此次2017腾讯安全国际技术峰会的举办场所是深圳宝安区,宝安谐音“保安”,似乎也透露着安全重要性的意味。而会议所在的酒店附近,绿意环绕,高楼迭起,仍有不少还在建造之中,俨然一座繁忙且正在兴起的城市模样。继昨日报道的 AI 、大数据、SMB 攻击、CFG 防护等 7 个重量级议题之后,峰会的第二天依旧是硬核与干货齐飞,趋势科技、Comsecuris、高通、MWR infoSecurity、盘古及 Corellium 嘉宾悉数到场,从早上九点半至下午五点半,走出会场时才恍然发现大雨正倾盆而至。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

狮鹫图腾是眼界宽广、悉心守护的化身,在此开会似乎颇有深意

趋势科技:如何通过开源漏洞攻击闭源软件

趋势科技中 ZDI(Zero Day Initiative)组织总是博得大家的关注,此次峰会的第二天三位演讲者通过分析在 最流行的文档阅读软件 Adobe Reader 中使用的开源组件模块 TIFF 及 XSLT 引擎中寻找漏洞的历程,向大家分享通过开源漏洞攻击闭源软件的挖洞及攻击思路。

他们发现 Adobe Reader 使用了开源且无人维护的Sablotron引擎(原来开发该引擎的是 Ginger Alliance),  Adobe 只能自力更生添加部分功能来完善引擎的安全性。研究员通过结合模糊测试及审计 Sablotron 源代码的两种方法发现了一连串的漏洞(包括 CVE-2012-1530、CVE-2012-1525CVE-2016-4198、CVE-2016-6963、CVE-2016-6977 )。研究员还在现场详细剖析了这些12年一直挖到16年的漏洞的具体问题、利用、修复方案,以及如何通过旧的、已经修复的漏洞思考新漏洞存在的可能性。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

而回顾当今时代的现状,确实可以看到开源的项目越来越多地被应用到基于云的大型应用中,开发者可能未能进行整体化地思考前就“敏捷”地添加了一部分功能进去。而应用开源组件的厂商可能会错误理解安全机制、错误使用、或干脆没有利用安全机制进行防护。

如何在 ARM 平台上追踪硬件之上的底层代码

德国 Comsecuris UG 创始人 Ralf 带来了用 ARM CoreSight 进行追踪调试的技术分享。在一个大型或较为复杂的系统程序中,功能强大的调试系统能助力迅速解决问题,且事半功倍。Mozilla 此前也有开发过一种 rr 调试工具,但是它只能运行于 x86 架构,有些指令不能翻译到 ARM 平台,所以研究员放弃使用这种传统的方法。当然,也有一些做法同样可以做到 CoreSight 可以实现的追踪,但在支持性、价格、通用性上各有千秋。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

Ralf 在现场给出了CoreSight System 的模型示意图,并对市面上的三种芯片(三星猎户座,华为海思和高通骁龙)逐个进行分析,并现场演示了追踪过程。CoreSight 代码追踪能够有效检测恶意程序的执行,这样的代码追踪技术还是值得了解和掌握的。研究员还在分享最后给出了参考材料(ARM DDI 0314H、ARM IHI 0029D、ARM IHI 0035B)。

在安卓Chrome上猎杀逻辑漏洞

来自英国 MWR InfoSecurity 的安全研究员 Georgi Geshev 就此议题展开了论述,他们认为 Pwn2Own 比赛中过多地使用模糊测试会越来越难以发现可理解的漏洞,于是他们分析挖掘内存以及逻辑漏洞,并对部分发现的漏洞进行思路分享。在参加Mobile Pwn2Own时的规则是通过短信或者网页的方法攻击手机,为此,他们选择的是chrome作为突破口。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

他们发现 content scheme 能够读取本地文件,由此开始了对同源策略的调查,如果创建一个 HTML 文件,文件中会把自身嵌入 iFrme , PC 端的 chrome 基于同源策略就不能打开,但用Android其实可以,攻击者可以利用这一点读取本地文件列表。其次,通过 CSRF 结合读取的手机设备id可以发送 post 请求自动从 Play Store 上安装应用程序。完整的攻击方法很快就可以搭建出来:把HTTP重定向到content scheme 然后再使用 chrome 自动下载机制,使用下载地址欺骗同源策略,攻击者就可以做到读取本地已经下载的其他文件。当然,这样的攻击方法也有缺陷,比如Android 的 toast 消息就无法避免,需要等待用户锁屏后执行操作。

盘古团队:轻松发现 iOS 高危漏洞

如何轻松学习研究 iOS 漏洞呢?盘古认为可以通过很多公开来源的途径,获取苹果官方的公告、了解公开的越狱工具、diff 代码、学习其他人的研究人员的博客中公开的漏洞细节(如Google Project Zero)。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

研究人员认为第一步需要熟悉现有的漏洞,了解上下文的情况,尝试自己写POC、EXP,并测试稳定性方面的问题。第二部,需要分析漏洞的成因,有些低级漏洞的出现成因是代码质量较差,如 SMB 中类似的漏洞很多。其次,需要分析漏洞的修补方法,了解是否有类似的漏洞。盘古团队在方法论探讨结束之后,对漏洞的案例进行分析:如 IOSurface、IOMobileFrameBuffer、sharememory系列漏洞等等。方法论中所谓的轻松也是说要举一反三,从已发现的漏洞中学习。

现场演示:iOS虚拟化

Corellium 创始人分享 iOS 虚拟化这个新鲜议题,同时在现场一并公开了 iOS 虚拟化的最新研究成果。他介绍的 Virtual.al TK1 demo box 可以虚拟化 iphone3、4、4s,而他们的 CHARM设计(Corellium Hypervisor for ARM)还可以支持 iPhone 6 和 iPhone 7 的虚拟化。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

有了这样的虚拟化设备,在进行安全研究的时候,逆向iOS 会变得轻松起来。通过虚拟化攻击,甚至可以直接通过 IDA Pro 进行深入研究,对于 iOS 研究社会会有帮助。

逆向工程工具:标准化和整合

最后压轴的是腾讯科恩高级研究员 Anton Kochkov 的议题,目前安全研究员在挖掘漏洞进行分析时都有各种各样的研究方法,静态分析、调试、模糊测试的工具也是五花八门。每一年的安全会议上,都有各种工具全新登场,然而在做一些分析的时候,团队合作挖掘和分析是研究中必要的一环,对比其他金融、建筑行业都适用了通用的协议来进行行业内的合作,安全行业中,实际上没有一种通用的标准或者协议,可以来进行工作的协作以及数据交换。

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

现有的部分协议存在着很多问题,不能够跨平台,速度又会很慢,例如 GDB、LLVM、WinDdg,全新的优良设计的标准有待出现。Anton建议可以向数据科学家交换数据的方式学习,需要通过这种标准化的协议帮助交互性的提升。当然,这个协议并不需要像 ISO 那样,他希望聚集更多的安全专家,建立专门的讨论组并开始制定这样的标准。

小结

此次的峰会中,国际一流研究员齐聚一堂,是一场前沿技术的分享大会。无论是工具的运用,研究分析的思路、以及安全行业的前景和未来,我们都在这场峰会中感受到了研究员们在常年的研究中积累出的智慧和认识,以及他们努力推动行业发展的意愿。正如我们所看到的日新月异成长着的深圳,相信安全行业仍然会茁壮地成长,持续焕发着生机。

会后花絮

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

全场嘉宾微笑合影

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

祝您用餐愉快

硬核与干货齐飞:2017腾讯安全国际技术峰会次日精彩回顾

会场外的鱼池,转发本文有好运哦!

*FreeBuf 官方报道,作者Elaine,禁止转载

没错,我们要聊一聊“敏感”

敏感的内心?

敏感的嗅觉?

敏感的神经?

