未來網路戰如何打?智慧型機器是駭客的剋星嗎?
網易科技訊2017年3月10日消息,據BBC報導,在公司應對網路襲擊的數位防禦體系中,存在一個巨大漏洞。這個漏洞就是全世界都缺少熟練的技術人員,而他們在確保安全硬體運行、分析威脅以及反擊入侵者的過程中,卻發揮著至關重要的作用。安全領域的行業機構ISC2研究顯示,目前全球安全行業缺少100萬訓練有素的技術人員。而且在未來5年中,這個缺口將達到180萬人。
英國道德駭客技術認證機構Crest的負責人伊恩·格羅夫(Ian Glover)表示,技術人員緊缺現象已經得到廣泛認可,由此還引發許多其他問題。格羅夫說:“人才緊缺正推動成本上升。毫無疑問,這會產生巨大影響,因為企業都在努力獲得稀缺資源。此外,這也可能意味著企業無法找到稱職的人才,因為他們總是要不顧一切地找人填補空缺。”
格羅夫警告稱,許多國家都在採取措施,希望將人們吸引向安全行業,但是這些努力還不足以彌補技術人員短缺的問題。他說:“如果你看到攻擊工具的自動化程度在提高,那麼你也需要提高防禦工具的自動化程度。”
在數據中“溺水”
總部位於澳大利亞悉尼的安全公司Huntsman Security創始人兼首席執行官彼得·伍拉科特(Peter Woollacott)表示,我們正向著更高自動化的方向邁進,但這種改變似乎有點兒姍姍來遲。很長時間以來,安全領域的革新似乎都以“手動”的緩慢方式進行。
分析師們認為,這些防禦公司正“淹沒”在資料海中。這些資料都是防火牆、PC、入侵檢測系統以及其他設備產生的,它們會引發許多問題。安全公司Vectra Networks的首席技術官奧利弗·塔瓦克利(Oliver Tavakoli)稱,自動化並非新興事物,很早就曾被用於幫助殺毒軟體發現新出現的惡意程式。
但是現在,機器學習正幫助自動化走得更遠。塔拉克利說:“與人工智慧相比,機器學習更容易理解、更加簡單。”但這並非意味著,它只能處理簡單的問題。機器學習的分析能力來源於演算法的進化,而這些演算法可以處理大量資料,並從中挑出異常或重大趨勢。日益增強的計算能力也讓這成為可能。
這些“深度學習”演算法各有不同。比如OpenAI這類演算法,對所有人開放。但是大多數演算法都被開發它們的公司所有。規模較大的安全公司正爭相收購規模較小、但卻更加智慧化的初創企業,以便迅速增強自己的防禦能力。
不那麼聰明
英國功能變數名稱註冊商Nominet首席技術官西蒙·麥考拉(Simon McCalla)表示,機器學習已在其研發的、名為Turing的工具中證明非常有用。Turing可以從該公司每天處理的大量查詢中尋找網路攻擊證據,包括查詢有關英國網站位置的資訊。
麥考拉說,Turing曾幫助分析1月份勞埃德銀行遭到網路襲擊過程中發生了什麼,當時有數以千計的客戶無法使用該銀行服務。分散式拒絕服務(DDoS)攻擊會產生大量需要處理的資料。麥考拉說:“通常情況下,我們每秒需要處理5萬個查詢。在勞埃德銀行攻擊事件中,我們需要處理的查詢每秒超過50萬個。”
一旦攻擊結束,塵埃落定,Nominet可以在2個小時內處理好相當於1天的流量。Turing吸收所有來自Nominet伺服器的資訊,然後利用自己學到的東西發佈早期預警,警告人們對持續時間更長的攻擊做好準備。它會記錄發出查詢的被劫持機器IP位址,檢查其電子郵件位址是否有效。
麥考拉說:“大多數情況下,我們看到的防禦體系都不那麼聰明。”沒有機器學習的幫助,人類分析師不太可能發現攻擊,直到目標受到影響,比如銀行網站突然崩潰。分析師認為,Turing現在可以幫助英國政府維持內部網路安全,比如阻止工作人員訪問可疑網站,避免成為惡意軟體受害者等。
混亂與秩序
還有利用機器學習分析能力的更雄心勃勃的計畫。在2016年的Def Con駭客大會上,美國五角大樓下屬軍事研究機構Darpa舉辦競賽,讓7個智慧電腦程式互相攻擊,看哪個程式自我防禦能力最強。贏家是Mayhem,它現在正被改造,以便能夠發現和修復代碼中的漏洞,以免被惡意駭客利用。
塔拉克利說,機器學習可以將來自不同源頭的資料關聯起來,為分析師提供全面資訊,以確定一系列連續事件是否會形成威脅。它通常可以瞭解公司內的資料流程動及其低潮狀況,以及員工每天不同的作息時間。因此,當網路駭客試圖偷窺網路連接或進入資料庫時,這種惡意行為立即就會被發現。
當然,在龐大的網路中,駭客也非常善於掩蓋他們的蹤跡。對於人類來說,這些“妥協式跡象”可能很難被發現。現在,網路安全分析師只要安心靜坐,就可以讓機器學習系統緊縮所有資料,並找出未受到人類關注的嚴重攻擊跡象。塔拉克利說:“這就像正準備進行手術的醫生,儘管病人還沒有到位,但他們已經做好準備,正處於嚴陣以待的狀態。”
“維基解密”(2017年3月8日)洩露了美國中情局(CIA)網路攻擊檔。震驚之餘,德國人發現,中情局在歐洲的駭客總部居然可能就在自己境內。據今日俄羅斯(RT)8日報導,德國檢查機構在審閱了檔之後發現。中央情報局(CIA)利用美國駐德國法蘭克福(Frankfurt)領事館作為掩護,實際建立了駭客中心。
