近日，被稱為“全球最臭名昭著的意大利黑客公司”Hacking Team 曝出被黑，有400G文件流出。（參考雷鋒網(wǎng)新聞：Hacking Team被黑，所謂的“互聯(lián)網(wǎng)的敵人”是怎樣的存在？）針對(duì)此次事件，雷鋒網(wǎng)作者從安全專業(yè)角度出發(fā)，為我們解構(gòu)Hacking Team 被黑的前因后果，作為小白又該如何防范？ Hacking Team是什么？

Hacking Team是一家專注于開發(fā)網(wǎng)絡(luò)監(jiān)聽軟件的公司，他們開發(fā)的軟件可以監(jiān)聽?zhēng)缀跛械淖烂嬗?jì)算機(jī)和智能手機(jī)，包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，Hacking Team不僅提供監(jiān)聽程序，還提供能夠協(xié)助偷偷安裝監(jiān)聽程序的未公開漏洞（0day），真是全套服務(wù)。

Hacking Team的客戶不乏各國的執(zhí)法機(jī)構(gòu)，甚至包括了聯(lián)合國武器禁運(yùn)清單上的國家，不愧為新時(shí)代的IT軍火供應(yīng)商。搞笑的事情發(fā)生了，在我們的印象 中，軍火商都應(yīng)該是荷槍實(shí)彈、戒備森嚴(yán)的，可是Hacking Team的老板一覺醒來，卻發(fā)現(xiàn)自己的軍火倉庫和帳房被偷了個(gè)底朝天。

那么，Hacking Team被盜了什么？簡單來說，就是軍火庫、帳房和衣櫥都被洗劫了：

1、各種平臺(tái)的木馬程序（含源代碼）
2、協(xié)助各種木馬植入的未公開漏洞（0day）
3、大量電子郵件，包括各種商業(yè)合同
4、Hacking Team內(nèi)部部分員工的個(gè)人資料和密碼
5、其他資料，包括項(xiàng)目資料和一些監(jiān)聽的錄音

Hacking Team為什么會(huì)被黑？

其實(shí)Hacking Team并非第一家被黑的"網(wǎng)絡(luò)軍火"公司，去年總部在英國的另外一家監(jiān)控軟件公司Gamma國際也被黑，他們的FinFisher遭遇了同樣方式的黑客入侵，泄漏了40GB的內(nèi)部文件。"網(wǎng)絡(luò)軍火"業(yè)務(wù)一方面游走在法律的邊緣，雖然能滿足一部分執(zhí)法部門的需求，但也非常容易被濫用，從而容易引發(fā)其他國家和一些組織的敵視。有消息顯示，目前HT被部分政府部門用于監(jiān)聽記者信息系統(tǒng)。此外，作為一家以網(wǎng)絡(luò)監(jiān)聽為主營業(yè)務(wù)的公司，在自身的信息安全防護(hù)上如此大意，也是本次事件的重要起因。

首先，Hacking Team的系統(tǒng)管理員疏忽大意導(dǎo)致個(gè)人電腦被入侵。

正常情況下，系統(tǒng)管理員用來進(jìn)行維護(hù)的電腦應(yīng)該和辦公電腦隔離，并且不要輕易接入互聯(lián)網(wǎng)，但是Hacking Team的系統(tǒng)管理員顯然是在同一臺(tái)機(jī)器上既進(jìn)行公司的IT系統(tǒng)管理，還訪問互聯(lián)網(wǎng)，甚至用來管理個(gè)人的視頻和照片，這就給了攻擊者滲透入侵的機(jī)會(huì)。

其次，系統(tǒng)缺少嚴(yán)格的身份認(rèn)證授權(quán)使得攻擊者順藤摸瓜進(jìn)入內(nèi)網(wǎng)。

安全防護(hù)級(jí)別較高的網(wǎng)絡(luò)，并不會(huì)簡單地對(duì)某個(gè)設(shè)備進(jìn)行信任，而是采用“雙因素認(rèn)證”來雙重檢查訪問者的身份，而Hacking Team顯然并沒有這么做，這使得攻擊者在控制了管理員的個(gè)人電腦后，無需經(jīng)過再次認(rèn)證（比如動(dòng)態(tài)令牌）， 就可以訪問Hacking Team的所有資源。

因?yàn)闆]有嚴(yán)格的網(wǎng)絡(luò)審計(jì)或者異常流量監(jiān)測(cè)，所以400GB數(shù)據(jù)被拖都未能及時(shí)發(fā)現(xiàn)。從攻擊者入侵內(nèi)網(wǎng)，到攻擊者將所有的資料全部偷走，需要一個(gè)較長的時(shí)間 ，在這個(gè)時(shí)間內(nèi)，任何異常行為或者異常流量的報(bào)警都可以提醒Hacking Team的員工，自己公司的網(wǎng)絡(luò)正在被入侵。而實(shí)際上，卻是直到攻擊者公布了所有資料，Hacking Team才知道自己被黑。

