1
本周關(guān)鍵詞
▼
云滴血 | 加密算法破解 | 俄羅斯黑客 | 朝鮮黑客
網(wǎng)絡(luò)嫁禍 | 奇葩竊密手法
上周剛開始,細心的網(wǎng)友在中學教材中發(fā)現(xiàn)了一個黃色鏈接,帶領(lǐng)全國網(wǎng)友一起歡快地開起了“黃皮校車”。
據(jù)微博網(wǎng)友爆料,自己發(fā)現(xiàn)人教版高中語文選修教材《中國古代詩歌散文欣賞》中有一個歷朝詩歌欣賞的網(wǎng)站推薦,該網(wǎng)友想進入學習,誰知搜索該網(wǎng)址后,竟看到了不堪入目的淫穢色情畫面。
很快,人民教育出版社就在其官方微博發(fā)布了一條聲明,稱原因已查明,系網(wǎng)頁內(nèi)容遭到篡改,已向網(wǎng)絡(luò)監(jiān)管部門做了舉報。然而此說法卻立即引來網(wǎng)友質(zhì)疑。一位網(wǎng)友告訴雷鋒網(wǎng)宅客頻道:
人民教育出版社的官方聲明描述并不準確。所謂網(wǎng)頁篡改應該是網(wǎng)站的所有權(quán)是你的,遭遇了黑客攻擊或是利用網(wǎng)站漏洞等特殊手法將內(nèi)容強行更改。而如今是人教社已經(jīng)喪失了該網(wǎng)站(域名)的所有權(quán),對方購買了該網(wǎng)站(域名)。
前者是別人在你房間亂寫亂畫,后者是該房間被你棄置,別人買下后,在自己的房間里亂寫亂畫。
根據(jù)該網(wǎng)友的域名信息查詢結(jié)果,教材上使用的“meansys.com/*”域名于前不久剛剛被創(chuàng)建,聯(lián)系人和人教社官方網(wǎng)站域名注冊信息毫無關(guān)聯(lián),看起來更像是個人注冊。很快又有其他網(wǎng)友反映,該網(wǎng)站域名系幾年前因資金問題關(guān)閉的“敏思博客”。
如果網(wǎng)友所述情況屬實,則真實的情況可能是這樣的:多年前,人民教育出版社的工作人員使用了一個敏思博客上的網(wǎng)頁鏈接,作為詩歌鑒賞推薦內(nèi)容。其后人教社一直沒有對該鏈接的有效性進行審查,2011年敏思博客關(guān)閉后,該鏈接就進入了長達數(shù)年的失效狀態(tài)。直到2017年1月該網(wǎng)站域名被另一個人購買注冊,并用于運營淫穢色情網(wǎng),此鏈接才重新被網(wǎng)友發(fā)現(xiàn)。
消息一出,網(wǎng)友紛紛感慨:“書中自有顏如玉,老師誠不欺我!”
俄羅斯黑客從未消停,畢竟是戰(zhàn)斗民族。然而最近一則消息依然讓人聽了覺得有些嚇人:3/4 的勒索軟件都是“說俄語的人”做的!光是看到標題就不禁讓人聯(lián)想到這霸氣十足的畫面:
還記得雷鋒網(wǎng)發(fā)過一篇《深度 | 和木馬撕X的三場戰(zhàn)役》嗎?騰訊反病毒實驗室安全研究員劉桂澤曾在采訪中告訴雷鋒網(wǎng):“你有沒有發(fā)現(xiàn),所有勒索軟件都屏蔽了俄語和俄羅斯的機器,這說明:要么是俄羅斯干的,要么就是容易被俄羅斯砍殺,因為有卡巴斯基。”
這一說法又添新證據(jù)了,據(jù)外媒 softpedia 報道,75%的勒索軟件都是由說俄語的網(wǎng)絡(luò)罪犯搞出來的——人家還說得特別委婉,不是俄羅斯黑客,而是“說俄語的網(wǎng)絡(luò)罪犯”喲!
