以色列破解數(shù)據(jù)安全噩夢(mèng)揭密以色列安全公司設(shè)計(jì)出“完美”數(shù)據(jù)滲漏方法

文 / 彭 華

以色列破解數(shù)據(jù)安全噩夢(mèng)揭密以色列安全公司設(shè)計(jì)出“完美”數(shù)據(jù)滲漏方法

文 / 彭 華

SafeBreach對(duì)業(yè)界提出了挑戰(zhàn)，能不能找到可被用于大量數(shù)據(jù)的完美滲漏方法呢？能不能找出抵御該公司的完美滲漏提案的有效辦法呢？

進(jìn)攻的技術(shù)遠(yuǎn)遠(yuǎn)領(lǐng)先于防守，數(shù)據(jù)滲漏(Data Exfiltration)是黑客將已經(jīng)在目標(biāo)網(wǎng)絡(luò)中獲取的信息傳遞出來的一系列高級(jí)技術(shù)。核心就是對(duì)欲滲出的數(shù)據(jù)進(jìn)行加密、混淆，然后通過一些隱蔽的手段傳遞出來而不被察覺或者引起警覺。是一種比普通的信息泄漏更加隱蔽和高明的手法。以色列安全公司SafeBreach的研究人員對(duì)隱秘?cái)?shù)據(jù)滲漏技術(shù)進(jìn)行了深入研究，設(shè)計(jì)出“完美”的數(shù)據(jù)滲漏方法。

完美滲漏的要求和條件

SafeBreach公司的研究人員，在2015年就開始尋找從安全性高的組織中隱秘偷取少量敏感數(shù)據(jù)的完美方法。前不久，在阿姆斯特丹舉行的 Hack in the Box (HITB)黑客安全大會(huì)上，SafeBreach共同創(chuàng)始人兼CEO伊特茲克·科特勒，該公司安全研究副總裁阿密特·克萊恩，詳細(xì)解釋了他們命名為“十誡”的完美滲漏產(chǎn)生條件。

其中最重要的一條就是，必須可擴(kuò)展且安全。完美滲漏技術(shù)必須符合柯克霍夫原則——即使密碼系統(tǒng)的任何細(xì)節(jié)已為人悉知，只要密匙未泄漏，它也應(yīng)是安全的。這就既保證了安全，又提供了可擴(kuò)展性，因?yàn)橄嗤乃惴芍貜?fù)使用在不同的密鑰上。其他要求還包括：只使用常見Web流量(例如：HTTP、DNS、TLS)，不利用任何可能被分類為傳輸信息的資源(例如：電子郵件、論壇帖子、加密文本、文件共享服務(wù))等，以免引起懷疑。

開發(fā)數(shù)據(jù)滲漏方法時(shí)，攻擊者應(yīng)該假設(shè)目標(biāo)企業(yè)擁有很好的網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，包括異常檢測(cè)、所有協(xié)議層級(jí)的包分析，以及基于信譽(yù)的機(jī)制。如果信譽(yù)和統(tǒng)計(jì)系統(tǒng)被用于檢測(cè)流向惡意IP和主機(jī)的出站流量，就應(yīng)當(dāng)避免在發(fā)送方和被盜數(shù)據(jù)接收方之間使用直接通信。攻擊者還必須假設(shè)企業(yè)會(huì)在網(wǎng)關(guān)解密TLS通信并進(jìn)行審查。

幾近完美的滲漏

SafeBreach的研究人員已經(jīng)找到了他們認(rèn)為的完美滲漏方式。并描述了這種依賴于HTTP服務(wù)器端緩存過程的方法：

攻擊者首先需找到一個(gè)有很多頁面被動(dòng)態(tài)緩存的流行網(wǎng)站。電商網(wǎng)站是理想選擇，很多網(wǎng)站都會(huì)為了提高性能而緩存HTML頁面，而頁面的緩存時(shí)間通?？梢詮腍TTP響應(yīng)包頭獲取到。在科特勒和克萊恩描述的攻擊場景里，發(fā)送者和接收者協(xié)商好一個(gè)頁面（必須是不熱門，以免被該網(wǎng)站的普通用戶干擾）和時(shí)間點(diǎn)。如果發(fā)送者沒有在特定時(shí)間點(diǎn)訪問特定頁面，一個(gè)比特“0”就被發(fā)送了，如果特定時(shí)間點(diǎn)上確實(shí)有對(duì)該頁面的HTTP請(qǐng)求，那么比特“1”被發(fā)送。

接收者可以通過檢查該頁面是否剛剛被緩存，來判斷發(fā)送者有沒有訪問過此頁面。如果接收者在特定時(shí)間點(diǎn)后10秒去訪問該頁面，他們就可以判斷頁面是不是剛剛被緩存了(發(fā)送者借訪問動(dòng)作發(fā)了個(gè)“1”)，或者該頁面不過是被接收者自己的訪問給緩存了(發(fā)送者借無訪問動(dòng)作而發(fā)了個(gè)“0”)。能被用作此類攻擊的網(wǎng)頁簡直多如繁星。研究人員列舉出了宜家官網(wǎng)、英國易捷廉價(jià)航空官網(wǎng)、以色列電子商務(wù)網(wǎng)站Zap.co.il等。

