你的Safari浏览器被“锁”了吗?千万别付赎金,升级iOS 10.3即可

前两天苹果发布了最新的iOS 10.3更新,这次更新修复了不少安全问题,其中包括对移动端Safari对JavaScript弹出窗口的处理方式的改变。前不久,Lookout发现攻击者正在利用这种处理方式对苹果用户实施勒索,其目标主要是那些在网上找色情内容,和想要非法下载盗版音乐和其他敏感信息的人。你中招了吗?

“漏洞”说明

在本次攻击中,诈骗分子滥用了移动端Safari的弹窗处理方式,通过反复弹窗,让用户无法使用Safari浏览器,除非该用户以iTunes礼品卡的形式向诈骗分子支付赎金。诈骗分子通过这种方式成功“锁定”一个Safari浏览器之后,还会给用户提示各种威胁、恐吓的勒索信息。

不过这种“勒索”程序其实很容易“解锁”,只需要在iOS设置中将Safari浏览器的缓存删除即可。诈骗者其实根本没有向一般的勒索程序那样加密数据,他们的目的就是恐吓受害者支付赎金。

Lookout上个月首次发现这种攻击,他们将发现的相关细节上报给了苹果,包括涉及诈骗活动的多个网站和攻击原理,并强调了经常更新手机服务的重要性。

首次发现

就在今年2月,一位使用iOS 10.2的用户向Lookout反应,他在使用Safari浏览器访问某家网站之后,Safari就彻底失控了,并发给Lookout两张截图。截图有两部分内容,最直观的就是一条来自pay-police.com网站的提示信息“Cannot Open Page”,据受害者反应,他每次点“OK”之后还是提示“Cannot Open Page”,显然网址日志陷入了无限循环,结果就是用户无法正常使用浏览器。还有一部分就是背景部分的勒索信息。

Screen-Shot-2017-03-27-at-3.19.19-PM (1).png

“你的设备已经被锁…”以及“…快支付价值100磅的iTunes礼品卡”,威胁用户支付赎金

移动端Safari弹窗的弊端

如前文所述,攻击者就是利用Safari针对弹窗的处理方式来欺骗受害者,声称“你的Safari已经被我锁了”,并向受害者索要赎金。这种攻击方式并没有突破Safari浏览器的应用沙盒,也没有利用什么exploit代码——这和那些复杂攻击方式完全不是一个层级。

攻击者注册类似police-pay这样的域名,其实是为那些整天找“特定类型内容”的用户准备的,这里的特定类型可能是色情内容,当然也有可能是盗版音乐网站。为了更高效地拿到赎金,他们恐吓受害者以明确的物品来充当赎金,就比如等值iTunes礼品卡。

经分析,诈骗分子的攻击代码似乎针对较老的iOS 8版本开发的,苹果直到iOS 10.3才修复了这个浏览器缺陷。其实“锁”住浏览器的就是一串触发弹窗的无限循环代码。由于iOS 10.3浏览器采用每个标签独立运行的方式,因此在iOS 10.3中单个标签弹窗不会锁住整个浏览器,用户可关闭该标签或移动到另一标签解决被无限弹窗的问题。

快速修复

在获取iOS 10.3更新之前,受害者还可以通过以下方法解“锁”,设置>Safari>清除历史和网页数据;再次启动Safari的时候,勒索消息就消失了。

image00-576x1024.jpg

调查勒索行为

从下面这条指令可以看出,此次攻击利用JavaScript代码是对早期攻击的再利用。

“saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29”

一家俄罗斯网站上曾介绍过这种攻击,JavaScript中包含一些专门将UserAgent string匹配到老版本iOS的代码。

“’Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’”

攻击代码会创建一个弹窗,并无限循环,除非受害者支付赎金。赎金支付可以通过将iTunes礼品卡号发给勒索网页显示的电话号码完成。后续版本的iOS系统中,弹出错误窗口对话框实际上是因为移动版Safari无法找到本次URL查询,不过由于无限循环代码,攻击代码还是会持续弹出错误日志信息。值得一提的是,JavaScript代码被混淆,在分析员的还原之下,发现了它的真实目的。比如,在pay-police[.]com域名的JavaScript代码中,攻击者以十六进制混淆了他的攻击代码。

这种攻击在新版本的iOS中可能会导致浏览器DOS(拒绝服务)。

image03.png

在执行混淆代码之前该网页代码还会运行下面这个脚本

<script type=”text/javascript”>navigator.__defineGetter__(‘userAgent’, function () { return ‘Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’; });</script>

该组织在本次勒索行动中购买了大量域名来吸引用户点进他们设好陷阱的网站,以收取更多赎金。

Lookout研究员还在下列URL中发现相同的恶意JavaScript代码

hxxp://x-ios-validation[.]com/us[.]html

hxxp://x-ios-validation[.]com/ie[.]html

hxxp://x-ios-validation[.]com/gb[.]html

hxxp://x-ios-validation[.]com/au[.]html

hxxp://x-ios-validation[.]com/nz[.]html

每个网站的勒索信息都不同,且针对的对象包括全球不同地区,每个网站各关联一个联系邮箱。可以看出这是一起针对全球范围的钓鱼活动。

各payload对应的钓鱼域名和邮箱地址

U.S.: us.html [email protected][.]com

Ireland: ie.html [email protected][.]com

UK: gb.html [email protected][.]com

Australia: au.html [email protected][.]com

New Zealand: nz.html [email protected][.]com

*参考来源:lookout,FB小编bimeover编译,转载请注明来自Freebuf.COM0day

通过BSSID和无线流量传输后门Payload

本文将探讨无线接入点(AP)和BSSID(MAC地址AP)。我们不借助文件系统加密和文件系统中(仅内存中)的硬编码Payload即可获得后门Payload,通过该方法可绕过所有的杀软,可以不使用Payload加密而在网络流量(本文中是无线流量)中传输Meterpreter Payload。

攻击者可通过为伪造AP更改BSSID(循环更改)执行此攻击,这意味着通过更改BSSID和将后门Payload逐步注入BSSID(伪造AP的MAC地址)就可以实现这一点。在客户端受感染系统(后门系统),可以在不经用户密码连接到伪造AP的情况下通过扫描AIR上的接入点MAC地址(BSSID)来转储这些Payload。因此,Payload的传输是由Wifi设备进行的,比如wlan(无线流量),在我们的例子中,通过扫描AIR上的BSSID而转储Payload后,是由Ethernet网络建立的Meterpreter会话进行(不使用Wifi /无线设备)。

因此结果是,恶意软件代码或本文中所述的简单的后门代码能以静默方式(本文中为Wlan)使用你的WIFI设备传输/转储Payload,最后可以用简单的C#代码获得meterpreter会话。

在我们的方案中,我们只在传输Payload(第1步)时使用Wifi设备,然后通过扫描Wifi设备MAC地址(BSSID)来转储这些Payload,然后我们的后门将通过eth0或以太网卡建立Meterpreter会话,因此在这个阶段(第2步),我们使用不借助WIFI设备的网络流量来建立Meterpreter会话。

注意:如果你想只通过WIFI设备实现这些(第1步和第2步),我们认为这在技术上是可行的,我们尚未对此进行测试,所以尚不确定。

这一方法的重点是什么?

重点是:恶意软件或后门Payload注入到WiFi设备的BSSID并通过无线流量传输是可以实现的。

扫描从伪造AP注入到BSSID的Payload,步骤

比如,我们要传输以下Payload:

“fec8b00011ddc00945f1”

第1:攻击者系统伪造一个名为“Fake”的接入点,MAC地址为00:fe:c8:b0:00:11

l 注意:Mac地址00:fe:c8:b0:00:11是我们注入的Payload,因此我们的Payload是“fec8b00011”

l 这部分的Payload是“fec8b00011ddc00945f1”

第2:后门系统扫描Essid“Fake”并转储BSSID

l 注意:你的后门代码应该转储这些部分的BSSID或Mac地址fe:c8:b0:00:11 ==> fec8b00011

第3:攻击者系统伪造一个名为Fake”的接入点和Mac地址00:dd:c0:09:45:f1

l 注意:Mac地址00:dd:c0:09:45:f1是我们注入的Payload,因此我们的Payload是“ddc00945f1”

l 这部分的Payload是“fec8b00011ddc00945f1

第4:后门系统扫描Essid “Fake”并转储BSSID

l 注意:你的后门代码应该转储这些部分的BSSID或Mac地址dd:c0:09:45:f1 ==> ddc00945f1

经过这两步的扫描后,你将在被感染系统(后门系统)中获得Payload fec8b00011ddc00945f1

现在你可能已了解了该方法的工作原理,下面我们将通过linux端命令作进一步说明(第1步和第3步)。

接下来是通过命令伪造AP。

可选命令:在创建Wlan0mon之前更改无线网卡的TXPower,这些命令可以帮助你伪造更好的AP信号,所以如果需要你可以手动使用该命令。

图1.png

l 注意:在通过airmon-ng创建Wlan0Mon之前应该使用这些命令,这些命令是可选的(不是必需的)

创建无线网卡的监视模式是伪造AP的重要步骤

使用命令“airmon-ng start wlan0”,你可以为Wlan0创建“Wlan0Mon”(监视模式)。

注意:你可以手动运行此命令仅一次,或者可以在script1.sh文件中使用此命令一次,如步骤(cmd 1-1)所示。我们是在攻击者端手动使用。

第1:攻击者系统伪造一个名为“Fake”的接入点和Mac地址00:fe:c8:b0:00:11

l 注意:Mac地址00:fe:c8:b0:00:11是我们注入的Payload,因此我们的Payload是“fec8b00011”

cmd1-1: airmon-ng start wlan0

l 注意:创建Wlan0Mon(监视模式)

cmd1-2: airbase-ng -a 00:fe:c8:b0:00:11 –essid “Fake”-I 10 -0 wlan0mon

l 注意:你需要让该伪造AP保持15秒,这样你可在15秒后通过killall命令在(cmd 1-2)中杀死这个命令

cmd1-3: sleep 15

cmd1-4: killall airbase-ng

第2步:(无关紧要,所以作者省略了第2步)。

第3:攻击者系统伪造一个名为“Fake”的接入点和Mac地址00:dd:c0:09:45:f1

注意:Mac地址00:dd:c0:09:45:f1是我们注入的Payload,因此我们的Payload是“ddc00945f1”

cmd3-1: airbase-ng -a 00:dd:c0:09:45:f1 –essid “Fake”-I 10 -0 wlan0mon

注意:你需要让该伪造AP保持15秒,这样你可在15秒后通过killall命令在(cmd 3-1)中杀死这个命令

cmd3-2: sleep 15

cmd3-3: killall airbase-ng

从这些步骤可以看到,我们应该使用这些命令,但对于airbase-ng我们有很大的问题。

哪里有问题?