不使用數(shù)據(jù)加密技術(shù)導(dǎo)致所有敏感數(shù)據(jù)都是明文存放。

為了防止數(shù)據(jù)泄密，有較高安全級(jí)別的組織一般都會(huì)采用數(shù)據(jù)加密技術(shù)，對(duì)敏感程度較高的數(shù)據(jù)進(jìn)行防護(hù)，這些數(shù)據(jù)一旦脫離了公司內(nèi)網(wǎng)，就無法打開，但是本次泄漏的數(shù)據(jù)均為明文，說明Hacking Team幾乎沒有采用數(shù)據(jù)加密手段去保護(hù)合同、客戶信、設(shè)計(jì)文檔、攻擊工具等。

上述的所有疏忽導(dǎo)致了今天的結(jié)局，中國有句俗話：終日打雁，反被雁啄了眼。這句話用來形容Hacking Team再適當(dāng)不過了。

這次失竊會(huì)產(chǎn)生哪些影響？

本次Hacking Team泄漏事件的后果十分嚴(yán)重，過去無論是漏洞還是病毒木馬，在互聯(lián)網(wǎng)上的傳播都是小范圍的，白帽子黑客固然會(huì)嚴(yán)守職業(yè)道德，在廠商提供補(bǔ)丁前盡可能不公布漏洞細(xì)節(jié)，黑帽子也只是在地下圈子內(nèi)進(jìn)行漏洞交易，有點(diǎn)像：人人都曾經(jīng)聽說過黑火藥的配方，但要制作出軍用炸藥還遙遙無期。

而此次事件一下就把已經(jīng)工程化的漏洞和后門代碼全部公開了，等于數(shù)萬噸TNT炸藥讓恐怖分子隨意領(lǐng)取。

1、首當(dāng)其沖的是普通用戶，本次泄漏包括了Flash player（影響IE、Chrome等）Windows字體、Word、PPT、Excel、Android的未公開漏洞，覆蓋了大部分的桌面電腦和超過一半的智能手機(jī)。 

這些漏洞很可能會(huì)被黑色產(chǎn)業(yè)鏈的人利用來進(jìn)行病毒蠕蟲傳播或者掛馬盜號(hào)。上述的漏洞可以用于惡意網(wǎng)站，用戶一旦使用IE或者Chrome訪問惡意網(wǎng)站，很有可能被植入木馬。而Office Word、PPT、Excel則會(huì)被用于郵件釣魚，用戶一旦打開郵件的附件，就有可能被植入木 馬。

 

2、本次泄漏的各平臺(tái)的木馬后門程序，會(huì)把整個(gè)灰色產(chǎn)業(yè)鏈的平均技術(shù)水平提高一個(gè)檔次。

例如全平臺(tái)的監(jiān)控能力，以及對(duì)微信、whatsapp、skype的監(jiān)控功能等等。在此次事件之前，灰色產(chǎn)業(yè)鏈的軟件工程能力并不高，木馬以隱藏為主，但是界面友好程度和易用性都還有很大的差距，但是本次事件后， 任意一個(gè)木馬編寫者都可以輕易地掌握這些技術(shù)能力。

3、掀起一波清查惡意軟件后門的行動(dòng)，相關(guān)的信息安全公司和國家政府職能部門會(huì)對(duì)PC、智能手機(jī)進(jìn)行清查，同時(shí)對(duì)Hacking Team的服務(wù)器進(jìn)行掃描定位，也會(huì)進(jìn)一步排查各種應(yīng)用程序市場(chǎng)，智能手機(jī)的安全會(huì)引起大家的進(jìn)一步重視。

普通用戶如何做好防范？

1、跟蹤此次事件的發(fā)展，各廠商發(fā)布補(bǔ)丁后及時(shí)升級(jí)。在沒有安裝相應(yīng)補(bǔ)丁前，暫停使用相關(guān)的應(yīng)用和插件。（例如，暫時(shí)刪除或者禁用Flash Player）

 

2、無論是手機(jī)還是電腦，暫時(shí)不要訪問不可信的網(wǎng)站（因?yàn)楸敬涡孤兜?day中泄漏對(duì)瀏覽器的攻擊方法），暫時(shí)不要用公開的Wi-Fi，也最好不要暴露在公網(wǎng)上，將手機(jī)連接到電腦要慎重（Hacking Team提供了利用企業(yè)證書植入智能手機(jī)的木馬程序），對(duì)第三方發(fā)送的郵件附件，要謹(jǐn)慎打開（本次泄漏涉及到Office Word、excel、ppt的漏洞利用）。

 

3、安卓用戶可以去下載西雅圖0xid小組發(fā)布的HT木馬查殺工具：點(diǎn)擊這里

需要隨時(shí)掌握事件的進(jìn)一步發(fā)展的話，可關(guān)注：新浪微博：shotgun_xici ，0xid 的信息跟進(jìn)。

【作者介紹】shotgun，啟明星辰VP，  微信公眾號(hào)：v_adlab。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。