本周關(guān)鍵詞

▼

云滴血 |  加密算法破解 | 俄羅斯黑客 |  朝鮮黑客

網(wǎng)絡(luò)嫁禍 | 奇葩竊密手法

上周剛開始，細(xì)心的網(wǎng)友在中學(xué)教材中發(fā)現(xiàn)了一個黃色鏈接，帶領(lǐng)全國網(wǎng)友一起歡快地開起了“黃皮校車”。

1. 中學(xué)教材現(xiàn)黃色網(wǎng)站 人教社回應(yīng)遭網(wǎng)友質(zhì)疑

據(jù)微博網(wǎng)友爆料，自己發(fā)現(xiàn)人教版高中語文選修教材《中國古代詩歌散文欣賞》中有一個歷朝詩歌欣賞的網(wǎng)站推薦，該網(wǎng)友想進(jìn)入學(xué)習(xí)，誰知搜索該網(wǎng)址后，竟看到了不堪入目的淫穢色情畫面。

很快，人民教育出版社就在其官方微博發(fā)布了一條聲明，稱原因已查明，系網(wǎng)頁內(nèi)容遭到篡改，已向網(wǎng)絡(luò)監(jiān)管部門做了舉報。然而此說法卻立即引來網(wǎng)友質(zhì)疑。一位網(wǎng)友告訴雷鋒網(wǎng)宅客頻道：

人民教育出版社的官方聲明描述并不準(zhǔn)確。所謂網(wǎng)頁篡改應(yīng)該是網(wǎng)站的所有權(quán)是你的，遭遇了黑客攻擊或是利用網(wǎng)站漏洞等特殊手法將內(nèi)容強行更改。而如今是人教社已經(jīng)喪失了該網(wǎng)站（域名）的所有權(quán)，對方購買了該網(wǎng)站（域名）。

前者是別人在你房間亂寫亂畫，后者是該房間被你棄置，別人買下后，在自己的房間里亂寫亂畫。

根據(jù)該網(wǎng)友的域名信息查詢結(jié)果，教材上使用的“meansys.com/*”域名于前不久剛剛被創(chuàng)建，聯(lián)系人和人教社官方網(wǎng)站域名注冊信息毫無關(guān)聯(lián)，看起來更像是個人注冊。很快又有其他網(wǎng)友反映，該網(wǎng)站域名系幾年前因資金問題關(guān)閉的“敏思博客”。

如果網(wǎng)友所述情況屬實，則真實的情況可能是這樣的：多年前，人民教育出版社的工作人員使用了一個敏思博客上的網(wǎng)頁鏈接，作為詩歌鑒賞推薦內(nèi)容。其后人教社一直沒有對該鏈接的有效性進(jìn)行審查，2011年敏思博客關(guān)閉后，該鏈接就進(jìn)入了長達(dá)數(shù)年的失效狀態(tài)。直到2017年1月該網(wǎng)站域名被另一個人購買注冊，并用于運營淫穢色情網(wǎng)，此鏈接才重新被網(wǎng)友發(fā)現(xiàn)。

消息一出，網(wǎng)友紛紛感慨:“書中自有顏如玉，老師誠不欺我！”

俄羅斯黑客從未消停，畢竟是戰(zhàn)斗民族。然而最近一則消息依然讓人聽了覺得有些嚇人：3/4 的勒索軟件都是“說俄語的人”做的！光是看到標(biāo)題就不禁讓人聯(lián)想到這霸氣十足的畫面：

2.戰(zhàn)斗民族的黑客又來嚇人：3/4 的勒索軟件都是“說俄語的人”做的！

還記得雷鋒網(wǎng)發(fā)過一篇《深度 | 和木馬撕X的三場戰(zhàn)役》嗎？騰訊反病毒實驗室安全研究員劉桂澤曾在采訪中告訴雷鋒網(wǎng)：“你有沒有發(fā)現(xiàn)，所有勒索軟件都屏蔽了俄語和俄羅斯的機器，這說明：要么是俄羅斯干的，要么就是容易被俄羅斯砍殺，因為有卡巴斯基。”

這一說法又添新證據(jù)了，據(jù)外媒 softpedia 報道，75%的勒索軟件都是由說俄語的網(wǎng)絡(luò)罪犯搞出來的——人家還說得特別委婉，不是俄羅斯黑客，而是“說俄語的網(wǎng)絡(luò)罪犯”喲！

雷鋒網(wǎng)還發(fā)現(xiàn)，這事居然是卡巴斯基捅出來的，真是幫理不幫“親”。

據(jù)卡巴斯基實驗室的勒索軟件高級分析員Anton Ivanov 表示，過去一年中，該公司發(fā)現(xiàn)的 62 個加密勒索軟件家族中，47 個由俄羅斯人或說俄語的人開發(fā)。

“這個結(jié)論是基于我們觀察網(wǎng)絡(luò)上的地下論壇、控制基礎(chǔ)設(shè)施等得來的。很難說為什么這么多勒索族譜有俄羅斯血統(tǒng)，可能是因為俄羅斯和周邊國家有很多受過良好教育，會熟練代碼編寫的作者吧！”卡巴斯基的分析員這么說。