步骤(cmd 1-2)到(cmd 1-3)有问题

在步骤(cmd 1-2)后,你不能停止该airbase-ng命令,只是使用ctrl + c或杀死这个命令,你可以将其停止。所以在我们杀死该进程一次前我们的bash脚本总是停在步骤:(cmd 1-2)。

为解决该问题,我们的解决方案是为这些步骤使用2个bash脚本文件:

l 第一个是用于步骤(cmd1-2和cmd 3-1)的bash脚本文件“Script1.sh

注意:你可以在此bash脚本的第一行中添加一次步骤(cmd 1-1)或手动完成一次。我们是手动执行了(cmd 1-1)一次。

l 第二个bash脚本是步骤(cmd 1-3&cmd 1-4&cmd 3-2&cmd 3-3)的“Script2.sh

所以我们应该首先运行bash脚本“Script1.sh”,然后应该立即或2-3秒后运行bash脚本“Script2.sh”。

所以我们拥有的文件是:

Script1.sh文件:

图2.png

Script2.sh文件:

图3.png

注意:你可以在bash脚本“Script2.sh”文件中使用循环命令,比如( for )。

如图A所示,我们有用于将Meterpreter Payload注入到BSSID的script1.sh文件。

图4.png

图A

从图A中可以看到,我们的MeterpreterPayload从第3行开始。我们的Meterpreter Payload是510字节。

在这种情况下,使用airbase-ng命令,你可以向我们的名为“Fake”的伪接入的BSSID注入5字节的Payload。

因此我们应该有102行用于通过airbase-ng命令将所有Payload注入BSSID。

102 * 5= 510字节

注意:每个BSSID包含5个字节的Payload。

图5.png

在这种情况下,应将两个BSSID MAC地址添加到该script1.sh文件。

从图A中可以看到,我们的脚本的第2行有MAC地址00:ff:ff:ff:ff:ff,这个Mac地址或BSSID是启动攻击和向感染系统传输流量的标志,从图B中可以看到,该文件的结尾应该是BSSID {00:ff:00:ff:00:ff}。

图6.png

BSSID注入循环:更改BSSID(102 + 2)= 104次。

图7.png

图B

你还可以看到第二个脚本script2.sh文件,如图C所示。在这个文件中,你可以使用循环命令,比如(For),或者如图C所示操作。

图8.png

图C

在文件“script2.sh”中,你应该杀死airbase-ng至少104次。

接下来我们通过工具NativePayload_BSSID.exe逐步解释这一方法

步骤:

第0步:创建Wlan0mon(监视模式)。

语法:airmon-ng startwlan0

图9.png

第1:你可以用这个命令为你的后门创建一个Payload:

图10.png

第2:在该步骤中,你应该在payload.txt文件中将Payload的格式从“\xfc\x48\x83\xe4”替换为“fc4883e4”。

你可以使用该工具的 “帮助”来显示所有语法,如图1所示:

图11.png

图1

现在你应该复制你的Payload字符串,并通过切换NativePayload_BSSID的NULL粘贴,如图1-1所示:

图12.png

图13.png

图1-1

现在你应该将所有这些行复制到一个bash脚本,比如“script1.sh”文件。

注意:仅将airbase-ng命令行复制并粘贴到script1.sh文件

在这种情况下,这些行应该是102行+2 = 104行

如图A所示,你应该在脚本的第一行手动添加“#!/bin/bash”,因此该文件中应该有105行。

第3:在这一步,你应该在Linux端运行此Script1.sh。

更改chmod并运行此脚本,如图2所示:

图14.png

图2

第4:在这一步,你应该创建script2.sh并更改该脚本的chmod,但不需要在这一步运行该脚本,如图3所示。

图15.png

图3

l 注意:你应该如图C所示手动创建该bash脚本。

第5:在这一步,你应该运行你的后门,即NativePayload_BSSID.exe工具,从图4可以看到,我们为IP地址192-168-1-50在kali linux中创建了Meterpreter监听器,“script1.sh”成功执行。

因此第5步中的步骤有:

步骤AA:Meterpreter监听器执行(linux)

步骤BB:运行script1.sh(linux)

步骤CC:运行后门“NativePayload_BSSID.exe”(Windows)

步骤DD:运行script2.sh(linux)

步骤CC:这时候应该使用如图4所示的语法执行后门NativePayload_BSSID

图16.png

我们在script1.sh中的ESSID是“Fake”,因此正确的语法是:

图17.png

如图4所示,步骤AA、BB及CC获得执行

图18.png

图4

从图4可以看到,后门被用户“u1”执行,然后应该运行“script2.sh” (步骤DD),如图4所示。

此时后门代码尝试扫描AIR上的ESSID“Fake”,然后转储“Fake” 接入点的BSSID,因此,从图4可以看到,我们的代码转储了BSSID “00:ff:ff:ff:ff:ff”四次,该BSSID是启动攻击和传输Payload的标志。

因此我们在AIR上的步骤如下:

图19.png

接下来应该运行script2.sh(步骤DD)

每运行Script2.sh 15秒后,该脚本将从Script1.sh文件中杀掉一个Airbase-ng命令。

因此,在这一步的AIR上,在运行Script2.sh后,我们有以下步骤:

图20.png

如图5所示,我们的后门在运行“script2.sh”文件后尝试转储BSSID

图21.png

图5:通过BSSID和无线流量传输后门Payload

如图6所示,你将在30分钟后获得meterpreter会话。

图22.png

图6

可以看到,通过我们的C#代码创建了Meterpreter会话,2017版卡巴斯基杀毒软件一次又一次绕过了该方法,最终meterpreter会话成功创建。

注意:从图7可以看到,我们的代码在15秒的延迟后创建了Meterpreter会话,该延迟是由我们的代码导致的。所以,通过我们的代码检查该方法后可知,在转储所有payload后,你应该等15秒,然后你将获得Meterpreter会话。

图23.png

图7

总结

你的无线设备总有漏洞,因此你应该考虑以下威胁:

1. 恶意软件或后门Payload注入到WiFi设备的BSSID并通过无线流量传输是可以实现的。

2. 如果你想为你的客户端和网络基础设施使用WIFI设备,你应该考虑这些威胁。

3. 在该方法中,在开启无线网卡之前你的受感染的系统总是脆弱的,即使开启了无线网卡,攻击者也可能通过手机或伪造AP攻破你的客户端。

4. 在我们的例子中,我们的后门尝试扫描用于转储BSSID的ESSID(比如“Fake”),因此,该流量将以非常缓慢且静默的方式工作。

5. 你的防病毒软件无法检测到,你的LAN/WAN中的防火墙也绕过了这个,因为没有任何流量通过这些基础设施,在我们的例子中,流量是受感染系统无线网卡和AIR上攻击者系统无线网卡之间的直接流量。另外,由后门转储Payload后,我们将有从受感染系统向攻击者系统的经由LAN/WAN的Reverse_tcp Meterpreter会话(不用无线网卡),因此,我们有从后门系统向互联网或局域网中的攻击者系统的传出流量,该流量在大多数情况下不会被windows防火墙等阻止。

C#源代码:https://github.com/DamonMohammadbagher/NativePayload_BSSID

演示视频:https://youtu.be/W0dJGln3tls

参考来源:https://www.linkedin.com/pulse/transferring-backdoor-payloads-bssid-wireless-traffic-mohammadbagher?trk=mp-reader-card

咨询作者后的回复:

第二步省略.png

*本文作者:华为未然实验室,转载请注明来自Freebuf.COM0day

利用背景流量数据(contexual flow data) 识别TLS加密恶意流量

识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等。来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“dataomnia”),不需要对加密的恶意流量进行解密,就能检测到采用TLS连接的恶意程序,本文就该检测方法进行简要描述,主要参照思科在AISec’16发表的文章《IdentifyingEncrypted Malware Traffic with Contextual Flow Data》[1][2][3]。

一、 主要思想

屏幕快照 2017-03-21 下午5.42.05.png

图1 TLS加密恶意流量检测流程

首先,分析百万级的正常流量和恶意流量中TLS流、DNS流和HTTP流的不同之处,具体包括未加密的TLS握手信息、TLS流中与目的IP地址相关的DNS响应信息(如图2)、相同源IP地址5min窗口内HTTP流的头部信息;然后,选取具有明显区分度的特征集作为分类器(有监督机器学习)的输入来训练检测模型,从而识别加密的恶意流量。本方法区别于已有研究方法的地方就是利用TLS流相关背景流量信息(包括DNS响应、HTTP头部等)辅助加密恶意流量检测。

图片2.png

图2TLS流和背景DNS流量

(红色数据用于链接TLS流和DNS流、绿色数据表示背景信息、未标记颜色的数据表示TLS未加密的头部信息)

二、流量数据采集

思科研究人员自己写了一款基于libpcap的通用工具,用于分析并提取捕获到的数据流(恶意流量和正常流量)的数据特征,包含clientHello,serverHello, certificate和clien-tKeyExchange等信息。

1. ? 恶意流量

采集环境:ThreatGRID[4],一种商业的沙箱环境,提供恶意软件分析功能

采集时间:2016年1月-2016年4月

说明: 沙箱环境接受用户提交(usersubmissions),每个用户提交允许运行5min,所有的网络活动被记录用于分析。

2. ? 正常流量(DMZ区流量,本文认为该区域包含少量的恶意流量)

采集环境:某大型企业网络的DMZ区某5天的数据量

采集时间:2016年4月

三、流量数据特征

文中对恶意/正常流量中TLS流及背景流量信息(DNS响应信息、HTTP头部信息)进行统计分析,寻找恶意流量和正常流量中具有明显区分度的数据特征以及相应特征值的规律性。

1. ? TLS握手信息:

选取拥有完整TLS握手信息的TLS流作为研究对象,通过分析TLS握手信息发现,恶意流量和正常流量使用的加密套件(ciphersuites?)、支持的扩展(extensions)等方面有很大不同,详见表1。

表1 恶意流量与正常流量TLS握手信息区别

屏幕快照 2017-03-21 下午6.00.23.png

2. ? DNS响应信息:

通过选取和目的IP地址相关的包含DNS响应信息的数据流作为研究对象,提取响应的域名信息进行分析。DNS域名信息也可以从SNI(Server NameIndication)扩展和SANs(subjectalternative names)中得知,但由于TLS版本信息等原因,这些字段有时候是不存在的。

通过分析数据发现, 恶意流量与正常流量的区别主要表现在: 域名的长度、数字字符及非数字或者字母(non-alphanumericcharacter) 的字符占比、DNS解析出的IP数量、TTL值以及域名是否收录在Alexa网站等。

域名的长度:正常流量的域名长度分布为均值为6或7的高斯分布(正态分布);而恶意流量的域名(FQDN全称域名)长度多为6(10)。

数字字符及非字母数字(non-alphanumericcharacter) 的字符占比:正常流量的DNS响应中全称域名的数字字符的占比和非字母数字字符的占比要大。

DNS解析出的IP数量:大多数恶意流量和正常流量只返回一个IP地址;其它情况,大部分正常流量返回2-8个IP地址,恶意流量返回4或者11个IP地址。

TTL值:正常流量的TTL值一般为60、300、20、30;而恶意流量多为300,大约22%的DNS响应汇总TTL为100,而这在正常流量中很罕见。

域名是否收录在Alexa网站:恶意流量域名信息很少收录在Alexatop-1,000,000中,而正常流量域名多收录在其中。

3. ? HTTP头部信息:

选取相同源IP地址5min窗口内的HTTP流作为研究对象,通过分析HTTP头部信息发现,恶意流量和正常流量所选用的HTTP头部字段有很大区别。详见表2。此外,正常流量HTTP头部信息汇总Content-Type值多为image/*,而恶意流量为text/*text/html、charset=UTF-8或者text/html;charset=UTF-8。

表2 恶意流量与正常流量HTTP头部信息区别

屏幕快照 2017-03-21 下午6.02.22.png

四、建模分类

1. ? 实验数据集

选取拥有完整TLS握手信息且有DNS响应和HTTP头部信息的数据流进行分析建模。

选取的特征值包括两部分(这里不赘述数据特征的表示方法,详见论文):

(1) ?可直接观测到的元数据:包长度、包到达间隔时间以及字节分布。

(2) 第三章节提到TLS握手信息及对应的背景流量包含的数据特征,包括ciphersuites、extensions、publickey length等。

分析工具:Python 和 Scikit-learn[5]

2. ? ?实验过程:

本文利用10折交叉验证(10-foldcross-validation)和l1正则化的逻辑回归算法(l1-logistic regression)来进行分类(即判断加密流量是否是恶意的)。文中也针对不同数据特征的组合的分类结果进行了统计(图7-Table 1),可以发现利用背景流量信息进行分类的模型不仅准确率会更高,而且参数会更少(根据交叉验证形成模型参数平均计算可得)。

图7中Table 2 列出了对判别正常流量和异常流量影响权重比较大的数据特征。这些特征很容易解释为什么网络流是恶意的或者是正常的,例如绝大多数的恶意流量样本不会和排名top-1,000,000的网站进行通信。

