守卫者: 身陷网络围城

原文地址:The defenders: Inside an online siege

2011年3月5日,10:59:59

剩余时间:00:50:00

这里是英格兰西部城市布里斯托尔。在一个没有窗户的安静会堂里,Lucy Robson与她的团队伏在他们的电脑前面,头顶上一个巨大时钟开始倒数记秒。在片刻之内,敌人将发起攻击,但是这帮坏人不走房门。

Robson正在参加由布里斯托尔的惠普实验室主办的英国网络安全挑战赛的决赛。参赛者大多为青少年与编程爱好者,在网络安全行业以外挑选而来。挑 战赛旨于发掘那些有技能的新生代,来与网络王国最黑暗的元素作战——包括夺取政府秘密的黑客、有意引发混乱的匿名活动者,以及窃取信用卡的罪犯。

这个领域需要新鲜血液,因为威胁的性质发生了变化。“五到十年前,你面对的,可能只是一个想涂改网页的聪明孩子,”惠普实验室Martin Sadler说。这种简单的攻击相对比较容易被阻拦,但是好日子一去不复返。我们来看看今年早些时候攻破了索尼PSN(PlayStation Network)的那帮黑客们。他们突破了突破世界最大的电子产品公司之一的安全设施,轻易地盗取了超过1亿人的姓名、地址,也许还得到了他们的信用卡号 码。索尼还没怎么从这个事件中恢复过来,上星期公司又遭到了攻击,这无疑是雪上加霜。

黑客们不再单以破坏为动机,他们的目的是大笔的金钱。隶属于政府的网络安全与信息保险办公室表示,仅网络犯罪一项 —— 包括被窃取的信用卡号和工业间谍活动 —— 每年要使英国损失270亿英镑。在世界的其他地方这个情况大同小异。

与此同时,新形式的非法在线行动主义成长了起来,以一个被称为“匿名”的集团为首,他们以使网站瘫痪、公布秘密为乐。“‘匿名’不是一个具体的组 织,你无法去逮捕他们, ”比赛裁判之一解释道。这个名称标志着一个不断变化的非正式的会籍,活跃时间可能是一年,也可能是三小时。“这就是一个今天想当坏蛋的银行经理,”他说, “你不能在大街上给人当面一拳,但是在网上你可以。”

当这些坏家伙的多样性、动机和敏锐度都以几何级数增长,防御者就需要努力跟上。单纯靠技术的敏锐性已经不够了,现在的专业网络安全人士急需“更上一层楼”。这场网络安全挑战赛,如果不是一个绝望的反击,也是一个必需的行动。

去年,约4000个以得到网络安全冠军为目标的人参加了比赛,在一系列严峻的初赛之后,今天只剩下30人。优胜者将参加昂贵的培训课程与实习。但是 真正的获益者可能是那些赞助商,包括安全公司Sophos,安全设施承建者Qinetiq,与英国政府下属防御科学与技术实验室,他们也藉此初步考察未来 的人才。

早些时候,参赛者们从一间假想的名叫Metal Box Company的制造公司的CEO和董事会得到了行动命令。今天的任务是巩固公司的网站与网络的安全。这些决赛者们被分到了不同的队伍,队名如Enigma,Turing,Bombe。

(译注:二战时期,德军所用密码机叫Enigma,号称坚不可摧,盟军为了破译Enigma,由英国密码局(40局)组织数学家和密码学家在布莱切 利庄园里展开工作,其中的关键人物就是图灵(Turing)。最后发明出来一台机器,可以自动化Enigma的破译,这台机器就叫作Bombe。)。

他们即将开始第一天的考验中的第一项。第一天的项目将测试他们的技术能力、人际交往能力以及团队合作精神。之后,裁判们将颁发两个奖项,一个给优胜 队伍,一个给最佳个人。竞争者中包括一个专业演员,一个留及肩长发的极客小子,一个来自北英格兰的邮递员和比赛中唯一的女孩,Enigma队伍中的17岁 的Robson。

通过阅读维基百科和用在超市兼职的收入买的教科书,Robson自学了网络安全。“如果它会对我产生影响,我想知道它是怎样运作的,”她说。她与父 母住在Cromer,英格兰东海岸上的一个小镇,父亲是地毯修补工,母亲是认证的特许会计师。“你一定不要忘了‘认证的特许的’这个细节,这很重 要,”Robson吩咐道。她说话让人感觉她在处理每一个即将出现的单词。她深色的卷发落在一件灰色套装的领子和一条很潮的围巾上。其余参与者的打扮都是 牛仔裤T恤。

