内容简介:APT前传:杜鹃动了谁的蛋?
夏日林间,阳光从树叶的缝隙里洒下来,微风吹拂着树叶,影子在地上摇曳。鸟儿们在树梢上唱歌,有独唱,有对唱;啄木鸟在敲打树木,幼鸟们在喳喳喊着妈妈。
突然,一只鸟掠过树顶,低空盘旋,不时拍打翅膀,发出响声。正在孵蛋的画眉,受到惊吓,以为天敌将至,顾不上窝里的鸟蛋,立刻逃命。等画眉飞远了,这只鸟停在画眉的鸟巢上,推下窝里的一只鸟蛋,并产下一枚自己的蛋。颜色,大小与鸟窝里的相差无几。危险过后,画眉回来继续孵蛋。等到小鸟破壳而出,画眉做起了养母,本能的尽职尽责喂养这只外来户。
这是杜鹃鸟,自己不筑巢,不孵蛋,不哺育雏鸟,全部交由义父母代劳。杜鹃鸟还有很多有趣的秘密。首先,杜鹃前期会选择未来的义父母;如前文描述,杜鹃伪装成猛禽,吓唬目标。杜鹃的蛋很小,与其身形非常不匹配,也是为了欺骗义父母小鸟。杜鹃的行为,在我们人类看来不可思议,社会主义价值观缺乏的令人发指,甚至有些残忍。比如,杜鹃的幼鸟会提前出生,自己扯着嗓子让义父母喂食,而且会把原来的鸟蛋都拱下去。当然,物竞天择,这是自然进化和选择的结果,这里不做评判。
下图中,杜鹃幼鸟,接受比它小得多的义母喂食。
为什么先讲杜鹃呢?
因为这个故事,来自于一本书, 《The Cuckoo’s Egg》 ,直译书名是杜鹃的蛋。当然,这并不是讲述杜鹃本性的生物读本,而是一个检测和调查,追踪和溯源黑客入侵的真实故事。书的作者,Clifford Stoll,正是这个事情的亲历者。
那还是在1986年(90后的小伙伴,彼时还是游离态的细胞,我也才换下开裆裤),互联网规模很小。如果把现在的互联网比作青年,那时候则是襁褓中的婴儿,只有ARPANET,MILNET等数个小型网络,美国和欧洲之间已经联通。须知,万维网(WWW)是在1990年,也就是4年之后才被发明。 劳伦斯伯克利实验室(Lawrence Berkeley Laboratory,LBL),是ARPANET的一个节点,用户以大学教授为主。
我们的主角,本书作者,天文学博士Cliff,在这里负责维护网络和系统。用户通过Modem拨号连接后,使用主机需要计费。
一天,经理告诉Cliff,有个用户计费有错误,差了0.75美元。Cliff检查这个问题,发现了主机入侵。这吊起了Cliff极大的好奇心,他持续跟踪,用打印机打印所有黑客入侵后的活动,敲击的命令,日志等。由此发现黑客对军事机密感兴趣,并以LBL为跳板,持续向400多台机器进行渗透,成功30多台。
黑客使用的攻击手段,简单和复杂兼而有之。UNIX有很多内置用户,猜口令是其中之一,登录成功后,用w/who查看 登录 用户,如果一旦发现有人,立即退出。还有,黑客搜索邮件文本,或者本地文件,也能找到 登录 名和密码的内容。高级攻击技术,黑客用到了Emacs的漏洞,可以本地提权。(Emacs是UNIX上的文字编辑器,作者是后来大名鼎鼎 的 自由软件斗士Stallman) 登录 成功后,黑客拿到/etc/passwd文件后破解。再次 登录 时,黑客会以新的破解之后的用户名 登录 系统。
需要解释一下Cliff为什么用打印机记录黑客的所有行踪。黑客很狡猾,会清除所有 登录 和操作的痕迹。事后检查,比如用last命令查看 登录 日志,已经看不到线索。Cliff先在黑客可能连入的所有主机上,全都连接打印机,打印所有远程 登录 的会话,锁定到其中一台主机。之后就打印这一台的 登录 和操作的信息。其中一个细节,Cliff为了“照顾”这些打印机,直接睡在机房里。