屏幕快照 2017-03-21 下午5.49.58.png

图3 实验结果分析

文中提到,使用FDR(伪发现率,FalseDiscovery Rate)作为假设检验错误率的控制指标(FDR不超过0.00%)。

我们收集的特征数据除了用于构造机器学习模型之外,还有其它的一些启示。

1. ? ?Client端的client-hello中的SNI与sever端的certificate中包含的SAN都表示服务器主机名,两者的差异性可以用于恶意流量检测;

2. ? ?HTTP流中的User-Agent和从TLS流中ciphersuites和advertisedextensions推测出的User-Agent的差异性也可以用于恶意流量检测。

3. ? 实验验证:

为了防止过拟合,除了上面提到的交叉验证方法之外,我们额外收集了2016年5月这个月期间相同企业网络中DMZ区的流量,用第五章节训练形成的模型来进行验证。从Table 3中可以看到,结合TLS流的背景流量信息DNS响应和HTTP头部信息进行分类的效果最好,即报警数最少。当l1-logistic regression classifier的阈值(Probabilityof malicious)为0.95时,该分类器只有86个报警(包括29个独立目的IP地址和47个独立的源IP地址),其中有42个报警看似是“误报”。经过分析发现,这些“误报”中,主机是一直和Goolge和Akamai服务器通信,但是从该TLS流的背景流量HTTP流(contexualHTTP)中发现,其与可疑域名进行通信(HTTP中的Host字段),经VirusTotal确认,有50%的反病毒引擎认为和该域名相关的可执行程序是恶意的,这也进一步说明了该模型的有效性。

屏幕快照 2017-03-21 下午5.48.09.png

图4 实验数据验证

五、参考文章

[1] ?Identifying Encrypted Malware Traffic withContextual Flow Data http://dl.acm.org/citation.cfm?id=2996768

[2] ?不解密数据竟也能识别TLS加密的恶意流量?http://www.freebuf.com/news/108628.html

[3] ?传输层安全协议抓包分析SSL/TLS http://www.freebuf.com/articles/network/116497.html

[4] ?Cisco AMP Threat Grid ?http://www.threatgrid.com , 2016.

[5] ?F. Pedregosa, G. Varoquaux, A. Gramfort, V. Michel, B.Thirion, O. Grisel, M. Blondel, P. Prettenhofer, R. Weiss, V. Dubourg, J.Vanderplas, A. Passos, D. Cournapeau, M. Brucher, M. Perrot, and E. Duchesnay.Scikit-learn: Machine Learning in Python. JMLR,12:2825-2830, 2011.

*本文作者:ArkTeam/Ariel,转载请注明来自Freebuf.COM0day

IBM网络安全报告:2016年新漏洞上万、泄露40亿条记录

新报告显示,网络犯罪正在变得越来越明目张胆。与 2015 年相比,2016 年的记录泄露数量激增 556%,达到了 40 亿条。据 IBM 2017 X-Force 威胁情报索引,除了 40 亿条记录泄露,去年还有上万软件漏洞被记录在案,达到了该机构 20 年来的最高值。这份报告还分析了网络犯罪趋势,其中过包括蹿升的垃圾消息。IBM 数据显示,去年垃圾信息量增长达 400%,其中 44% 含有恶意附件,其中大多数为勒索软件。

IBM网络安全报告:2016年新漏洞上万、泄露40亿条记录-E安全

实际上,85% 附件均为此类试图锁定用户计算机、然后通过解密密钥的方式进行敲诈的恶意软件。

2016 年的另一大转变是针对非结构化数据的攻击趋势,攻击者们撬走了成千上万 GB 的电子邮件存档、文档、知识产权、以及源代码等信息。而前些年的数据泄露多聚焦于各种结构化信息集,比如信用卡数据、密码、个人医疗健康信息等。

IBM Security 威胁情报副总裁 Caleb Barlow 表示:“2016 年的网络犯罪在‘持续创新’,我们见到讨人嫌的勒索软件发展成了传染病,同时去年破损的记录达到了历史最高点,我们见到了这种转变”。

网络犯罪分子们的首要攻击对象是金融机构,其次是医疗保健(2015 年的头号受影响领域);2016 年的时候,仅有 1200 万的医疗记录被泄露,而前一年则是 1 亿条。第二大被攻击对象是政府机构,其有 3.98 亿条记录被泄露。0day

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

自特朗普上任以来,他就继承了全世界最强大的间谍机器,这个狭隘且报复心强的人,将会如何利用这个原本就存在权力滥用的复杂间谍组织,非常令人不安,而他与硅谷投资大佬Peter Thiel私交甚笃的关系,也让人对这种局面难以想像。作为硅谷唯一支持并出资协助川普竞选的投资界人士,Peter Thiel和他创建的公司Palantir虽然符合特朗普喜好,但充满争议。Palantir长期为政府提供各类大数据分析挖掘服务,近期,据Theintercept网秘密获取的一批文档显示,Palantir一直致力于推动美国国家安全局(NSA)和其国际合作伙伴的全球信息收集网络建设。以下是Theintercept的深入报道:

关于Palantir和Peter Thiel的政治立场

Palantir公司是由Facebook早期投资人、PayPal联合创始人Peter Thiel,和其他四人联合创立的,其中包括现任CEO的鬼才哲学博士Alex Karp。公司早期投资来自CIA旗下的In-Q-Tel风投基金。

Palantir最为人称道两个案例:一是在美国追捕本拉登行动中,Palantir扮演了重要的大数据情报分析角色;二是Palantir协助多家银行追回了纳斯达克前主席麦道夫Bernie Madoff所隐藏起来的数十亿美元巨款。

Palantir本意是《指环王》里那个能看到看到一切穿越时空的水晶球,在《指环王》里,这个球为进入中土世界的其他地方提供一扇窗户,是精灵们创造的魔法工具。

Palantir公司的早期产品理念完全来自于Peter Thiel,公司产品专注于大数据挖掘、处理和可视化分析显示,通过海量数据的整合处理,将特定的人、位置、实体和活动进行关联分析,最终使关系可视化,方便决策判断。

2015年12月,Palantir完成了震惊创投界的8.79亿美元融资;2016年11月25日,Palantir又完成了不明投资方的新一轮2000万美元融资,目前,公司估值远超200亿美元。

Peter Thiel(彼得·蒂尔):硅谷教父级风险投资家,PayPal创始人、Facebook早期投资者、谷歌风险投资人、对冲基金Clarium Capital总裁,是Palantir的共同创建者,著有畅销书《Zero to One》。去年美国大选期间,在整个硅谷都支持希拉里的情况下,Peter Thiel与众不同,不但出资支持特朗普,还在后期加入了特朗普的政府过渡团队。不过,对于晕头转向的新总统来说,Thiel最能提供支持的估计还是他与Alex Karp和Joe Lonsdale于2004年共同创立的公司Palantir Technologies。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

Palantir与政府情报机构的深度合作

在与美国政府的合作方面,Palantir从未掩饰过它的商业野心,要知道,CIA旗下风投公司In-Q-Tel曾是Palantir的早期投资方。据报道,Palantir2009年与联邦政府签署了高达12亿美元的合同,而Palantir却一直拒绝公开其政府客户信息。在市值高达200亿美金的现在,Palantir还将继续寻求新一轮IPO。2012年的TechCrunch采访中,在谈及与情报界的特殊关系时,Palantir董事Alex Karp以保密协议为由拒绝谈论政府业务。

Palantir这个名字是Thiel取的,来源于《指环王》剧中能穿越时空、看到一切的水晶球Palantiri(Palantir的复数形式),它可以帮助魔王索伦监视、跟踪和威胁对手,而这也代表Palantir产品的初衷:从海量数据中找到事物之间的关联信息。Palantir公司现有两大主打产品——Palantir Gotham和Palantir Metropolis,Gotham主要用于情报、执法和国防安全领域,Metropolis用于金融领域相关的银行诈骗和对冲基金定量数据分析。Gotham通过对结构化数据(如电子数据)和非结构化数据(如图像)的高度集中化分析,得到可视化的关联线索信息,如2010年的一个视频显示,利用Palantir Gotham平台,导入武器装备批号、制造商信息、真主党训练营地等分散数据,就能快速地绘制出中东地区武器流向图。Palantir极具吸引力的特点在于,它不是单一的数据解决方案,其强大的灵活性和兼容性,足以适应任何组织机构对海量数据的处理需求。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

尽管手握利润丰富而又阴暗的政府合同,但对于存在争议的政府监控项目,Palantir董事长Alex Karp似乎也毫不回避自己的立场。在2013年的福布斯采访中,他大打隐私牌,表明“政府不应该知道一个人抽了根大麻或者有婚外情这样的事情。在这方面,我们必须要保护自己不受政府监控,这样我们才能放心成为我们希望成为的那种独特、有趣以及古怪的人。”,同样的观点,Peter Thiel也指出,Palantir的公司宗旨是“减少恐怖主义以保护公民自由”。Snowden泄密事件爆发后,由于Palantir旗下有一款名为Prism软件与美国国家安全局(NSA)的“棱镜计划”英文(PRISM)同名,而被好多人混为一谈,之后,Palantir 在一份官方文件中作出了否认回应

Palantir与XKEYSCORE

Palantir公司网站中关于“隐私&公民权利”的宣传:

Palantir是一家以保护公民基本权利和隐私为主要使命的公司,公司自成立以来,在致力于提供情报分析和金融资本领域最佳解决方案的同时,实现了对公民基本权利的保护。在数据管理和治理方面,只有注重隐私和公民权利保护才能赢得公众信任,这也是Palantir在产品使用中所提倡的。虽然自由和安全互为矛盾的两者,但在在数据分析领域,我们不认为只有牺牲自由才能换来安全。

然而,从斯诺登处获取的文件显示,Palantir公司一直在帮助NSA和其合作伙伴构建基于全球的间谍网络,而这很难与其声称的注重隐私保护所相称。众所周知,NSA的项目XKEYSCORE(关键得分)可以收集获取用户在互联网上的所有痕迹,不仅包括邮件、聊天视频、网页浏览记录、图片、文档、音频、摄像头照片、搜索记录,还包括社交媒体流量、僵尸网络流量、键盘记录、漏洞可利用情况、用户名密码、上传文件、Skype会话等等。XKEYSCORE把收集数据最终形成一个检索库,方便NSA和其全球合作伙伴进行查询。

但是如何处理和归类这些复杂数据呢?Palantir公司的软件派上了用场。在Palantir海量数据分析和可视化分类服务的帮助下,XKEYSCORE变得愈发强大。

Palantir引起GCHQ的注意

Palantir引起政府情报机构的注意可以追溯到2008年。彼时,一年一度由IEEE举办的数据可视化分析年会(VisWeek)在美国召开,英国信号情报局和政府通信总部(GCHQ)的代表慕名而来,会上,来自全球政府和学术部门以及相关私营企业部门组队参加可社化分析(VAST)竞赛设计,而据GCHQ文件描述,当时Palantir团队用其数据分析软件在现场展示了一个完美的设计方案,吸引了很多潜在买家。

会上,Palantir声称利用其软件可以“让多方数据分析专家真正展现集体智慧的发挥”,在Demo展示环节,Palantir工程师利用软件针对维基百科用户进行了宗教派别和社交关系的直观分析描绘,并把这些结果应用在虚拟恐怖组织“帕莱索运动”的追踪定位中,由于实验中所有虚构人物和场景都未有明显语境说明和倾向标记,Palantir软件仅通过虚构用户对维基百科的编辑和社交关系对话,最终确定了该恐怖组织人员。

从VisWeek返会的英国政府通信总部(GCHQ)代表大受震撼,在一份机密的参会总结报告中可以看出他们对于与Palantir的合作充满期待,就连字里行间似乎都透露出一种难以抑制的兴奋感。例如,总结报告一开头就是“Palantir是由CIA投资的硅谷初创公司,公司与美国情报界用户有着深度合作”,报告认为Palantir在VisWeek上展示的Demo“值得关注”,并称这种方式可以方便GCHQ对国内的维基百科用户进行分类,而且认为Palantir的软件“非常高科技和成熟性……,我们都被震惊到了,你只有看到后才会相信这有多牛!”。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