……

都不是,我们要聊的

敏感“主体”是“数据”

什么是敏感数据?

如何认识和发现敏感数据?

这是今天的主题内容!


敏感数据的定义

一份数据敏感与否是因人而异的,没有绝对的标准,只有相对的标准。当一份数据未经授权被公开后,会对个人公司、客户,乃至社会、国家,造成较大可能性的伤害,那这类数据一般被我们描述为“敏感数据”。

当一份数据有明确的定义,限制某类人的访问,那这些数据对这类人而言就是敏感数据。比如,几乎所有的业务数据对运维人员都是敏感数据。

在这里,还需要明确下几个概念:

业务数据:一般指通过业务系统操作产生的数据,这些数据同时又用来支撑业务的运行。

个人信息:个人的基本的人口统计学信息和其所拥有、交易的,以及其他属于个人所有的财、物、事和关系。

同时,敏感数据并不等同于重要数据。重要数据是指,对于业务运行具有决定性影响的数据。而敏感数据并不一定就是重要数据,实际上,相当一部分的敏感数据在业务上并不重要,如电话号码,邮政编码、微信号等。

敏感数据的基本构成

一般来说,敏感数据主要由以下几部分构成:

1、个人信息和隐私数据

简单的说,隐私就是不愿意公开的个人信息。在计算机世界中,很多时候个人数据和隐私数据很难分清楚。

个人信息和隐私,传统上由PI、PFI、PHI三部分构成:

PI:个人基础信息

PFI:个人财务相关信息

PHI:个人健康相关信息

事实上在信息社会,个人信息和隐私已经扩充到个人的所有领域,包括通信、水电煤气、出行、消费等。

总的来说,任何可以识别出特定个人的信息都表述为个人信息,而隐私信息则依赖于个人存在。比如:

姓名、中文名、英文名、别名等

身份证号、社保卡号、健康卡号、驾驶证、护照、军官证等各种表示特定身份的信息

机构内部流转适用的唯一编号, 比如账户、员工编号等

可以联系到个人的工具:电话号码、微信号码、qq号码、邮箱等

可以在空间上联系到:住址、通信地址、公司、公司地址等

生物学特征:指纹、头像、DNA、视网膜等

2、商业秘密

商业秘密自然是无法公开的,是现代社会中和隐私信息一样普遍的敏感数据。商业秘密被窃取或者公开会导致企业或者政府运营的巨大损失。

商业秘密包含一切事关企业运营竞争力的数据和信息,主要包括:

知识产权类:工艺流程、配方、设计稿、源代码等

客户和供应商:客户信息、供应商信息

价格:各种销售价格、供应链价格、人力资源价格

财务配置和报表:各种财务的配置、报表

生产和销售计划:各种生产、销售、合同等信息

3、国家秘密

当个人信息和商业机密泄露,进而影响到国家运营和社会秩序,则就上升为国家秘密。除了个人信息和商业机密,国家运营本身亦会产生大量涉及国家机密的数据,比如国防、外交等数据,这些数据统称为国家秘密。

敏感数据的发现和处理

很多人对“敏感数据”都有个初认识,但究竟如何梳理敏感数据,发现敏感数据呢?这是一个普遍存在的难题。

在这里,我们以脱敏为例子,根据前面提及的敏感数据三个组成部分,来发现医疗、金融、电力等行业的“敏感数据”。

1、个人信息和隐私数据

只要PI信息不具有可认知性,PFI、PHI等数据将失去其隐私特性和个人特性,这就意味着其在个人信息和隐私保护上将不具有敏感性。

在绝大部分情况下只要完成了隐私数据的脱敏,脱敏后的数据就将失去敏感性,可以被放心使用,特别是非竞争性行业的政府相关数据。

以医疗、金融、人社行业为例:

医疗行业

医院:只要从事患者的诊断、处方和治疗工作,就是PHI信息涉及的主要场所。只要我们把PI信息脱敏,患者的病案信息自然将不具有隐私性和个人性,即使公开了也不会对于个人产生任何损害。在医院,his,pacs,lis,ris,cis,emr等医院诊疗和管理系统,患者信息贯穿其中。

卫计委:健康档案和电子病历存储着大量的个人信息和隐私,同样主要进行PI脱敏就可以破除个人信息的隐私性。

金融行业

银行:主要从事资金的保管、信贷和支付等工作,主要包含核心、信贷、理财、信用卡等系统。储户、理财用户、信用卡用户、信贷用户是其主要的隐私保护对象。

保险:主要从事保险产品的开发,销售,管理,理赔等工作。保险人、受益人是其主要的隐私保护对象。

证券:主要从事证券的买卖经纪业务,投行业务等。客户和客户的资产配置是主要的隐私范畴。

基金:主要从事资金的募集、投资、管理、赎买、退出等工作。基金投资者是主要的隐私保护对象。

人社行业

社保:主要从事社保基金的缴纳和支付工作,参保人是主要的隐私保护对象。

劳动人事:主要从事就业相关的各种工作,劳动者是主要的隐私保护对象。

2、商业机密

在某些场景下,即使对于个人信息做了脱敏,在缺乏主体辨识情况下的依然体现出了统计学上的意义或者特定个体数据具有充分的价值。这个时候仅仅做PI信息的脱敏可能不够,需要涉及到业务相关数据的脱敏。

医疗行业

卫计委:作为政府机构,一旦各种健康档案信息和电子病历信息脱离了主体可识别,数据就不再具有敏感性。卫计委数据不存在商业机密性问题。

医院:医院除了个人隐私之外,还存在商业机密问题。

统方敏感性:统方本身不具有敏感性,但在特殊环境下存在敏感性,甚至成为商业机密。统方敏感性的处理同个人隐私一样,只要把医生和医生代码进行脱敏即可,使药物统计无法归并到某个医生。但是由于医生数量不多,以及其他一些信息的辅助,即使对医生进行了脱敏,依然可以通过其他信息获取,并未真正达到彻底脱敏的效果。由于测试系统只是一个非实时系统,只要不是每月进行更新,简单的医生脱敏就可以完成统方敏感性解除。如果测试系统会定期和生产系统进行同步,则需要把药品进行脱敏。

诊断和处方:依据症状进行诊断,根据诊断结果进行处方和治疗是每家医院的核心知识力量。但由于中国医院大多是公立的半科研机构,诊断和处方虽然意义和价值无比巨大,其是否形成商业秘密,依赖于医院本身的驱动力。

价格:面向患者的价格是可以公示的,属于公开信息。但是药品和器械采购价格则在当前环境下会成为商业机密。

财务信息:财务营收,员工工资等。

医疗.jpg

一般来说,价格、营收等数字类在测试系统中进行脱敏是极为复杂的,会涉及到复杂的业务重算。在大部分情况下,只要对数字所涉及的主体信息进行脱敏即可,比如药品、员工。

而财务营收等信息,则仅仅是在最终的报表上进行脱敏,脱敏后的报表将和全局重算的结果不一致。由于报表是对外交付的最后一个环节,财报的不一致并不会对于其余业务产生影响。

金融行业

银行:银行商业机密的核心在于客户,客户信息脱敏后,基本可以脱离敏感性了。为了避免大客户信息的可能性泄露,可以采用子集的方式处理,也就是说,在脱敏系统中仅仅是生产系统中的一个子集,从而是脱敏集合在统计学上失去意义。

价格信息:各种利率,尤其是贷款利率。

保险:保险和银行差不多,关键是客户脱敏。保险和银行不同之处还存在大量的投资,投资品种的构成会形成商业机密。

证券:证券经纪业务在脱离了客户敏感性之后,基本可以解决整体敏感度的问题。当然证券自营业务则和保险投资一样,投资品种的构成形成了商业机密。

基金:基金在投资人这块等同于证券经纪的客户。基金投资则等同于证券的自营和保险的投资。这里一起来考虑基金投资品种的脱敏,我们以最为简单的股票投资为例子。

金融.jpg

股票代码、公司名称、价格、数量: 投资品种,尤其是股票投资的脱敏具有一定的难度,主要是价格因素。由于股票数量的有限性,往往通过价格可以在一定程度上推导出股票,而要对于价格进行脱敏,则需要业务重算,涉及到复杂的业务关联性。