调查过程持续了一年,多个部门参与协作,包括CIA,FBI,德国的情报部门等。最终锁定了黑客来自于西德,查明黑客为一个4人团伙,其中一名成员,与苏联克格勃特工有瓜葛,并且,一名成员在几个月前死于非命。多行不义,出来混,总是要还的。其他三个人,也被判有罪,不免牢狱之苦。
如今,美国总统川普竞选团队成员,竞选时期,私下与俄方人员接触,正在接受FBI的调查,据说前FBI局长科米即将出庭对证。过去是窃取军事情报,今天是操作大选结果。时光荏苒,猫鼠游戏还在持续上演。
“
Cliff不仅把整个经过写成一本书,还拍成了纪录片。影片的名字是《The KGB, the Computer, and Me》(KGB就是克格勃),有兴趣的读者可以在油管找来看看。另外,1988年,Cliff在ACM学报上发表了一篇论文,讲述这次事件的经过和启示,论文的标题为《Stalking The Wily Hacker》。
遗憾的是,Cliff并没有在安全领域持续研究。事实上,他兴趣广泛,对很多事情充满好奇。在教育领域也有他的身影,面向高中生教授大学物理知识。Cliff在TED上有两段演讲,其中一个是我觉得最为有趣的演讲之一。Cliff在台上不拘小节,跳着走路,提纲写在手指上,尤其哥们那飘逸的,爱因斯坦式的头发,随风舞动,神采飞扬。
对于安全从业者的启示:
1. 不放过任何线索,留意系统,尤其是业务系统的异常;
2. 持续跟踪;
3. 设置蜜罐;有这样的细节,黑客很警觉,登录后搜索完即刻下线,不能追踪黑客来源。Cliff的朋友帮他想了办法,主机上放置了虚假文档,包含敏感军事信息。黑客如获至宝,停留的时间,足够追踪到拨号来源;
4. 利用资源;
5. 隐秘行动,不打草惊蛇。消除内部的谣言,告诫同事们不要讨论此事,更不要在电子邮件中留下痕迹。
6. 黑客画像,大胆假设,小心求证。黑客用hunter作为用户名,还有一个Jaeger, 是德语的hunter,还有Benson,是一个香烟的品牌。通过显示器回显的速度,Cliff判断入侵者应该在6000公里之外。Cliff对屏幕那端的对手进行画像,成年男性,德国人,吸烟的男性等。最后的结果得到验证。
以杜鹃为隐喻,黑客入侵他人的系统格,留下木马程序,恰似杜鹃的行为。
APT,高级持续性威胁(Advanced Persistent Threat),这种提法,在2010年左右才出现。这个故事,告诉我们,互联网的早期,就出现过网络间谍活动,持续一年多时间。变化的是,网络的规模,攻击手段等,不变的是攻方始终虎视眈眈,觊觎敏感信息。安全守方,也需要时刻警觉,杜鹃正在观察。
请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:Mcbang_com 了解更多精彩,关注:chayuqing_com 娱乐资讯早知道!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Ext JS学习指南
(美)布莱兹、(美)拉姆齐、(美)弗雷德里克 / 孔纯、肖景海、张祖良 / 人民邮电出版社 / 2009-10 / 39.00元
《Ext JS学习指南》系统化地介绍了Ext JS的基础知识,从框架的下载安装到各种常用小部件的实例介绍,从如何自定义小部件到Ext JS代码复用和扩展机制,《Ext JS学习指南》覆盖了Ext JS知识的所有主要方面。作为Web 2.0时代企业应用的一把开发利器,Ext JS为企业应用开发的表现层实现提供了优秀的解决方案。 如果你掌握了HTML,并且了解一般的CSS和JavaScript的......一起来看看 《Ext JS学习指南》 这本书的介绍吧!