时间–2016年6月27日。当天早上,一切如我们预期的那样顺利:在经过一番私底下的快速沟通后,卡巴斯基实验室首次参与Reddit的Ask Me Anything(AMA)栏目,参加者有Costin Raiu、Vicente Diaz、Vitaly Kamluk、Ryan Naraine、Brian Bartholomew和Juan Andres Guerrero-Saade,无一例外均来自我们的全球研究与分析团队(GReAT)。
我们向所有人发送链接并确保全部在线,随后点击确认按钮正式开始聊天,但并不确定有谁会在线以及问的问题内容。毕竟这是在互联网上相当出名的AMA栏目。我们的计划是从波士顿时间早上9:00开始为网友回答一个半小时的问题。结果完全出乎意料,无论是活动时间还是参与人数都远超我们的预期(最后一个问题的回答时间是美国东部夏季时间下午1:28以后)。
在整个回答过程中,总共有超过855条跟帖(包括我们的回答),话题范围跨度极大:从”美剧”一直聊到”安全研究专家为何难以确定APT攻击归因”。提问者中,除了我们产品的粉丝外,还不乏网络小白、记者以及那些希望进一步了解网络安全行业的热心网友,他们将一个又一个问题抛给了GReAT团队的各个成员。在总共4个多小时的问答时间里,研究专家们毫不保留地给出了自己的深刻见解和真知灼见,且对任何问题都来者不拒…
网络攻击归因
首先聊一聊这个话题。有个让许多人都感到疑惑的问题是:为什么在许多安全研究专家的报告里,往往提到幕后黑手时总是对其归因三缄其口。事实上在网友提出的众多问题中,有两个与这一话题有关,我们很快就做了解答并希望能彻底解决网友心中的疑惑。
你能给我们这些门外汉解释下,如何利用元数据和其他数据归因类似于DNC攻击和Stuxnet这类网络攻击?像卡巴斯基这样的安全公司在准确归因网络攻击方面是否会做出改变呢?
Brian和Juan作答:这个问题提得非常好,之前很少有专业人士做过详细的回答,原因在于一旦让不法分子知道你用哪些数据来归因网络攻击,那他们也同样会用这些数据进行各种操纵。一旦公开,大多数的数据都可能会被不法分子伪造或操纵,因此安全行业时常会对网络攻击归因问题展开激烈讨论。
在许多网络攻击归因案例中,主要是通过分析代码中所用语言、编写恶意软件的时间、攻击背后的动机、攻击目标的类型、攻击期间使用的IP地址以及之后数据发送的位置来确定。然后在讨论归因问题时将所有这些数据纳入某种”矩阵”中进行使用,从而确定可能的幕后黑手。就拿DNC攻击举例,许多专家意见一致:该类网络攻击中使用及存在于一些基础设施内的恶意软件只属于两个”黑客小组”。
尊敬的卡巴斯基研究专家,你们好
我知道按照政策应尽量避免谈及网络攻击归因,但有足够证据表明多数国家层面的有针对性攻击背后似乎都有一股强大的政府力量(美国、英国、俄罗斯、美国和伊朗等)。为了更加清楚地解答这个问题,我们假设有一种归因指示器能反应出事实真相。为什么发展中国家或不发达国家很少实施这类国家层面的黑客攻击呢?而且似乎在网络间谍活动中,黑客往往使用廉价甚至免费的远程访问和发布漏洞利用工具,且种类相当丰富。
谢谢!
Vicente Diaz,
全球研究与分析团队首席安全研究专家
Vicente作答:按照你的假设,在此种攻击中投入更多资源的国家显然首当其中,在你提到的这类列表中反映出来。这并不表示发展中国家不参与这类攻击活动,而是常常使用外部资源,因为这比自主发展大型”网络功能”更廉价。这对于我们而言归因的难度更高(与不使用普通武器,而研发高级且独一无二武器的情况并不相同)。
同样你也需要考虑”媒体因素”,媒体往往只选择影响范围更大的事件报道。就算有人发现某些小国家之间的黑客攻击活动,也不太可能出现在各大媒体的新闻报道中。
安全缺陷…政府能帮忙吗?
《卡巴斯基每日新闻》的读者都知道我们的博客涵盖各类黑客入侵和安全缺陷方面的内容。许多订阅我们社交媒体的用户在读上面的文章时都会提出这样的问题:’我到底该如何保护自己数据和设备的安全呢?’在此次AMA活动中,又有人提了:
安全缺陷已导致美国目前存在严重的网络安全问题。我的问题是,对于政府该如何处理这类问题或政府是否应该参与民用领域的安全保护,你有什么看法?