仅仅对于股票名称进行脱敏,具有一定的可逆性。由于价格脱敏的复杂度,建议仅仅对于股票代码和公司名称进行脱敏,保持价格和数量不动。

另一种方式就是抽样,使脱敏系统中的各种配置失去意义。

人社行业

社保:社保只要参保人隐私脱敏之后,不再具有敏感性,不需要进行商业机密的处理。

3、国家秘密

医疗行业

医院:国家领导人的病案信息,采用黑名单的方式,避免这部分信息进入到测试系统。

卫计委:传染病、突发性公共卫生事件,避免这部分依然处于保密阶段的信息进入测试系统。

电力、电信以及其他公共事业机构

电力、电信等基础设施的具体位置具有一定的国家机密性质,但是这部分业务如果需要进行测试,则无法通过避免进入的方式处理,而是需要进行脱敏处理。

其他行业

等同于脱敏,任何处于密级的信息避免进入脱敏系统。

很多科幻小说给人留下了很深的印象,以至于有许多人担心某一天家用的机器人或者工业机器人会揭竿而起,开始天网般的起义。殊不知在这自动化时代,最大的威胁不是这些拟人的小玩意有了自己的思想,而是人类黑客获得了它们的控制权。

在上周晚些时候新加坡举行的theBox安全会议上,来自阿根廷的安全研究人员Lucas Apa和Cesar Cerrudo打算展示他们所开发的,针对三种当前很流行的机器人的攻击,其中有两个是很像人类的机器人,叫Alpha2和NAO,还有一个更大的,由Universal Robots销售的以工业使用为重点的机械手臂,两人的计划可以在下方的视频中观看 – 他们可以劫持这些机器,并更改关键的安全设置,对于两个较小的机器人,他们可以选择发送任何命令给它们,从而将他们转变为监视器,并暗中传输视频和音频。

两位安全研究人员在IOActive工作,首席技术官Cesar Cerrudo说:“它们能动,能听,能看见东西。”这些功能会让机器人至少像传统电脑或智能手机一样可以进行监视,他强调:“如果你入侵了这其中的一个,威胁就更大了。”

劫持机器人

实际上,三种攻击中最严重的物理威胁已经影响到Universal Robots的“collaborative”机器人,这些机器人的多关节机械臂有四英尺长(约122厘米),可以举起22磅(约10公斤)的东西,被用于在工业环境中协作人类工作。两名安全研究人员发现控制机器人的软件没有真正的身份验证,只有一个易于破解的完整性检查来防止黑客安装恶意更新。一个实时视频表明他们可以利用一种称为“缓冲区溢出”的常见安全漏洞来获得未经授权的系统访问权限,之后便可以覆盖“safety.conf”文件,这个文件限制了机器人的运动速度,以及当红外传感器检测到附近有人时的反应。

他们警告说,这个漏洞不仅可以导致机器人因自身过度伸展或过度压制而造成损坏,还会对周围的工作人员造成伤害。“这些机器人有能力导致骨折,”Apa说,“安全保护机制已经是避免受到伤害的最终方法,如果被黑客攻击,后果将不堪设想。”

IOActive的研究人员关注的另外两个是较小的,更友善的“伴侣”机器人,它们被用于娱乐,教育和亚马逊回声式语音交互。除了像Universal Robots一样编辑单个文件,两名研究人员表示他们还可以在这两个机器人上安装软件来完全控制他们。

他们发现中国公司UBTech出售的Alpha2运行着Google的安卓操作系统,它不使用签名(一种防止流氓软件安装的安全措施),Alpha2还没有加密其连接,这会允许攻击者运用中间人攻击来注入恶意程序,日本软银公司出售的NAO机器人也有类似的漏洞。IOActive的研究人员说,这些机器人的代码最初只是作为一个开发版本,但是因提前进入市场,出售的机器人就保留了这个开发版本。

下面的视频中,研究人员展示了对Alpha2的进行控制,让其变成了现实版“鬼娃恰奇”

侵犯隐私是一个更现实的担忧,现在大多数机器人都包含摄像头和麦克风,其数据不仅可以被拦截,黑客还能控制机器人在受害者家里到处移动,下面的视频中,研究人员劫持了NAO机器人来查看它们所面向的方向的画面。

严重后果

研究人员的入侵演示拓展了今年三月首次透露的机器人安全分析,而这份安全分析表明,由Rethink Robots,Robotis和Arsatec公司售卖的机器人及其机器人软件中已被发现有多于50个可入侵的安全漏洞。研究人员掩盖了他们使用的是哪个漏洞,以给予制造商一个机会来修复缺陷。另外,他们物理上只攻击了三个,其余的都是固件分析。

在WIRED的声明中,UBTech和Softbank均淡化了研究人员的调查结果。UBTech发言人在一份声明中写道:“UBTECH已经全面解决了所有相关问题。”软银发言人写道:“我们认为没有任何问题需要担心,用户只要为其WIFI设置了复杂的密码。”但是Apa和Cerrudo一直在留意着两个机器人的更新,且并没有看到一个解决设备安全问题的补丁。事实上,并不是WIFI设置了弱密码才可以利用这些漏洞。一个Universal Robots发言人在一份声明中表示:“虽然我们的产品符合其规定标准,但我们已经注意到该报告,我们也在密切监测所描述的潜在漏洞并准备对策。”

今年早些时候,来自意大利米兰另一支研究人员队伍表示,他们可以接管更大,具有更大潜在危险的工业机械手臂,即220磅重的ABB IRB140。Apa和Cerrudo指出,他们分析的NAO机器人的有漏洞的固件也被用于Pepper机器人,这是软银销售的一个更大的人形机器人,被用于家庭或零售,有时甚至作为商店POS设备。

忘掉科幻小说的情节吧,机器人已经暴露出了很多漏洞,大量黑客很快就会有滥用的动机,正如Cerrudo所说:“在未来,这些机器人将与家庭生活及商业紧密相连。当他们被黑客入侵时,后果是非常严重的。”由此看来,现阶段担心机器人揭竿而起实属杞人忧天,加强安全防御措施方为重中之重。

*参考来源:WIRED,Covfefe编译,转载请注明来自FreeBuf.COM

近日,卡巴斯基实验室最近发布的一份报告显示,2017年第二季度,泄露的一批新漏洞利用方案促成了数百万次对流行 APP 的新攻击。报告指出,Shadow Brokers 泄露的工具和据称 NSA 有关的漏洞在本季度造成严重后果。其中 EternalBlue、EternalRomance 之类的漏洞引起了大量的恶意攻击。

说起泄露,除了斯洛登棱镜门、Shadow Brokers 泄露 NSA 数据这种大型泄露之外,维基解密泄露的一系列 CIA 文档也可以算是史上较大规模政府机构信息泄露事件了。

维基解密.jpg

事件回顾

2017年3月7日星期二,维基解密曝光了一系列新的 CIA 机密文档。这是继斯诺登泄露NSA数据之后又一大国家级机密信息泄露,维基解密将此次泄露项目命名为“Vault 7”,这是 CIA 史上最大规模的文档泄露。

“Vault 7”项目的第一部分是“Year Zero”文档,收录来自 CIA 总部(弗吉尼亚州兰利市网络情报中心)的 8,761 个文档和文件。而 CIA 总部的网络本来以隔离、高度安全著称。此次 CIA 泄露的机密内容大部分是黑客武器库,包括恶意程序、病毒、木马、有攻击性的 0-day exploit、恶意程序远程控制系统和相关文件。这个文档总内容相当于好几亿行的代码,拥有这份文档,就相当于拥有 CIA 全部黑客的能力。这份档案在前美国政府黑客和承包商之间以未经授权的方式传播,其中一名人员向维基解密提供了部分文档。

