黑客与人类:致命技术 黑白战争永不停歇
在DEF CON会场,一堵“高挂”的绵羊墙引人注目,墙上显示了不少个人信息,这些都是用手机连接WiFi后泄露的。
该款wiFi设备能够伪装成各种正规WiFi热点,并可搭载飞行器四处移动,用户一旦接入个人信息就会被盗取。
写有“你总是被注视着”的T恤衫在会场热销
□晨报特派记者 张源 金文婕(美国拉斯维加斯摄影报道)
[关键词]
巴纳比·杰克
著名黑客,曾在Black Hat 会场表演破解提款机。去年,他在展示如何通过黑掉心脏起搏器远程杀人前离奇死亡。死后5个月,警方认为其死于吸毒过量。
黑产
利用漏洞挖掘、病毒编写等技术,开发黑客工具进行出售或收徒培训,再通过互联网谋取不正当利益的地下产业链。据统计,在中国其造成的损失已达50亿元。
双因子认证
在PC端进行金融支付时,银行担心你的电脑可能会出问题,往往会用给手机发送验证码的方式确保支付安全,这称为双因子认证。而一旦用手机直接支付,没有另一个合适的平台进行二次验证,风险便大大增加。
美国前副总统切尼因为担心恐怖分子攻击自己的心脏,关闭了体内心脏起搏器的无线管理功能。而巴纳比·杰克就掌握着这一杀人技术。
国会议员Brody潜入美国副总统家中,找到其心脏起搏器的序列号并告诉了恐怖分子Nazir。待命的黑客在计算机中键入序列号,远程无线入侵了装在副总统体内的心脏起搏器,输入指令,起搏器受到干扰,副总统立刻感觉心脏不适,医生赶到之前,已倒地毙命……这是美剧《国土安全》中的一段剧情。
《国土安全》的执行制片人曾表示,这一情节并非纯属虚构,已有科研人员在实验室里将其变成现实。
这位“科研人员”,就是传奇黑客巴纳比·杰克。杰克也看了这部美剧,2013年2月他在博客中写道:“从我的专业角度来看,这剧情离现实并不远。不过所谓的序列号是完全不需要的。”
《国土安全》的编剧欠杰克一份稿费。2012年,杰克在一个安全会议上表示,由于糟糕的软件程序设计,一些医疗设备公司生产的心脏起搏器和心脏除颤器存在可被人无线操控的技术漏洞,攻击者可对附近的心脏起搏器注入恶意代码,扫描范围内所有的起搏器并入侵。
他甚至认为,可以像传播病毒一样将恶意代码植入某一生产商生产的所有起搏器中。
视频里,杰克控制一台笔记本电脑,使数米之外的一个心脏起搏器瞬间释放出830伏电压,可以清楚听到“砰”的一声。
这已不是杰克第一次攻破医疗设备的安全漏洞。此前,杰克黑掉了美敦力公司生产的胰岛素泵。
根据彭博社2012年的一篇文章,杰克可以远程控制这家公司生产的好几种型号的胰岛素泵,他甚至能够让安全警告失效从而操纵注射剂量。
“这些装置虽然外观并不常见,但其内部系统就和PC或Mac 一样可被入侵。当你真的把它们当成攻击目标时,设备安全性之脆弱令人震惊。”杰克说。杰克将安全漏洞告知了美敦力公司,后者修改了产品设计。
2010年7月,杰克把两台自动提款机搬到了拉斯维加斯的Black Hat会场,在他的“导演”下,不需要插卡、输密码,ATM机变成了老虎机,不断往外狂吐钞票,很快就在地上堆成一座小山。
这段“提款机破解秀”成了当年Black Hat最精彩的好戏,也让杰克成了举世闻名的黑客。他的表演让自动提款机的生产厂商和银行意识到这个漏洞并迅速决定采取措施。
在表演过让ATM机狂吐钞票的三年之后,依旧是在Black Hat 会场,杰克正在准备一场更精彩的戏码——展示如何通过黑掉心脏起搏器远程杀人。
大会的官网早早挂出他撰写的“台本”:《入侵人体》。人们本该在2013年8月1日的黑帽大会会场看到杰克如何在9米远外“遥控杀人”。
然而,这场秀的导演兼主演,却在大会开幕前几天,死在了旧金山家中。