Juan作答:很难回答的一个问题。显然政府应在解决安全问题方面扮演重要角色。更为重要的是,某种程度上政府确实该有所作为。例如,对于’hack back’(劫富济贫的黑客行为)的争论我并不想延伸至”公共部门的权力”(因为这样人们便会认为政府在’垄断合法使用暴力的权力’)。如果通过人工对网络攻击进行归因,其结果肯定不可靠,因此宁愿让某些政府机关全权处理对’hack back’相关事宜。
至于政府在其中所承担的职责,需要考虑两个方面:
与执法机构在私人领域的合作对于解决某些极度烦人的恶意软件(比如,勒索软件)相当有必要。一旦有人实施勒索软件攻击,最好的办法应该是通过与执法机构合作找到命令与控制服务器,然后为受害人提供解密软件和服务。这是因为我们不具备收缴服务器的权力,因此与政府部门合作相当重要。
信息共享也是个很好的倡议,但目前一些重要领域的信息共享还是做得不够,比如:金融领域、医疗保健甚至某些专业科技领域。这些领域同样需要网络安全专知,但通常来说他们并不愿分享,因为害怕被人知道自己曾遭黑客入侵或导致法律后果。如果政府真能迈出实质性的一步这当然很好,不仅能为本国公司提供安全的经营环境,还能分享自己的所知和关注的地方,并了解公司需要帮助的方面。
Costin喜欢看《黑客军团》这部美剧吗?
社交媒体团队的同事和我们NA办公室常常会谈论起《黑客军团》。这部剧集的主题我们应该是很熟悉了。我本人没怎么看过,但不用担心,GReAT团队勇敢无畏的领导者以及Juan可以为AMA栏目观众回答这个问题。
《黑客军团》这部剧集,如果就’是否符合现实中IT安全和黑客领域’方面打分的话,你们会打几分?
Costin作答:我个人会打9.5分。因为大部分场景都做得非常棒。从社交工程到开放式安全平台,无论是工具的用法、操作系统以及其它小细节方面都做得很好。我尤其喜欢其中一些非常真实的场景,例如可怜的开发人员无法修复遭攻击的比特币银行和停车场的USB密钥攻击。
Juan作答:老实说,我只看过第一季,有些对黑客入侵情节的描写得非常棒。我尤其喜欢剧中对于只需一个电话就能迅速找到后门的情节(比一次冲淋的时间还短)。
4个小问题
问这个问题的用户可以说是那天在推特#ASKGReAT跟帖上表现最激动的一个。当天我把链接给她时,她表现得非常激动并问了一个很好的问题。实际上是4个小问题。
1)如果系统感染了病毒,使用加密电邮服务也没用是吗?
2)我们该如何安全地使用安卓设备,比如需要登录Gmail账号时该如何保护个人隐私?(Google会收集数据)
3)对于安卓平台上的即时通讯应用,哪几款不会收集用户数据,你使用的是哪个?
4)IT安全着实令我着迷,但我不懂这方面的专业知识。像我们这样的普通用户怎么做才能有助于打造更加安全和自由的互联网环境呢?
Juan作答:哇哦!好吧,我来想想。
我很喜欢你第一个问题,为这再次证明我们努力致力于’信息安全问题’的重要方面。简单回答你这个问题:确实没用,如果是你的终端感染了病毒,使用加密电邮服务确实无助于事。说的详细点,加密电邮服务无法保护你避免已存在于设备内的恶意软件攻击,同时即使加密的邮件(例如:PGP)也会在传输过程中被不法分子窥探,或者利用你或收件人被感染的收件箱进行窥探。我之所以说我们正努力致力于’信息安全问题’的重要领域,是因为我们的安全解决方案是建立在终端未受感染的前提上,因此通过设计和对软件提供技术支持以保护用户设备的安全,这本身相当复杂和困难。
1.跳过你的其它问题,因为之前涉及太多了:安卓确实是个不太安全的移动平台。如果你担心隐私问题的话,大多数时候都是因为你给予第三方应用过多的权限,同时也让’游戏’能为所欲为地使用它们有权查看的信息。相比Gmail集成本身,我个人更关心这些问题。
2.至于即时通讯,我们倾向于使用多个侧重于不同’安全’方面的即时通讯。我的工作职责不是审查crypto或这方面的其它工作,但我的一些同事目前正在测试我们自己的即时通讯应用。SilentText、Signal、Threema和Wickr早已是过去式了。我不知道自己能否能够让他们不再收集数据,但你作为用户务必要告诉他们这点。
3.请务必确保自己账户的安全!!!使用密码管理器和双因素认证。一旦发现目标账户,攻击者会采取各种攻击方法以盗取密码。
《口袋妖怪GO》–应不应该玩呢?