“Year Zero”文档记录了 CIA 全球秘密黑客活动的范围和方向,其恶意程序库和数十个武器化的 0-day exploit 针对美国和欧洲大量公司的产品。利用这些武器,CIA 将 iPhone、Android、Windows 甚至三星电视都变成了隐蔽麦克风,进行监听。

自2001年以来,CIA 获得来自 NSA 的政治和预算支持,随后不仅制造了如今臭名昭着的无人驾驶飞机,还发展了一支隐蔽且遍布全球的队伍——CIA 的大量黑客。有了自己的黑客部门后,CIA 不再需要借助 NSA 的黑客能力,因此也不再需要将自己一些有争议的行动向 NSA 报告。毕竟 NSA 是其主要的政治对手,如此一来,CIA 就有了更大的自由。

2016 年底,CIA 黑客部门正式成立隶属于 CIA 的 网络智能中心(CCI),拥有 5000 多个注册用户,制造了一千多个入侵系统、木马、病毒和其他“武器化”恶意程序。2016 年,CIA 的黑客所利用的代码比运行 Facebook 所需要的代码还多。CIA 实际上创造了一个“内部 NSA”,这里很少有问责制。至于花费巨额支出来复制政治对手的黑客能力是否合理,CIA 并未表态。

维基解密所披露的文档中有一份声明,指出了一些迫切需要公开讨论的政策问题,包括 CIA 的黑客能力是否超过其获得授权的权力,以及 CIA 的公众监督问题。该声明希望发起一场公开讨论,主题就是网络武器的安全、制造、使用、扩散和民主控制。

一旦某个网络“武器”公开出来,就能在几秒钟内传播到世界各地,被对手国家、网络罪犯和和青少年黑客所使用。

维基解密主编 Julian Assange 表示:

网络武器面临着极大的扩散风险,这些“武器”的高昂市场价值所造成的无法控制的扩散与全球武器贸易形成了对比。但 “Year Zero” 的意义远远超出了网络战争和网络和平的选择。从政治、法律和取证的角度来看,这次泄露其实也是意外。

主要泄露部门及泄露的相关工具

CIA 恶意程序与黑客工具由 EDG(工程开发小组)负责制造,这是隶属于 CCI(网络情报中心)的软件开发团队。而 CCI 的上级主管则是 CIA 五大主要机构之一的 DDI(数字化创新处)。

EDG 负责开发、测试所有后门程序、漏洞 exploit、恶意 payload、木马程序、病毒以及 CIA 在全球秘密行动中使用的其他类型的恶意程序,并为这些恶意内容的实际操作提供支持。

根据维基解密公布的文档,CIA 这次泄露的主要源头就是 EDG 及其下属的小组(下图中黄色部分)。

CIA 族谱图.png

参照维基解密的资料,将几个小组主要承担的项目介绍如下:

1. Embedded Development Branch (EDB) 嵌入式设备研发小组

DerStarke :针对苹果 OSX 系统的启动驱动级(Boot-level)rookit 植入木马,用以测试和开发苹果系统 EFI 接口;

YarnBall :在部署有效载荷或数据窃取时使用的隐蔽 USB 存储工具;

SnowyOwl: 针对苹果 OSX 系统,向使用了 OpenSSH 的进程注入代码;

HarpyEagle:针对苹果 Airport Extreme 和 Time Capsule 路由器及 WiFi 存储设备,目的是远程或本地获取 root 权限并植入 rootkit;

GreenPacket:分析和研究 Green Packet 路由器中 HTTP 隧道;

QuarkMatter:针对 OSX 系统的启动驱动级(Boot-level)rookit植入木马,通过 EFI 系统分区中的 EFI 驱动实现任意内核移植;

WeepingAngel:CIA 和英国 MI5 联合开发,针对三星电视,可以实现令三星电视进入 Fake-Off 模式,并监听使用者的活动;

SOLDER- DS&T Exploration Fund (EF 1617):一种多跳网络开发办法;

Pterodactyl:“支持介质拷贝复制的通用硬件解决方案”工具,可以通过诸如树莓派( Raspberry Pi)之类的嵌入式单板机,对目标电脑进行数据拷贝;

Sontaran:针对西门子 VoIP 电话,深入地研究了 VoIP 电话的硬件和软件架构;

Gyrfalcon:针对 OpenSSH 客户端的数据获取工具,追踪 SSH 链接,搜集用户名、密码、TCP/IP 连接信息和会话数据等;

CRUCIBLE:自动化的可利用漏洞识别(automatedexploit identification)工具;

HIVE:多系统、多平台入侵植入和管理控制工具;

Sparrowhawk:键盘记录器,适用于跨平台架构和基于 Unix 的系统,可收集目标用户在系统终端的键盘输入记录,并整理统一格式;

MaddeningWhispers:针对 Vanguard-based 设备进行远程控制的一套漏洞利用工具;

BaldEagle:针对 Unix 系统硬件抽象层的 HALdaemon 漏洞利用工具。

2. Remote Development Branch (RDB) 远程设备研发小组

这个小组维护一个网络攻击模式库,该模式库搜集、总结了之前使用过的攻击方式和技术,例如 Hacking Team 事件中泄露的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,新发起网络攻击时,就可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。

Umbrage:一项团队模式的网络攻击项目,CIA 技术人员通过该项目收集大量公开的黑客工具、攻击技术、一些泄露数据中包含的可用代码和相关思路方法,以此形成一个网络攻击特征库,可应用于网络攻击活动的调查取证;

Source Dump Map:收集和整理了各种公共泄露数据而建立的数据库;

Component Library:整理、开发工具,如键盘记录工具 DirectInput Keylogger,内核注入用户 (APC injection),卡巴斯基 heapgrd 注入工具;

ShoulderSurfer:从 Microsoft Exchange Database 数据库中提取数据的工具;

3. Operational Support Branch (OSB) 行动支持部门

Flash Bang:浏览器沙箱逃逸和劫持工具,分为两部分,一部分在浏览器中运行,当逃逸或劫持成功之后会启动另一部分,实现对目标的进一步提权操作;

Melomy DriveIn:通过劫持 VLC 播放器的DLL进程,间接植入RickyBobby 远控;

RickyBobby:一款轻量级远控植入工具,包含多种 DLL 攻击文件和执行脚本,可以实现对目标系统的端口监听、上传和下载和命令执行等功能;

Fight Club:RickyBobby的传播工具;

Rain Maker:隐藏于绿色版VLC播放器程序中,利用移动载体作为感染传播中介,当用户向网络隔离的目标系统中插入感染U盘介质时,可以隐蔽实施对网络隔离系统的文件窃取和信息收集;

Basic Bit:针对 Windows 系统的键盘记录工具;

HammerDrill:利用 CD/DVD 作为传播感染介质,通过向磁盘中写入恶意代码,实现对目标系统的感染控制;

Fine Dining:为执行入侵任务的技术特工提供的一系列定制服务,如生成一个伪装的 PDF 文档,利用该文档在目标Mac系统中执行文件搜集任务,或对特定程序执行 DLL 劫持;

Munge Payload:对攻击载荷进行加密和免杀处理的工具。

4. Mobile Development Branch (MDB) 移动研发部门

主要任务:远程入侵智能手机,并能将受害者的地理位置、音频信息、文本信息发送回 CIA 服务器,甚至还能激活受害者手机的照相机和麦克风。

5. Automated Implant Branch (AIB)自动植入小组

Grasshopper:针对 Windows 系统的一个高度可配置木马远控植入工具,可以使用各种驻留技术绕过杀软安装其内含的程序;