2013年7月25日,离“遥控杀人”秀上演还有一周时间,一切已准备妥当,下午,杰克和女友通了个电话,约好晚上一起吃饭。晚上,女友回到家里,发现杰克躺在床上,周围满是啤酒瓶和香槟酒瓶,叫他没反应,凑近了才发现已没了呼吸。女友立刻报警。
旧金山警方勘查过现场后拒绝透露杰克的死亡细节,只表示暂时排除谋杀可能。
7月26日,杰克的家人和任职的公司分别发推特(45.12, 0.36, 0.80%)对外告知了杰克的死讯。
在表演“杀人”之前猝死,天才黑客的死因在网上引发了各种阴谋论版本。很多人猜测,杰克将要展示的“遥控杀人秀”触动了医疗设备厂商的利益,招来杀身之祸。
杰克死后5个月,旧金山警方公布了死因——吸毒过量。杰克的女友此前曾表示杰克的确有滥用麻醉剂和可卡因的历史。人们再也未能等到杰克在Black Hat的舞台上延续自己的传奇。
网络世界里的黑社会正在急速扩张,黑与白的战争将永不停歇。
于旸说,黑客世界就像现实社会一样,有白社会,也有黑社会。随着互联网的发展,利用黑客技术谋取不正当利益的情况近年来正不断加剧。个人隐私泄露,信用卡被网上窃取,各类用户数据被拿去贩卖……这些成为很多“黑帽子黑客”吸金的手段。
在诸多黑客技术中,漏洞挖掘是相当重要的一环。但发现漏洞后的处理方法,却有一个明显的岔路口。白帽黑客或者信息安全技术人员,往往会将发现的漏洞及时反馈给系统的拥有者,以便其能尽早修复这一漏洞。但也有黑客在发现漏洞后,会秘而不宣地开发一系列可以利用该漏洞牟利的方法,并传递至其下线广为流传。通过木马植入进行网络盗号、网络窃取,就是最为常见的一种牟利手段。
“利用黑客技术进行的地下产业,规模其实非常之庞大。因为这些东西见不得光,我们也很难对其总量有一个准确的估计。”安言信息技术咨询公司总经理张耀疆说。
清华大学网络与信息安全实验室副研究员诸葛建伟曾对国内的信息安全地下产业链做过专项调查。这份产生于2012年的调查显示,利用漏洞挖掘、病毒编写等黑帽技术,开发黑客工具进行出售或收徒培训,再通过互联网谋取不正当利益的地下产业链已经十分成熟。中国信息安全地下产业造成的损失已经超过50亿元,而这一虽然松散却极为高效的地下链条仍处于快速发展的过程中。
业内普遍认为,欧洲为“黑产”的重灾区,而攻击的来源则以俄罗斯为主。硅谷一家安全企业的创始人王林(化名)告诉我,美国的法律对于黑客从事“黑产”的打击力度很大,因此不少黑帽黑客就转而去欧洲市场牟利。“在美国做个病毒,可能就要进去蹲20年,很少有人冒这个风险。”
“黑客的世界里永远都会有攻防,这是一种黑白力量螺旋上升的状态。黑方发现漏洞,白方很快就补上,到最后系统是相对安全的。”在王林看来,开放的系统可以让黑客去推动系统的净化。“最可怕的是你做一套系统,谁也不给开源代码,让别人拿去就用,这其实才是最危险的。”
“要收割中国市场的账号信息并不需要太高的水平,就看谁来捅这一刀了。”
2012年,一黑客犯罪组织发动大规模网络攻击,通过控制手机,使用假冒电子邮件获取账户所有者的登录信息和密码,将其名下存款转移至其他账户并匿名提现。攻击者甚至规避了很多欧洲银行用以进行额外身份认证的智能卡读卡器,直接进入银行服务器,自动生成软件。这次攻击中,该犯罪组织共从欧洲、美国及世界其他地区的60多家银行卷走6000万欧元。
通过控制智能手机,盗取账号和资金,在技术上已经实现。
智能手机之所以成为众矢之的,跟它逐渐取代PC的各种功能有直接关系。
过去在PC端进行金融支付时,银行担心你的电脑可能会出问题,往往都会用给手机发送验证码的方式确保支付安全。这个看似繁琐的方法,是目前国际上通用的双因子认证的安全手法。
然而如今越来越多人直接在手机端支付,那银行的验证码还能发到哪里去?没有另一个合适的平台去进行二次验证,风险便大大增加。“PC还有很多网络安全防护设备,但手机是没有任何防备直接连到因特网的,是裸跑的。”系统安全学者韦韬坦承手机的安全脆弱性令人担忧。
在从事安卓、iOS系统研究的众多顶尖黑客看来,智能手机的安全性和便利性一直是一对难解的矛盾。篇首欧洲银行被洗劫的案例还只是因为手机这个“第二因子”失守。而如今,当双因子保护都不复存在,所有的网上支付都把手机当成唯一因子,“以前别人要窃取你的支付信息或偷你的钱,需要控制你的电脑、再控制你的手机,现在只需要控制你的手机就完全可以做到。”美国佐治亚理工学院科研人员王铁磊表示。
“安卓和iOS哪个更安全?”在黑帽会场,我们无数次向手机系统安全、软件安全研究者提问,却一次次被答案吓到。
“没有哪个更安全,真说了你一个都不敢用。”
“你觉得你的手机很好,但当我们团队里有人用2分钟就控制了你的手机时,你还会觉得安全吗?”
研究者们的结论并非耸人听闻。
先说安卓。
7月底,旧金山的安全公司Bluebox发布报告,指出安卓系统的漏洞可以让恶意App假冒正规App,从而劫持用户的手机或平板电脑。该漏洞的核心便是“虚假身份”(Fake ID)。
ID是每款安卓应用都要有的数字签名,比如,Adobe公司在开发其所有的安卓应用程序时都要有一个ID,但当某款应用亮出Adobe ID 时,安卓并不会向Adobe公司核实该ID的真实性。因此,伪装过的恶意App将被错误地识别为原始的正版App,从而获得手机或平板里的资料。
8月初的 Black Hat 上,Bluebox的安全总监Jeff For-ristal现场演示了如何利用“虚假身份”这一漏洞恶意攻入安卓手机,在用户不知情的情况下获得特定的安全特权,从而窃取数据、恢复密码,在特定场合下甚至可以完全控制安卓设备。
“如果恶意软件伪装成‘谷歌钱包’,便能获得用户的财务信息。”
幸运的是,今年3月31日,Bluebox就已将这一漏洞报告给了谷歌公司,同时告知了其他安卓领域的开发者和设备制造商。谷歌表示,已经在安卓4.4系统内弥补了该漏洞。但安卓4.4以下的系统仍存在这一问题。
发现漏洞、上报系统、弥补漏洞,本来是看似良性的循环,但安卓开源带来的多角色参与、长产业链问题,让这个循环走得并不顺畅。
“一旦发现安卓的漏洞,谷歌(582.16, 8.68, 1.51%)会打补丁,然后通知OEM厂商打补丁,一般会给他们定个时间。但谷歌在责任上只是维护AOSP (注:安卓开放源代码项目),并不需要对厂商负责,所以将安全补丁backport(注:将一个软件的补丁应用到比此补丁所对应的更老版本的行为)给老版本也不是他们的职责。而不少厂商并没有承担起这样的责任——将安全补丁移植到老版本上,于是老版本安卓的手机在市场上有大量用户,这些用户都受到这些漏洞的威胁。”韦韬如是分析。
事实证明的确如此,Bluebox 在将“虚假身份”漏洞提交给谷歌后,安卓安全团队已于今年4月开发出了解决方案。照理来说,在Bluebox发布研究结果前,这些设备制造商有90天的时间修补漏洞。但Bluebox对40款安卓设备的测试结果显示,仅一家厂商主动修补了该漏洞。
再来说说苹果(99.16, 1.18, 1.20%)。
“后门”事件持续发酵。彭博社8月6日援引消息人士说法,指出“中国政府将包括 iPad、MacBook等在内的10款苹果产品移出政府采购名单,原因是考虑到信息安全问题”。该消息一天之后就被我国财政部辟谣,负责政府采购的官员表示,苹果公司产品从未列入我国政府采购节能产品清单。有分析直指外媒可能在为苹果iPhone6上市提前炒作。如此种种,皆因苹果那道“后门”。