GCHQ报告认为“如果我们自行开发此类与Palantir类似功能的系统将会花费很大代价,而Palantir的服务价格又非常高昂…”,另外,GCHQ认为外包情报分析不能完全依赖于商业产品,而且Palantir公开在网站上宣称产品应用于情报分析领域,这可能会引发一些不安全的因素和担忧,最终,GCHQ还是放弃了与Palantir的直接合作。

Palantir应用于“五眼情报联盟”的情报获取

然而,据我们获取到的文件显示,两年后,在美国、英国、澳大利亚、新西兰和加拿大组成的”五眼情报联盟”中,至少有3国情报机构采用了Palantir的服务进行全球数据的采集与分析,其中就包括GCHQ。Palantir擅长从通话记录、IP地址、金融交易、名字、对话内容、旅行记录等海量零散的实体数据中找到关联信息,并通过集中分类和可社化技术描绘出这些关联信息,从而解决了现代情报收集工作中的一个重要问题:数据过载。

GCHQ把“可视化”定义为:通过多种勾勒和描绘方式提高对现有数据集的了解,而这也是Palantir对情报价值的主张:Palantir分析平台可以很好地整合结构化和非结构化数据,具备信息搜集和发现能力,同时支持知识管理和多方协作功能。Palantir致力于为情报机构提供一个可以定位到基础设施的“全栈”式分析平台。下图为GCHQ文件中描述的用于计算机网络攻击的Palantir服务平台:

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

在共同协定下,“五眼情报联盟”成员国通过XKEYSCORE计划收集了海量数据流和元数据,同时结合这些数据,尝试以黑客手段侵入其它国家网络。

2011年,一份关于GCHQ网络防御情报与安全小组的文件,把Palantir系统形容为具备恶意入侵功能进行数据收集的工具:通过破坏防病毒和其它安全防护软件以追踪用户和渗透网络,同时Palantir软件被形容为“汇聚零散信息并提供独特可视化显示的数据分析平台”,文件同时透露,Palantir与XKEYSCORE系统和其它情报软件被高度整合使用。Palantir系统在网络间谍工作中的应用程度相当广泛,甚至极具前瞻性和想像力。2010年GCHQ和NSA关于“掌控互联网”的监控项目文件提到,在Andriod设备监控中运用Palantir软件,可以实现基于“增强现实(AR)”的信号情报收集,然而,这种说法即使到现在也是不得人知。

在目前曝光的文件中,Palantir软件似乎被描绘成了一种增强型的胶结剂,可以满足所有“五眼情报联盟”情报机构对海量模糊数据的高效获取和关联分析。2007年,GCHQ网络防御情报与安全小组NDIST在“五眼情报联盟”内部的评估文件指出:对海量个人数据的收集是未来信号情报工作一个重要发展方向,但是当前“五眼同盟”内部分析技术实力还不足以应付,必须寻找有力的分析工具作为技术支撑。最终,技术人员在对洛克希德马丁、 Detica等14家公司的分析工具作了评测对比之后,认为后起之秀的Palantir当属最佳产品。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

Palantir深受情报机构分析师欢迎

最终,Palantir不出意外地没让“五眼情报联盟”失望,在其构建的新型平台下,各种数据从四面八方汇聚而来,又通过智能关联和可视化分析方式得到了升华应用。该文件中还高调宣称,在与XKS、Spay等“五眼同盟”的10余套分析软件高度整合应用下,Palantir对数据的高效和多方位分析能力非常突出,甚至广受NSA内部数据分析师的欢迎,例如以下分析师的使用感受:

Palantir是我用过最好的分析工具,它非常直观简单,可以完成很多你从来不敢想像的任务。

今天早上,使用TWO FACE对最近3天的活动数据进行了分析,它比XKS至少可以省去一半的分析时间,非常高效。(TWO FACE貌似是Palantir系统的内部代号)

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

对Palantir的推崇溢于言表地体现在该文档中,在一章标题为“Unexpected Benefits”,看似营销手册的幻灯片中,宣称Palantir可以和包括谷歌地球在内的任何联网应用建立交互联系,甚至还可以在iPhone和笔记本电脑上安装使用,就连在另外一章名为“Potential Downsides(潜在影响)的幻灯片中,也还如此隐晦地对Palantir大加赞赏:“Palantir虽然很贵,但不是想像中那样离谱的贵;Palantir可以做的,就是我们所想的”。所有的这些,也意味着合作仍将继续深入,而为满足情报机构客户的特殊需求,Palantir自身也非常乐意做出适应或改变。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

在GCHQ的一个内部维基网页中,分析师上传了一份对Palantir系统的日常例行使用规范,包括各方面内容:“如何从Palantir获取XKS数据….?”、“如何用Palantir进行批量搜索…?”、“如何用Palantir进行批量数据操作….?”等等。技术支撑方面,Palantir提供1对1指导培训,经常向目标客户机构派驻“前沿部署工程师”(forward-deployed engineers),直接与客户工作互动,确保客户对产品的使用得心应手。另外,如果分析师有任何使用疑问,都可以通过一个定制的即时聊天软件进行反馈。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

GCHQ的内部维基网页中还包括了澳大利亚信号情报局和NSA内部情报百科intellipedia对Palantir的秘密级使用描述链接,虽然我们无权访问这些链接的具体内容,但NSA的intellipedia嵌入HTML文件中提及了多个Palantir项目,包括Palantir Classification Helper、[Target Knowledge Base] to Palantir PXML、PalantirAuthService(TechCrunch于2013年获取的一份Palantir公司内部文档,为Palantir和NSA的合作提供了证据)。

Palantir软件的超级插件Kite

在我们获取的曝光文档中,其中提及GCHQ使用的,包含一个内置名为“Kite”插件的Palantir程序,在所有相关出处文档中都作了隐匿编辑处理,而另外一份对Kite的源码分析文档中显示出Palantir对“五眼同盟”的灵活技术支持程度,前端开发人员和后台数据分析师可以就地通过Palantir平台应用或Kite程序获取相关数据。当所有获取数据被处理分析之后,会被上传到Palantir系统的数据仓库中,而平台其它工作人员可以通过类似于谷歌电子表格的方式来访问这些数据信息。Palantir平台分析师可以利用当前使用程序导入一些需要分析的静态数据,但是如果需要导入数据库或设置自动导入功能,就必须得借助插件Kite。

Kite用于导入一些情报数据并把其转换为统一可存储于数据仓库的XML文件格式,比较独特的是,Kite可以处理多种信息类型,如日期型、图像型、位置型等等,之后,GCHQ为了对一些复杂定制数据类型进行分析,竟然开放了Kite的接口开发,而最终这个导入工具被开发设计为支持静态数据、数据库和第三方数据存储等多种用例的软件。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

在这种以Palantir产品为中心的数据分析环境中,还产生了另外一个工具“XKEYSCORE Helper”,该工具可以向Palantir系统内导入来自NSA管道的数据,经过进一步的调查和可视化分析之后,再分发给“五眼情报同盟”的各位分析师。由于XKEYSCORE强大的全网海量个人元数据高效获取能力,这也导致了其唯一的缺点:产生的提取信息出现超负荷现象。可以简单想像一下,搜索一个Gmail邮箱账户,或许需要遍历全球所有Gmail收件箱中得出关联信息,因此,Palantir应运而生。

Palantir让XKEYSCORE如虎添翼

Palantir软件的主要作用之一就是辅助XKEYSCORE系统进行高效的数据分析处理,就像GCHQ文档中描述的那样,依赖于工具“XKEYSCORE Helper”,可以把XKEYSCORE多种方式获取的各类数据直接导入强大的Palantir,就可以得到一些针对特定目标人物和地点的非常直观的情报信息。例如,针对东部标准时间区的14:15时刻,分析师可以使用XKEYSCORE获取到隶属莫斯科和德黑兰访问某特定网站或进行某特定Skype通话的所有IP地址,之后,把这些相关数据集导入Palantir系统,可进一步识别出这些IP地址之间的关联连接和基于谷歌地球的详细位置信息。

大数据分析公司Palantir如何帮助NSA和他的伙伴们监控全球-E安全

除XKEYSCORE之外,Palantir产品还被应用于GCHQ代号为“LOVELY HORSE”的开源情报信息项目中,该项目旨在提高GCHQ自身对Twitter、博客和媒体报道等全网公开信息的获取能力。因为此类信息多为非结构化数据,所以Palantir也大有可为,与“LOVELY HORSE”的配合相得益彰,深受好评。

强大的Palantir引发的担忧

和数据分析功能一样,Palantir的数据挖掘能力也相当出彩,可圈可点,但由此也带来一些担忧和风险。由于Palantir软件的主要功能就是辅助分析师对一些复杂不易理解的数据信息进行精选和筛分,因此,最终分析结果和决策判断的好坏,多少还和分析师自身有关。

就比如,GCHQ信号情报发展与领导小组(SDSG)的一份2011年文档就提及了一些使用Palantir的顾虑,在名为“风险与挑战“的表格中,SDSG表示“Palantir可能会使分析师过度关注数据分析方法,而忽视本质的情报需求,造成对情报分析能力的弱化和分心。”,然而,基于Palantir强大的数据分析能力,SDSG想知道如果他的技术分析师在被限制所有可访问操作权限,或根据不同分析师的技术水平,对一些必要时才能使用的功能对软件进行相应配置,会产生怎样的后果。如果Palantir继续注重于数据的情报利用问题,那么越往后,随着挖掘技术和提炼程度的加深,将会产生大量的信息图表集,可能会引发数据“过度分析”问题,而最终让分析师“迷失”的不是工作任务,而是Palantir生成的各种图表。

Palantir与公民隐私

另一方面,如果说Palantir的情报机构客户在使用Palantir产品时会存在滥用风险,那么这种情况也可能发生在以“隐私和公民自由权”为幌子的Palantir自己身上,尤其是2012年Palantir还成立了“隐私与公民自由顾问委员会”(PCAP),更是给自己披上了一件“高级”的大衣。

而就像Palantir在Kite插件的使用协议中声称那样,用户将不会违反任何适用法律、公民隐私和第三方权利。但在如今无孔不入的监控环境下,没理由不怀疑NSA和他的伙伴们会利用Palantir产品侵犯广大民众的隐私和自由权。对于普通民众来说,这种所谓的使用协议不过是种隔靴搔痒的安慰和冠冕堂皇的麻痹罢了。

Theintercept网站获取的相关文档:

GCHQ VisWeek 2008 Conference Report

Palantir Executive Summary

NDIST Cyber Defence

Mastering the Internet

The Tale of Two Sources

TWO FACE on GCHQ Wiki

XKEYSCORE Helper Notes

SDSG Integrated Analytics Workshop

*考来源:theintercept,freebuf小编clouds编译,转载请注明来自Freebuf.com。0day

保护物联网安全的六大原则

如今,越来越多的物品贴上了“智能”标签,成为了联网设备。生活方式更简化和便利的同时,这些设备的安全问题常常被人忽视。物联网设备通常是默认联网的,采用的也多是开源软件,因此很容易被黑客攻击。

威斯敏斯特大学的教授 Mercedes Bunz 表示,物联网设备普遍存在不安装安全软件的问题。他们与物联网安全公司Ardexa联手做了相关的研究实践,希望借此帮助那些实施物联网解决方案的企业检查其方案是否安全可靠。
开发安全性较高的端到端物联网解决方案涉及多个层级的问题,但是在物联网安全架构中,大致可以归纳为四个不同的层级,包括:设备层、通信层、云端和生命周期管理。