Frog Prince:远控程序,全功能木马远控植入集成系统,包括 C&C 控制端、端口监听和植入软件;

Caterpillar:通过安全传输方式从目标系统获取文件的工具。

6. Network Devices Branch(NDB)网络设备小组

这个小组主要进行大量的测试和分析工作。

AfterMidnight:使用 DLL 注入技术对 Windows 系统进行系统提权的工具套装;

Packrat:由开源或商业工具集成的一个实施自动监听的软件套装,可以适用于 VMWare Workstation、VMWare ESXi、VirtualBox、OpenStack、KVM/QEMU、Docker、AWS、Google Compute Cloud 等不同服务系统的配置监听;

RoidRage:针对 Android 5.0 以前的设备进行木马植入和漏洞利用的工具;

The.Net:包含一系列虚构公司名称,如 Umbrella、Abstergo 等,用于模拟真实内外网络通信的一个网络配置工具套装。

7. Techical Advisory Council (TAC) 技术咨询小组

启动过一些技术讨论和会议。其中代表性的议题有两个:

What did Equation do wrong, and how can we avoid doing the same?:分析了Equation被黑的原因,并讨论了如何避免下次再犯同样的错误;

Maslow’s Hierachy of Code Review:讨论了Maslow的code review方法。

自三月以来公布的 23 波工具盘点

除了一大波文档之外,维基解密自 3 月 6 号公布之后,基本以每周一更的频率,公布 CIA 的一项工具详情文档和用户手册,至今(8月25日)已经公布了 23 波。分析来看,虽然 CIA 的工具涉及方方面面,不过维基解密公布的这些这些工具主要针对终端设备和各大系统,当然也有其他一些比较偏门的利用。系统和终端恰巧是网络安全中最重要也最容易受到攻击的环节,容易引起关注;每周一更的频率也容易让大众形成习惯。可见维基解密倒是准确把握了社会心理学的套路,很会自我营销。

CIA 与 维基解密 1.jpg

以下是关于这 23 批工具的具体盘点:

针对终端的工具

入侵摄像头

CouchPotato —— 一款远程工具,能够收集 RTSP/H.264 视频流。它能够收集视频并且保存为 AVI 文件,也可以对变化较大的视频帧抓取静态照片(JPG)。工具利用 ffmpeg 进行视频和图片的编码解码。还使用了管理控制流媒体服务器的 RTSP 网络控制协议。

入侵智能电视

Weeping Angel —— 将智能电视的麦克风转变为监控工具。利用此工具,CIA黑客能够将打开居民家中的智能电视(而且是在用户以为电视关闭的情况下),并窃听人们的对话。与斯诺登公布的监控工具进行比较,可以发现Weeping Angel 与 Nosey Smurf(爱管闲事的蓝精灵)非常相似,Nosey Smurf 是英国 GCHQ 使用的工具,能够将个人电话的麦克风变成监听工具。而 Tracker Smurf(追踪者蓝精灵)则是定位工具,能够定位手机位置,准确率高于三角测量法。

入侵路由器

Cherry Blossom —— CIA 早在 2006 年便开始的项目。其本质上是一款基于固件的可远程植入框架,可以利用漏洞获取未经授权的访问权限并加载自定义的樱花固件,从而入侵路由器和无线接入点(AP)植入固件后,路由器会自动向 CherryTree 发回信息,之后 CIA 操作人员即可在 Web 控制台中进行操作并下达任务来对目标进行攻击。攻击后可进行的操作包括:监控网络流量以收集电子邮件地址,聊天用户名,MAC 地址和 VoIP 号码;将接入受攻击网络的用户重定向到恶意网站;将恶意内容注入数据流,以欺诈手段传递恶意软件并影响加入受攻击网络的系统;设置 VPN 通道,使用户连接到 FlyTrap 的 WLAN / LAN,进行进一步的利用;复制目标设备的完整网络流量。 

针对系统的工具

多系统

HIVE —— CIA 计算机网络行动小组(COG)在执行远程目标任务时使用的一个协助平台,由 CIA 嵌入式研发部门(EDB)开发,可以提供针对 Windows、Solaris、MikroTik(路由器OS)、Linux 和 AVTech 网络视频监控等系统的定制植入程序,并能实现多种平台植入任务的后台控制工作,协助 CIA 从植入恶意软件的目标机器中以 HTTPS 协议和数据加密方式执行命令和窃取数据。其自身具备的 HTTPS 协议接口为网络入侵行为增添了隐蔽掩护性。 

Mac OS 与 iOS 系统

Achilles —— 针对 OS X DMG 镜像的后门工具,可以让 CIA 工作人员将捆绑恶意木马的合法 Mac OS 应用植入到 DMG 文件中。这个工具的 shell 脚本用 Bash 写成,可以进行一次性命令执行,依据操作者意愿执行一份或多份指定的可执行文件。

Seapea  —— OS X 系统中的秘密 Rootkit,可以让 CIA 工作人员隐藏重要文件、目录、进程以及来自用户的 socket 连接,进而秘密安装工具,在用户不知情的情况下访问其电脑。运行时需要获得目标 Mac 电脑的 root 权限, CIA 可以利用其进行内核级别的植入,即使系统重启也能持续感染。只有将启动盘格式化或者将被感染的 Mac 升级到新版本的系统,才能移除这个 Rootkit。

Windows  系统

BothanSpy  ——  一款潜入 SSH 终端模拟器 Xshell 窃取所有活跃 SSH 会话中用户凭证的 Windows 平台工具。BothanSpy 会通过 Fire and Collect (F&C) 通道将收集的凭证转移至攻击者的计算机上。通过使用 F&C,BothanSpy 不会接触到本地计算机的磁盘。 

Elsa —— 工具主要针对具备 WiFi 功能的 Windows 设备,可以通过附近的 WiFi 网络接入点的 ESS (Extended Service Set)数据匹配地理信息数据库后定位用户的位置。

Athena/Hera  —— 采用 Python 语言编写,能够满足 COG/NOD 对于远程指挥及载入的需求。目的是全权地远程控制 Windows PC,让特工能在目标计算机上进行任意操作,如进行数据删除或下载恶意软件,窃取到数据后就可以发送到 CIA 服务器上。目标计算机的操作系统包括 Windows XP Pro SP3 32-bit (仅 Athena 可以支持),Windows 7 32-bit/64-bit, Windows 8.1 32- bit/64-bit,Windows 2008 Enterprise Server,Windows 2012 Server 和 Windows 10 。  

Pandemic  —— 可以把 Windows 文件服务器变成攻击主机,从而感染局域网内的其他主机。

AfterMidnight  —— 一个伪装成Windows服务的动态链接库。它通过基于HTTPS的LP服务进行Gremlins操作。目标设备上安装了AfterMidnight后,会在配置设置下调用配置好的LP服务,然后检查是否有新的计划需要执行。如果有新的计划,它就会下载并存储所有需要的组件到本地,然后载入到内存中。所有的存储文件都以一个LP密钥加密保存。而这个密钥保存在远程计算机上,如果AfterMidnight无法与LP进行连接,则无法执行任何payload。

Assassin  —— 针对微软Windows操作系统的自动植入软件。它为攻击方提供了远程数据收集的平台。Assassin 安装在目标计算机上后,这个工具会在Windows服务进程中运行植入程序,允许攻击者在目标设备上运行恶意任务,整体作用与AfterMidnight非常类似。

Grasshopper —— 主要针对 Windows 系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台;CIA特工在实施入侵攻击之前,可以使用Grasshopper对目标系统进行相关信息探测分类,如操作系统类型、杀毒软件和其它相关技术细节,之后,使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。为了完成定制化恶意软件的配置,Grasshopper程序使用了基于规则的定制化语言进行开发配置,完成相关配置探测之后,Grasshopper会自动生成一个Windows客户端的恶意安装程序,方便现场特工进行安装运行。

