(转载)那些年你“听不懂”的安全名词
也许你已经对网络钓鱼耳熟能详了,也许你也遇到过一些勒索软件或者病毒的攻击。但catfishing是什么?水坑攻击为什么叫水坑攻击?51%攻击又是什么?边信道攻击可以预防么?近几年,各种攻击层出不穷,名字也千奇百怪。本文中,笔者就来说说几个比较好玩的安全名词。也许不够全面,欢迎补充。
鱼叉式网络钓鱼指的是一种源于亚洲与东欧,只针对特定目标进行攻击的网络钓鱼攻击。
由于鱼叉式网络钓鱼攻击的目标一般而言并非普通个人,而是特定公司、组织之成员,因此被窃取的也并非一般的个人资料,而是其他高度敏感性资料,如知识产权及商业机密等。鱼叉式钓鱼的发起者很多时候是政府资助的黑客和黑客活动分子。还有人利用鱼叉式钓鱼向政府和私私营企业转售机密数据。他们针对不同人设计不同的方法和社会工程技术,有效地将钓鱼消息和钓鱼网站做得个性化,更易于骗取信任。因此,即便是组织内部的高层管理人员也有可能被欺骗去打开他们认为安全的邮件而被钓鱼。网络犯罪分子借此可以窃取所需的数据,进一步攻击目标人士所在的网络。
鱼叉式钓鱼具有定制化、精准化的特性,传统的安全措施通常无法阻止这些攻击。因此,鱼叉式钓鱼越来越难以被检测到。一个员工失手点击了钓鱼邮件,可能会对企业、政府乃至非营利组织带来严重后果。利用窃取到的数据,欺诈者可以透露商业敏感信息、操纵股票价格或进行各种间谍活动。此外,鱼叉式钓鱼攻击还可以部署恶意软件来劫持计算机,将该计算机所在的网络变成可用于DoS的庞大僵尸网络。
要想避免鱼叉式钓鱼的攻击,各公司应当为员工提供教育,科普鱼叉式钓鱼攻击的严重后果并提升员工安全意识。此外,还有必要使用更高级技术保护电子邮件安全。
Catfishing是另外一种特殊的网络钓鱼攻击方式,主要针对的是利用社交网站交友、婚恋的人群。攻击者在社交网站上创建虚假个人资料,欺骗交友者,进而骗财骗色骗感情,甚至窃取个人信息进行更多恶意活动。
同形异义字攻击自2001年以来就已为人所知,但是浏览器厂商修复该问题的过程却很艰难。这种欺骗攻击就是网址看起来是合法的,但实际上不是,因为其中的一个字符或者多个字符已经被Unicode字符代替了。在默认情况下,许多web浏览器使用“Punycode”编码来表示URL中的Unicode字符,以防止同形异义字钓鱼攻击。Punycode是浏览器使用的特殊编码系统,可以将古希腊语等无法使用ASCII(美国信息交换标准代码)表达的字符转换为可以用ASCII表达的字符。例如,ΓΝΩΘΙΣΕΑΥΤΟΝ(“knowyourself”)转译程ASCII字符就变成这样:xn--mxadglfwep7amk6b。
而PunycodePhishing所依赖的基础则是:浏览器只将单一语言采用的Unicode编码转换为PonycodeURL(比如汉语或者日语),但是如果一个域名当中包含来自多个语言的字符,浏览器就无法分辨了。因此,攻击者就可以利用这个特点,发起PunycodePhishing。例如罗马字母中的I,E,A,Y,T,O等与希腊字母、西里尔字母的外形一样,它们会被浏览器处理成不同的字符,但是最终在地址栏里显示的结果却是一样的。
当时,研究人员利用Punycode的上出特点注册了域名,进行攻击演示,最后发现Chrome、Firefox和Opera浏览器都中招。这些浏览器在收到漏洞预警后先后都进行了修复。同时也提醒用户在手动输入重要网站URL时(包括Gmail、Facebook、Twitter、Yahoo及银行网站)不要点击某些网站或者邮件当中的上述网站链接,以免遭受类似钓鱼攻击。