如你们所知,我们已经写了多篇有关目前最流行的游戏-《口袋妖怪GO》的文章。在此次AMA活动中,GReAT同样又被问到了这个问题。没错,有关这款游戏的问题是避免不了…
你们有时间玩《口袋妖怪GO》或其它游戏吗?你们喜欢玩大型多人在线角色扮演游戏吗?
Juan作答:我可以肯定GReAT团队中有不少人在玩《口袋妖怪GO》,尤其包括该系列游戏的粉丝。我并没有太多的时间玩这款游戏,但我平时会玩《星际争霸2》和《命运》。Brian和我也会在Xbox上玩《守望先锋》。但我可能会慢慢尝试在机场候机厅的3DS平台玩《塞尔达传说:众神的三角力量2》。
Brian作答:我偶尔会玩一下《口袋妖怪GO》。但老实说,我的妻子对此并不高兴,因此我只能偷偷地玩。我去商店购物时会偷偷地将手机带上。至于其它游戏,有时间也会玩下,目前主要就是《守望先锋》。在这之前,《辐射4》占据了我的大部分业务时间!当然,我只喜欢玩主机游戏。对PC游戏不太感冒。
Costin作答:我不玩《口袋妖怪GO》,但我玩EVE。隶属于Minmatar舰队。
Vincente作答:我是《街霸4》的粉丝,对SFV感到失望,偶偶会玩玩《星际争霸2》。正在等《质量效应》出最新系列。https://app.appsflyer.com/com.kms.free?pid=smm&c=ww_kdaily
Vitaly作答:我的工作就像在玩电子游戏。非常真实,3D开放世界,各种意想不到问题需要解决。
Vitaly Kamluk,
亚太地区全球研究与分析团队主管
安卓系统的安全性
安卓平台不仅在普通用户之中相当流行(我的一部手机就是安卓系统,安装有卡巴斯基安全软件安卓版),在不法分子中间也同样如此。只需看看目前安卓手机的数量就知道了。很高兴此次AMA活动中有人提出这方面的问题,这个问题可以说是”一箭双雕”。
我该在自己的安卓智能手机上安装反病毒程序吗?病毒及恶意软件对手机威胁大吗?
Costin作答:我觉得手机恶意软件就好比是一座冰山–只有一小部分露在水面,大部分都在隐藏在水下。尽管安卓平台恶意程序的数量过去几年呈火箭式增长态势,但其中大部分都是广告软件和锁定软件。通过我们对于高端APT(例如:Equation)的分析,似乎许多网络威胁背后的黑客已研发出了手机植入木马,因此假以时日,他们一定能发现如同HackingTeam研发出的手机植入木马。在安卓设备上运行一款安全解决方案不仅有助于防范已知威胁,同时还可能捕获不少新出现的木马病毒。
就目前而言,你对这方面有着怎么样的预测,或者有什么直观的感觉?
就我收集到的数据来看,安卓恶意软件主要传播来源是第三方应用商店,而Google的Play Store在这方面却做得相当出色。
但许多安卓手机早已过时(感谢所有手机制造商在保护我们安全方面所做的”不懈努力”):我们可以想象,一旦有不法分子决定滥用Stagefright并向地球上所有人发送多媒体短信,那将是怎样可怕的场景?
Costin Raiu
全球研究与分析团队主管
你还提到了APT(Equation)攻击:他们攻击到底是随机挑选用户还是只针对那些大人物?
Costin作答:最让我担心的是一些应用打着免费的旗号,随意捆绑各种广告。试想一下,手电应用真的需要网络连接吗?如今,许多应用程序都与标准化的广告库相连,不小心就会点击到,从而让这些应用开发商实现”快速致富”。许多开发这些广告库的公司被转卖来转卖去,之前本无害的广告库突然为成为针对上万部手机的复杂网络攻击的切入点。未来,我认为这些网络威胁背后的不法分子将会收购创建广告库的公司,进而在这些广告库内植入恶意代码。此种解决方案让目标感染病毒的成本降低许多,也不需要实施任何复杂的零日攻击。
另一方面,通过滥用类似于Stagefright的漏洞,发动大规模攻击的可能性并不是完全没有,目前看来最严重的攻击均来自于国家层面,且倾向于使用更集中的攻击方式。
以上就是本次GReAT AMA活动中6个最精彩的问答时刻。你们认为如何呢?还有什么要增加的吗?有哪些需要删除的?可以在我们的Facebook或推特主页上留言告诉我们。再次向GReAT团队(以及卡巴斯基的全体员工)表示感谢,正是因为你们的努力才有了我们在AMA上的”首度亮相”。