德國聯邦檢察官發言人稱,如果有一絲一毫的證據指向駭客行為,那麼調查將立即開始。德國政府的發言人還向路透社透露,官方依然在查閱檔,而外交部已經開始與美國交涉。
“維基解密”披露的檔顯示,美國駐法蘭克福領事館可能是網路情報中心(Center for Cyber Intelligence Europe,CCIE)在歐洲大陸的指揮部,用以指揮美國在歐洲、中亞和非洲的駭客行動。
RT稱,“維基解密”公佈的8761份美國駭客檔幾乎保羅萬象,堪稱一本官方“駭客行動指南”加旅遊手冊。檔甚至建議駭客坐漢莎航空公司(Lufthansa)飛機的時候可以“多喝幾杯”,因為酒是免費的;還有不建議駭客在德國境內加油站吃飯,因為食物太難吃。
但是也有“正經”的指示,比如檔要求駭客在被德國海關盤問的時候堅稱自己只是一個“領事館的技術支持人員”,以免引起麻煩。
但是剩下的檔可就“勁爆”了,將CIA的網路攻擊手段全部展現了出來:包括如何進入警方的資料庫,還有如何把自己的攻擊軟體偽裝成無害的殺毒軟體、電子遊戲等。
更重要的是,檔把美國政府和情報機構直接卷了進來。RT發現,美國國務院直接給CIA的駭客頒發了外交護照。同時,其內部網路的資料來源是弗吉尼亞州的蘭利(Langley, Virginia),正好也是CIA的總部所在地。
據觀察者網昨日報導,首批公佈的檔是維基解密掌握的“拱頂7”(Vault 7)系列洩密檔的一部分。RT稱,這一批的檔代號為“第零年”(Year zero)。
洩密檔還公佈了CIA的主要攻擊目標,專門針對windows、安卓、蘋果iOS、OSX和Linux等常見作業系統以及互聯網路由器,可使普通智慧電視和手機等變成監聽監控設備。維基解密創始人阿桑奇表示,檔顯示出“CIA網路攻擊的整體能力”。
報導稱這或許是迄為止最大規模的CIA洩密事件。維琪解密在發佈檔時強調“CIA的軍械庫已失控,存在極大的擴散風險”,並希望製造公眾對於CIA駭客能力的討論。
在維基機密曝出上述材料後,目前流亡在俄羅斯的斯諾登發佈多條推特,對維基解密的資料真實性進行背書。
他說,維基解密的檔看起來是真實的,依據是相關專案和辦公室的名稱,這些名稱清楚內幕的人才可能知曉。
斯諾登還表示,如果你要寫一個關於CIA監聽的故事,這是一個“大新聞”,因為這是首次有證據表明美國向這些公司付錢讓他們的軟體做得不安全(留下後門)。這些後門是非常危險的,因為除美國政府之外,其他駭客也都可以利用這些漏洞進行攻擊。
目前尚不清楚維基解密是如何獲得這些檔的,檔的真假也未能立即獲得證實。維琪解密還宣稱,CIA這些監控軟體幾乎都已經被盜,目前可能落在了犯罪分子和外國間諜的手中。
2017年3月9日美國白宮政府發言人終於對此次洩密事件作出了回應。白宮發言人稱,維基解密嚴重損害了美國的國家安全,需要被阻止。
維基解密曝CIA新殺器:ELSA利用WiFi追蹤電腦地理位置
E安全2017年6月29日訊 維基解密於美國時間6月28日再次曝出名為“ELSA”的新一波Vault 7洩密資料,其中提到CIA有能力通過截取周邊WiFi信號以追蹤各類運行有微軟Windows作業系統的PC與筆記本電腦的地理位置。
簡而言之,ELSA首先捕獲附近公共熱點ID,而後將其與公共WiFi熱點位置的全球地理位置資料庫進行匹配。
此次曝光的中情局ELSA項目主要包含兩大核心元素:處理組件(即檔中提及的Operator Terminal)與植入物(即檔中提及的Windows Target)——後者通常被部署至目標Windows主機當中。
ElSA首先使用CIA發現的某一安全漏洞在具有WiFi功能的目標設備上安裝惡意軟體——在此之後,CIA即可實現對受感染設備的持續訪問。
ElSA隨後會利用受感染電腦的WiFi硬體掃描周邊的可見WiFi接入點(簡稱AP),而後記錄其ESSID——代表擴展服務集識別字(IEEE 802.11無線網路)、MAC位址以及信號強度等。
為了完成上述資料收集,ELSA惡意軟體並不需要將目標電腦與互聯網相對接。相反,只要設備上啟用了WiFi功能,該惡意軟體即可順利完成運行。
維琪解密指出,“如果[目標設備]接入互聯網,ElSA則會自動嘗試利用來自穀歌或者微軟的公共地理位置資料庫解析當前設備所處的位置,並存儲經度、緯度資料以及時間戳。”
在此之後,收集到的資訊會以加密形式被存儲在目標設備之上,以備此後進一步過濾。
該惡意軟體本身並不會將這些資料發送(傳輸)至CIA伺服器——相反,操作人員(CIA駭客)將利用單獨的安全漏洞與後門程式從目標設備上下載經過加密的日誌檔。
該操作人員會解密日誌檔,而後對目標加以進一步分析。
ELSA專案允許操作人員(CIA駭客)根據目標環境及行動目標定制或者修改植入物,具體包括“採樣時間間隔、日誌檔最大尺寸以及調用/持久性方法。”
操作人員(CIA駭客)隨後可利用其他後端軟體將未經處理的接入點資訊由外泄的日誌檔轉換為地理位置資料,並借此為目標設備創建追蹤配置檔。
下一篇:【深入對物聯網時代的認知】