Robson与两个她在一个暑期计算机学校认识的朋友一起参加了这次比赛。在预赛中,他们的队伍脱颖而出,找出了一个家用电脑上伪装得很好的漏洞。 “因为Lucy我们才到了那一步,”她的朋友Stuart Rennie说,“她让人惊叹。”但是今天,Rennie被分到了Bombe队,将与Robson对抗。

现在是早上11点,攻击即将开始。任务是识别并且防御那些想闯入Metal Box Company计算机系统的入侵者。所有队伍被聚集在会场的一角,相互用隔板隔离。电线从笔记本电脑延伸出来,消失于附近一张桌子下面的三角形接线板,来 自于布里斯托尔的安全公司Cassidian的Andrew Laird,就在那张桌子上领导着游戏控制者们协调游戏。这次练习在一个叫作Hotsim(Hands on Training Simulator)的Cassidian创建的软件模拟器上进行,这个模拟器非常健壮,曾用于巴西与芬兰军方的网络安全训练。Hotsim能生成在一个 大公司里可以预期的日常网络流量,例如员工浏览英特网、即时消息和电邮交换,这些队伍的笔记本电脑屏幕显示的内容反映出一个IT安全团队在真实情况下所看 到的东西.

竞争队伍使用一些显示员工活动的标准软件,一个侵害监测系统和一个防火墙来监视虚拟流量,在其中寻找着入侵的信号。一个熟练的网络防御者知道怎样编写这些工具来发现并阻止威胁。如果参赛者可以灵活使用上面所列的三种工具,他们就有能力预防入侵。

然而Enigma队开局不利。现在离第一个麻烦的信号——敌人发起的“端口扫描”——只有几分钟了。端口是通往网络的路。设想一个城市中的干线道路 系统,提供了成百上千为不同种类的交通工具以及不同目的地铺设的道路。同样的,一个网络也有几千条运输信息的道路,叫作端口。根据协定,互联网浏览流量从 80端口进入服务器。电邮从25端口发出。潜在入侵者会扫描上千个端口,试图凭此发现网络安全的弱点。这就是眼下发生的事,但Enigma队在最初巩固周 边安全的时候,不论是Robson还是Enigma队里的其他人都没有注意到。

负责监视网络路由上的流量的人是Tony Shannon,一个结实、自信,眉毛上穿孔的28岁年轻人。在IT界打拼了几年之后,他回到了诺丁汉特伦特大学学习计算机安全。Shannon的风格与 Robson完全不同。他决定通过夸张说话方式来给裁判们留下深刻印象。“欧耶,我们太菜了,”他发表道,事情这时出现了失败的迹象。“我们正像一把廉价 椅子一样垮下去。”队伍现在的确在攻击面前垮下去。比起之前的大话,Shannon到现在还没做出什么贡献。他的声音中流露出焦虑。

剩余时间:00:31:20

在20分钟之内,Metal Box Company的网页被黑了。主页被换成了一条信息:Pwned by /b,紧随其后的是一长串拉丁文。网上流传着这么一句话:当你被pwned时,你就被征服了。

Enigma队修复了主页,但是他们缺少关键信息:如果他们无法弄明白攻击者是怎么进来的,这个修复就仅仅是暂时的。进一步的研究显示黑客们用的是 一个叫做SQL注入漏洞的方法。SQL是一种用于网页的从数据库提取信息的语言。很多在线零售商利用这种数据库来进行库存信息和客户信息的实时更新。 SQL自动化了信息的提取,并且简化了网站设计者的任务。但如果网页设计得不好,黑客可以利用SQL窃取网站本身信息。想想那些你在网站上填过的包含名 字、地址和信用卡信息的表格:任取其一都可能是一扇通往网站内部圣所的门。

Enigma队怀疑攻击者通过发送冒充询问数据库的恶意代码,从某一个表格进入了系统。然后这个粗制滥造的Metal Box Company网页无法阻止这个询问。这使黑客可以强制网站给出那些应该被隐藏的数据库信息。这也许是攻击者怎样盗取了密码并用其涂改了网页的原因。

剩余时间:00:13:19

事态变得严重了。之前,攻击者还只做了些简单的破坏,但现在入侵Metal Box的黑客释放了一个恶意软件,目标是猎取密码,财务报表和敏感个人信息。这些信息可以被恶意软件出人意料的简单地找到。一封标题有“机密”这个词的电 邮或者文档,Laird说,“就像是带着一个‘嘿,我很有意思’的标记”。

