黑客现身说法:我们如何攻破民主党的邮箱 - 希拉里,维基解密 - IT资讯
姓名不重要,我是维基解密成员。我们今天聊一聊信息安全。
2016年7月22日,我们公开了民主党全国委员会(以下简称DNC)内部时间跨度长达16个月的19252封邮件,里面的内容足以让世界上所有的电视频道在当天只能播报这一件事。
这些邮件清楚地显示了:民主党内部是如何暗箱操作初选结果,并且排挤桑德斯那个可怜老头;希拉里团队又是如何控制媒体,通过捏造歧视性招聘广告等方式抹黑特朗普的。甚至,希拉里的竞选团队准备把联邦政府机构的职位做为捐赠者的“报答”。
同时,希拉里团队号称为民主党募集的6100万美金中,只有1%留在了党内金库,剩下的绝大部分流向了希拉里团队——主要用途是用来打击桑德斯。
我们在民主党内放了一颗原子弹。如果这些事情能够在法律层面上坐实,有些大人物就要坐上联邦法院的被告席。
第二天,一路高歌的希拉里女士遭遇滑铁卢,民调指数被特朗普以3%的优势反超。随后,民主党高层地震,主席黛比·沃瑟曼·舒尔兹(Debbie Wasserman Schultz),联络主管路易斯·米兰达(Luis Miranda)和首席财务官布拉德·马修(Brad Marshall)引咎辞职。
之后的27号,我们又公布了29段民主党内部的录音文件。Google, Facebook,所有叫得出来叫不出来的名字,都将我们列为危险网站。媒体们则说我们可能受雇于普京——这实在是太好笑了。
然而,这一切,并不是一个意外事件。接下来的篇幅,我想从信息安全的角度说明两个问题:
第一,为什么DNC高层邮箱地址百分之百会被攻破。
第二,DNC应该怎样加强他们的信息安全防御体系。
为什么DNC高层的邮箱100%会被攻破?
我们先说几个前提设定:
信息安全的战场上,永远是两拨人在对抗:进攻方不停尝试新的攻击手段,防守方对应采取新的防护措施。
信息系统中的安全攻防战:一守一盗。
防守方想要保证信息资源只被经授权的合法用户使用。而进攻方则要绕开防守方设置的重重障碍,不经授权就获取信息资源。
虽然这听上去都是一些显而易见的“废话”,但这正是为什么DNC高层的邮箱一定会被我们攻破。我用如下四点来说清楚:
第一,信息安全的本质是“验证”。而验证需要在每一个环节中进行。
▲图片说明:验证信息使用者是否可信任的四大环节(深蓝制图)
验证中的每一个环节都会成为是黑客的攻击点。而愚蠢的防御方一般都会忽略 “每一个环节” 这五个字。
比如一个最常见的错误,就是防御方往往设定只要信息使用者是值得信任的,那其他元素就不用再去判断。
其实最大的安全谬误就是假定在系统内部一切都是安全的。
就好像机场的安检一样,安检之前的水是无法通过检查的,但过了闸机后,每个人都可以随意喝水买水,至于水是不是偷带的、水有没有问题,都没有人再检查。因为机场安检这套系统认定——能通过安检的人都是安全的。这显然存在安全漏洞。
再比如,黑客也可以从使用者行动中盗取信息。举个例子,大家常见的无线键盘就是一个安全隐患。使用者用键盘击键这一行为,是可以被攻破的环节。
无线键盘会定期发送无线信号。用户击键时,黑客可以从250英尺的范围内监听键入的内容,从而可以盗取口令、银行卡信息或其他敏感数据。
一些硬件大厂商都忽略了这些漏洞。2016年7月,一家叫Bastille的无线安全厂商就爆出包括惠普、东芝在内的至少8个品牌的无线键盘都存在安全漏洞,非常可能已被监听。
第二,信息安全的本质——“验证”,注定是不完善的。
信息系统非常复杂,内部有很多分支,每个用户行动都不只用到一个分支的资源。如此复合的步骤中,总有系统漏洞可以供黑客去攻击。