六大原则:保护物联网安全-E安全.jpg

安全的设备层

设备层是指部署物联网解决方案时所涉及到的硬件,即物理上的“事物”或产品。设计和生产设备的ODM、OEM厂商们致力于在他们的硬件和软件上同时集成更多的安全功能,以提高设备层的安全性。

重要的物联网安全架构特征
一些制造商正在引入安全芯片TPMs (Trusted Platform Modules,也叫可信任平台模块),因为密钥被存储在硬件中,被窃的数据无法解密,从而从根源上保护了敏感信息和凭证。(即,不是在芯片外部设置加密秘钥)

安全启动机制可以确保只有经过验证的软件才能在设备上运行。

采取物理层的安全保护措施(例如,对所有内部电路进行全金属屏蔽),这种方式下即使入侵者获得对设备的物理访问,至少也能够防止信息被篡改。

虽然这些“ hard identities ”或“ 物理保护屏障 ”在特定情况下可能是有价值的,但是数据移动和设备处理复杂任务的能力决定了该设备所面临的风险水平。从一开始就重视设备的边缘处理能力和复杂的安全功能是一条重要的原则。

原则一:设备智能化是处理复杂的、安全性要求高的任务的前提条件
目前许多可用的终端设备(比如电器、工具、玩具或配件)都能通过以太网或WiFi网络与云平台或服务器进行“沟通”,但是这些设备通常只通过一个微处理器进行驱动,并不能处理复杂的网络连接,因此不应该用于处理物联网应用中的前端任务。

有效的、安全的连接必须由一个智能化的设备提供,这个设备需要具备加密、认证、时间戳、缓存、代理、防火墙、连接丢失等能力。设备必须具有鲁棒性,并且能够在有限的支持下进行现场操作。

原则二:边缘处理的安全优势
智能设备是一种能够自我“进化”的设备,能够随着时间的推移让自己更加强大、有用。

例如:机器学习算法目前已经达到能让一些小型设备拥有处理视频流的能力,边缘处理意味着这些智能设备可以在本地处理相关的数据,而不用将数据上传到云端。其可以增强设备的安全性也经得起考验,因为边缘处理意味着敏感信息不需要上传到云端,因此在设备层处理数据有助于强化整个网络。

六大原则:保护物联网安全-E安全.jpg

安全的通信层

通信层指的是物联网解决方案的连接网络,即安全地发送/接收数据的媒介。敏感数据能否在物理层,网络层或应用层等不安全的通信信道中传输是一个值得注意的问题,因为这些数据很可能受到诸如中间人攻击(MITM)之类的攻击形式。

重要的物联网安全架构特征

以数据为中心的安全解决方案能够确保数据在传输(静止)时被安全地加密,除非对方拥有正确加密密钥的用户(个人,设备,系统或应用)解锁代码,否则即使数据被拦截了也毫无用处。

防火墙和入侵防御系统用来检查特殊数据流(如,非IT协议),并在设备端将其拦截,所以越来越多地被应用于检测入侵,同时防止通信层上的恶意活动。

通信层的物联网安全架构原则

原则:启动与云端的连接
当防火墙端口向网络打开的瞬间就意味着设备已经面临着来自网络上的重大风险,因此通常只有在必要的情况下才打开防火墙。然而,给现场设备所提供的支持达不到与诸如web 、电子邮件或语音/视频服务器等同一程度。这些现场设备与云服务器相差甚远,它们没有管理员可进行漏洞修补、重新配置、测试和监视软件。

也就是说,允许设备直接连接到网络不是一个太好的主意,设备必须首先启动与云端的连接。且设备连接到云端还可以促进双向信道,从而允许物联网设备被远程控制。在大多数情况下,这是非常有必要的。

与这一原则密切相关的是使用虚拟专用网络(VPN)来访问物联网设备。但使用VPN的危险性可能与允许传入服务一样危险,因为它允许个人或网络访问自己网络内的资源。尽管VPN在非常特殊的情况下是可以发挥作用的。
原则:信息的固有安全
应重视物联网设备的通信安全,无论信号是从设备端进行上传还是下载到设备端。对于物联网终端设备来说,轻量级的基于消息的协议具有许多独特的优势,是非常不错的选择,包括双重加密、排队、过滤甚至与第三方共享等。

使用正确的标签,每个消息都可以根据适当的安全策略进行处理。例如,限制 “远程控制”功能,或者仅允许在单方向上进行“文件传输”,又或者对客户数据进行双重加密。利用这种安全策略,可以控制消息流的安全传输。在物联网设备中,消息传递及其相关的访问权限设置在通信层上发挥着强大的作用。

六大原则:保护物联网安全-E安全.jpg

安全的云服务层

云服务层是指物联网解决方案的软件后端,即来自设备的数据被大规模采集,分析和处理,用以产生洞察力并采取相应的措施。当评估一项解决方案采用云服务或者本地服务所要面临的风险时,安全性一直是讨论的核心问题。然而,对于物联网的发展来说,云服务的广泛采用是一个不容忽视的推动因素。

物联网云服务层安全原则

原则:设备需具备识别,认证和加密功能

人们总是使用一个密码来访问云服务。在某些情况下,可能有两个验证因素,如“密码+一次密码生成器”。
然而,当访问云端服务的时候,机器在处理数字证书方面做得更好。因为数字证书使用是非对称的,加密的身份认证系统,不仅可以验证事务,还可以在身份认证发生之前将从设备到云端的通道进行加密。数字证书还可以提供加密标识,如果使用用户名/密码很难实现的相同的安全效果。

生命周期管理层的安全

安全的生命周期管理是一个包罗万象的整体性层级,即确保从设备制造、安装再到物品处置,整个过程中都有足够高的安全级别。设计只是保持物联网解决方案安全的第一步,整个生命周期中还包括策略执行,定期审核和供应商控制等环节。

生命周期管理的安全原则
原则:远程控制和更新的安全
远程控制功能和在设备的生命周期内向其发送命令的功能是两个非常敏感的但又非常强大的功能。可以进行远程控制的设备需要拥有诸如远程诊断、更新配置、更新出错的软件、检索文件、使用全新的数据重新设置机器学习算法、添加新功能等众多功能。安全更新和远程控制的关键是确保设备禁止接入其他连接,即使这个设备能够进行双向连接并且得到正确的保护,依然应该使用消息交换机作为通信通道并采取正确措施。这么做的结果是,设备上的软件充当本地服务器,此时它只与云端进行连接。

总结

以上四个不同层面提出了六个重要的物联网安全架构特征,并突出强调了每个原则的重要性,鉴于物联网安全设计非常复杂。安全解决方案通常会由多个关键要素共同发挥作用,用以规避各种威胁或风险,所有物联网解决方案在一定程度上都需要对安全进行全面的考虑。0day

美国公立学校服务器被黑 教学秩序受影响

E安全3月30日讯 据报道,美国福赛斯公立学校上周末(周五或周六)遭遇恶意软件攻击,给学校教师、学生、家长和地区行政人员造成影响。

负责人丁尼·班尼特表示,令人庆幸的是,无论幕后黑手是谁,攻击者最终并未入侵系统窃取信息,只是为了破坏系统。运行学生管理系统的这款软件程序已经恢复正常,目前学生数据未丢失。

但教师就没有学生那么走运。大多数教师的信息,包括课程计划、时间表等都是以Word和PowerPoint这样的公开访问格式存储在本地区的服务器上。班尼特指出,该地区的IT人员仍在努力恢复教师的文件,仍存有一线渺茫的希望。该地区当地时间周四应该知道能从Visions项目中恢复多少内容。Visions项目曾用来管理该地区的工资单。

美国公立学校的服务器被黑 教学秩序受影响-E安全.jpg

班尼特还指出,报道中说的此次攻击行为中国也参与其中并不属实。这跟中国没有干系,尽管所有的迹象都表明看似是中国黑客所为。

班尼特表示他们不确定是否是因为周五是PIR(Pupil-Instruction-Related,学会指导日)日。黑客向该地区发送三封勒索电子邮件,警告称,如果不支付赎金,该地区的计算机系统将被黑。但这些信息并没有引起重视,因此该地区的服务器遭遇攻击。

学校校长雪莱-维特表示,此次网络攻击打乱了学校的正常次序,但教师还能继续教学,只是需要进行部分调整。

教育行业正面临着网络攻击的威胁

学校不仅包含有大量学生、教师等的个人信息,还涉及课程、教学计划等内容。

校网络正在日益成为网络攻击的受害者。每年,学校都会招收数千名新学生,这些学生通常会携带多个存在潜在漏洞的设备入学,很可能引入恶意软件等等可能导致数据泄露的安全隐患。让情况更为复杂的是,多数大学校园都在使用诸如Blackboard和Moodle这样的数字平台,方便提交作业和测试,虽然可以简化流程,但这些应用一旦离线就会带来重大的问题,这些在线门户网站也就成为拒绝服务攻击的主要目标。

因而,E安全也注意到大家更关注个人信息安全相关的安全问题,忽略了黑客攻击给学校的正常秩序可能带来的负面影响。这次美国的校园攻击事件也给教育行业信息安全敲了各警钟。哪怕校园数据可以得到很好的保护,但教学秩序一旦被打乱,将会给学校带来很多麻烦。

例如,几年前,美国拥有近65000个在校本科生的罗格斯大学也曾遭到网络攻击。该校的学生每天都会访问学校的门户网站。罗格斯大学的计算机科学系在美国排在第34位,然而却反复遭受到名为Exfocus的黑客发起的攻击。这名黑客宣称他发起了针对罗格斯大学的6次独立攻击。这些攻击导致了学校网络的瘫痪。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报

路由交换市场份额领先的思科(Cisco)公司于3月17日发布了IOS和IOS XE Software安全漏洞(CNNVD-201703-840),引起了广泛关注。该漏洞允许未授权的攻击者执行任意代码、提升权限、重启设备等。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,具体情况如下:

一、??漏洞简介

Cisco IOS/IOS XE Software是美国思科(Cisco)公司为其网络设备开发的操作系统,也是一个与硬件分离的软件体系结构,随网络技术的不断发展,可动态地升级以适应不断变化的技术。集群管理协议(Cluster Management Protocol,CMP) 是集群成员之间内部使用TELNET来进行信号和命令控制的协议。

多款Cisco产品中的IOS和IOS XE Software存在远程代码执行漏洞(CNNVD-201703-840,CVE-2017-3881)。该漏洞源于未能将CMP-specific Telnet选项限制于内部集群成员之间的本地通信使用,允许任意设备通过远程登录连接的方式接受并处理这些选项,并且错误处理格式不正确的CMP-specific Telnet选项,导致远程攻击者可以利用该漏洞通过发送畸形CMP-specific Telnet选项,向受影响设备建立一个Telnet会话,进而执行任意代码,提升权限,完全控制受影响的设备或导致设备重启。

以下设备受到影响:Cisco Catalyst switches;Embedded Service 2020 switches;Enhanced Layer 2 EtherSwitch Service Module;Enhanced Layer 2/3 EtherSwitch Service Module;Gigabit Ethernet Switch Module (CGESM) for HP;IE Industrial Ethernet switches;ME 4924-10GE switch;RF Gateway 10;SM-X Layer 2/3 EtherSwitch Service Module。

本次受影响设备达319种型号,具体型号见思科官网:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

二、??漏洞危害

截至3月30日,根据安赛科技的“天象网络空间图谱系统”,发现全球思科设备约有 1130 万台,其中可能存在上述漏洞的相关设备约有 47.6 万台。其中,中国范围内可能受影响的设备约2.65万台,上海和北京受影响较为严重。

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

图1 思科设备全球分布

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

图2 可能受影响的思科设备全球分布

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

CNNVD:有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报-E安全

图3? 可能受影响的思科设备中国分布

三、??修复措施

3月29日,思科官方已针对该漏洞发布安全公告:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvd48893

请受影响用户及时检查是否受该漏洞影响。

受影响的CiscoIOS版本为: 15.0(2)SE 10

可将其升级至如下版本以消除漏洞影响:

  • 15.2(5.5.20i)E2
  • 15.2(5.5.15i)E2
  • 15.2(5)EX
  • 15.2(4)E4

本通报由CNNVD技术支撑单位——北京安赛创想科技有限公司、远江盛邦(北京)信息技术有限公司、北京白帽汇科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: [email protected]

市场经济与网络空间安全对抗的类比

杨义先,钮心忻

北京邮电大学信息安全中心

公共大数据国家重点实验室

摘要:借助充分竞争的市场经济类比,本文从中观角度,描述了网络空间安全对抗的运动规律和演化过程。结果发现,若只考察“行为举止”,那么,市场经济与网络安全简直就是活脱脱的一对双胞胎:熟知的许多市场经济现象,在网络对抗中几乎都能找到相应的影子,反之亦然。过去,安全专家都只关注网络对抗的“局部微观画像”(比如,加密、病毒、木马、入侵等核心安全技术),这在节奏相对较慢的“人与人对抗”环境中,确实可以说是唯一重要的事情。但是,随着机器黑客的即将登场,“机器对机器攻防”的节奏,将以指数级速度增加,因此,从中观和宏观角度去了解网络战场,就显得十分重要了;否则,若“只见树木,不见森林”,就一定会失去网络对抗的主动权。类似的情况,在半个多世纪前就已出现过:若无数据通信,就不需要《信息论》,因为,早期的电报和电话等,根本就没有带宽和速度的需求压力。幸好,结合文献的结果,至此,网络安全对抗的“中观画像”和“宏观画像”都已绘制出来了。

市场经济与网络空间安全对抗的类比-E安全

(一)前言

网络安全对抗很实!因为,当你中招后,你的真金白银可能瞬间化为乌有,你的电脑可能立马死机,你的汽车可能失控,甚至你的心脏起搏器也可能乱跳…;总之,你遭受打击所感觉到的真实程度,一点也不亚于当头棒喝。

网络安全对抗很虚!因为,在网络这个典型的虚拟空间中,安全对抗不但没有硝烟,甚至根本看不到敌人在哪;也很难知道你是被谁击中的,以及是如何被击中的;你对“邻居”的安全处境更是一无所知,甚至不知道他到底是敌还是友等等。

那么,我们对抽象的网络战争,就真的只能“两眼一抹黑”吗?!

当然不是,其实,顶级红客(安全专家),可通过精准分析,描述出网络对抗的局部微观战况,这便是常规网络安全技术所实现的主要目标;而在文献[18]中,我们借用经济学的一般均衡理论,给出了网络对抗的宏观画像,即,存在一只看不见的手,它能抚平对抗的各方,让大家都满意地休战,因为大家都已最大限度地达到了自己的预期目标,若再不休战,自己将受损;本文将借助耗散结构理论,给出网络对抗的中观战况画像

从中观角度看,网络空间安全的最佳类比,也许仍然是充分竞争的市场经济:一个网络(子)系统,可类比于一种商品;相互对抗的红客和黑客,可类比于市场中的供应方和需求方;攻防双方的各种手段,可类比于市场中抬价与压价的各种花招;网络(子)系统的不安全熵,可类比于商品的价格。经济中有一只看不见的手,能通过调节商品价格,使供需各方都很满意,从而市场趋于稳定;类似地,网络(子)系统中,也有一只看不见的手,能使相应的不安全熵,稳定在某个量值,从而抚平攻防各方,使网络战场趋于平静。同样的商品,在不同的地域(时间),可能稳定于不同的价格;类似地,同样的网络子系统,处于不同的环境(时间段)时,也可能稳定于不同的不安全熵状态。一种商品(比如,汽油)的价格波动,可能引起另一种商品(比如,汽车)的价格波动;类似地,一个子系统的不安全熵的变化,可能引起另一个子系统的不安全熵的变化。供货量(需求量)的增加,将会打破平衡,引起商品价格的下降(上升);类似地,红客(黑客)水平的提高,将会打破平衡,引起不安全熵的下降(上升)……。总之,充分竞争的市场经济,与网络空间安全对抗,几乎遵从同样的变化规律。理解了相对直观的市场经济状态,就隐约看见了抽象的网络空间安全对抗。

当然,经济学与网络安全的类比,绝不是机械的照搬,甚至,从“一般均衡理论”这个研究经济学的利器角度看,供求双方价格最优化的边界条件,就完全不适用于红客与黑客的对抗,从而导致价格理论几乎无法应用于网络安全研究。

不过幸好,耗散结构理论可同时应用于研究充分竞争的市场经济和网络空间安全对抗。本文借鉴文献[20]的思路和手法,绘出了网络空间安全对抗的“中观画像”,并且,再一次表明:市场经济与网络安全实在是“长得太像了”,若只看画像的话,它们简直就是一对双胞胎。

(二)网络空间对抗的耗散行为

早在文献[1]中,我们就指出:网络安全是负熵,或不安全是熵;而且,还遵从热力学第二定律,即,若无额外的安全加固措施,那么,系统(子系统)的不安全熵就会自动增大。在文献[9]中,我们更进一步地指出:红客维护网络安全的唯一目标,就是控制不安全熵的增大。当然,在[1]和[9]中,我们其实都暗含了假设:相应的网络系统是“封闭系统”,即,与外界不进行物质和信息的交流,与外界无明显联系,环境仅仅为系统提供了一个边界,不管外部环境有什么变化,封闭系统仍表现为其内部稳定的均衡特性。

而本文考虑的网络(子)系统不再封闭,而是“开放系统”,即,在系统边界上与环境有信息、物质和能量的交流。在环境发生变化时,网络(子)系统通过与环境的交互,以及本身的调节作用,达到某一稳定状态,从而实现自调整或自适应。

一个远离平衡态的开放网络(子)系统(以下均简称为“系统”),通过红客和黑客的攻防对抗,不断与外界交换物质、能量和信息,从周围环境中引入负熵(红客的功劳)和正熵(黑客的后果),来改变不安全熵的取值。由于内部各子系统之间的非线性相互作用,通过涨落,便可能使各个子系统合作行动,从而形成某种时间、空间和功能稳定的耗散结构,使不安全熵稳定在一定的量值附近。更具体地说,系统的不安全熵的改变dS由三部分组成:其一,是系统内部本身的不可逆过程(比如,非人为的设备老化、自然故障等)所引起的不安全熵增diS;其二,是黑客攻击系统所造成的不安全熵增deS;其三,是红客保障系统安全所引起的不安全熵减dgS。并且,这三股熵流合成后就有dS=diS+deS+dgS,其中前两项diS(自然熵流)和deS(黑客熵流)均为非负,而第三项dgS(红客熵流)为负值。如果红客的安全保障能力足够强,使得│dgS│>diS+deS,那么,dS就为负,即,系统因为红客的负熵流(dgS),抵消了黑客和自然退化所引起的熵增,从而,系统整体的不安全熵就会减少,安全度就不断提高,最后稳定在一种较平衡的不安全熵总值更低的新状态,即,形成了耗散结构。

系统偏离平衡态的程度,可由三股流(自然熵流、红客熵流、黑客熵流)的“力量”强弱来表征。系统处于平衡状态时,三股“熵流”与产生熵流的“力量”综合皆为零;当系统处于非平衡态的线性区(称为“近平衡区”)时,如果“力量”和“熵流”为非线性关系,即“力量”较强时,系统就会远离平衡状态,处于非平衡、非线性区。非平衡过程的“不安全熵流”,不仅取决于该过程的推动“力量”,而且,还受到其它非平衡过程的影响;换句话说,不同的非平衡过程之间,存在着某种耦合。用F表示系统的不安全熵流,{xi}表示系统中影响不安全熵流的各种“力量”,它们其实就是影响系统安全的各种因素(比如,红客的安全保障能力、黑客的攻击能力和系统的自然退化力等,当然,这些“能力”其实也可以分为多个组成部分),则F是{xi}的函数,即,F=F(x1,x2,…)=F({xi})。以平衡状态作为参考,将函数F展开成泰勒级数,便有

F({xi})=F({xi,0}) + ∑i[dF/dxi]oxi+ (1/2){∑m,n[d2F/(dxmdxn)]o}xmxn+……

系统远离平衡状态时,该泰勒级数中将保留非线性的高次项,影响系统安全的“力量”与“不安全熵流”是非线性关系。如果红客的安全保障能力足够强,则不安全熵就会不断减少,最后稳定在一种不安全熵较小的较平衡状态,由此可知,系统远离平衡时,不仅影响系统不安全熵流的力量较强,而且,由于非线性的耦合作用,影响系统安全的各种因素,都会彼此作用,最终产生协同,形成新的平衡状态。而且,在该稳定状态系统中,众多子系统的不安全熵流相互弥补和抵消,保证了整体系统的宏观状态显现稳定性,而这种稳定性需要不断耗散物质、能量或信息来维持。

如果你觉得上述描绘太过定性,下面就来做些定量的描述。其实这些描述不仅仅限于网络安全对抗,而且,对经济状态(见蔡绍洪等教授的文献[20])甚至一般的耗散系统都有效。

设非平衡系统中,各子系统的不安全熵流分别是q1,q2,…,qk,……,它们都是时间t和各自面临的不安全因素rk1,rk2,…的函数。所以,整体系统可以描述为状态矢量q=(q1,q2,…,qk,…)= {qk:k=1,2,…} = {qk(rki,t):k,i=1,2,…}。

由于存在着不安全熵流的耗散,对于稳定的非平衡定态网络系统而言,在其内部某一确定的子系统和某一确定的时间内,红客输入的熵减,必须等于在同一子系统和同一时间内,由黑客和自然退化原因耗散掉的熵增。如果红客、黑客和自然等三方力量输入的不安全熵出现了“堆积”(无论是正堆积,还是负堆积),那么,当前的定态便会失稳。只有在无“堆积”的情况下,系统才能维持其定态的稳定,这便是网络空间安全对抗中的“不安全熵守恒定律”。

设在定态条件下,第i个子系统的不安全熵为Mc(因为,对任何系统来说,安全只是相对的,不安全才是绝对的,所以,Mc不会为0,而是正值),外界在单位时间内向该子系统输入的不安全熵为Ma(它其实是黑客的增熵,减去红客的负熵),与此同时,该子系统向外界耗散出的不安全熵为Mb,则该子系统定态稳定的条件就是:Ma=Mb或者,等价地Ma/Mc=Mb/Mc;此处MD=Ma/Mc称为耗散参量,MT=Mb/Mc称为输入参量,它们都是无量纲的参量。于是,在未达非平衡相变临界点时,系统是定态稳定的必要条件是MT=MD

MD当然是熵流q的函数,比如,表示为非线性泛函数MD=f(q1,q2,…,qn),它与网络系统中的各种不安全因素(无论来自黑客、红客还是自然力量)都有关。假定,在整个非平衡过程中,MT的变化是连续平滑的。由于耗散能力有限,当系统趋于平衡相变临界点时,便有MT≠MD,这时原有的耗散模式就不再守恒,因此,就在系统内形成“堆积”,使原定态失稳。这种“堆积”迫使处于非稳的系统寻找新的耗散途径,以便重新稳定下来。这时相干性增强,各种涨落更加活跃,推动着系统进入一个新的耗散状态,使MD=MT重新得以满足。新的耗散模式维持了系统新的定态稳定,即在非平衡定态背景下,系统由原来的状态,跃迁到一种新的状态上,从而完成了一次非平衡相变:不安全熵稳定在新的水平上。由此可见,当黑客、红客和自然退化力量的平衡被打破后,网络系统(或子系统)又会在新的情况下,达到新的平衡。

借用耗散结构理论的方法,不安全熵流矢量q=(q1,q2,…,qn)的一般运动规律,可以用广义郞兹万方程描述为:

dqi/dt=Ki(q)+Fi(t) ? ?(i=1,2,…,n)