猎物锁定,恶意软件开始把文件切割成小段并进行加密。为了不被发现,恶意软件把这些碎片隐藏于被认为是DNS询问的消息中。一般情况下,一旦有人连 接外部服务器,这些询问就会被发送出去。当你搜索——比如newscientist.com——时,你的浏览器会发送一个请求给那个可以把文字网络地址翻 译成真正的IP地址的服务器,因为真正的IP地址仅由数字组成,又长又不好记。因为这些询问组成了内网寻常网络流量的一大部分,所以很容易在其中隐藏一些 额外的信息字节而不被怀疑。恶意软件因此可以轻易地在大量的通向外界的DNS询问中传送这些加密的数据片。一旦这些数据片被走私到网络之外,攻击者就可以 在目的地简单地把它们重新组合起来。这种攻击被成为“DNS渗漏”。

美国政府估计,数据渗漏导致了政府部级与局级的网络流失了多于20TB的信息,但是因为窃贼加密了他们所偷盗的内容,所以很难说清到底流失了什么。“他们不知道它是什么,也不知道它去了哪,”Laird说。这是完美犯罪。

Enigma队没能侦察到这次破坏,Metal Box Campany正在向外泄露信息:多于2000份文档离开了网络。Robson,通常很平静,看上去很烦恼与疲惫,使劲地记录着攻击的细节,其他人则在试 图追查正在发生的事。这件不通风的屋子封闭得让人恐惧,充斥着各支队伍的喊叫声,还弥漫着一股紧张的汗水味道。这时队伍发现了DNS盗窃,但已为时过晚。

剩余时间:00:02:58

Hotsim攻击者封堵了公司员工进入个人账户的通道,包括安全小组的。如果你曾经3次输错密码把你的账户暂时封锁了,你就知道这是怎么回事了。这个攻击一般是后续攻击即将上演的前奏,但是今天应该就到此为止了。

“把手从键盘上拿开”,游戏控制者Laird说。每支队伍都倒回了他们的椅子。他们看上去有些茫然。“我头很痛”,Robson说。Shannon注视着那只钟。

Robson,Shannon还有其他人初次体验了好人们在做的对抗。在全世界,网络安全专家们正被包围。他们不知道下一轮攻击将在什么时候,以什么理由展开。

2011年3月6日,13:30:00

在布里斯托尔的一处爱好者会所举办的颁奖仪式午餐上,组织者即将宣布优胜者。这是一个春寒料峭的星期天,阳光在餐具和酒杯上熠熠发光。

Enigma队没有赢得大奖。大奖颁发给了Bombe队,其中包括了竞赛优胜者,Dan Summers,那个邮递员。但是Enigma队心情不错。

登上领奖台,Robson凭在预赛阶段的出色表现,得到了一项奖励——在Qinetiq的实习机会。甚至Shannon也情绪不错,因为他也赢得了 一项培训课程。“我今晚睡着了就不笑了,”他说。大厅中的典礼即将接近尾声,Robson走到外面,在手机上发起了信息。来年,她将进入大学学习计算机, 抑或休学一年。

与此同时,某人,某地正在加入巨大的缆线网络,处理器和服务器在这颗星球上交汇错织。他们不怀好意。

虚拟的犯罪,真实的世界

现在是2020年,你为了避免主干道上的拥堵来到了一个不熟悉的街区,迷路了。但是你一点都不担心,因为有上亿个为了防止交通混乱的植入于道路的传 感器,你的车载导航系统可以根据它们提供的信息绘制清晰的道路图,使你免于迷路。但是你能信任你的卫星导航系统么?如果黑客攻破了一个网站,他们也可以让 这个传感器网络瘫痪并且导致全城范围的故障,恶意误导你的车,比如说让你去往他们埋伏好的地方来抢劫你。

如果上面这个情节看上去不大可能,设想一下上亿个由网络连接在一起的传感器将很快被植入到我们的城市与财产之中,产生一股有关于你和你周围的一切的信息流。上吉兆的敏感信息将在这个覆盖全球的相互连接的持续被监控的物品组成的网络——“物联网”——中流通。

“这个传感器世界将带来新的问题”,布里斯托尔惠普实验室的Martin Sadler说。很明显的,它将需要一类全新的守夜人来保护它不落入坏人手中,他说,现在是培训下一代网络安全防御者的时候了。

Richard Fisher,《新科学家》科技栏目编辑

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s