如何“誠意滿滿”地欺騙一個(gè)入侵的黑客？

本文作者：史中

2016-10-27 08:51

導(dǎo)語：讓黑客撲向加萊，把閃光的諾曼底留給正義。

1944年6月6日，艾森豪威爾率領(lǐng)盟軍在諾曼底搶灘登陸。希特勒措手不及，班師救急，卻因?yàn)殄e(cuò)過了反擊登陸的黃金時(shí)間而一敗涂地。

這就是每個(gè)人都熟悉的“諾曼底登陸”。很多人都知道，諾曼底登陸之所以能成功，很大程度上歸功于人類歷史上一個(gè)經(jīng)典的騙局。

在登陸之前，除了幾位盟軍統(tǒng)帥，所有人從傳言中得到的信息都是：盟軍將在加萊登陸。為了讓這個(gè)信息坐實(shí)，盟軍甚至不惜派出最為忠誠的間諜到德軍的包圍圈中執(zhí)行任務(wù)，而這些忠誠的間諜毫無意外地被德軍俘獲。其中一些受不過嚴(yán)刑拷打，痛苦地把自己從長官口中得到的命令交代給德軍：為加萊港登陸做準(zhǔn)備。

所謂兵不厭詐。欺騙，是這個(gè)世界上成本最小、收效最大的攻擊。

【加萊和諾曼底】

今天的網(wǎng)絡(luò)世界，黑帽黑客已經(jīng)從十年前的散兵游勇成為如今的浩蕩大軍。竊取對(duì)手商業(yè)計(jì)劃、竊取企業(yè)財(cái)務(wù)報(bào)表、任何一票“生意”都可以讓“黑客雇傭軍”賺得盆滿缽滿。

這些帶著“黑帽子”的黑客如同希特勒的軍隊(duì)一樣兇殘，而那些被攻擊的企業(yè)，卻遠(yuǎn)沒有盟軍這么強(qiáng)大，他們甚至就如同蜷縮在角落里的羔羊，任人宰割。

為了拯救這些苦守防線的企業(yè)，三位前阿里巴巴的安全專家聶萬泉、云舒、汪利輝組建了“默安科技”。他們的目的，就是“圍獵”這些可惡的黑客。

黑客的“加萊”和“諾曼底”

早期的黑客攻擊，都是炫耀技巧，進(jìn)攻思路五花八門。但是如今黑客對(duì)于企業(yè)的攻擊，都采用相同的行為模式。他們進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，第一時(shí)間就會(huì)翻看高管郵箱、查看會(huì)員系統(tǒng)，或者進(jìn)入財(cái)務(wù)系統(tǒng)尋找財(cái)報(bào)。也就是說，他們的目標(biāo)非常明確。

云舒如是說。他是一位安全界的“網(wǎng)紅”，擁有眾多的擁躉，在低調(diào)離開阿里巴巴之后，這幾乎是他首次對(duì)外“亮劍”，他的新身份是默安科技的 CTO。

如何“誠意滿滿”地欺騙一個(gè)入侵的黑客？

【默安科技 CTO 云舒】

同樣在阿里巴巴從事了八年安全防御，人稱老聶的默安科技 CEO 聶萬泉告訴雷鋒網(wǎng)：

而且根據(jù)可靠的信息，從事這類黑產(chǎn)的黑客，進(jìn)攻的成功率可以達(dá)到95%。

這個(gè)成功率讓人感到絕望。

從某種程度上講，諾曼底的故事啟發(fā)了他們。早在阿里巴巴的時(shí)候，老聶和云舒就已經(jīng)在阿里云的防護(hù)技術(shù)中，使用了“欺騙”的招數(shù)。

如何“誠意滿滿”地欺騙一個(gè)入侵的黑客？

【默安科技 CEO 聶萬泉】

把這些“騙術(shù)”最終做成一個(gè)整體，就是“幻盾”。

云舒告訴雷鋒網(wǎng)，黑客雖然智商普遍不低，但卻不是無法欺騙的。

黑客攻擊的時(shí)候，看到的是企業(yè)邏輯上的資產(chǎn)，而不是物理上的資產(chǎn)。在這種情況下，黑客無法遠(yuǎn)程驗(yàn)證他所入侵的系統(tǒng)究竟是不是企業(yè)的真實(shí)系統(tǒng)。他只能依靠自己的經(jīng)驗(yàn)來判斷獲取的情報(bào)是不是真實(shí)的。

和黑客打了十二年交道的云舒，最知道的就是黑客想要的到什么東西，還有他們會(huì)用什么方法尋找這些信息。他詳細(xì)講述了幻盾欺騙黑客的原理：

如果黑客在突破企業(yè)外圍防護(hù)之后，看到五扇相同的門，理性的黑客一定會(huì)最先推開需要力道最小的那扇。而在這扇門之后，我們布置了一個(gè)虛擬的房間——和企業(yè)正常系統(tǒng)極為相似的環(huán)境。而黑客完全沒有能力分辨真?zhèn)?，依然按照自己的方法尋找他的目?biāo)，殊不知他的一舉一動(dòng)已經(jīng)被我們完全監(jiān)視。

