斯诺登

2 文章

20亿人拥有SIM卡是现实中的”噩梦”

有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息,且内容极度令人震惊:NSA(美国国家安全局)及其英国的”合作伙伴”- GCHQ(英国政府通讯总部)据称对金雅拓的网络进行了病毒感染,同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视,但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话,在这里我可以告诉你,这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道,事实上,该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”,该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据,目前全球人口达71.25亿;而移动设备估计有71.9亿台。据报道,金雅拓的总共450家客户中,其中不乏知名的移动服务提供商:Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务,并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”(IMSI)以及一个加密的验证密钥。该密钥由一串数字组成,主要用来验证你的手机是否真的是你的。这就好比是登录密码配对,但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥,网络攻击者即能够监视移动设备的语音通话和数据通讯,但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话,这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯,且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动,但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息,可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得,但纯文本形式的通讯内容却无从推断。正如上文所说,这些通讯内容都可以实时获取,根本无需进行任何的分析。 据报道,The Intercept将NSA前承包商所窃取的一份机密文件公之于众,其中NSA是这样说的:”[我们]成功将病毒植入多台[金雅拓]计算机,相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的,SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程,以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中,大部分人使用的都是过时且防范薄弱的第二代蜂窝网络,许多用户依然依靠其SIM卡进行转账和微型金融服务操作,就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题:金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商,此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道,金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌(宝马和奥迪等)的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话,那你支付卡内的芯片很有可能就是金雅拓所生产,而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及,作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施,还是安全网络的其它部分,我们都没有发现任何黑客入侵的迹象,因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开,也从未与外部网络连接。”公司在其声明中这样说道。 然而,公司此前的的确确曾挫败过多起黑客入侵尝试,有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意,那就是这份文件注明的日期是2010年。换句话说,这一所谓的SIM卡计划已经实施了5年的时间,而该技术也是在5年开始使用的,而5年已经到了一台计算机使用寿命的期限。 除了个人以外,SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下,如果斯诺登揭露的文件属实的话,这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗,我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否?该网络攻击很有可能是朝鲜政府所为,但事实上幕后却可能另有他人,对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。