雷鋒網(wǎng)還發(fā)現(xiàn),這事居然是卡巴斯基捅出來的,真是幫理不幫“親”。
據(jù)卡巴斯基實驗室的勒索軟件高級分析員Anton Ivanov 表示,過去一年中,該公司發(fā)現(xiàn)的 62 個加密勒索軟件家族中,47 個由俄羅斯人或說俄語的人開發(fā)。
“這個結(jié)論是基于我們觀察網(wǎng)絡(luò)上的地下論壇、控制基礎(chǔ)設(shè)施等得來的。很難說為什么這么多勒索族譜有俄羅斯血統(tǒng),可能是因為俄羅斯和周邊國家有很多受過良好教育,會熟練代碼編寫的作者吧!”卡巴斯基的分析員這么說。
因為俄羅斯程序員多所以四分之三的勒索軟件都是他們寫的,這個邏輯好像聽起來有點怪怪的。果然不久就出現(xiàn)了“情節(jié)反轉(zhuǎn)”:
有研究人員最近得到了幾份惡意軟件樣本。發(fā)現(xiàn)里面雖然有許多俄文,但是許多語句看起來狗屁不通,許多單詞都牛頭不對馬嘴,看起來像是有人故意用翻譯軟件將語言翻譯成俄文的。
舉個例子,在惡意軟件樣本中有一個這樣的詞:“kliyent2podklyuchit” ,分析人員用逆向工程翻譯成英文就是:“client2connect" (客戶端連接)。眼尖的分析人員一下就看出端倪,真正的俄羅斯本地人絕不會用“kliyent”這樣的單詞!在實際當中,說俄語的人通常會使用“client" 或者”Klient",但絕不會用蹩腳的“kliyent"。
經(jīng)過分析他發(fā)現(xiàn),很可能是嫁禍者在使用在線翻譯工具,將軟件語言翻譯成俄文時,犯了一個錯誤,他把俄文底下的發(fā)音誤認為是單詞了。
這就好比嫁禍者把“client”翻譯成中文“ kehu (客戶)”,然后想當然地認為中國的開發(fā)者會用 “ kehu ”來表示客戶端一樣,實際上我們的開發(fā)者并不會這么去做。
分析人員發(fā)現(xiàn),類似的錯誤比比皆是,由此可以斷定,有人故意使用俄羅斯語言以嫁禍他人或者混淆視聽。通過對此次惡意軟件樣本進行分析,已有一定技術(shù)性證據(jù)表明該次攻擊活動和一個叫做“ Lazarus Group”的黑客組織有關(guān)。
Lazarus Group 可大有來頭。據(jù)雷鋒網(wǎng)了解,該組織至少自2009年就開始活動,且多年來一直在對韓國及美國的各政府機構(gòu)及私人組織發(fā)動各類攻擊。2014年索尼電影娛樂公司遭遇攻擊;2016年孟加拉中央銀行 8100萬美元被洗劫;前不久發(fā)生的一起針對波蘭多家銀行的惡意軟件攻擊事事件,這些都和他們有關(guān)。
甚至有研究人員通過分析該組織的作息規(guī)律,竟發(fā)現(xiàn)他們疑似是來自朝鮮的黑客組織。不過這年頭只有掌握充分證據(jù)才能下結(jié)論,否則可能又會出現(xiàn)更高明的嫁禍。
最近各種腦洞大開的奇葩黑客手法層出不窮,比如:
研究人員曝光了利用麥克風竊取情報的網(wǎng)絡(luò)間諜行動。攻擊者從大約 70 個目標竊取了超過 600 GB 的數(shù)據(jù),這些目標包括了關(guān)鍵基礎(chǔ)設(shè)施、新聞媒體和科研機構(gòu)。攻擊者首先向目標發(fā)送釣魚郵件,惡意程序隱藏 Microsoft Word 文檔中,一旦感染目標之后利用惡意程序控制設(shè)備的麥克風去記錄對話、屏幕截圖、文檔和密碼。
收集的情報上傳到 Dropbox 賬號。研究人員根據(jù)其使用麥克風和Dropbox 而將這一行動稱為 Operation BugDrop。大多數(shù)被感染的目標位于烏克蘭,其余目標位于沙特和澳大利亞。
好了上面這個是依靠控制麥克風來竊取數(shù)據(jù),下面來看一個更奇葩的招式:
5.竊取敏感信息新招數(shù):將硬盤閃爍和耳機變成突破口
黑客們通常都神通廣大,但它們攻破嚴密的防御多數(shù)還是靠代碼這一武器,不過現(xiàn)在有一批大牛要上天了,他們居然能從臺式機上閃爍的 LED 燈搜集到敏感信息。
借助能“偷數(shù)據(jù)”的無人機,研究人員錄下了電腦上閃爍的 LED 燈,這些閃爍在他們手中成了摩爾斯電碼,借助這些看似無規(guī)律的閃爍,研究人員們成功拿到了電腦隱藏的秘密。
據(jù)悉,發(fā)現(xiàn)這一“驚天秘密”的是來自以色列本·古里安大學的一個研究團隊。他們表示
我們發(fā)現(xiàn)硬盤上的 LED 指示燈是個很好的突破口,它每秒最多能閃爍 6000 次。因此,黑客可以借助這些閃爍遠程獲取數(shù)據(jù),數(shù)據(jù)傳輸速度雖然不快,但半小時就能傳輸 1MB。有時候,1MB 的敏感信息就能產(chǎn)生巨大的破壞了。”