因為俄羅斯程序員多所以四分之三的勒索軟件都是他們寫的，這個邏輯好像聽起來有點怪怪的。果然不久就出現(xiàn)了“情節(jié)反轉(zhuǎn)”：

3.黑客嫁禍俄羅斯被揭穿：連俄文都寫錯了！

有研究人員最近得到了幾份惡意軟件樣本。發(fā)現(xiàn)里面雖然有許多俄文，但是許多語句看起來狗屁不通，許多單詞都牛頭不對馬嘴，看起來像是有人故意用翻譯軟件將語言翻譯成俄文的。

舉個例子，在惡意軟件樣本中有一個這樣的詞：“kliyent2podklyuchit” ，分析人員用逆向工程翻譯成英文就是：“client2connect" （客戶端連接）。眼尖的分析人員一下就看出端倪，真正的俄羅斯本地人絕不會用“kliyent”這樣的單詞！在實際當(dāng)中，說俄語的人通常會使用“client" 或者”Klient"，但絕不會用蹩腳的“kliyent"。

經(jīng)過分析他發(fā)現(xiàn)，很可能是嫁禍者在使用在線翻譯工具，將軟件語言翻譯成俄文時，犯了一個錯誤，他把俄文底下的發(fā)音誤認(rèn)為是單詞了。

這就好比嫁禍者把“client”翻譯成中文“ kehu （客戶）”,然后想當(dāng)然地認(rèn)為中國的開發(fā)者會用 “ kehu ”來表示客戶端一樣，實際上我們的開發(fā)者并不會這么去做。

分析人員發(fā)現(xiàn)，類似的錯誤比比皆是，由此可以斷定，有人故意使用俄羅斯語言以嫁禍他人或者混淆視聽。通過對此次惡意軟件樣本進(jìn)行分析，已有一定技術(shù)性證據(jù)表明該次攻擊活動和一個叫做“ Lazarus Group”的黑客組織有關(guān)。

Lazarus Group 可大有來頭。據(jù)雷鋒網(wǎng)了解，該組織至少自2009年就開始活動，且多年來一直在對韓國及美國的各政府機構(gòu)及私人組織發(fā)動各類攻擊。2014年索尼電影娛樂公司遭遇攻擊；2016年孟加拉中央銀行 8100萬美元被洗劫；前不久發(fā)生的一起針對波蘭多家銀行的惡意軟件攻擊事事件，這些都和他們有關(guān)。

甚至有研究人員通過分析該組織的作息規(guī)律，竟發(fā)現(xiàn)他們疑似是來自朝鮮的黑客組織。不過這年頭只有掌握充分證據(jù)才能下結(jié)論，否則可能又會出現(xiàn)更高明的嫁禍。

最近各種腦洞大開的奇葩黑客手法層出不窮，比如：

4.黑客通過控制麥克風(fēng)竊取超過600GB的數(shù)據(jù)

研究人員曝光了利用麥克風(fēng)竊取情報的網(wǎng)絡(luò)間諜行動。攻擊者從大約 70 個目標(biāo)竊取了超過 600 GB 的數(shù)據(jù)，這些目標(biāo)包括了關(guān)鍵基礎(chǔ)設(shè)施、新聞媒體和科研機構(gòu)。攻擊者首先向目標(biāo)發(fā)送釣魚郵件，惡意程序隱藏 Microsoft Word 文檔中，一旦感染目標(biāo)之后利用惡意程序控制設(shè)備的麥克風(fēng)去記錄對話、屏幕截圖、文檔和密碼。

收集的情報上傳到 Dropbox 賬號。研究人員根據(jù)其使用麥克風(fēng)和Dropbox 而將這一行動稱為 Operation BugDrop。大多數(shù)被感染的目標(biāo)位于烏克蘭，其余目標(biāo)位于沙特和澳大利亞。

好了上面這個是依靠控制麥克風(fēng)來竊取數(shù)據(jù)，下面來看一個更奇葩的招式：

5.竊取敏感信息新招數(shù)：將硬盤閃爍和耳機變成突破口

黑客們通常都神通廣大，但它們攻破嚴(yán)密的防御多數(shù)還是靠代碼這一武器，不過現(xiàn)在有一批大牛要上天了，他們居然能從臺式機上閃爍的 LED 燈搜集到敏感信息。

借助能“偷數(shù)據(jù)”的無人機，研究人員錄下了電腦上閃爍的 LED 燈，這些閃爍在他們手中成了摩爾斯電碼，借助這些看似無規(guī)律的閃爍，研究人員們成功拿到了電腦隱藏的秘密。

據(jù)悉，發(fā)現(xiàn)這一“驚天秘密”的是來自以色列本·古里安大學(xué)的一個研究團(tuán)隊。他們表示

我們發(fā)現(xiàn)硬盤上的 LED 指示燈是個很好的突破口，它每秒最多能閃爍 6000 次。因此，黑客可以借助這些閃爍遠(yuǎn)程獲取數(shù)據(jù)，數(shù)據(jù)傳輸速度雖然不快，但半小時就能傳輸 1MB。有時候，1MB 的敏感信息就能產(chǎn)生巨大的破壞了?！?/span>