這些容易打開的門，就是為黑客準(zhǔn)備的“加萊”。

然而，很多人都會(huì)存在這樣的疑問?？吹竭@些“虛掩的門”，黑客不會(huì)產(chǎn)生懷疑嗎？

云舒說，這樣做，正是因?yàn)槌浞至私饬撕诳偷男睦砗土?xí)慣。

正常的企業(yè)都會(huì)存在這樣那樣的漏洞，甚至很多低級(jí)的漏洞都毫不罕見。所以，黑客并不會(huì)對(duì)這些“好推開的門”產(chǎn)生懷疑。另外，我們知道一般企業(yè)會(huì)在哪些地方存在疏忽和漏洞，所以我們展現(xiàn)給黑客的，都是在黑客看來再正常不過的漏洞。

老聶告訴雷鋒網(wǎng)，他們還有一種獨(dú)門技術(shù)，可以實(shí)現(xiàn)反向定位。通俗來講，就是萬一黑客喜歡挑戰(zhàn)極限，攻入了真實(shí)的生產(chǎn)系統(tǒng)，部署在其中的節(jié)點(diǎn)也可以把黑客的攻擊“無縫轉(zhuǎn)移”到“虛擬環(huán)境”中，整個(gè)過程，進(jìn)攻者完全無法感知。

也就是說，進(jìn)入幻境，是入侵黑客的宿命。

如何“誠意滿滿”地欺騙一個(gè)入侵的黑客？

黑客能否逃出“楚門的世界”？

黑客的處境，和一部電影的描述極為相近。

電影《楚門的世界》中，楚門從出生就身處一場巨大的真人秀，他身邊的所有人，包括父母都是劇組的演員。而只有他一個(gè)人蒙在鼓里，每天認(rèn)真地生活和奮斗。

然而，電影的結(jié)局是，楚門終于意識(shí)到了世界的虛假，最終逃出了這個(gè)巨大的片場。但這些被困在幻像中的黑客，能否識(shí)破“幻盾”的幻覺呢？

讓黑客完成一次“完整的攻擊”，是黑客不能察覺自己在“騙局”中的奧義。

云舒說。他把這種技巧稱為“欺騙鏈”。

也就是說，無論黑客要尋找的是企業(yè) Q3的財(cái)務(wù)數(shù)據(jù)，還是高管郵箱中的密碼信息，每一步都不會(huì)超出他的預(yù)期，而他最終也都會(huì)得手。得手之后，他有可能會(huì)利用這些信息進(jìn)行下一步攻擊。但是在整個(gè)的過程中，他的個(gè)人信息已經(jīng)被成功地“反偵察”。

云舒說，對(duì)于入侵黑客的身份采集，最快只需要兩秒的時(shí)間。采集到的數(shù)據(jù)包括：黑客的進(jìn)攻路徑、黑客使用的進(jìn)攻工具、黑客進(jìn)攻使用的設(shè)備等等。

這個(gè)世界看來不會(huì)給黑客第二次機(jī)會(huì)。因?yàn)橐坏┱莆樟撕诳腿绱嗽敿?xì)的信息，所有之前沒能成功抵擋黑客的防御組件此時(shí)都可以全力聯(lián)動(dòng)，讓同一組黑客的進(jìn)攻再也無法突破圍墻。

電影中，留給楚門發(fā)現(xiàn)真相的時(shí)間，是他的一生。而在幻盾中的黑客，一旦在兩秒鐘之內(nèi)沒能識(shí)破幻境選擇急流勇退，他就再也沒有扳平比分的機(jī)會(huì)了。

如何“誠意滿滿”地欺騙一個(gè)入侵的黑客？

“圍獵”入侵的黑客

僅僅是阻擋黑客的進(jìn)攻，聽起來似乎不太“過癮”。而如何溯源到黑客，正是云舒一眾關(guān)心的下一步技術(shù)。

而在溯源黑客的過程中，“指紋技術(shù)”是一個(gè)重要的錨點(diǎn)。

云舒在阿里的最后兩年，任務(wù)是管理風(fēng)控團(tuán)隊(duì)。彼時(shí)他就已經(jīng)開始利用指紋技術(shù)管理黑客的威脅了。通俗地說，指紋標(biāo)注了就是一臺(tái)設(shè)備各方面參數(shù)所組成的特征，從不同途徑感知到的入侵設(shè)備，一旦指紋相同，就可以認(rèn)定為是同一臺(tái)設(shè)備。

之前的安全產(chǎn)品都是定位到 IP 地址，而現(xiàn)在我們的技術(shù)可以定位到背后的設(shè)備。這樣的好處是，無論經(jīng)過多少代理，多少次 IP 跳轉(zhuǎn)，在終端的特征都是沒有變化的。而一般黑客并不具備欺騙指紋技術(shù)的大數(shù)據(jù)風(fēng)控知識(shí)，所以很難逃脫定位。為了進(jìn)一步增加門檻，我們還做了一些獨(dú)特的算法變化，讓他們對(duì)抗起來更加困難。

云舒說。

這樣做的好處是，黑客們?cè)诓煌瑘龊?，?duì)于不同目標(biāo)的攻擊，都可以通過指紋聯(lián)系起來。在后臺(tái)的大數(shù)據(jù)中，甚至可以繪制出不同黑客組織的團(tuán)伙結(jié)構(gòu)圖。

在這個(gè)基礎(chǔ)上，加之對(duì)黑客入侵行為證據(jù)鏈的保存，對(duì)于把幕后的黑客繩之以法，已經(jīng)是一步之遙了。