不過,他們也敬告一些不安好心的人,想通過這種方式黑掉別人的電腦并不容易,拿無人機錄下電腦上 LED 燈的閃爍連個開胃菜都算不上。因為攻擊者首先要通過 USB 或 SD 卡將惡意軟件植入目標系統(tǒng),這樣無人機才能搜集到有效信息。
最近兩天大新聞不斷,
在美國的2月23日,Google在密碼學領(lǐng)域干了一件大事,它宣布了一個公開的SHA-1算法碰撞方法,將這種算法攻破了。這也是對曾經(jīng)在密碼學中最流行的 SHA-1 算法宣判死亡。
公司研究人員在博文中稱,有足夠的計算力(其中一個階段就花1個GPU大約110年的計算)就能實現(xiàn)碰撞,有效地破解算法。
其實在之前,大家就知道這是可能的,但沒人這么做過。而 Google之所以要那么做,很可能是因為它想結(jié)束爭論,因為放棄SHA-1也是花了行業(yè)人士不少時間和精力的,而且不是每個人都想這么做。如果直接破解了它,就能給反對的人致使一擊,快速結(jié)束戰(zhàn)斗。
雷鋒網(wǎng)了解到,Chrome早在2014年就開始對SHA-1加密的網(wǎng)頁進行警告,F(xiàn)irefox和微軟的Edge和IE也迅速跟進了。雖然現(xiàn)在來看,整個事件的影響不會很大,但我們應該慶幸的是,行業(yè)的進步很快,迅速棄用了原來的加密方式,否則現(xiàn)在來看就危險了。
不過和下面這件事相比,Google 破解 SHA-1 算法這件事簡直就不是新聞:
昨日(2月24日),一個可能影響互聯(lián)網(wǎng)為之一顫的漏洞轟然出現(xiàn),知名云安全服務(wù)商 Cloudflare 被爆泄露用戶 HTTPS 網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達數(shù)月,受影響的網(wǎng)站預計至少200萬之多,其中涉及Uber、1password 等多家知名互聯(lián)網(wǎng)公司的服務(wù)。
據(jù)雷鋒網(wǎng)了解,Cloudflare 為眾多互聯(lián)網(wǎng)公司提供 CDN、安全等服務(wù),幫助優(yōu)化網(wǎng)頁加載性能。然而由于一個編程錯誤,導致在特定的情況下,Cloudflare 的系統(tǒng)會將服務(wù)器內(nèi)存里的部分內(nèi)容緩存到網(wǎng)頁中。
因此用戶在訪問由 Cloudflare 提供支持的網(wǎng)站時,通過一種特殊的方法,可以隨機獲取來自其他人的會話中的敏感信息。這就好比你在發(fā)郵件時,執(zhí)行一個特定操作就能隨機獲得他人的機密郵件。雖然是隨機獲取,可一旦有心之人反復利用該方法,就能積少成多就能獲得大量私密數(shù)據(jù)。
聽起來是不是有些像當年席卷整個互聯(lián)網(wǎng)的心臟滴血漏洞? 因此也有網(wǎng)友稱此次漏洞為“云滴血”。
可怕的是,該漏洞自首次被 Google 公司的安全人員發(fā)現(xiàn),至今已有好幾個月。也就是說,在這一期間甚至是在這之前,很可能有不法分子利用該漏洞,造訪了所有 Cloudflare 提供服務(wù)的網(wǎng)站。而 Cloudflare 服務(wù)的互聯(lián)網(wǎng)公司數(shù)量眾多,其中不乏我們所熟知的優(yōu)步(Uber)、OKCupid、Fibit 等等。
漏洞最初是由谷歌 Project Zero 安全團隊的漏洞獵人(國內(nèi)稱白帽子)塔維斯·奧曼迪發(fā)現(xiàn)的,當時他在谷歌搜索的緩存網(wǎng)頁中發(fā)現(xiàn)了大量包括加密密鑰、cookie 和密碼在內(nèi)的數(shù)據(jù)。于是他很快告知Cloudflare , Cloudflare 派出團隊來處理此事,結(jié)果發(fā)現(xiàn)導致問題的幾個重要操作分別發(fā)生在數(shù)天和數(shù)月之前。
有趣的是,漏洞發(fā)現(xiàn)者奧曼迪在帖子中特別提到,Cloudflare 的漏洞賞金最高只獎勵一件T恤。因此有網(wǎng)友開玩笑地表示:“據(jù)說是Google的人先把這個問題報告給 Cloudflare ,但只被獎勵了一件T恤,然后就在推特公開。”
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