其中,Ki(q)=Ki(q1,q2,…,qn)是非线性函数,代表各种影响安全的力量导致的不安全熵流,Fi(t)是各种微扰引起的随机和涨落力。如果微扰足够小,即,Fi(t)可以省略不计,那么,上面的广义郞兹万方程,就可简化为:

dqi/dt=∑k=1naikqk+ fi(q) ? (i=1,2,…,n)

此式中{fi(q)}为q的一组非线性函数,由于此时系统的定态点是稳定的,其线性项系数矩阵的本征值具有负实部,即矩阵[aik]是负定的,即,总可以通过线性变换(或选取适当的新坐标),使得该矩阵对角化,这时便有方程组:

dq1/dt=-R1q1+g1(q1,q2,…,qn)

dq2/dt=-R2q2+g2(q1,q2,…,qn)

……

dqi/dt=-Riqi+gi(q1,q2,…,qn)

……

dqn/dt=-Rnqn+gn(q1,q2,…,qn)

这里{Ri}为阻尼系数,它们都是正数,{gi(q)}为q的另一组非线性函数。至此,网络中各子系统(网络)的不安全熵流变化是彼此关联的,网络整体上仍然显得杂乱无章;如果考虑到随机力Fi(t)的作用,网络的安全状态(即,不安全熵),只能作无规律的起伏。但是,对一般的非平衡相变系统,其变量q中包含着序参量u和耗散参量MD。当红客和黑客等外界力量,使系统趋于临界点时,序参量的衰减阻尼系数将变为零,而其它参量的衰减阻尼系数虽不为零,但却有限;于是,u就会出现“临界慢化”,整个系统的演化,便将由u所主宰,其余变量(包括耗散参量MD)都将受到u的支配。

不失一般性,可记u=q1和MD=qa,此处2≤a≤n。于是,前面的方程组可重写为:

du/dt =-R1u+g1(u,q2,…,MD,…,qn)

dq2/dt=-R2q2+g2(u,q2,…,MD,…,qn)

……

dMD/dt=-RaMD+ga(u,q2,…,MD,…,qn)

……

dqn/dt=-Rnqn+gn(u,q2,…,MD,…,qn)

当网络系统趋于不安全熵的非平衡相变临界点时,根据协同学原理,将出现极限R1→0,并且,其它Ri>0(n≥i≥2)且有限,即,此时除u是软模变量之外,其它量(包括MD)都是硬模变量。根据支配原理,若令其它参量都不随时间而变化,那么,略去第1个方程后,上述的方程组又可再简化为:

-R2q2+g2(u,q2,…,MD,…,qn)=0

……

-RaMD+ga(u,q2,…,MD,…,qn)=0

……

-Rnqn+gn(u,q2,…,MD,…,qn)=0

求解这(n-1)个联立方程,可得q2=h2(u),…, MD=ha(u),…,qn=hn(u),即,硬模变量q2,…, MD, …, qi, …,qn都被序参量u支配。将这些解,代入序参量u的变化方程(即du/dt的那个方程),便有:

du/dt=-R1u+g1(u,q2,…,MD,…,qn)= -R1u + g1[u,h2(u),…, ha(u),…, hn(u)]=-R1u+G(u)

注意到MD的非线性泛函数表达式MD=f(q1,q2,…,qn),于是,将上面的各qi表达式代入此式,便知,在网络安全对抗系统非平衡相变临界点的无限小邻域内,成立MD=f[u,h2(u),…, ha(u),…,hn(u)]=E(u),此式中,E(u)是序参量u的某种非线性函数。当外界红客和黑客的控制力量相抵消时,序参量u与约化临界距离之间便有如下依赖关系:u=εβ(ε→0,E→0)。其中,β为序度临界指数,其值与网络安全系统的临界类型有关;ε=(R-Rc)/R,此处的R和Rc的含义是:在一般情况下,非平衡相变的过程,可由系统控制参量(红客、黑客和自然退化的对抗)R来控制,网络(子)系统趋于临界点的程度,可用临界距离(R-Rc)来表征,Rc是控制参量R的临界值。

由于各类非平衡相变临界点,都有一个共同特征:在临界点,序参量由0开始,连续生成;或由非零开始,连续消失而生成。即,当系统趋于临界点时,有:u→0, (ε→0, E→0)。可见,在非平衡相变临界点的无限小区域内,u的量值很小,因此,公式MD=f[u,h2(u),…, ha(u),…,hn(u)]=E(u)的右端,可按自变量u,在临界点进行幂级数展开。设该幂展式中,低阶不为零项的幂指数为ψ,则当系统趋于临界点(u→0)时,函数E(u)便可渐近地表示为:E(u)→Auψ,这里A为原展式中,最低阶不为零项的系数,故在非平衡临界点的无限小邻域内,MD正比于uψ。而ψ与系统的具体耗散模式和耗散内容有关,在非平衡系统中,对于不同的定态ψ,可以取不同的值(正、负或零)。

这也意味着,当网络系统趋于不安全熵的非平衡相变临界点(即,R1→0)时,耗散参量MD(u)也与│ε│βψ成正比,它揭示了MD与临界距离ε之间的依赖关系。当然,若βψ=0,则系统就处于平衡状态了。

综上可知,在网络安全对抗系统的非平衡相变临界点,耗散参量MD会出现某种奇异特性,即,可能出现某种跃变或发散。当控制参量ε→0时,意味着红客对网络安全的保障能力和黑客的破坏能力,成为至关重要的因素,它们将导致网络的安全状态稳定在更高一层的安全状态,或跌落到更低一层的安全状态,甚至可能造成网络的彻底崩溃。

(三)网络空间安全态势的中观描述

结合前面的推论,到目前为止,网络空间安全态势的“中观画像”其实已很清楚了。不过,在“知其然”的基础上,我们还想借助耗散结构理论,更进一步地“知其所以然”。

其实,网络空间安全的发展过程,是一个典型的演化过程,推动该演化的力量主要来自三方面:网络系统的自然退化、黑客的攻击、红客的安全保障措施等。演化的要点,可以概括为如下八个方面:

1)网络系统及其子系统的开放性(即,攻防各方的介入)是形成新的安全状态(不安全熵稳定在新的量值)的前提和基本条件。对任何网络系统而言,安全只是相对的,不安全才是绝对的;而且,不安全性(安全性)是熵(负熵),它也遵守热力学第二定律,即,封闭网络在没有人为攻防力量介入的条件下,其自发演化的趋势将是:不安全熵达到最大。此时,不仅不能形成新的安全结构,就连原来的安全结构都将被破坏和瓦解。但是,当红客和黑客介入后,网络系统就会不断从外部(环境)引入物质、能量和信息的正负不安全熵流,并不断排出其代谢产物,吐故纳新。如果红客的安全保障能力足够强,那么,网络系统的不安全熵的总值将保持不变,甚至趋于减小,从而维持、形成并保持网络系统的安全状态。

2)自然退化和攻防对抗的非平衡,是不安全熵达到新稳态的源泉。所谓平衡状态,就是指构成网络系统的各种安全要素在物质、能量和信息分布上的均匀、无差异状态。

3)远离平衡态是形成新的安全结构(新的不安全熵量值)的最有利条件。网络系统的非平衡态,有近平衡态和远离平衡态之分。这里的“远”和“近”,并非是物理上的距离,而是由影响不安全熵的“当前力量”来定义的,比如,力所不及处,便称为“远”,反之,则为“近”。网络系统的安全状态,既不能从不安全的平衡态产生,也不能从不安全的近平衡态产生;只有远离不安全的平衡态,才有可能使原有的不安全状态失稳,并进而产生新的安全结构。当然,这种安全结构必须要有足够的负熵流(来自于红客的安全保障措施)才可能产生、维持与发展。这种在远离不安全平衡态条件下,网络系统与外部环境相互作用而形成的新的安全结构,其实就是某种耗散结构,因为,这种安全状态只能依靠红客不断地从外部引入优质低熵的物质、能量或者信息。

4)“网络系统内部,攻防各方之间,存在非线性的相互作用”是新的安全结构形成并得以保持的内在根据。网络系统若要形成新的安全结构,那么,构成该系统的各种安全要素之间,既不能是各自孤立的,也不能仅仅是简单的线性联系。因为,线性关系是一系列不稳定状态的序列与集合,此时系统只能处于一种水无休止的发展变化之中,而得不到片刻安宁,其不安全熵更不可能趋于稳定;同时,由于受环境资源的限制,客观世界也不容许包括网络在内的任何系统,以线性方式无休止地向前发展。因此,只有在网络系统的各安全要素之间,存在非线性的相互联系和相互作用时,才能使它们产生复杂的相干效应和协同动作,使得红客的“建设力量”与黑客和自然退化的“破坏力量”形成暂时的均衡,从而网络系统进入某个暂时的稳定状态,进而形成并维持与该状态相对应的新的安全结构。

5)“涨落”是安全结构形成的“种子”和动力学因素。“涨落”是指系统中某个变量或行为对平均值所发生的偏离。对于网络等任何多自由度的复杂体系,这种偏离都是不可避免的。但它对具有不同安全性的系统,其作用是不相同的。对于原本稳定的安全系统,由于该系统本身具有较大抵抗能力,涨落并不总能对它构成严重影响;而对于已达临界稳定状态的安全系统,即使较小的涨蒋也可能使它失去稳定性,从而导致系统从安全状态演化为不安全状态,就像那“压死骆驼的最后一根稻草”。其实,任何一种安全状态的出现,都可看作是另一参考系失去稳定性后的演化结果;因而系统就可以“通过涨落达到安全”。在系统的演化过程中,系统中那些不随时间而衰减,相反却增大的涨落,便成为新的安全结构的“种子”。

6)“涨落达到或超过一定的阈值”是使系统形成新的安全结构或使系统原有安全结构遭到破坏的关键。任何网络系统都有保持其本质的规定性或稳定性的临界度。“度”,即保持自身特质并可以与他质相区别的阈值。当网络系统中的涨落运动所引起的扰动和振荡达到或超过一定的阈值,就会使原有系统的安全结构遭到破坏,为出现新的安全结构提供可能;相反,新的安全结构要想保持自身,就必须将系统的涨落控制在一定的阈值(即临界度)以内,否则,安全结构就会被新的结构所取代。

7)可以用网络系统的不安全熵的阈值来表示“度”。当不安全熵不断增大时,系统可能会逐次出现相继的分叉,而且,每个分叉中既有确定性不安全因素,也有随机性因素。在两个分叉点之间,系统遵从确定性定律和化学动力学的某些规律,但在各分叉点附近,“涨落”却扮演着重要作用,甚至决定了系统所追随的分叉支线。

8)网络系统通过“自组织”形成新的稳定安全结构。在平衡状态下,子系统表现得相对独立,而在远离平衡态的非线性系统中,子系统之间就会产生相干性,存在某种“长程力”作用,或有某种“通讯”联系在进行信息传递,以致每个子系统的行为都与整体状态有关。这时网络系统的一个微观随机小扰动,可能就会通过相干作用得到传递和放大,使微观的局部扰动发展成为宏观的“巨涨落”,使系统进入不稳定状态。在这种状态下,系统各要素之间就会相互协同作用,寻求着信息深层结构的内在联系。一旦某种信息之间建立了精约同构(即,两种事物深层次里具有的少而精的共性)的联系,系统就会由不稳定状态跃迁到新的稳定状态。

(四)结束语

由于“类比”在本文中扮演了重要角色,因此,在结束语中,我们就来介绍一下“类比”这种科研方法。

对未知的恐惧,促使人类不断探索世界,发现新东西,刷新世界观;与已知现象的类比,则是理解新事物的有效手段,同时,类比也能够帮助人类揭示新奥秘。所以,社会的进步,就是在“类比”和“新发现”两者间的相互促进过程中完成的。更新世界观,将产生新的未知领域,将更新类比模式,从而将引导新发现。本文正是借助类比,利用大家比较熟悉的市场经济现象,来介绍抽象的网络空间安全对抗,这也许是一条捷径,因为,要想单独给网络安全对抗“画像”,实在太难。

“类比”是重要的科研方法,它首先针对“原问题”,寻找一个有效的并且一般来说相对容易(或已有答案)的“类比问题”;然后,通过解决“类比问题”,再反过来探索“原问题”的解决办法。虽然不能将类比对象的结果照搬到原问题,但是,类比往往确实很有启发性。可见,运用类比法的关键,是寻找一个合适的类比对象。比如,本文就以“市场经济”作为“网络安全”的类比对象。

其实,无论古代、近代,还是现代,类比就一直被普遍应用;而且,还随科学思维水平的提高而不断发展。其具体表现为:从简单到复杂,从静态到动态,从定性到定量的发展。

在古代,为认识某事物所具有的性质,往往采取将该事物与某个已知事物作定性类比;即,根据两者具有相类似的许多性质,从而推想它们还具有其他类似的性质。例如,我国古代科学家宋应星,为了认识声音的传播,就把击物的声音与投石击水的纹浪进行类比:既然水能以波动方式传播,那么声音也能以波动方式传播。

在近代,类比已不再局限于定性了,定量的类比、甚至是定性和定量相结合的类比,被普遍应用于科研工作之中。例如,科学家欧姆,就把电流的传导同热传导进行类比:把电流类比成热量,电压类比成温差,电导类比成热容量。于是,已知的热传导数学公式“热量=热容量x温差”,就被类比于电流传导中的数学公式“电流=电压x电导”,从而,在电功的研究中,取得了重大突破。

如今,类比方法(包括定性、定量、以及两者的结合)在自然科学研究中,已变得越来越重要了。一般说来,定性类比是定量类此的前提和条件,定量类比则是定性类比的发展和提高。甚至科学发展已与定性类比密不可分:巧妙的定性类比,往往能为科学的进一步发展指明方向;当然,后续还必须有充分的定量研究,才能达到精确的规律性认识。因此,用市场经济来类比网络安全,这只是一个开端,还必须有更深入的后续量化研究。

与科研中的归纳法和演绎法相比,类比法有时会独树一帜,发挥特有的效能。虽然,归纳、演绎和类比都是重要的推论方法,都可能从已知前提推出未知结论,而且,这些结论也都要在一定程度上受制于前提;但是,它们的结论被前提制约的程度是不同的:演绎的结论受到前提的制约最大,其次是归纳,再次才是类比;即,类比的结论受到前提的限制最小。因此,类比在科学探索(特别是初期探索)中发挥的作用最大。而网络安全对抗的中观和宏观“画像”,就处于初期探索的状态,但愿基于市场经济的类比,能够发挥有效的作用。

在科研前沿,由于探索性强、资料奇缺(当前网络安全攻防就处于这种状况),类比的运用就更加重要。例如,上世纪60年代,物理学家们,正是通过将抽象的“夸克”与当时已了解较深的磁极进行类比,才把夸克理论引向了新的起点,并做出了重要预测,从而开辟了一条建立夸克基本理论的新途径。

类比还常用于解释新理论和新定义,因为,类比具有很强的提升理解力的作用。当某新理论提出时,最有效的做法是:通过类比,用熟知的理论去说明新理论和新定义。比如,在气体运动论刚被提出时,就是将气体分子与一大群粒子进行类比:假定粒子服从牛顿定律并发生碰撞而无能量损失。事实证明,该类比在气体行为理论的历史中,发挥了非常重要的作用。只有与已知理论进行类比,新理论才能得以解释,才能被更好地理解。

类比还与模拟实验密切相关。所谓模拟实验,就是在客观条件受限而不能直接考察被研究对象时,依据类比而采用的间接实验。例如,生命是如何起源的,这一直是个谜,由于生命的原始状态已无法回溯,所以,无法直接研究了。于是,科学家米勒,只好通过类比,设计了—个生命起源的模拟实验。他在密封的容器里,放入了氢、氧、碳、氮、甲烷和水等物质,然后,又模拟了风、雨、雷、电等原始大气环境。一周后,在容器里竟然发现了多种氨基酸!这为揭开生命起源的奥秘,迈进了一大步。这些成果再一次充分显示了,以类比为逻辑基础的模拟实验是多么重要。

总之,类比在科研中的作用,决不可忽视。其实,全球网民一刻也离不开的东西,也要归功于类比;因为,计算机就是类比人脑的产物,所以,它本该叫做“电脑”。0day

美国信号情报战略的威胁

美国信号情报战略的威胁-E安全

又被美国黑科技惊呆了

最近,安全圈的看客又被阿桑奇披露的VAULT 7刷屏了,又被美国的黑科技惊呆了,又被身临其境的威胁吓坏了。曼宁、斯诺登和阿桑奇近年来披露了大量美国“偷鸡摸狗”的内幕,数量之多令人震惊。从斯诺登披露的“棱镜”开始,出现了无数的秘密计划代号,大家被搞得晕头转向,难以及时消化。而美国官员还出来澄清,现有曝光的秘密计划根本没有触碰到美国情报科技的“皇冠”。

美国信号情报战略的威胁-E安全

美国信号情报战略的威胁-E安全
美国信号情报战略的威胁-E安全
美国信号情报战略的威胁-E安全

美国情报来源分类

要想理解美国黑科技秘密计划代号,需要了解美国情报来源的分类。美国情报搜集管理按照来源分为5个主要部分,分别是HUMINT(人工情报)、SIGINT(信号情报)、IMINT(图像情报)、MASINT(测量与特征情报)和OSINT(开源情报)。其中前4个情报来源都是保密的,但都需要得到OSINT(开源情报)的支持。后4个情报来源必须依靠技术手段才能获得,尤其是SIGINT特别需要黑科技的支持。SIGINT包括了COMINT(通信情报)、TELINT(武器测试数据情报)和ELINT(电子辐射情报)三个需要高端技术支持的内容。

美国信号情报战略的威胁-E安全 ??
美国信号情报的战略意图

斯诺登披露的绝密文件“信号情报任务战略规划(2008-2013)”和“信号情报战略(2012-2016)”,可以帮助我们“管中窥豹”了解隐藏在那些秘密计划代号后面的战略意图。

美国信号情报战略的威胁-E安全

信号情报任务战略规划(2008-2013)

“信号情报任务战略规划”由美国国家安全局(NSA)组织250多个单位共同参与完成。其愿景是完全控制国外情报机构对网络的影响。规划确定了三大目标:一是每年提高SIGINT国家情报重点任务“priority I”和“Band A”的整体性能。二是为分析人员提供及时准确挖掘、发现和利用国际网络中秘密信息的辅助分析工具,并能显著转化为国家的成果。三是逐年增加商业化操作调拨资金的渠道和稀缺技能投资的比例,不断提高资金使用的绩效。经费投入的6个方面包括:搜集与操作(Collection and Operations)、处理与利用(Processing and Exploitation)、分析与产品(Analysis and Production)、任务管理(Mission Management)、研究(Research)、企业信息化与企业管理(Enterprise IT and Enterprise Management)。

? ? 规划附录提出了6项迫切需求(IMMEDIATE IMPERATIVES),其中明确提出:“渗透获取伊朗、朝鲜、中国等重点目标国家领导、军队和安全部门的核心保密通信信息和数据。

美国信号情报战略的威胁-E安全?
1.美国发展信号情报技术成体系,任务按照需求有优先级。

2.有庞大的国家预算(Black Budget)支持,经费投入有整体规划。

3.中国是美国情报部门关注的重点

信号情报战略(2012-2016)

愿景:确保提供的信号情报对美国国家安全利益具有全局和决定的优势。

五大目标

1.彻底改变分析方法:根本改变分析过程中出现偏差的方法,通过创新客户/合作伙伴关系,从根本上提高对所有任务运行的影响力。

1.1 通过先进的间谍情报技术和自动化技术,大大提高全球网络的控制力。

1.2 对信息时代人们如何相互作用进行独到的分析。

1.3 传播第一关联点的数据,共享大数据,满足客户特殊要求。

1.4 推动敏捷技术(agile technology)应用,支撑大尺度分析、发现、法规遵从和协作。

彻底改变就是革命,美国政府搞黑科技的决心很大,坚持不懈,不断改进和创新技术,目标是通过提高对全球网络的控制力,获取情报。

美国信号情报战略的威胁-E安全
2.充分利用NSA合作伙伴协同发现目标,找出其弱点,攻克其防御。

2.1 大力支持应对最关键的密码分析挑战的能力建设。

2.1.1 采用多学科交叉方法研究密码分析问题,利用并整合endpoint和midpoint的能力,确保能够破解密码。

2.1.2 反击无处不在的、有效的商业网络加密的挑战。

2.1.3 利用所有可用的SIGINT和HUMINT能力,打击其他国家本土密码产业计划。

2.1.4 通过商务关系、HUMINT、第二和第三方合作伙伴,影响全球的商业加密产品市场。

2.1.5 持续投资工业基地和驱动超算(HPC)工艺水平,维持国家密码分析能力的优势。

2.2 攻破对手的网络安全防护措施,保证能从任何人、任何时候、任何地方获得SIGINT需要的数据。

2.3 具备先进的谍报技术架构,以获得有关关键任务的人物、网络、访问、信号和技术的发现能力。

2.4 面向使命整合能力,强化工作人员先进网络和信号分析的技能,优化流程和政策。

1.? 极度关注其他国家密码技术应用情况。其他国家密码产品和自主安全无论做得好还是不好,可能不仅仅是技术原因,还存在美国影响的因素。

2.? 重点关注“能从任何人、任何时间、任何地点获得信号情报”,所以美国情报部门会那么关注手机、电脑和家电等人们日常应用的电子产品。

3.? 关注重点人物、重点事件的情报获取。

美国信号情报战略的威胁-E安全
3.动态整合endpoint、midpoint、产品隐藏和密码分析能力,以支持对以前无法进入的目标的利用、网络防卫和网络操作。

3.1 推动支持同步、集成、多功能操作的SIGINT任务架构,并扩展到任务的合作伙伴。

3.2 整合SIGINT系统成为国家传感器网络的一部分,并能以机器速度提供交互和彼此感知、反应、预警的能力。

3.3 基于当前和预计的对关键SIGINT任务的贡献,不断调整访问和接入能力的组合。

3.4 利用全球商业趋势和通信服务,确定新的数据接入、搜集和利用方法。

具有同步、集成、多功能、实时的架构,并扩展到“5只眼”、“14只眼”和NATO等30多个国家的合作伙伴,感觉比阿波罗登月计划还要庞大。

美国信号情报战略的威胁-E安全
4. 共同营造鼓励多样性、自主、创新、敢于承担风险和敏捷的环境。

4.1 鼓励员工决策和推动改变,投资和奖励创新、冒险和合作。

4.2 构建符合法律的系统和工具,保证员工在法律框架内操作而不担心。

4.3 共同努力推进细化、可实现和演进的策略。

4.4 提供必要的培训,保证情报的领先地位和最具能力的SIGINT服务。

5. 通过建立新的业务流程、强化客户关系、必要的内外部合作伙伴关系,进一步优化和有效管理任务和业务。

5.1 追求、发展和实施符合任务执行速度和范围的政策。

5.2 构建具备自动化、端到端价值导向评价能力的SIGINT产品和服务。

5.3 创造和维持自主和敏捷任务管理环境。

5.4 提供SIGINT相关同步的任务预算、资源、技术和研究活动的能力。

5.5 调整规范SIGINT行政业务流程,减少对企业的官僚负担。

5.6 支持统一的用户参与策略,简化流程,提高效率,消除冗余。

? ? ? ?We will constantly strive to improve our knowledge, our people, our technology, and our products. Through innovation and personalization, we will advance the SIGINT system. Our customers and stakeholders can rely on us to provide timely, high quality products and services, because we never stop innovating and improving, and we never give up!

美国信号情报战略的威胁-E安全
文/田夫笔耕 中国保密协会科学技术分会

0day