比特幣勒索反思:硬件隔離帶來的安全感是紙老虎
來源:新浪科技 發布時間:2017.05.18“辛苦了一年的畢業設計都沒了!”、“為什么不能用加油卡,現在誰會帶那么多現金”、“大老遠趕過來不能說不辦就不辦吧。你找個不中毒的電腦不行嗎?”
比特幣勒索軟件攻擊以來,無數人在學校、加油站、辦事廳發出類似的抱怨。這場攻擊讓經歷者進入了科幻片中的一場第三次世界大戰。
而本周一,毫無例外幾乎所有的企業組織都給雇員發郵件要求開電腦之前先拔網線,并挨個安裝補丁。雖然沒有具體的損失統計,可想而知,整個社會的人力物力成本高昂。
為什么這些原本并不直接連互聯網的內網電腦成為這場勒索攻擊的重災區?是什么讓一向被認為安全的業務系統陷入絕境?為什么反而個人電腦更安全,企業的安全這成為大多數人想要知道的問題。
從技術角度來說,這次攻擊方式是文件加密和內網蠕蟲病毒的合體。這兩個分別來看都不是新鮮事,文件加密攻擊之前多數通過郵件附件來完成,蠕蟲也常見。但這次蠕蟲病毒非常好地利用了3月份泄露出來的445端口漏洞實現指數級傳染。
雖然運營商和很多的云計算平臺都提前封殺了這個445。但企業內網對這個重大漏洞無動于衷!
換句話說,當全世界都在修復這個爆炸級漏洞時,大部分企業還對自己的防火墻沾沾自喜,直到大廈崩塌。
不是還有防火墻和物理隔離嗎?為什么沒防住?
這就要說到一種傳統安全思維和攻擊者思維的差異了。傳統上認為只要我把墻修得足夠高,把壁搞的足夠厚,多鋒利的矛都沒法刺穿,那我就安全了。
黑客其實不是這么想的,他的目的是獲利,而不是跟你打陣地戰。勢單力孤的黑客哪能跟你玩這個,他們壓根不走正門。有一句話:堡壘容易從內部攻破。
舉個震古爍今的例子。2006年,伊朗在嚴密的物理隔絕狀態下重啟核計劃開始生產濃縮鈾。美國和以色列發現很難正面入侵。于是雙方研發一種震網病毒,并通過馬來西亞軟件公司,使伊朗購入了夾帶“震網”病毒的離心機控制軟件。“震網”病毒于2010年6月爆發。控制并破壞伊朗核設施的離心機設備,使其運行失控、高溫自毀。伊方不得不暫停濃縮鈾進程。
從中可以看到,幾乎沒有一個系統可以真正在物理隔絕狀態下獨立運作。只要需要跟這個世界進行某種關聯,總是會以各種形式被滲透。
當然,這次的勒索事件沒有震網病毒那么復雜,更常見的是使用u盤就把外網的病毒帶入內網。
進入內網之后,當然是長驅直入,如入無人之境。更何況但凡一臺電腦被感染,即通過445端口自動搜尋同一個內網環境下的其他電腦,以指數級方式傳染開來,成片淪陷。
根源在于防火墻和物理隔絕就是對外重兵陳防,卻防不住歪門邪道。而越是依賴于對外防御的,往往內部就越是空虛。這就是公共服務系統、高校、以及一些央企業務幾乎崩盤的原因。
也有人說,大部分公司組織的內網之弱,一個10年前的病毒都能肆虐。原因——在安全的虛幻感下,內網電腦幾乎不更新系統。好比是無菌房里的花,一有風吹草動就枯萎。
拋開那些需要提升安全意識的空頭話。如果說對本次攻擊事件有什么反思的話,最重要的是改變思路。
首先,絕對的安全是不存在的,不存在的,不存在的。硬件隔離帶來的安全感是幻覺,也是紙老虎。在虛假的安全感之下最大的損失就是丟失了足夠的安全風險意識。甚至隔離有多好,內網就有多脆弱。
其次,安全是有限度的,有限安全=安全意識+安全工具+安全機制。三者缺一不可。安全意識根治每個用戶的意識。安全工具像把劍,使用者的能力決定了能不能用好他。而安全機制更為關鍵:決定了是死板的還是積極的。
再次,積極的安全機制是指,專業機構治理下的環境通常會及時修復漏洞,從而使得運行的系統處于“當前最安全”的狀態,這是一個保持進化的系統。但普通企業組織經常對補丁視而不見,停止了更新,對外部攻擊的抵抗能力更低,一旦出現問題,反而更為脆弱。
最后,從運營商和云計算廠商提前封禁高危端口的處置策略來看,也能發現一點,任何大規模行動都在事先有跡可循,偵察兵對于打贏戰爭起到關鍵作用。大規模的云計算廠商往往能夠從歷史信息結合當前的情勢有一個更加全面的態勢感知能力。從而可以提前預知和盡早防御。也可能也是未來安全防御的重要趨勢。
