Softnext守内安产品经理高铭钟在Future-S第十届中国IT治理和管理年会与大家分享了深度理解电邮安全的议题。
首先谈一下电子邮件,我们从旧有的东西看出新的趋势以及方向。先简单回顾一下,理解一下电子邮件过去是怎样的发展,遇到怎样的问题,现在面对怎样的情况。首先电子邮件出现在世界有45年的历史,在每个人生活中都会使用到电子邮件。一开始发展的原则是基于简单的法则信赖进行开发,当然一开始就不会设想得很周全,不会有相关的发信时候的认证体系,强度高的加密机制。
发送信息的方式是以推送消息的方式将你要发送的信息推送出去,如果你要收取信息的话必须由邮件服务器将消息拉回来,通过这样的方式进行接发消息。你也可以直接对标的邮件主机进行发送信息的奉送。从这里可以看到它并没有非常严谨,可以有漏洞做额外的利用。我们讨论的主题就是来自电子邮件的危险。
第一个危险是垃圾邮件,垃圾邮件出现的时间也快40年了,它一开始出现在广发的信息上,因为这些信息量大,所以基本上形成打扰。到1949年4月的时候这些垃圾信息被商用,你可以通过电子邮件方式进行商务营销让别人不想接受但是也可以接收这样的信息。造成的影响:第一它会降低生产力,因为这样的垃圾信息你需要处理,它会耗费你的精神。第二个因为这些信息会有一个量,它会干扰正常邮件的量。这是初期在电子邮件上出现的比较麻烦的问题。这也说不上是威胁,顶多只能说是困扰。
我们再看一下什么是威胁?威胁是指恶意邮件的部分。恶意邮件就是这样的,因为我们可以利用这样的通信协定发送一个消息,所以我们就可以在发送的过程中做一点手脚。第一个可以夹带恶意的程序,比如说你想要寄送病毒的档案到特定的单位等等。如果你觉得你的病毒档案送到特定单位之前就被拦截,你或许可以把这个病毒档案放在云端,有些人或许可以制造假的网站,通过链接引导收信人拜访这个钓鱼网站,让他下载恶意信息,偷取他的机敏资料。
第三个是夹带恶意文件,过去在我们的认知上可能觉得恶意的档案夹带的顶多是经过压缩,过去我们认为点EXE可以被拦截,近几年我们发现现在的攻击很多时候都用大家平常办公用的文件做攻体,比如PDF,这种文件大家可能是信赖的,所以我们会用开启程序上的弱点,让收件者打开邮件中的恶意文檔时候入侵。
我们看一下样本,这个样本是送通信录的名义,这个就融合了心理学的角度,这个部分就是游戏帐号的通知,可以看到这里没有夹带任何的恶意档案,附加的是超链接,告诉你你的帐号有问题,需要通过超链接进行确认。我们看到这个超链接连接的并不游戏公司,而是一个诡异的网站,这个网站就是钓鱼网站。第三种是直接放了病毒的压缩檔,要求收信的人做执行。
除了恶意邮件,还有一个部分是密码猜测和窃取,一般邮件主机进行认证发送时,是没有限制验证错误次数,也就是密码尝试错误时虽然不可以发送邮件,但不会限制你错误几次就不可以试,这就形成一个漏洞。有些在密码尝试的部分并没有很好的保护机制,所以在这边就形成弱点。在之前苹果发生过iCloud的泄密事件,这也是因为黑客找到没有限制密码尝试错误次数的漏洞。事实上黑客尝试的方法已经不像过去用暴力的方式,不会从英文字母A一直到Z而是采用弱密码字典文件。
我们观察到每一年都会有企业外泄的情况,我们发现黑客会整理这些密码的列表,统计出多数人惯用的密码建成他们的密码档。在我们研究中ABCDEFG看起来是很简单的东西,我们看过历次的统计之后,发现它不是弱密码的前几名,其实弱密码的概念是大家对密码的记忆逻辑相同的时候才是弱密码,不是简单的密码叫做弱密码。在密码管理的规范上,除了对密码强健度、密码变更周期要有要求外,还要进行密码稽核的动作。密码稽核就是要确认你内部有没有人使用了这种大家都会这样设的懒人密码,或者是大家共用逻辑的密码。
密码如果被攻破会发生什么事情呢?很多的企业内部服务都是共用一组密码,如果邮件主机帐号密码被破,很有可能企业所有的服务都会因此在外部被窃用。邮件密码帐户被破还可能遭遇的问题是,这个帐号的邮件被骇客收取就能够看到你整个信箱的内容,也能够知道你跟哪些人联络。他还可以用这个帐号发送电子邮件,或者利用它发送垃圾信息攻击你经常通信的联系人。这样会利用你的信任度再攻击信任你的人,这是非常危险的风险。
这是我们研究中心的案例,可以看到一旦SMTP Auth的登录记录,骇客会在每10分钟就用不同的密码进行猜测ROOT这个帐号,试图登录。你或许可以在你的企业部分找到有人尝试定时猜测你企业的密码,这样的事情发生应该采取一定的防护机制。再一个是社交工程的问题,这是谷歌和加州大学的网钓分析,谷歌的统计是如果你收到信息之后有45%的受钓者会拜访钓鱼网站,所以成功率其实很高的,有14%的拜访钓鱼网站的人试图做登录认证的动作,你的信息可能就这样泄露出去了。有20%的帐号发生这个事情之后30分钟之内他的帐号就变成被黑客登录,并且遭到变更密码。黑客用这个帐号行骗下一个人成功率大大上升36倍,有时候我们认为自己的邮箱不是那么重要,今天被盗窃没有关系,实际并不是这样的,他盗窃的不只是你的邮箱,还有你个人的信用。
现在这个范例一个是要求你从链接登陆,需要你登录个人信息。只要你注册一个帐号一分钟左右生成表单,通过钓鱼邮件的状况来窃取或者骗取受钓者的帐号密码,对骇客来说这样的攻击方式成本非常低的。
为什么电子邮件看起来这么不安全?我们经过一些分析可以看到不安全的原因就是因为它好用,廉价,可以再利用。过去直接读破系统弱点相对来说发送垃圾邮件更简易,而且它有有主动性,所以他容易被利用。接下来我们看一下世界上知名的攻击案例。第一个是RSA在2011年被窃取的凭证,这是通过电子邮件攻击RSA内部的研究员工,这个员工就把这Excel附件打开,因此他的电脑被攻击,黑客借着攻击成功后窃取的凭证,再攻击武器开发商洛克希德马汀,这是一个很知名的APT攻击案件。
传统上,非针对性攻击,黑客希望攻击的面广大,希望它有扩散性,但不要求每个标的都一定非常成功。但APT攻击的情况是非常有针对性的,通常在攻击之前也会通过公开的病毒检测系统确认要发送的恶意程序是免杀的状态,以确保发送后可躲过防病毒软件就直接进入到你的邮件,被收信者收下,再利用社交工程的手法诱骗收信人执行,就可以进行资料窃取或者对内扩散的攻击。