SafeBreach發(fā)布了一個(gè)自動(dòng)化此類攻擊的概念驗(yàn)證(PoC)工具，包含了獲取緩存時(shí)間信息，在特定時(shí)間點(diǎn)訪問預(yù)定義的URL來判斷發(fā)送者是在發(fā)“0”還是“1”等動(dòng)作。當(dāng)然，該方法也可以被惡意內(nèi)部人士手動(dòng)執(zhí)行。這種滲漏方法還十分高效，因?yàn)樗皇褂谜５腤eb流量，不需要額外的軟件。如果請(qǐng)求是以不規(guī)則的長間隔發(fā)送，而且發(fā)送者不與接受者直接通信，網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)還不太可能找到什么可疑的東西。為確保滲漏數(shù)據(jù)的完整性，避免掉線和其他因素造成的干擾，發(fā)送者可以用“01”序列代表比特“0”，用“10”序列代表比特“1”。

盡管可以將這種方法認(rèn)為是完美滲漏，研究人員指出，需要考慮的因素還有幾個(gè)。例如，網(wǎng)站總是在改變，因此，如果能有個(gè)更新URL的機(jī)制，會(huì)比較理想。發(fā)送者和接受者的時(shí)鐘同步也對(duì)該方法能否有效實(shí)現(xiàn)起著非常重要的作用。攻擊者還必須確保所利用的網(wǎng)站和發(fā)送時(shí)間點(diǎn)要能混雜在目標(biāo)公司的正常流量中。研究人員強(qiáng)調(diào)，如果網(wǎng)站采用多個(gè)緩存服務(wù)器，或者依賴于地理IP分發(fā)，這種攻擊可能失效。

·在阿姆斯特丹舉行的 Hack in the Box(HITB)黑客安全大會(huì)上，SafeBreach共同創(chuàng)始人兼CEO伊特茲克·科特勒，該公司安全研究副總裁阿密特·克萊恩，詳細(xì)解釋了他們命名為“十誡”的完美滲漏產(chǎn)生條件。

檢測(cè)和挫敗此類攻擊的一種可能方法，就是攔截所有HTTP請(qǐng)求，延遲幾秒鐘，查看目標(biāo)頁面是否被接收者訪問。但是，這么干會(huì)對(duì)用戶體驗(yàn)造成負(fù)面影響，因?yàn)槊總€(gè)請(qǐng)求都被延遲了(舉個(gè)例子：如果接收者在10秒后訪問頁面，每個(gè)請(qǐng)求就得被延遲至少11秒)。

如今該方法細(xì)節(jié)已被披露，甚至PoC工具都發(fā)布了，會(huì)不會(huì)被惡意行為人濫用呢？科特勒和克萊恩解釋道，他們的目的是幫助防御者找到檢測(cè)和封鎖滲漏的技術(shù)。畢竟，即使沒有他倆，攻擊者自己也可能想出此類滲漏方法。SafeBreach對(duì)業(yè)界提出了挑戰(zhàn)，能不能找到可被用于大量數(shù)據(jù)的完美滲漏方法呢？能不能找出抵御該公司的完美滲漏提案的有效辦法呢？

數(shù)據(jù)滲漏，該如何防范？

數(shù)據(jù)滲漏的方法比比皆是，這意味著根本沒有辦法可以阻止數(shù)據(jù)滲漏。對(duì)于網(wǎng)絡(luò)防護(hù)者而言，對(duì)公司的內(nèi)部網(wǎng)關(guān)實(shí)施SSL檢查可以幫助識(shí)別可疑數(shù)據(jù)傳輸。還可以配置Web/電子郵件內(nèi)容過濾器來阻止加密文件傳輸。Amit建議首先加強(qiáng)防御控制以解決人為因素，然后再加入技術(shù)。

除進(jìn)行用戶培訓(xùn)外，企業(yè)必須解決數(shù)據(jù)庫存儲(chǔ)位置和如何存儲(chǔ)的問題。如果用戶被允許在可移動(dòng)載體上存儲(chǔ)數(shù)據(jù)，請(qǐng)確保他們具有數(shù)據(jù)加密工具并知道如何使用。更好的是，使用自動(dòng)自我加密的閃存驅(qū)動(dòng)器。同時(shí)，加強(qiáng)對(duì)傳真機(jī)和多功能設(shè)備的控制，防止網(wǎng)絡(luò)中的任何機(jī)器連接到這些設(shè)備，并防止個(gè)人在沒有密碼的情況下走過去使用它們。

部署好這些控制后，再對(duì)公司資產(chǎn)進(jìn)行監(jiān)控，弄清楚哪些屬于重要資產(chǎn)以及它們的存儲(chǔ)位置。Amit指出，沒有理由羞于監(jiān)控自己的資產(chǎn)，然后，“測(cè)試，進(jìn)行更多的測(cè)試?！眻?zhí)行定期測(cè)試，讓內(nèi)部員工和外部滲透測(cè)試者參與進(jìn)來，可以幫助IT部門確定哪些控制沒有正確執(zhí)行，以及哪些地方需要額外的培訓(xùn)。只有你了解企業(yè)的數(shù)據(jù)流和網(wǎng)絡(luò)中的資產(chǎn)，才可能抵御數(shù)據(jù)滲漏。