从推特被黑看安全木桶效应
7月15日晚上,巴菲特、比尔·盖茨、埃隆·马斯克等众多名人的 Twitter 账户同一时间遭到劫持,统一发布“你给我1000,我返还2000”的内容。巴菲特抵制比特币的态度众所周知,所以在一定程度上可以体察出这是一次骗局,但保不齐这么多名人这么多粉丝,黑客还是最终收割了十几个比特币。
生活在当代中国的互联网居民肯定对这类骗局见怪不怪了,马化腾你充一百Q币我返还你200的图片都包浆了。但即便是这样,你能想象微博上马云、雷军等名人甚至国家机关官博同时发这样的内容么?受骗者势必不在少数。
这么多天过去了,虽然Twitter官方还没披露最终原因,但从各类报道来看,此次事件事实上暴露了信息安全领域一个很重要的理念“木桶效应”,即信息安全防护水平取决于放防线上最短的那块板。
“国家网络安全联盟执行董事 Kelvin Coleman 表示,从规模及影响范围来看,此次账户劫持很可能与员工凭证泄露有关。他总结道,此次攻击很可能是由于某位 Twitter 员工不慎被网上欺诈攻击所影响,并导致恶意攻击者或组织通过 Twitter 内部广泛访问这些账户。”
“黑客是通过瞄准一些可以访问内部系统和工具的推特员工,从而完成了这场空前规模的名人账户入侵。你或许想象不到,这些所谓的 “ 内部账号 ” 简直就是一个缩小的后台,连账号的绑定邮箱都可以修改。”
“据Vice的科技版块报道,各个地下黑客圈子已经在共享一张推特内部管理工具的屏幕截图,该工具用于进行帐户接管,可能是通过重置帐户电子邮件帐户,然后重设密码。”
......
上面的描述比较契合安全攻击中的两种手段,水坑攻击和APT(高级持续威胁),两种手段都隐含不正面攻击的意味,所谓攻其不备、迂回作战:
水坑攻击:顾名思义,是在受害者必经之路设置了一个“水坑”。最常见的做法是,黑客不直接攻击目标系统,而是分析系统管理员的上网活动规律,寻找管理员经常访问的网站的弱点,一旦受害者访问该网站就会“中招”,从而得到受害者在目标系统的权限。
APT:高级持续威胁不是指某一种具体的攻击技术或手段,它是所有可能有效的攻击技术、手段的集合。之所以采用APT主要是因为目标系统具备较高的防护水平,无法直接攻破,所以往往通过信息收集,找到目标系统的关联系统,如子站点、子域名、邮箱、管理后台,甚至QQ、微信等。
简而言之,关联系统不安全同样会影响目标系统,管理后台是漏洞重灾区。下面仅以两则历史漏洞举例说明问题,更多例子请自行检索。
14年某快递公司的管理后台,存在弱密码,不需要任何技术手段就能登录到系统管理页面,查看用户信息、订单信息。其结果就是淘宝店家、分拣员、快递员、系统管理员都没有泄漏我的信息,但我的个人信息就是丢了。
15年新华网还在报道运营商短信保管箱业务,存储短信验证码导致短信被窃取的问题,结果就是我手机没问题,但我手机号在运营商那里还有个管理系统,管理系统被攻破也会导致我短信被盗。
我们把目标系统防护得牢不可破,像糖葫芦一样一层层串上防护设备,但木桶效应导致这层防护变成了“马奇诺防线”,敌人擅长出现在我们不知道的地方。为此提出几个可以实操的建议:
架构上,不需要通过互联网提供访问的管理系统,不允许放到互联网区、DMZ区;必须放到互联网上的,提高身份认证强度要求、审计记录要求。
把管理后台的安全放到安全评估、安全测试工作中,通过流程尽量在上线前发现问题;
对互联网边界防火墙、IP/端口管理梳理出互联网服务情况,作为事中监控手段。
把信息收集作为渗透测试的手段,这些东西不难,都是所谓奇技淫巧,很容易学会但很容易发现重大问题。
版权声明: 本文为 InfoQ 作者【石君】的原创文章。
原文链接:【http://xie.infoq.cn/article/5d3e44faccfa862025ae94a7f】。文章转载请联系作者。
评论 (2 条评论)