美国花费数十年和数十亿美元打造的爱国者导弹防御系统理论上可以拦截绝大多数导弹。然而在海湾战争中,飞毛腿导弹轻易地突破了它的防线,它的造价仅为爱国者导弹的1/100。
验证系统只能无限接近完善,但世界上没有最完善的系统可以信任。
第三,攻防双方在成本和效率上是不对称的,防守方处于绝对劣势。
一个悲催的真理:信息防守方在效率和成本上处于绝对劣势,就像病毒感染的成本永远低于疫苗研发成本。
在黑客与防御方的攻防战役中,攻击的成本远低于防守的支出。
破坏总是比建设容易,感染一定比免疫轻松。没有战无不胜的系统,只有防不胜防的黑客。
所谓木桶定律,即一只水桶能装多少水取决于它最短的那块木板。一个信息系统的安全程度也取决于它最薄弱的环节。
2014年索尼公司的PS网络系统被黑客攻击,大量个人资料被窃,损失达到1.7亿美元。而对黑客来说,成本只是一台电脑和一根网线。在网上,一些用来盗取别人账户的软件只需要几十美元就可获得。
第四,在信息安全的战场上,人是最大的不确定因素,而傻子总是比较多。
除了系统原因之外,人是最大的不确定因素。由人的疏忽、被欺诈所导致的信息安全事故约占到了总数的85%。
全球首屈一指的网络安全解决方案供应商Check Point曾就700多名IT专业人士进行调查。结果显示:87%的受访者认为,最大的威胁来自公司内部粗心员工;近三分之二的受访者认为,客户数据频繁泄漏极有可能是由于内部员工的疏忽。
其实早在2015年秋,DNC内部的信息安全专家就其脆弱的内部网络警告过党内高层,而这些建议均被置之不理。这批专家们经过两个月的调查,在一份报告中建议:DNC应该雇佣专业人士,升级系统,并设置可追踪侵入者的防御机制。
FBI同样也多次对DNC的网络安全系统发出警告:“可能存在问题”。2015年,FBI曾敦促一些DNC的人员检查内部系统是否有不寻常活动的迹象,但DNC什么都没能发现。
直到2016年4月DNC高层才开始重视这些警告,雇佣了私人安全公司CrowdStrike对系统进行整顿。然而,我们在内网中已经潜伏了近一年。
正如我们的一位同僚,罗马尼亚黑客Guccifer 2.0形容的——希拉里的邮件服务器像“一朵开放的兰花,对于任何人而言都很容易攻破。”
你们可能要问我:为什么选择攻击DNC高层?
当然不必再说我们的立场就是反对DNC。DNC代表了硅谷大财团的利益,而我们是海盗。我们会尽力破坏希拉里当选的机会——“选择她就是选择无休止的战争”。但我们今天不谈政治。
信息安全如同安保服务一样,保镖的价格取决于被保护的人/财产的价值。信息安全也一样。
黑客们最喜欢攻击的行业是价值密集的领域,比如金融、比如政府。当然这些领域也最愿意为信息安全买单——只有大家伙最愿意为恐惧买单。
与早年的单纯破坏性行为不同,如今的黑客攻击更多带有牟利色彩。
2016年6月IBM联合Ponemon Institute发布报告《2016年数据泄露成本研究:全球分析》,对383家遭遇过数据泄露事件的企业进行了调研。报告显示:从行业的角度来看,公共部门和教育机构的信息安全问题信息非正常流失率最少,而金融和医疗机构则是信息安全的重灾区。
价值越高,我们就更愿意去铤而走险。DNC高层的邮箱,关系到整个国家的政治格局,尤其在大选关头,于是成为我们一直以来的目标。
DNC实在太蠢了,如果是我......我们能轻易攻破DNC高层的邮箱,与其说我们厉害,不如说他们太蠢了。
DNC的IT系统安全防护手段极其落后。2016年5月,我们曾经多次成功入侵DNC的网络系统,曝出了DNC主要捐款人信息等一系列文件(包括捐款人姓名、职业、地理位置与金额)。然而他们的系统仍然没有更新加密方式。
IT系统与技术的演变导致了对安全需求的变化:边界消失、渗透成为常态。
▲图片说明:过去只要把守住“城门”,就能确保系统万无一失。
过去IT系统像是古老的城堡,系统和外界只能通过有限的“城门”交流。而现在系统向外联通度越来越高,城堡的“城墙”消失,发展成向外不断扩张、内部四通八达的现代化城市。人们无法在不影响信息系统正常工作的情况下,继续用建高墙的方式处理信息安全问题。
边界的消失让攻击模式发生变化。之前对信息系统的破坏像军队攻城,直接从外部击破,讲究一击毙命。当边界消失后,攻击手段演化成了间谍惯用的“渗透”手段,长期潜伏在信息系统内部,伺机而动。
如果我来负责DNC的信息安全,如下四件事情是我会在第一时间做的:
第一,建议搭设零信任网络模型,淡化安全假设。
DNC的安全系统是非常传统的。访问DNC成员们的邮箱,系统会区分内、外网络,如果地址是从内网访问,使用者将被赋予更高的信任级别,有更多权限读取系统信息。
这种区分内外网的做法默认存在“守门人”,而“城内一定安全”。就像我们刚才提到的机场安检的例子——机场安检系统默认安检门内的候机厅绝对安全。对于这种传统的边界安全模型,黑客们只要能混入系统内部,就很容易访问到内部应用。
只有搭建一套“零信任”架构,才能打破内外网之别。
对于系统而言,不应该存在绝对安全的区域或元素。实际上,现在越来越多的访问发生在移动端和云端,边界愈发模糊,所以不妨一视同仁。
无论希拉里以及其他DNC高层身在何方,在竞选办公室、集会现场,还是在家,都必须用一样的访问方式:所有到邮箱的连接都要进行加密;所有联网设备,包括笔记本电脑和手机,都要保留信任信息和设备号在服务器中。
“零信任”的模式下,过去那些能够渗透进内部的攻击,不可能再进入内网如入无人之境。Google在五年前就开始应用这一思路,改进安全模型,他们称其为BeyondCorp。
▲图片说明:BeyondCorp的安全架构示意图。(深蓝制图)
2014年开始,谷歌逐步将自己的全部应用组件迁移至BeyondCorp,并公布了文档《BeyondCorp:谷歌的设计到部署》,其他有计划部署“零信任”架构的公司可以根据文档跟进部署。目前可口可乐、威瑞森通信、马自达汽车公司都在做类似的改造。
经过实证,“零信任”系统在取消内网的“信任特权”后,并不会影响用户的使用便捷性。唯一的坏处是,信息安全团队的工作量可能会大大增加。
第二,引入机器学习和人工智能工具。
不要老想着只用机器学习和人工智能干点下象棋的事情。它们更是抵挡黑客攻击的利器,能够搭建更为智能的“免疫系统”。
计算机最能做的事情是什么?是做重复的事情。简单来说,机器学习能通过分析海量的数据,比人类能更快、更精准地监测出系统风险。我在前面说过了,不要忘了,在信息安全的战场上,人是最大的不确定因素,而傻子总是比较多。计算机有时候比人类靠谱。
Cylance是值得一提的信息安全初创公司,它由全球最大的专业安全技术公司迈克菲(McAfee)的前CTO创立。他们开发了一套基于机器学习的检测系统危险的方法,宣称能检测出99%的入侵恶意软件,而传统方法的识别率只有40%。
如果说机器学习可以更精准地发现风险,人工智能工具则可以更智能地提出解决方案:代替人类,对系统发现的漏洞进行研究,发开补丁程序,最后完成部署,实现系统安全自动化。
