数字化转型方略 第13期 2021/08/15

美国黑帽网络安全大会:移动平台和开源软件正在成为网络安全关键威胁

一年一度的美国黑帽网络安全会议于本周举行,基于现场与会者的发言和全球各地安全研究人员的虚拟流媒体简报,移动平台和开源软件正在成为网络安全的关键问题。

一年一度的美国黑帽网络安全会议于本周举行,基于现场与会者的发言和全球各地安全研究人员的虚拟流媒体简报,移动平台和开源软件正在成为网络安全的关键问题。

黑帽大会创始人Jeff Moss在开幕式主题演讲中总结了网络安全界的普遍感受,网络安全领域近来历经了勒索软件攻击爆炸性增长、重大供应链漏洞,俄罗斯、朝鲜和伊朗等国家发展成了严重的民族国家黑客行动参与者。

Moss表示,“我们刚认识到被打脸了,我们正努力想办法拆招。这两年真的有压力。”

黑帽大会演讲的五个重要话题:

1、移动平台是黑客攻击的下一个前沿阵地

越来越多的证据表明,威胁者正在将手里的大量资源转向移动平台漏洞的利用。据估计,全球智能手机用户达60亿,是个不能错过的、非常有吸引力的机会。

在移动设备受到攻击的同时,零日漏洞亦在增加,零日漏洞指安全社区不知道的因此没被修补的漏洞。

零日漏洞由市场驱动,基于供应和需求。零日中介Zerodium去年曾因为提交数量过多而宣布暂停购买苹果iOS漏洞。去年夏天,网络犯罪分子利用一个iPhone零日漏洞入侵6名国际记者的移动设备。

Corellium LLC的首席运营官、英国国家安全局(GCHQ)前分析师Matt Tait所做的研究表明,这个问题正在变得非常地严重。

Tait向与会者表示,“针对手机设备的零日渗透正在急剧增加。我们看到的只是世界上实际可能发生的事情的一小部分。”

问题的一部分原因在于,一些移动平台的架构构成了一系列独有的问题。谷歌Project Zero的安全研究员Natalie Silvanovich描述了对移动信息出错时所做的一些分析,她发现一个用户能够在未经同意的情况下打开另一个用户的摄像头或音频。

Silvanovich找到Group FaceTime、Signal、Facebook Messenger、JioChat和Mocha的各种漏洞,所有这些漏洞都曾被报告过和被修复过。

Silvanovich表示,“在未经用户同意的情况下就可以打开别人的摄像头并拍几张照片,能够这样做相当令人担忧。”

2、开源社区需要聚焦安全而且要快

开源模式就本质而言其设置并非是为了生成完全安全的代码。开源模式下某个项目可能数以百万计的贡献者来自世界各地,用到的重要软件工具资源可自由使用,而且项目维护者名册不断变化,这时,安全问题很容易被忽视。

问题是,威胁者也知道这一点,他们正在利用这一点进行获利。2017年的Equifax漏洞泄露了1.47亿人的个人信息,原因是Apache Struts一个未打补丁的开源版本漏洞被利用。

威胁面涉及到开发人员使用的工具以及他们存储这些工具的地方。去年12月曾报道过两个恶意软件包被发布到NPM网站,NPM网站是JavaScript开发人员用来分享代码块的代码库。此外,GitGuardian的一项分析仅在2020年就找到200万个“未公开”密码以及存储在公共Git存储库的识别凭证。

NCC集团高级副总裁兼全球研究主管Jennifer Fernick表示,“事情并没有变得好一些,再加上应用程序的复杂性也在增加。上报的开源软件漏洞数量每年都在增长。如果不认真地进行协调干预,我认为情况会越来越糟。”

3、DNS即服务为进入企业网络创造了开放高速公路

业界了解到域名系统(英文缩写为DNS)中的漏洞有一段时间,但一个安全研究小组最近进行的简单实验却发现了令人不安的结果。

DNS使得IP网络(互联网属IP网络的一种)上计算机之间可以更简便地进行通信,这是DNS开放互联网背后的一项基础技术。DNS服务现在被各种云供应商大量使用,有些云供应商提供DNSaaS(DNS即服务)的管理企业网络解决方案。

