Baidu Security Lab için bu sefer siyah ürünleri kırmak biraz meşgul!
Lei Feng net basın: Baidu Güvenlik Laboratuvarı ile bu sefer tartışmanın konusu tek kelime etrafında dönüyordu: kapı. Bu konunun nedeni, Baidu Security Lab'in GeekPwn 2017'de yaygın olarak kullanılan yeni bir akıllı kapı kilidi türünü kırmasıdır.
Birkaç saatlik ücretsiz konuşmanın ardından Leifeng.com, akıllı kapı kilidini kırmanın Baidu Security Lab için büyük bir zorluk olmadığını fark etti. Gerçek zorluk, çevrimiçi dünyadaki sayısız kapıdan geliyor - web sitesinin kapısı (web sitesi güvenliği), hesabın kapısı (hesap güvenliği), siyah ürünün kapısı (DDoS saldırısı, sahte baz istasyonu, yün partisi ...), her biri "Kapılar", sayısız netizenin bilgi güvenliği ve çıkarları ile ilgilidir ve her kapı zorlu bir teknik yarışmayı tetikleyebilir.
2017 GeekPWN kırık meyve artı İnternet akıllı kilit açma anı
Akıllı kapı kilidini kırmaktan bahsetmişken: kolay değil ama zor değil
Teorik olarak, dünyadaki tüm akıllı kapı kilitleri kırılabilir, ancak bu yalnızca bir zaman ve maliyet meselesidir.
Baidu Güvenlik Laboratuvarı X ekibinin başı Huang Zhenggang, birkaç gün sonra GeekPwn 2017'den döndü. Toplantıda, meslektaşı "Xiao Huihui" akıllı bir çocuk saatini kırdı ve akıllı kapı kilidini anında işe yaramaz hale getiren keskin bir saldırı düzenledi.
"Bu kapının bilgisizliğinden başarılı bir şekilde kırılmasına kadar, üç hafta sürdü."
"Ziruyu'da yaşayan bir meslektaşım bu akıllı kilidi kullandı, ben de kırdım. Bu bir tesadüf."
"İletişim protokolünü elde etmek için tersine mühendislik yöntemlerini kullanarak, başarıyla kırıldı."
Binlerce evin kilitlerini kolayca açabilen bir hackleme tekniği nasıl bu kadar basit geliyor? "Basit olduğunu kim söyledi ?! İkili dosyanın neye benzediğini görmek ister misiniz?" Huang Zheng bana geri sordu ve beni boğdu. Ondan önce sözde tersine mühendisliği görmüştüm, ikili anlamayanlar için cennet kitabıdır.
Son zamanlarda ortaya çıkan Wannacry virüs örneklerinin analizi
Akıllı bir kapı kilidini kırmak aslında kolay değil. Buluttan cihaza şifrelenmiş bir bilgi aktarılır ve kraker veri akışını göremez ve kimin hangi veriyi işlediğini bilemez. Kodun sınırsız tekrarlayan derlemesindeki her bir işlev değişikliğinin anlamını ancak dikkatlice gözlemleyebilir ve karşılıklarını analiz edebilir.
Size altyazısız bir Hint filmi vermek gibi, sadece oyuncunun vücut hareketlerini gözlemleyerek diyaloğun içeriğini tahmin etmenize izin veriyor. Tersine mühendisliğin zorluğu yukarıdaki durumdan daha az değildir.
Önümüzde yüzlerce fonksiyon var.Akıllı kilidi şifrelemek ve şifresini çözmek için hangi fonksiyon var.Görsel gözleme benzer bir yöntemle biraz deneyip sonunda bir fonksiyon bularak bunu değiştirmek mümkün mü? Şifreli metin düz metin haline gelir ve şifreleme algoritmasının parametreleri, kilidin kimliği, ağ geçidinin kimliği vb. Gibi dönem boyunca dikkate alınmalıdır.
Huang Zheng, akıllı kapıyı kırmanın kendisi için zor olmadığını, ancak kolay olmadığını söyledi. Baidu Security Lab, çatlamanın arkasındaki anlama daha fazla önem veriyor. Güvenlik açıkları, yenilikçi ürünlerdeki dikenlerdir. Güvenlik açıklarını bulmak ve üreticilerin bunları düzeltmesine yardımcı olmak "dikenleri çekmektir". . Bu da doğru: Guojia akıllı kapı kilidi, Baidu Security'nin çatlama bilgilerini aldıktan sonra, akıllı ürünlerinin güvenliğini büyük ölçüde artıran boşluklara aktif olarak yanıt verdi ve acilen onardı.
Baidu Güvenlik Laboratuvarı için akıllı bir kapı kilidini açmak iki veya üç hafta sürdü, ki bu gerçekten bir zorluk değil. Sonuçta, kapı kilidi öldü ve orada onu kırmanızı bekliyor. Onlar için gerçekten bir meydan okuma sayılabilecek şey, diğer "kapılar" dır. Bu kapıların ardında koca bir gangster çetesi olabilir ve çatışma bir veya iki hafta içinde tamamlanamaz, bu uzun süreli bir çevrimiçi savaştır.
Bir web sitesi bir kapıdır
Birisi bir zamanlar çevrimiçi dünyayı sonsuz bir yaya caddesine benzetti. Cadde üzerindeki kapılarda farklı web siteleri listelenmiştir:
"Www.taobao.com" sitesinin kapısını açıyorsunuz ve göz kamaştırıcı bir dizi alışveriş merkezine giriyorsunuz.
"Www.baidu.com" un kapısını açarsanız, sizi gitmek istediğiniz kapıya kolayca gönderebilirsiniz.
"Www.icbc.com.cn" nin kapısını açarsınız ve "biriktirmeyi sevip sevmemenin" olduğu para evine girersiniz.
ancak,
Bazı kapılar basit ve gösterişsiz görünür.Kavun yiyenler yanlışlıkla içeri girdiğinde içerideki Truva atı virüsü "üst beden" olma fırsatını değerlendirecektir.
Bazı kapılar bankalara benzer işaretlerle asılmıştı, ancak içeri girdiklerinde parayı kandıran kimlik avı web siteleriydi.
Bazı kapılar, insanların güzel kıyafetlerle girip çıplak çıktıkları yer altı kumarhanelerine açılır.
Bazı kapılar küçük pembe ışıklarla aydınlatılıyordu ve içeride insanları "dışarı itecek" şeylerle doluydu.
Bir kapıyı açtığınızda tehlikede olacağınızı bilemeyebilirsiniz. Şu anda, sizi o anda dünyaya geri çekmek için bir ele ihtiyacınız var. Baidu Security böyle bir el.
Tehlikeli web sitesi ipuçları
Basitçe söylemek gerekirse, Baidu'nun kötü niyetli web siteleriyle savaşma yaklaşımı iki "sihirli silah" olarak özetlenebilir:
Savaş tarayıcısıKara endüstrisinin kurduğu tuzağa düşmenizi önlemek için Baidu'nun "savaş tarayıcısı" her kapıyı önceden açmanıza, odadaki her atlamayı aramanıza, şifrelemenize ve tüm "organ gizli kanallarını" kaydetmenize yardımcı olur.
Güvenlik motoruTarayıcı tarafından kaydedilen web sitesinin içeriği güvenlik motoruna verilir. Kumar, kimlik avı, pornografi veya normal web siteleri olsun, hepsinin kendine has özellikleri vardır. Güvenlik motoru, her alışılmadık web sitesini dikkatlice ayırt eden ve ardından size tehlikeyi söyleyen eski bir suç polisi gibi olacak.
Ancak siyah üreticiler asla yakalanmazlar, direnmek için çeşitli duruşlar kullanırlar ve bu da teftiş maliyetlerini giderek yükselir. Baidu Ticari Güvenlik Departmanı'nın kıdemli mimarı Geng Zhifeng, Lei Feng.com'a birkaç basit örnek verdi:
Kötü amaçlı web sitelerinin çoğu kötü amaçlı kodlar yerleştirdiğinde, bunları 0,1 milisaniyede tespit edilebilen dağınık ve şifreli dizelere dönüştürürler, ancak artık on saniyeden fazla sürüyor.
Sahte web sitesi, resmin içine yerleştirilmiş metinle tam bir resim yaptı. Daha sonra sahte web sitelerinin özelliklerini bulmak için OCR (resimlerdeki metin tanıma teknolojisi) veya görüntü benzerliği algılama teknolojisini kullanmalıyız. Yapay zeka konusunda uzman olan Baidu için bu teknik olarak zor olmasa da tespitin kaynak maliyetini artırıyor.
Kimlik avı web siteleri, tespit edilmekten kaçınmak için resimler kullanabilir
Zaman zaman kötü amaçlı web siteleri yapan suçlular Baidu Security ile "peek-a-boo" oynarlar:
Bazı kötü amaçlı web sayfaları yüklendikten sonra, kötü amaçlı komut dosyası, "devriye gezmeye" gelen "tarayıcılarla mücadele" yi önlemek için iki saniye boyunca sessizce yürütülür.
Bazı kötü amaçlı web sayfaları, Baidu ve diğer güvenlik şirketlerinin IP'lerini "kara listeye" koyar. Bu IP'ler tarafından erişildikleri tespit edildikten sonra, "iyiler" gibi davranacaklar ve baştan sona kötü niyetli davranışlar sergilemeyecekler ve yalnızca sıradan netizenleri suçlu gösterecekler.
Dahası, bazı siyah ürünler, bazı büyük güvenlik şirketlerinin bulunduğu illerin tüm IP'lerini doğrudan "kara listeye" ekler. Sahte ürünler satan bir web sitesi Pekin, Şangay ve Guangzhou bölgelerinde normal görünüyor, ancak uzak bölgelerde ve dördüncü ve beşinci katmanlardaki küçük şehirlerde çıplak bir yer gibi görünüyor.
Bu durumlar karşısında Baidu ayrıca, "savaş tarayıcılarının" gerçek kullanıcılar gibi görünmesi ve kötü niyetli web siteleri tarafından algılanmaması için ülkenin çeşitli yerlerinde kullanıcıları simüle etmek için "siteleri düzenleme" gibi hedefli stratejilere de sahiptir. Ancak bu aynı zamanda daha yüksek bir maliyet fiyatı gerektirir.
"Haydutların" siyah ürünleri bazen yüz derece geri ısırmaya çalışıyor :
Bir web yöneticisi aniden Baidu'ya, web sitesinin Baidu'nun arama sonuçlarında kötü niyetli bir kurcalama web sitesi olarak işaretlendiğini söyleyerek şikayet etti, ancak web sitesine girip baktı ve olağandışı bir şey bulamadı.
Yöneticinin bilmediği şey, bilgisayar korsanı web sitesinin sunucusunu işgal edip kumar ve pornografik bilgileri birbirine bağladıktan sonra özel bir muamele yaptığıydı. Bir netizen web sitesine bir arama motoru aracılığıyla girdiğinde, bir kumar web sitesi olarak görüntülenecektir; doğrudan URL'yi girin ve normal bir web sitesi olarak görüntülenecektir.
Web yöneticileri genellikle web sitelerine girmek için doğrudan web sitelerine girer. Sonuç olarak, web sitesi kullanıcıları kötü amaçlı sayfalarla dolaşırken, web sitesi yöneticileri karanlıkta kalır.
Baidu Güvenlik Laboratuvarı'ndan bir mühendis Lei Feng.com'a şunları söyledi:
Baidu, her gün netizenler için binlerce kimlik avı, sahte ve dolandırıcı web sitesini etiketlemek zorundadır. Her web sitesi etiketini web yöneticisine bildirmek ve bazen bazı yanlış anlaşılan şikayetler almak zordur. Dürüst olmak gerekirse, güvenlik teknolojisine bağlıyız. Ben de mağdur oldum ama web yöneticilerinin fikirlerini de anlıyorum. Baidu Security hala bazı sorunları olumlu bir şekilde çözmeyi ve genel web sitesi güvenlik ortamını iyileştirmeyi umuyor.
Hesap bir kapıdır
Bir hesabı bir kapıyla karşılaştırırsanız, her gün internette dolaşan, başka yerlerden çalınan anahtarları tutan ve onları kilitlemeye çalışan bazı hırsızlar vardır ki bu, endüstrinin "kütüphaneyi çökertmek" dediği şeydir. "Çaldıklarında" ve bir kilidi açtıklarında, evin içine girdiler ve aradılar.
Geleneksel çözüm doğrulama kodudur, ancak kullanıcı deneyimini etkileyecektir ve bazı kör noktalar vardır. Hücum ve savunma açısından Baidu Security Lab daha iyi bir çözüm bulmayı umuyor, örneğin:
Kötü adamlar kilitleri açmaya başlamadan önce, Baidu Güvenlik Laboratuvarı çevrimiçi olarak sızdırılan "anahtarları" aramaya gitti, kendi kullanıcılarının kapılarının önünde deneyler yaptı, kendi kütüphanelerini vurdu ve kapıyı başarıyla açtıklarında, "yüksek riskli kullanıcılar" olarak kabul edileceklerdi. Onu koru. Buna "stok tespiti" denir.
Aynı zamanda, çevrimiçi veri sızıntısını gerçek zamanlı olarak izler ve "gerçek zamanlı algılama" elde etmek için bunları herhangi bir zamanda kullanıcıların elindeki anahtarlarla karşılaştırırlar.
Daha doğrusu, Baidu Security Lab, kötü adamları doğrudan bulmayı umuyor:
Bir kapının önünde yüksek riskli bir IP, anormal konuma sahip bir IP, kötü niyetli bir cep telefonu (EMA numarası) vb. Gibi şüpheli bir kişi belirirse, bu kişi bir anahtar araştırma nesnesi olarak listelenir ve daha karmaşık bir doğrulama gerekir.
"Görünüm" anormalliklerine ek olarak, davranışsal anormallikler de yakalanacak. Baidu Güvenlik Laboratuvarı uzmanları Lei Feng.com'a şunları söyledi:
Birisi bir grup hesap alırsa ve her gün giriş arayüzümde dolaşırsa ve denemeye devam ederse, muhtemelen bulması zor olmayan bir kütüphane parçalayıcıdır. Anahtar, onları daha sonra nasıl bulacağınız ve kanıtları polise nasıl bırakacağınızdır.
Bu veriler, siyah ürünlerin kötü niyetli davranışlarını ve hangilerinin normal ziyaretler olduğunu hızlı bir şekilde belirlemek için Baidu'nun beynine sürekli öğrenme için yerleştirilecek.
Gangster
Bir grup holigan aniden normal bir mağazanın kapısına koştu, hiçbir şey almadılar, ancak normal müşterilerin yerini aldılar, hazır erişte sıkıp malları geri verdiler ve tüm mağazanın normal çalışmasına engel oldular.
Bu, çevrimiçi dünyada her gün oluyor. Bu bir DDoS (Dağıtılmış Hizmet Reddi) saldırısıdır.
İnternetten resim
Baidu Security, bu yılın Mart ayının sonunda, geçen yıl meydana gelen DDoS'nin (Dağıtılmış Hizmet Reddi Saldırısı) genel durumunu özetleyen "2016 DDoS Saldırı Raporu" nu yayınladı. DDoS ile mücadele, Baidu Güvenlik Laboratuvarı'nın bir diğer önemli özelliği.
Leifeng.com'a göre, DDoS'yi çözmenin kabaca üç yolu vardır:
Temizlik : Anormal trafiği belirleyin - sorun çıkarmaya gelen küçük holiganı çıkarın.
bastırmak : Saldırı kaynaklarından gelen trafikte hız sınırı işleme - "Axe Çetelerinin girmesine izin verilmiyor"
Sert direnç : Bir düğüm bunu işleyemezse, trafiği birden çok düğüme dağıtır ve ardından direnmeye devam eder.
Bununla birlikte, izleme, temizleme ve bastırma çok pasiftir ve saldırıları önleyebilmek de çok fazla kaynak tüketir. İnternette bir söz vardır: "Bir Apple kablolu kulaklık satın alacak parayla, bir bilgisayar korsanı bir web sitesini yok edebilir." Bu nedenle, saldırı kaynağı izleme yeteneği çok önemlidir. DDoS saldırılarını çözmenin en doğrudan ve kapsamlı tek yolu vardır: insanları yakalamak ve sorunların arkasındaki gangsterleri yakalamak.
DDoS saldırı kaynağı izleme, güçlü izleme yetenekleri gerektirir ve Baidu Security Lab, izleyici rolünü oynar.
Dağınıklığın arkasında kimin olduğunu nasıl öğrenebilirim? Birkaç holigan yakalayın ve itiraf edene kadar onlara işkence edin. Bu "şiddetli işkence" yöntemi, yukarıda bahsedilen "tersine mühendislik" olan gerçek ağ saldırısı ve savunma çatışmasına ulaştı.
Baidu Güvenlik Laboratuvarı'ndan bir mühendis Lei Feng.com'a şunları söyledi:
Örnek olarak mevcut botnet saldırılarını ele alalım.Binlerce cihaz zombi solucanlarıyla implante edildikten sonra, büyük ölçekli bir DDoS saldırısı başlatmak için bunları yalnızca bir kişi ve bir cihaz kontrol edebilir.
Ancak, arkadaki biri emir verdiği sürece, bu, bu cihazların perde arkasındaki ana bilgisayarla bir şekilde iletişim kuracağı anlamına gelir. Örnekte ilgili bilgiler bulunmalıdır. İletişim protokolünü çözün, IP adresini perde arkasında izlemek mümkündür.
Nisan 2016'da Baidu Security, bir çevrimiçi oyun şirketinin 43 gün süren hedefli bir DDoS saldırısını çözmesine yardımcı oldu ve polise saldırıyı başlatan şüpheli suçluları başarılı bir şekilde tutuklamada yardımcı oldu. Haziran ayında, Baidu Cloud Accelerator'ın siyah ürünler tarafından misilleme yapıldığından şüphelenildi Hizmet, çok sayıda kullanıcıyı etkileyen büyük ölçekli bir DDoS saldırısından etkilendi. 4 Temmuz'da saldırıyı başlatan Liu, kamu güvenlik organları tarafından yakalandı.
Baidu Güvenlik Laboratuvarı'nda saldırının kaynağının izini sürmek ve siber polise yasadışı ürünlere müdahale etmesine yardımcı olmak norm haline geldi. Konuşmanın bir noktasında Huang Zheng aniden ayağa kalktı:
Hala devam eden birçok dava var, bu kişileri kesinlikle göndereceğiz
son
İnternete ilk kez başvurduğunuzda, birçok kişi bilgisayarın bağlantısının kesilip kesilmediğini kontrol etmek için adres çubuğuna baidu.com yazmaya alışmıştır. Baidu'nun, bizi her kapının önüne göndererek içerideki kapıları birbirine bağlayan bir İnternet girişi gibi olduğunu söylemek abartı olmaz. Ancak her türden kapı hayranının arkasında, aldatma, kapma ve açgözlülüğün insan doğasının interneti doldurduğunu da görüyoruz.
Mobil İnternet, Nesnelerin İnterneti ... Gelecekte, çevrimiçi dünyada yalnızca giderek daha fazla kapı olacak.Güvenlik uygulayıcılarının her kapının arkasındaki tehlikeyi bizim için durdurmaları zor olabilir, ancak yaptıkları her çaba övgüye değer.