在这方面走得比较前沿的是美国初创企业PatternEX,他们推出了一个“虚拟安全分析师”的智能平台,能够实时追查并理解系统运行数据,最终模拟人类分析师的直觉,形成威胁预测模型。另外,美国国防部也已建立了专门的研究部门DARPA,着手打造“自动检测—自主修复”一体的人工智能系统。
第三,搭建安全感知预测系统。
面对安全威胁,报警系统和修复工具还远远不够。因此除了升级防护工具,还需要搭建一个并行的安全风险提前感知系统。
简而言之,安全风险提前感知系统就像精准的天气预报系统。气象专家通过读取雷达、卫星等收集的数据,了解当前的大气状况,并在此基础上给出天气预测。
在安全感知系统中,防火墙、防病毒软件和入侵检测系统(IDS)等安全工具就是雷达,它们检测到的数据能反映当前系统状态,也是感知系统做短期预测的基础。
安全感知系统的工作原理和人脑理解外界信息的认知过程是类似的,包括“获取信息—理解—未来预测”三部分,如下图显示:
一套安全感知系统的构成:
数据来源:防火墙、防病毒软件和入侵检测系统(IDS)等安全工具检测到的数据;
现状理解:形成分析报告,包括各种网络设备运行状况、网络行为以及用户行为等,提供辅助 决策信息;
短期预测:将当前态势映射到未来,预测使用者行为,并对结果进行评估。
安全感知系统和人脑一样,复杂而耗费资源众多。在数据端需要强大的数据挖掘和处理能力。系统运行产生的海量数据中,仅有20%是可以直接利用的。而能否将剩下80%数据结构化并加以利用,决定了信息安全团队在面对安全威胁时的响应速度。
提升系统的理解能力和推理能力,则需要依赖机器学习、人工智能等来模仿人脑的工作方式,理解当前系统状态,并推演出短期内系统运行情况变化。
大厂商已经在尝试了。2016年5月,IBM推出了“认知安全”工具(IBM Watson for Cyber Security),能够对检测到某个异常数据做快速关联分析——比如异常行为发生次数,涉及的文件、和资产等,同时生成自己的“判断观点”以及支撑细节信息。这款“认知安全”工具在数据结构化上有很大优势,每天能处理20万条安全事件数据。
▲图片说明:IBM推出了“认知安全”工具(IBM Watson for Cyber Security)工作流程。(深蓝制图)
第四,覆盖物联网设备。
如前面所说,黑客可以从使用者行动中盗取信息,比如大家常见的无线键盘就是一个安全隐患。
除了常用的电脑手机,DNC团队使用的各种联网设备必须纳入到搭建的安全系统中来。比如竞选总部的智能电视机,工作人员和志愿者的iWatch和各种手环,就连希拉里家里的可以上传运动数据的跑步机等等,都可能是隐患点。
最安全的地方就是最危险的地方。百密一疏,容易酿成大祸。
黑客可以轻易地从智能设备入手,作为收集信息、捕获安全信任凭证的跳板,发起后续攻击。然而大多数人,不论是生产商还是使用者,完全没有意识到这些联网设备正是IT系统的薄弱环节。
云服务可以解决这些智能设备的问题——将多种联网设备都托管到云,并对设备和云端的所有数据传输进行加密。
比如美国的一家提供物联网云安全基础设施的初创公司 Afero,智能设备可以通过他们提供的嵌入式蓝牙模块(ASR-1),实现所有设备间的安全连接。
▲图片说明:Afero的云平台是整套系统的核心所在。(深蓝制图)
以上便是我作为一个良心黑客从信息安全角度对DNC做的一点良心建议。
人们愿意花越来越多的钱在信息安全这件事上——人们为恐惧买单。2015年,全球信息安全的开支750亿美元,美国政府花销86亿美元。摩根大通(JP Morgan)每年的信息安全开支是5亿美元,美国银行(Bank of Ameirca)的信息安全预算则是“没有上限”。
希望大家都能觉得物有所值。