如果说安卓系统的风险在于开源可能带来的恶意软件,那苹果iOS系统最大的问题则是封闭导致的用户失去设备控制权。
“苹果公司的掌控力越来越强,这是把双刃剑。好处是如果手机丢了,你可以远程定位自己的手机,远程删除自己的数据。但从另一个角度说,手机的控制权已经不完全在你手里了。”王铁磊说。
“后门”事件其实也是另一种形式的控制。
“想要查一个人,监控他的定位信息比查他的通话记录要有效率得多。”美国In-Q-Tel公司安全专家,同时也是今年 Black Hat主旨演讲者的丹·格尔在接受我们采访时这样评价苹果“后门”事件。
不过,更多业内人士表示,定位信息的泄露不是苹果一家的问题,在安卓系统设备上问题也很大。
很多人选择苹果是看中其应用商店的“干净”,很多人相信苹果的应用商店是没有恶意代码恶意软件的。但专门研究iOS漏洞的王铁磊团队告诉我们,事实并非如此。
“我们去年做过一个尝试,开发了一个恶意App,可以偷偷发信息、发邮件、发推特、驱动蓝牙,并且它绕过苹果商店的检测成功发布了。我们的试验证实了,苹果没法保证其App Store里的应用都是安全的。”王铁磊表示,他们的尝试只是从学术研究角度出发,发现漏洞的第一时间就会报告苹果公司。
“我们的团队可以做到,真正的恶意软件开发者也可以做到。”王铁磊事后反思,在苹果App Store里已经拥有的上百万个应用里,有不少是其实已经坏了的,用户根本没法知道。“苹果单方面宣传自己的App Store是安全的,这其实有一定的误导性。我认为苹果起码应该提醒用户,下载App 是有一定风险的,就如同香烟盒上印上‘吸烟有害健康’,用户应该拥有知情权。”
安卓和iOS各有各的问题,很多人于是期待一个更安全的系统横空出世,但在研究者看来,目前很难出现第三个足以和它们抗衡的系统。
那怎样才能让自己的安卓或苹果手机更安全一些?
硅谷一家安全公司Trust-look 的 CEO Allan Zhang 坦言,如果不是专业人士,很难做到有自我感知的防护。
“国内那个‘××神器’一天时间就影响了超百万的用户,一个初学者写的APK(注:安卓安装包)都能有那么大影响,要收割中国市场的账号信息并不需要太高的水平,就看谁来捅这一刀了。”韦韬更是直指国内市场之脆弱。
“收割”,听起来血淋淋的一个动词,在安全从业人员看来是极有可能发生的一件事。
韦韬分析,现在手机安全领域问题最严重的主要在中国、俄罗斯,以及欧洲其他地方。“之所以现在国内还没发生影响特别大的事件,是因为搞‘黑产’的黑客还有其他风险更低的市场可以做。但从技术角度看,完全能做到。”
除了用户的自我防护意识需要加强外,提供应用服务的商家的安全意识也有待提高。360手机安全中心上月发布的一份针对16家主流银行手机App的评测报告就暴露出不少问题。除一家银行外,其他银行的App均存盗版现象,个别甚至有20个以上不同的盗版版本。另外,虽然多数银行App使用了自绘随机键盘,但如果被注入恶意模块,依然不安全,攻击者甚至可以拿到明文的密码。
Allan认为,现在还有不少商家在用“很好笑”的方法做安全,“你里面是个大金库,门上锁了10把锁,一个套一个,10把钥匙串成一个大环,压在门口一块砖下面。表面看起来很安全,但移开那块砖,钥匙都在那儿。你把10把钥匙都放在App里,用户看不到,但黑帽子看得到,拿到了直接进后台,想干什么干什么。”
回到上海后,我第一件事情就是把所有的密码给改了。第二件事,启用了一个荒废多年但没留下多少痕迹的旧邮箱。名片上的那个邮箱,还是算了吧。
另外,我再也不敢用手机连接任何公共WiFi了。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/