不過，他們也敬告一些不安好心的人，想通過這種方式黑掉別人的電腦并不容易，拿無人機錄下電腦上 LED 燈的閃爍連個開胃菜都算不上。因為攻擊者首先要通過 USB 或 SD 卡將惡意軟件植入目標(biāo)系統(tǒng)，這樣無人機才能搜集到有效信息。

最近兩天大新聞不斷，

6. Google震驚密碼界，攻破了網(wǎng)絡(luò)加密的基石SHA-1算法

在美國的2月23日，Google在密碼學(xué)領(lǐng)域干了一件大事，它宣布了一個公開的SHA-1算法碰撞方法，將這種算法攻破了。這也是對曾經(jīng)在密碼學(xué)中最流行的 SHA-1 算法宣判死亡。

公司研究人員在博文中稱，有足夠的計算力（其中一個階段就花1個GPU大約110年的計算）就能實現(xiàn)碰撞，有效地破解算法。

其實在之前，大家就知道這是可能的，但沒人這么做過。而 Google之所以要那么做，很可能是因為它想結(jié)束爭論，因為放棄SHA-1也是花了行業(yè)人士不少時間和精力的，而且不是每個人都想這么做。如果直接破解了它，就能給反對的人致使一擊，快速結(jié)束戰(zhàn)斗。

雷鋒網(wǎng)了解到，Chrome早在2014年就開始對SHA-1加密的網(wǎng)頁進(jìn)行警告，F(xiàn)irefox和微軟的Edge和IE也迅速跟進(jìn)了。雖然現(xiàn)在來看，整個事件的影響不會很大，但我們應(yīng)該慶幸的是，行業(yè)的進(jìn)步很快，迅速棄用了原來的加密方式，否則現(xiàn)在來看就危險了。

不過和下面這件事相比，Google 破解 SHA-1 算法這件事簡直就不是新聞：

7. 數(shù)百萬網(wǎng)站數(shù)據(jù)泄露長達(dá)數(shù)月，這也許是史上最大的云安全事故

昨日（2月24日），一個可能影響互聯(lián)網(wǎng)為之一顫的漏洞轟然出現(xiàn)，知名云安全服務(wù)商 Cloudflare 被爆泄露用戶 HTTPS 網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達(dá)數(shù)月，受影響的網(wǎng)站預(yù)計至少200萬之多，其中涉及Uber、1password 等多家知名互聯(lián)網(wǎng)公司的服務(wù)。

據(jù)雷鋒網(wǎng)了解，Cloudflare 為眾多互聯(lián)網(wǎng)公司提供 CDN、安全等服務(wù)，幫助優(yōu)化網(wǎng)頁加載性能。然而由于一個編程錯誤，導(dǎo)致在特定的情況下，Cloudflare 的系統(tǒng)會將服務(wù)器內(nèi)存里的部分內(nèi)容緩存到網(wǎng)頁中。

因此用戶在訪問由 Cloudflare 提供支持的網(wǎng)站時，通過一種特殊的方法，可以隨機獲取來自其他人的會話中的敏感信息。這就好比你在發(fā)郵件時，執(zhí)行一個特定操作就能隨機獲得他人的機密郵件。雖然是隨機獲取，可一旦有心之人反復(fù)利用該方法，就能積少成多就能獲得大量私密數(shù)據(jù)。

聽起來是不是有些像當(dāng)年席卷整個互聯(lián)網(wǎng)的心臟滴血漏洞？ 因此也有網(wǎng)友稱此次漏洞為“云滴血”。

可怕的是，該漏洞自首次被 Google 公司的安全人員發(fā)現(xiàn)，至今已有好幾個月。也就是說，在這一期間甚至是在這之前，很可能有不法分子利用該漏洞，造訪了所有 Cloudflare 提供服務(wù)的網(wǎng)站。而 Cloudflare 服務(wù)的互聯(lián)網(wǎng)公司數(shù)量眾多，其中不乏我們所熟知的優(yōu)步（Uber）、OKCupid、Fibit 等等。

漏洞最初是由谷歌 Project Zero 安全團(tuán)隊的漏洞獵人（國內(nèi)稱白帽子）塔維斯·奧曼迪發(fā)現(xiàn)的，當(dāng)時他在谷歌搜索的緩存網(wǎng)頁中發(fā)現(xiàn)了大量包括加密密鑰、cookie 和密碼在內(nèi)的數(shù)據(jù)。于是他很快告知Cloudflare ， Cloudflare 派出團(tuán)隊來處理此事，結(jié)果發(fā)現(xiàn)導(dǎo)致問題的幾個重要操作分別發(fā)生在數(shù)天和數(shù)月之前。

有趣的是，漏洞發(fā)現(xiàn)者奧曼迪在帖子中特別提到，Cloudflare 的漏洞賞金最高只獎勵一件T恤。因此有網(wǎng)友開玩笑地表示：“據(jù)說是Google的人先把這個問題報告給 Cloudflare ,但只被獎勵了一件T恤，然后就在推特公開。”

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。