钓鱼攻击在网络攻击中实在太常见,以至于衍生出不同种类、区分特别细致的多种比较特别的钓鱼攻击。在BlackHatUSA2017大会上,有研究人员分析了网络钓鱼中的心理学原理,最后得出的结论是,不论一个人自身技术水平有多高,都难免受到钓鱼攻击的影响,因为钓鱼攻击深深利用了人们的心理和思维弱点。不得不说,这真的有些悲观。
水坑攻击时一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
早在2012年,国外就有研究人员提出了“水坑攻击”的概念。这种攻击方式的命名受狮子等猛兽的狩猎方式启发。在捕猎时,狮子并不总是会主动出击,他们有时会埋伏水坑边上,等目标路过水坑停下来喝水的时候,就抓住时机展开攻击。这样的攻击成功率就很高,因为目标总是要到水坑“喝水”的。
水坑攻击主要呈现出两个特征:
1.多属于APT攻击,目标多为是大型、重要企业的员工或网站;
2.多利用0-day漏洞。
水坑攻击的案例不时会有出现。2012年底,美国外交关系委员会的网站遭遇水坑攻击;2013年初,苹果、微软、纽约时报、Facebook、Twitter等知名大流量网站也相继中招。国内网站也难以幸免:2013年,西藏政府网站遭遇水坑攻击;2015年,百度、阿里等国内知名网站也因为JSONP漏洞而遭受水坑攻击。
路过式下载(Drive-bydownload)常常用于网络攻击。大多指不希望用户知晓、暗中进行的下载行为。在网络攻击中,路过式下载会在用户不知道的情况下,下载间谍软件、计算机病毒等恶意软件。当用户访问一个网站、阅读一封电子邮件、或者点击一个欺骗性弹窗的时候,都有可能触发路过式下载。
路过式下载攻击通常会利用老旧的或者有漏洞的浏览器、APP或操作系统。下载的初始恶意代码通常较小,不容易被注意到。下载之后,这种体积较小的代码会连接到其他电脑上,再继续将剩下的代码下载到手机、平板或计算机上。遭受路过式下载攻击的网页中通常包含多种不同类型的恶意代码,这样,代码利用计算机漏洞的可能性会高一些。
1.及时更新浏览器和操作系统;
2.使用安全搜索引擎,安全搜索引擎在你不小心访问恶意网站时会给出警告;
3.安装功能较为全面的安全软件,并及时更新。
误植域名也叫做URL劫持、假URL等,是一种域名抢注的形式,常常会造成品牌劫持。这种劫持的方式通常有赖于用户在浏览器中输入网址时,犯下诸如错误拼写等错误。用户一旦不小心输入了一个错误的网址,便有可能被导向任何一个其他的网址(例如一个域名抢注者运营的网站等)。
域名抢注者的网址通常以下列五种形式出现,通常都与被仿造的网址类似(以Example.com为例):
目标网站网址的常见的拼写错误,或其外语拼写方式:exemple.com
一个拼写错误:examlpe.com
用词不同的域名:examples.com
一个不同的顶级域名:example.org
对于国家和地区顶级域名的滥用:用.cm来注册example.cm,或者.co来注册example.co。用户如果没有输入.com中的“o”或者“m”就会被导向假URL所在的网站。
在域名抢注者所注册的网站里,用户也有可能被类似的网页标志、网页排版或网站内容所欺骗,以为自己在正确的网站中。
隐写术是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容。
隐写术的关键是真正要传递的信息不会随便被识别出来。事实上,如果一个人不是预期接受者,他甚至不会怀疑一条消息中隐含有其他意思。隐写术与加密(cryptography)的区别在于:在加密技术中,他人可能知道一条信息被加密了,但是如果没有正确的密钥就无法解密;而在隐写术中,消息本身不难解密,但是很多人并不一定会注意到加密信息的存在。如果将隐写术和加密技术结合在一起,就可以为信息提供双重安全保障。
