黑客的網絡,從而拿到壞人的QQ,進而通過監視他的聊天內容分析黑客線下的身份,然后獲得他常用的手機號碼,姓名,住址。對黑客所做的每一件事都是像黑客曾經對別人做的那樣,只是這最后一步不再是欺詐和盜竊,而是抓獲和懲罰。
安全永遠不是等來的。
趙武說。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