Wiz.io的安全研究人员Shir Tamari和Ami Luttwak发现了存在的问题,有心者可以注册一个域名,然后用它来劫持DNSaaS供应商的域名服务器,如此一个用户就可以窃听动态DNS流量。二位研究人员成功使用一个被劫持的服务器窃听了15,000个组织的DNS流量。

据Tamari和Luttwak表示,六个主要DNSaaS供应商其中的两个已经修复了这些漏洞。

Luttwak表示,“DNS是互联网的命脉,是最重要的服务之一。而我们只是简单地注册一个域名就可以访问成千上万的公司和数百万计设备的DNS流量。我们深入调查后发现,DNS流量来自财富500强公司和100多个政府机构。”

4、GPT-3的高级文本功能成了虚假信息行为者津津乐道的工具

GPT-3是OpenAI开发的一个高级项目,GPT-3可生成类似人类写作的内容,GPT-3这个功能非常强大、令人真假难辨,而且据乔治敦大学的两位安全研究人员的说法,可能非常危险。

GPT-3人工智能文本生成器是有史以来最大的神经网络,只要提供一个文本提示或一个句子,GPT-3就可以返回完全通顺的文本段落。GPT-3还可以生成有效的计算机代码,GPT-3甚至还写了一篇关于自己的、包含了高度信息的博文。哪里可能出岔子呢?

乔治敦大学安全和新兴技术中心的研究分析员Drew Lohn和 Micah Musser成功从OpenAI申请到这个自动语言工具的使用。他们要在六个月的时间内了解GPT-3能够造成什么样的危害。

二位研究人员利用不同的对照组测试了关于政治或社会问题的多个样本,目的是看读者是否能区分人类和机器所写的内容的区别。GPT-3将美联社的两篇正当的新闻报道改写成支持唐纳德-特朗普或反对前总统的文章,一个专家小组无法哪是原稿哪是GTP-3改写过的文章。

二位研究人员指出,GPT-3特别擅长读取少少的几条指令生成推文,GPT-3的速度和准确性令其有可能利用一个社交媒体账户传播出大量的信息。

Lohn表示,“我不确定其影响是否得到足够的重视以及被深究过。这些技术可以带来很多潜在的好处。我们需要对这类决定进行讨论。”

5、黑客也是勒索软件攻击的受害者

随着时间的推移,网络安全界现在开始对民族国家的黑客使用的方法和操作方式有了更清晰的认识,也对他们的问题有了更清晰的认识。

IBM公司X-Force的安全研究人员一直在分析IBM威胁集团18(ITG18)的漏洞,ITG18在网络安全领域与名为Charming Kitten的伊朗网络战组织有重叠。ITG18与其他民族国家的黑客行动不同的是,其他民族国家的黑客都尽量保持在公众视线之外,ITG18在方面一直非常宽松,而且似乎并不特别担心这个问题。

ITG18组织一直对制药公司、记者以及伊朗持不同政见者的网络进行钓鱼攻击,ITG18发布过一套培训视频,IBM研究人员在去年五月发现了该视频。该视频提供了如何测试访问以及如何从被攻击账户收集数据的教程,视频暴露了与该组织成员伊朗电话号码相关的网站信息。这批资料显示,这些黑客在解决验证码方面遇到了问题,另外,视频提供的一些证据表明,他们也和我们中的许多人一样曾因安全性差而成为勒索软件攻击的受害者。

IBM Security X-Force的分析师Allison Wickoff表示,“在过去的18个月里,我们不断见到这个团体的错误。我们觉得,调转一下剧本看到对手人性化的一面也是很好的事情。”

本文章选自《数字化转型方略》杂志,阅读更多杂志内容,请扫描下方二维码

《数字化转型方略》杂志