另一种隐写方式是替换式密码。例如,一个人可以将隐秘信息隐藏在一段话中,如果每10个词都分隔一下,就可以查出隐藏的信息。但隐藏信息的段落本身意义不会遭到怀疑。本来这是诗人作家钟爱的一种协作技巧,但近些年也有黑客利用这种技术进行信息传递。据说当年本拉登也使用过隐写术向各个恐怖组织发送消息。
在网络攻击中,黑客常常使用图片进行隐写,将恶意程序隐藏在图片文件中,并采用多种方法躲避杀毒软件。
1977年,惠特菲尔德·迪菲(Diffie)与马丁·赫尔曼(Hellman)提出了这个概念。
攻击者必须能够以两种独立的方式计算相同中间变量(中间)的可能值,要么从密码输入(明文)开始算,要么从或密码输出输出(密文)开始算。攻击者会以每种方式计算一些可能的值,并对结果进行比较。中途相遇攻击是一种已知的明文攻击攻击者必须获取或猜出他所拥有的匹配密文的一个明文块。
维基百科上关于中途相遇攻击的解释
如果两个块密码加密连续使用不同的密钥,以试图变得更加安全,此时中途相遇攻击便可以适用。不论是使用两个不同的密码还是两次使用相同的密码,这都无关紧要。因为这两种情况都容易受到中途相遇攻击,因为两种情况下都有两个独立的密钥。这种情况下的安全情况几乎难以保障,双重密码的强度并不比单一密码的强度强。
尤为值得一提的是,这种技术不需要交互,用到了如恶意AP、伪基站或者网络中本地用户攻击的近场攻击方式。比如让目标设备连接恶意WiFi热点,DHCP配置会推送规则,让恶意AP进行IP分配,将流量导向恶意站点。这其中组合了DNS劫持、包注入、eviltwin、恶意路由器或ISP等。信息和用户数据可轻易存储,恶意文件可远程植入,控制被入侵的设备。这种技术之所以叫做DitM,就是因为发动攻击的工具可以是一只狗,在他身上放上智能手机和无线网络适配器就能搞定。
以下是演示视频:
边信道攻击中重要的两点是:1、边信道的信息与信道内的信息相互有关联;2、通过边信道的信息可以推断出信道内隐含的关键信息。常见的边信道攻击类型有:时序攻击(TimingAttacks)、简单功耗分析攻击(SimplePowerAnalysisattacks,SPA)、差分功耗分析攻击(DifferentialPowerAnalysisattacks,DPA)以及错误攻击(FaultAttack)等。
俗话说道高一尺,魔高一丈。人们通常会把存储机密信息或者承载关键设备运行的系统进行物理隔离来确保安全,避开边信道攻击。而攻击者却能够想到各种方法去破解。有人利用风扇或硬盘的噪音来将信息发送到附近的智能手机,有人利用恶意USB装置加上社工手段进行攻击,还有研究显示,硬盘的LED灯也可以被黑客利用,通过恶意程序控制LED指示灯闪烁二进制的信号,进而传递密码、密钥和文件。
51%攻击主要是指区块链技术(主要是比特币)中出现的一种攻击方式。
51%攻击只要是指利用比特币使用算力作为竞争条件的特点,使用算力优势撤销自己已经发生的付款交易。如果有人掌握了50%以上的算力,他能够比其他人更快地找到开采区块所需要的随机数,因此他实际上拥有了那个区块的有效权利。
利用51%攻击,攻击者可以做到:
1、修改自己的交易记录,这可以使他进行双重支付
2、阻止区块确认部分或者全部交易
3、阻止部分或全部矿工开采到任何有效的区块
4、他们还可以撤销自己控制对网络期间发生的交易,达成双重支付。
利用比特币发动51%攻击,首先就要掌握足够的算力,不论是控制矿池还是利用其他资源,都必须使自己的算力领先于网络总算力,这样才有可能成功;其次,要拿到足够的比特币作为筹码。