Dumbo —— Dumbo 并非恶意软件,而是 Windows 系统上的程序,特工们平常可以放在 USB 中携带。在需要使用的时候,可以将 USB 插入目标计算机并运行该程序。使用者利用这款工具可以实现控制并停止设备的正常运转(关闭所有麦克风、禁用所有网络适配器、暂停使用摄像头的任何进程、选择性损坏或删除录音)。因此,CIA 特工就可以控制并干涉 Windows 系统上网络摄像头、麦克风及其他监控设备,使目标上的音频及视频监控系统瘫痪,以便现场特工执行任务。除此之外,Dumbo 也能够用来检测与设备相关、或与录音或监控软件相关的所有进程。特工可以使用这款工具删除或者中断这些进程,防止任务受到监听或监控。

Linux 系统

Gyrfalcon —— 针对 Linux 系统( 32 位或 64 位),它需要使用 CIA 开发的 JQC/KitV rootkit 获取访问权限,而在运行时则使用普通用户权限。可以在 RHEL, Ubuntu, Suse, Debian, 及 CentOS 等多款系统上使用。 Gyrfalcon 能够收集全部或部分 OpenSSH 的会话流量,包括 OpenSSH 用户的用户名和密码。一个第三方的应用会提供 Linux 平台及监听端口的通讯交流,用来传送加密信息文件。  

Aeris  —— 用 C 语言写成的自动植入工具,专门针对 Linux(Debian, CentOS, Red Hat, FreeBSD 以及 Solaris)植入后门。Aeris 支持自动提取文件,攻击者常常用于这种方法通过 TLS 加密信道从被入侵的设备中窃取信息。它与 NOD 加密标准兼容,可以提供结构化命令和控制,这与一些 Windows 植入工具所用的命令和控制相似。   

Outlaw Country —— 这款工具中包含一个内核模块,CIA 特工可以通过 shell 访问目标系统加载模块,并且可以在目标 linux 主机创建一个名称非常隐蔽的 Netfilter 表,进而让特工把目标计算机上的所有出站网络流量重定向到CIA控制的计算机系统,以便窃取或者注入数据。 

HighRise —— 一款安卓恶意程序,可以拦截 SMS 消息并将其重定向至远程的 CIA 服务器上。主要特征是:向CIA控制的联网服务器发送手机收件箱的所有信息;通过 HighRise 主机从被入侵的手机端发送SMS消息;为HighRise 操作者和监听站之间提供通信信道;利用TLS/SSL安全互联网通信。

其他

UMBRAGE —— UMBRAGE 项目小组专门执行 false flag 行动 (假旗行动:是隐蔽行动的一种,指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动),进而隐藏攻击手段,对抗调查取证。这个项目收录了多种恶意软件攻击技术,例如:键盘记录、密码收集、网络摄像头捕获与控制、数据销毁、持久性感染、提权、隐蔽攻击、反杀毒软件等等。美国大型国防合约商 Raytheon 收购并新成立的安全公司 Raytheon Blackbird Technologies 为这个项目提供具体的恶意程序分析分析,协助项目小组开发、提升 CIA 自己的网络攻击技术。 

Brutal Kangaroo —— 专攻物理隔离网络,或者说未接入互联网的网络,目标主要是企业和关键基础设施。总的说来,其最初的攻击向量和震网 Stuxnet 蠕虫比较相似。Brutal Kangaroo 主要包含三个部分:Drifting Deadline – 这是“残忍的袋鼠”工具集主体,包含一个GUI生成器,可用于生成所有必要的恶意程序;Shattered Assurance – 这是运行在已感染设备上的服务器组件,用Drifting Deadline生成的恶意程序来自动感染U盘(或移动存储设备);Shadow – 在物理隔离网络中,将多台感染设备串联起来的工具,攻击者可定义一系列任务在离线计算机上执行。 

Archimedes —— 在局域网内(主要是企业网络中)进行中间人攻击的工具。可以通过感染此恶意程序的计算机将局域网内目标计算机中的流量进行重新定向。CIA 利用这个工具将目标网络中的计算机 web 浏览器重定向到一个看起来正常的服务器,并进行进一步恶意操作。

Scribbles —— 这是一个文档预处理系统,用于给涉密文档打上“Web beacon”类型的追踪水印。Scribbles的水印严格来说就是在文档中插入一个远程图像的URL,当文档被打开时,会主动通过HTTP或HTTPS协议的GET请求访问该URL,以加载远程图片,远程服务器接收到请求便可得知有机密文件已经被打开,并可根据请求信息,得知文件被打开时所在的主机源IP等信息,从而进行追踪。 

Marble —— 一款秘密反取证的框架,对 CIA 的发出的病毒、木马等恶意攻击的真实来源进行混淆。主要通过隐藏(模糊化)CIA 恶意程序的文本内容,避免检测。

ExpressLane  —— 秘密从 CIA 的技术服务部门(OTS)为联络情报机构提供的生物识别采集系统( biometric collection system)中窃取数据。OTS 的特工会声称要要使用 USB 设备对系统进行升级。随后,特工将特定移动设备插入到这些系统中,让系统显示“安装更新”页面,并显示“更新”进度条,借此将 ExpressLane 伪装成该系统的常规更新部分,手动安装到系统中。随后,ExpressLane 会秘密搜集联络机构系统中的机密数据,并将数据加密存储在特定移动设备的秘密分区中。 

四、小结

可以预见,维基解密的这波泄露大戏还将继续,造成的影响也将持续。早在四月初,就有赛门铁克的研究人员表示,CIA 这些泄露的黑客工具应当对 16 个国家的 40 多起网络攻击负责。而文首所说的卡巴斯基实验室的报告也表明,这些泄露的漏洞利用工具的确促成了更多网络攻击。自三月份至今的及其大规模网络攻击中,似乎没有利用 CIA 工具的案例,倒是 NSA 的那些工具或 0-day 漏洞引起了大规模恐慌(如利用了 EnternalBlue 的 WannaCry)。虽说维基解密每周的泄露有自我营销的嫌疑,但企业和用户仍然应当对此保持关注,定期检查自己的网络和设备,及时进行更新。作为非当事人,我们也不知 CIA 和维基解密之间到底有怎样的恩怨情仇,也无法阻止工具开发和传播,唯一能做的就是尽可能做好自身的防范。这是老生常谈,但也是有效手段。

参考来源:

维基解密披露新闻:https://wikileaks.org/ciav7p1/

维基解密每周更新工具文档:https://wikileaks.org/vault7/#ExpressLane 

FreeBuf CIA 工具系列文章(链接见原文)

维基解密首批 “Year Zero” 文档下载地址:https://team.armyzer0.com/files/WikiLeaks-Year-Zero-2017-v1.7z.torrent (密码:SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds

*本文作者:AngelaY,未经许可禁止转载

*本文原创作者:zrools,属于FreeBuf原创奖励计划,禁止转载。

0×00 概述

对一个沙箱环境而言,其中最重要的一点就是网络的隔离,OpenStack网络支持Flat、VLAN、VXLAN等模式,配合路由器和防火墙可轻松虚拟一个简单的企业网络。

0×01 网络环境

1.1 网络拓朴

不同网络区域首先得进行网络划分,主要包含三个区域:

  • 外网服务器区:为互联网提供服务,能访问互联网、内外服务器区,不能访问工作区域;
  • 内网服务器区:为外网服务器、工作区提供服务,不能访问互联网、外网服务器区、工作区;
  • 工作区:办公区域,各个部门间网络互通,可访问互联网、内网服务器区、外网服务器区。

这里使用172.16.x.0/24作为服务器区的IP段,10.0.x.0/24为工作区各部门的IP段,网络拓扑图如下:

网络拓扑图

注:这里网络、实例、路由器等名称统一使用小写。

1.2 公共网络

使用管理员登录Horizon,【管理员】-【网络】,这里会看见一个为public的网络,其IP段为172.24.4.225/28(有强迫的可以删掉),创建一个名为network_public的外部网络和一个IP地址池为192.168.20.100-200的子网。

有时外部网络和子网有在Web界面会创建失败,使用SSH登录到服务器使用命令创建:

[[email protected] ~]# source keystonerc_admin

[[email protected] ~(keystone_admin)]# neutron net-create network_public --router:external=True

[[email protected] ~(keystone_admin)]# neutron subnet-create --name subnet_public \
--enable_dhcp=False --allocation_pool start=192.168.20.100,end=192.168.20.200 \
--gateway=192.168.20.1 network_public 192.168.20.0/24

因为只有一张网卡,为了减少去配IP的麻烦,这里将浮动IP地址池(192.168.20.100-200)配到与服务器IP同一个段。

1.3 创建网络

【项目】-【网络】-【网络】,点击【创建网络】,会有三个选项:

  • 网络:配置网络名称;
  • 子网:配置子网IP、掩码、网关等信息;
  • 网络详情:配置IP地支持、DHCP、DNS等信息。

这里服务器区和办公区的网段都使用DHCP进行IP分配,分别创建以下网络:

创建网络

1.4 创建路由器

【项目】-【网络】-【路由器】,点击【创建路由器】,创建2个路由router_internalrouter_isp,其中router_isp选择外部网络network_public

 创建路由器

router_isp

点击router_isp进入该路由器,切换到【接口】项,分别添加2个接口172.16.0.1192.168.0.5

 创建路由器

再切换到【静态路由表】项,分别添加办公区和内网服务器区的静态路由:

 创建路由器

router_internal

点击router_internal进入该路由器,切换到【接口】项,分别添加以下连接接口:

 创建路由器

再切换到【静态路由表】项,添加一条缺省路由:

 创建路由器

0×02 创建实例

现在网络已经配置完,回到【项目】-【计算】-【实例】,点击右上角【启动实例】,按照拓朴选择对应网络分别创建以下实例:

创建实例

这里全部使用CentOS7的映像,创建完后,【项目】-【网络】-【网络拓朴】大概是这样:

【项目】-【网络】-【网络拓朴】

这时你会发现,所有实例之间都是能ping得通的,并没有想要之前设定的结果,这时就需要防火墙。

0×03 FwaaS

FwaaS(FireWall-as-a-Service),即防火墙服务,防火墙可以在路由器上做策略。

3.1 安装FwaaS

通过yum安装FwaaS:

# yum -y install openstack-neutron-fwaas

加载防火墙

service_plugins后面加上firewall

# vi /etc/neutron/neutron.conf

# The service plugins Neutron will use (list value)
#service_plugins =
service_plugins=router,metering,firewall

添加所需驱动程序:

# vi /etc/neutron/fwaas_driver.ini

# Name of the FWaaS Driver (string value)
driver = neutron.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver

# Enable FWaaS (boolean value)
enabled = True

Horizonz中启用防火墙,修改enable_firewallTrue

# vi /etc/openstack-dashboard/local_settings

OPENSTACK_NEUTRON_NETWORK = {
    'enable_distributed_router': False,
    'enable_firewall': False,
    'enable_ha_router': False,
    'enable_lb': False,
    'enable_quotas': True,
    'enable_security_group': True,
    'enable_firewall': True,
    'enable_vpn': False,
    'profile_support': None,
}

将修改更新到数据库:

[[email protected] ~(keystone_admin)]# neutron-db-manage --config-file /etc/neutron/neutron.conf \
--config-file /etc/neutron/plugins/ml2/ml2_conf.ini upgrade head

重启Neutron服务:

# systemctl restart neutron-server

3.2 配置防火墙

重新登录Horizonz,在【项目】-【网络】下的菜单会添加【防火墙】这一项,切换到【防火墙规则】添加以下规则:

 配置防火墙

切换到【防火墙策略】,添加一条策略,并加入刚才配置的2条规则:

 配置防火墙

切换到【防火墙】,添加一条记录,选择刚才创建的策略,并关联router_internal路由器:

 配置防火墙

3.3 测试防火墙

在外网服务器区使用server_www(172.16.0.5)分别ping互联网、办公区、内网服务器区:

测试防火墙

在办公区使用it_pc1(10.0.10.3)分别ping互联网、外网服务器区、内网服务器区、人力资源部:

测试防火墙

在内网服务器区使用server_db(172.16.10.4)分别ping互联网、外网服务器区、办公区:

测试防火墙

网络隔离效果已经达到了设定要求。

0×04 网络映射

www_server(172.16.0.5)上启动httpd服务,监听80端口,现在要将该服务器的HTTP服务映射到“互联网”(192.168.20.100-200)。

4.1 关联浮动IP

【项目】-【计算】-【实例】,选择实例【操作】下拉菜单,选择管理浮动IP:

关联浮动IP

这时在实例列表【IP 地址】列会多出一个浮动IP192.168.20.101:

关联浮动IP

4.2 安全组

这时从外部还不能访问该服务器,需要在安全组添加入口规则放行,【项目】-【计算】-【访问 & 安全】新添加一条记录sg_public,然后添加一条规则:

安全组

现在访问http://192.168.20.101

安全组

至此,一个简单的虚拟网络环境已经建立起来,其中还存在很多安全上的问题,比如通过实例可以访问192.168.20.7上的服务,一个合适的渗透测试环境还需要逐渐去完善。

0×05 参考

*本文原创作者:zrools,属于FreeBuf原创奖励计划,禁止转载。

九月第一天,愿你吃好睡好工作好!元气满满每一天!

今天是 2017 年 9 月 1 日星期五,新的一月, BUF 早餐铺依然为大家送上美味大餐。今天份的早餐内容有:当红女星 Selena Gomez 的 Instagram 账号被黑,发布 Justin Bieber 裸照;Turla APT 组织的又一波行动:利用后门程序 Gazer 针对全球各地领事馆、大使馆发动攻击;瑞典 web 主机供应商Loopia遭遇严重数据泄露事故,客户数据全部被窃取 ;最新社工攻击:被黑的合法网站字体乱码,要求用户下载缺失字体却暗含恶意程序 ;46.5 万台心脏起搏器存在安全漏洞,需要进行固件更新才能修复 ;腾讯回应”微信发送原图泄露隐私”:与微信并无关;将近 3000 个比特币挖矿机通过 Telnet 端口暴露在网上,疑似来自中国;Firefox 57 有了新的安全防护,阻止 App 滥用辅助功能窃听用户。

easter-brunch-ideas.jpg

【国际时事】

美国著名歌手 Selena Gomez 的 Instagram 账号被黑,黑客还发了Justin Bieber 的裸照

美国著名歌手、演员 Selena Gomez 的 Instagram 账号最近被黑,黑客入侵其账号后还发了Justin Bieber 的三张裸照(前男友大戏)。据称,此次事件应该与近期的 Fappening 2017艳照门事件无关。这些 Justin Bieber 的裸照是 2015 年就泄露在网上的,黑客给这张照片搭配的文字是 “LOOK AT THIS N**A LIL SHRIMPY”(看这只弱鸡)。当前 Selena 的 Instagram 账号有超过 1.25 亿粉丝,是 Instagram 粉丝数最多的账号。本周一晚间,此帐号被黑后很快就下线了,Selena 团队迅速反应,几分钟内重新拿到账号并删除了 Bieber 的裸照。当前尚不清楚 Selena 的 Instagram 账号是如何被黑的,媒体猜测可能是钓鱼所致。详情可看 FreeBuf 报道。[SecurityAffairs

selena-gomez-justin-bieber

Turla APT 组织的又一波行动:利用后门程序 Gazer 针对全球各地领事馆、大使馆发动攻击

ESET 安全研究人员最近发现一波新的恶意程序活动,主要针对的是全球范围内的领事馆、大使馆,用来对政府和外交官进行窃听。这波恶意程序活动从 2016 年开始活跃,利用一款名为 Gazer 的后门。研究人员认为攻击是由 Turla APT 黑客组织发动的,先前就有安全公司认为 Turla 与俄罗斯情报部门有关。Gazer 采用 C++ 编写,通过钓鱼邮件投递,劫持目标设备分两步走,首先投递 Skipper 后门,随后安装 Gazer 组件。