比特币和其他加密货币都基于区块链系统,也可以称为分布式账本。这些数字文件记录了每个在一个加密货币网络上进行的交易,并且可供所有用户查看,这意味着没有人能将硬币花费两次,如果伪造货币进行支付,这会将迅速摧毁对该货币价值的信任。
虽然51%攻击目前还只是理论上的假设,不过在现实中还是有一定的可行性。特别是随着矿池兴起的当下。尽管攻击者的潜在威胁并不大,我们也应该考虑到这种针对区块链系统的安全威胁的存在并寻找解决策略。
通过对微软的BitLocker及苹果的FileVault等加密程序进行研究,他们发现计算机的暂存内存芯片(DRAM)存在物理漏洞,即使计算机关机后,内存保存的资料,包括加密程序的安全锁和口令仍未消失,最长可能达数分钟之久,黑客就可借这个空隙做手脚。
只要以液态氮(摄氏-196度)冷冻计算机芯片,即使电源已中断,内存仍可保持状态至少数小时。然后将芯片安装回计算机,就可读取里面的资料。
因为冷冻内存需要对计算机物理访问,还需要一定的技术条件,比较麻烦,因此这种攻击方法似乎比较少用。
敲诈者木马这个词在国内安全圈较为常用,主要指一种旨在敲诈勒索钱财的木马。这类木马嵌入在互联网的一些免费软件中,用户下载运行后就会诱发病毒。敲诈者木马主要通过Office文档以及Powershell、js、vb、JAR、CHM等文件格式传播。病毒触发后,敲诈者木马会在中毒电脑上搜索word、excel、RAR、ZIP等格式的文件,然后把这些文件经过技术处理隐藏起来。再次开机时,病毒会弹出提示,如“文件已经加密,需要支付一定金额的比特币才能解密”等,继而要求受害者向指定账户汇款,以解锁计算机、找回数据。
这类木马程序运行时,还会试图终止除主要系统进程之外其他正在运行的进程。如果计算机系统中装有反病毒软件和一些病毒分析工具,木马也会将其进程终止,以达到保护自己的目的。
专家表示,最早的敲诈木马可以追溯到1989年的“PCCyborg”,但随着加密算法的完善,当前的敲诈木马已与之前大不相同,主要以高强度密码学算法加密受害者电脑上的文件,并要求其支付赎金以换取文件解密为主,因此在部分场合也被称为密锁类木马。除此之外,近年来在Android手机上也逐渐流行一种锁屏类敲诈木马,这类木马同样是通过锁定受害者手机屏幕,使受害者无法正常使用手机,借机进行敲诈。
知名的WannaCry其实也属于敲诈者木马的变种。前不久,360安全团队的成员还发现了一种用Python写成的MCR乐队敲诈者木马。这表明,敲诈者木马在现在也仍然活跃,而活跃的主要原因则是其极强的破坏力和直接且丰厚的财富回报。
在计算机安全领域,肩窥(shouldersurfing)指使用直接的观察技术,站在别人身后、越过肩膀探看别人操作进而获取信息的做法。在拥挤的地方,肩窥是一种获取信息的有效方法,因为当别人填表、在ATM机或POS机上输入PIN码、甚至在地铁等公共场合用手机或电脑打字发消息时,比较容易站在旁边观察。肩窥(shouldersurfing)也可以通过使用双筒望远镜或者其它视觉增强设备来实现远距离观察。为了防止肩窥,专家建议使用身体或者将手握成杯状来遮挡文件或键区。
笔者不得不说,这种获取信息的方法实在是很原始、很社会,墙都不扶就服这个了。在人人都是手机控、低头党的今天,走路上不小心一转头就可能实施了一次“肩窥”攻击了啊~广大网友走路还是长点儿心哦。
有趣的是,在社交媒体中,“肩窥”还有另一层意思:在聚会上,你正跟一个人说着话,而对方似乎对你们的谈话并没有兴趣,所以眼神越过你的肩膀,试图搜寻别的更有趣或对其更有吸引力的聊天对象。人们把这种情况也叫做“肩窥(shouldersurfing)”。