Gazer 后门

在以往的网络间谍活动中,Turla 也采用 Skipper 作为第一阶段,不过后续用的是 Carbon 和 Kazuar 后门——和 Gazer 存在诸多相似性。Gazer 会从远程 C&C 服务器获取加密命令,利用被入侵的合法网站作为代理,躲避检测。另外 Gazer 没有采用 Windows Crypto API,而是用 3DES 和 RSA 加密库对数据进行加密,再发往 C&C 服务器;还采用代码注入技术控制设备,长期隐蔽窃取信息;还有能力将恶意命令转发到相同网络中的其他设备上。ESET 发现,Gazer 主要窃听欧洲东南部和前苏联政治目标。研究人员表示 Gazer 已经在全球范围内感染了不少目标,大部分受害者位于欧洲。[TheHackerNews]

瑞典 web 主机供应商 Loopia 遭遇严重数据泄露事故,客户数据全部被窃取

瑞典主机服务提供商 Loopia 最近遭遇入侵,整个客户数据库都泄露了。Loopia 前两天已经确认了此次数据泄露事件,事故发生在 8 月 22 日,而到 8 月 25 日 Loopia 才通知其客户的。Loopia 在声明中说,攻击者窃取的客户数据包括个人和联系信息,还有 Loopia Kundzon 的哈希密码(但没有公布加密采用何种哈希算法),但不涉及邮箱、网站、数据库一类用户服务,而且也不存在支付卡信息泄露。当前 Loopia 已经对用户密码进行重置并敦促用户更新个人信息,同时表示,目前不清楚黑客是如何入侵系统的,事件仍在调查中。[ SecurityAffairs]

Loopia.jpg

【安全漏洞】

最新社工攻击:被黑的合法网站字体乱码,要求下载缺失字体却暗含恶意程序

安全研究人员 MalwareBreakdown 近期发布一份社工分析报告,最新的这波攻击效仿了先前的 EITest HoeflerText 活动。当用户访问一家被黑的网站后,用户会收到通知,通知宣称系统缺少 Roboto Condensed 字体,需要用户下载安装字体包才能正常浏览网站。如果用户真的安装了所谓的“字体安装包”,就会感染木马下载器、keylogger 和挖矿机。

社工.jpg

就攻击者来说,首先需要入侵一家合法网站,对其进行篡改,每个页面都加入 JS 恶意代码,导致页面文字成为乱码——看起来就像字体缺失一样。访客访问这家网站的时候,JS 就会显示缺失字体的警告,用户如果真的点击更新按钮,脚本会下载名为 chromefp60.exe(Firefox 则下载 mozillafp60.exe)的文件,用户执行后就会安装恶意程序 payload 了,不同类型的恶意程序包括门罗比挖矿机、Ursnif keylogger 和 Trojan.Downloaders。[来源: BleepingComputer]

46.5万台心脏起搏器存在安全漏洞,需要进行固件更新才能修复

FDA 美国食品药品监督管理局最近发出一份安全公告,提到大约 46.5 万台心脏起搏器设备存在安全问题,可被黑客入侵,需要进行关键软件更新才能解决问题。据说其中存在的漏洞可让黑客篡改设备设置,并将其关闭,这对病人而言会产生致命威胁。FDA 提到,未经授权的攻击者利用漏洞,以及可以买到的工具,就能篡改心脏起搏器的程序命令,导致电池快速耗尽或错误的调节控制。

心脏起搏器.jpg

这些存在漏洞的心脏起搏器是由 Abbott Laboratories 生产的(先前叫做 St. Jude Medical)。如果要修复漏洞,病人必须去找医生或者医疗供应商,进行固件更新——除了美国国内,美国国外还有 28 万台设备需要更新。值得一提的是,2016 年,Muddy Waters 曾经发布过一份 St. Jude Medical 生产的其他植入式设备存在安全问题的报告,而 St. Jude Medical 不仅不承认这份报告,还将其推上法庭。最终 FDA 进行调查确认了 Muddy Waters 报告的正确性。[来源:HackRead]

【国内新闻】

腾讯回应”微信发送原图泄露隐私”:与微信并无关

近日,据央视新闻客户端报道称,微信发送照片时选择“原图”传送会暴露个人的位置信息,经过修图软件处理后仍有显示。拍照时软件调用 Exif 中的 GPS 全球定位系统数据,这些来自于手机内部的传感器以及陀螺仪的数据,把拍照时的位置时间等记录下来。

微信.jpeg

对此,微信官方公众号回应称,任何智能手机拍摄的照片,都含有 Exif 参数,可以调用 GPS 全球定位系统数据,在照片中记录下位置、时间等信息。当用户把原始图片发送给其他人时,所附带的信息也一并发出去。所谓的地理位置信息泄露,与微信无关。此外,用户在朋友圈发送的图片都经过了系统自动压缩,不是原始图片,已不带位置信息。同时也提醒用户,注意个人信息保护,在智能手机“设置”中,关闭定位服务等隐私相关功能。[来源:新浪科技]

【其他】

将近3000个比特币挖矿机通过Telnet端口暴露在网上,疑似来自中国?

荷兰安全研究人员 Victor Gevers 最近发现 2893 个比特币挖矿机暴露在互联网上,而且相应 Telnet 端口没有密码。所有的挖矿机都在相同的矿池中处理比特币交易,看起来应该属于同一家组织。Gevers 表示,从暴露的挖矿机和设备的 IP 地址来看,这应该是中国政府旗下的某个组织。受影响的组织似乎很快就看到了 Gever 发的推特,并很快将暴露在外的设备保护了起来。

比特币.jpg

当前绝大部分挖矿设备都已经无法通过 Telnet 访问,毕竟 2893 个挖矿机能够产生的实际收益还是相当可观的,有一名 Twitter 用户表示这么多矿机如果挖莱特币,每天的收入可以超过 100 万美元。Gevers 当前还在调查为何这些设备会在这么长的时间内暴露在网上,还没有 Telnet 密码,似乎有人尝试在设备上安装后门或恶意程序,还有研究人员则表示这些设备可能是加入到了迅雷的共享带宽计划中。[来源:BleepingComputer]

Firefox 57有了新的安全防护,阻止App滥用辅助功能窃听用户

预计将在 11 月 14 日发布的 Firefox 57 会加入一项新的安全特性,可阻止辅助应用(accessibility apps)访问浏览器的数据。Accessibility 辅助特性实际上是为残障人士准备的。Firefox 的辅助特性可让某些特殊的辅助 App 连接到浏览器,将浏览器中的数据传递给残障人士。比如屏幕朗读器使用 Firefox 的辅助支持特性会将活跃 web 页面的内容、菜单、按钮、浏览器记录等朗读出来。但现在有应用利用此特性收集用户数据,Mozilla的工程师表示这样的应用还不少。所以新版 Firefox 在设置选项隐私项中加入了辅助活跃状态显示,并且提供关闭辅助特性的开关。

此外,Firefox 在 “about:support” 页面中也加入了辅助选项部分,如果辅助特性开启,这部分则会列出所有使用此特性的 App,这样用户就能发现窃听用户、恶意收集数据的 App了。值得一提的是,Firefox 57 将首度开始支持 WebExtensions 扩展系统。[来源:BleepingComputer]

火狐.png

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM