由索尼影视被黑事件浅谈互联网安全

2014年12月17日晚，知道创宇安全研究员张祖优受邀参加了北京新闻广播《照亮新闻深处》节目的直播，围绕近一月持续发生的索尼影业被黑事件，与主持人与新闻观察员展开了一场关于互联网安全的小讨论。

此次讨论的话题从索尼被黑的缘由推测到普通人日常该如何防范黑客攻击，内容丰富、气氛轻松，对广大听众和看到此篇博文的人来说，也可以算是一个事件始末的介绍和安全意识的普及。

 

自2014.11.21，索尼影业被披露出遭到了疑为GOP黑客组织（在其显示到索尼全员电脑上的图片上自报家门）的攻击，其集团内网上的信息：包括未上映5部电影的种子、员工沟通邮件、员工薪酬、社保，等一系列数据被曝光，在互联网上广为传播、下载。时至今日，据说黑客即将公布第七波索尼内部数据。军工起家根深叶茂的索尼此次损失惨重。且，索尼被黑的历史可谓由来已久传承有序，至少就目前了解到的情况看，从11年至今，黑客对索尼的攻击一波接着一波，根本停不下来。

在这里就不得不提到一句在安全圈被大家广为认可的话——"被黑是迟早的，只是时间问题。"

通过对现有新闻披露出的信息分析，安全圈的人不难从技术角度判断出此次攻击索尼的黑客所采用的攻击手段可被归类为是一次APT（Advanced Persistent Threat）攻击，也就是高级持续性威胁。这种攻击形式是通过利用先进的攻击手段对特定目标进行长期持续性的网络攻击从而达到黑掉目标获取数据的目的。 通过新闻我们可以知道，这次黑客用了一种叫做“格盘病毒”的恶意软件使索尼的数据被公之于众。而如何将格盘病毒注入到索尼的内网电脑，也许如一些报道中所猜测的，除了传统的，通过对索尼自身系统的漏洞隐患进行攻击从而进入其内部网络后进而再利用格盘病毒实施相关的恶意行为和数据窃取，也有可能是有内鬼协助，也有可能是利用钓鱼的方式，再有可能利用水坑攻击——比如摸清某个员工的一些习惯和信息，事先攻破一些该员工可能访问的目标，放上恶意代码让该员工中招，然后以该员工为跳板，转而攻破内部系统，等等。不过无论哪种切入点和攻击策略，很明显，索尼影视内部的网络安全措施做的不够好。之前有报道显示，索尼集团大环境下的多个小环境、分部门的安全设置等级参差不齐。遵循短板原理，这就很容易导致黑客从索尼防线上某处或多处最薄弱的点轻易突破后逐渐扩大、纵深攻击范围，随着时间的推移波及广泛影响恶劣。包括在对员工安全意识的培训上，通过此次事件，也暴露出索尼的安全意识不够周全，假如索尼有完善的对一些诸如电影资料、员工信息等重要敏感数据的加密加固措施及规定，至少可以在类似的攻击发生时为自身防止数据进一步被解密、暴露，争取一些时间。

其实查明黑客来源所需要进行的一系列操作本身就是一种技术手段的对抗，黑客利用自己的技术手段隐藏了自己，调查方就需要也利用技术手段去找出他们。故此，查明难易度取决于黑客攻击的手段，看谁更技高一筹。

在这里我们也知道，早些时候，有报道称，FireEye（火眼）已追踪到了疑为黑客是在曼谷一家酒店进行的攻击。只是，到此一步就可以说接近真相大白了吗？显然没那么简单。在索尼此次被黑的博弈中，内行人很容易看出黑索尼的人或组织的技术段位是很高的。在这场技术对抗中，FBI是地毯式排查，而黑客要做的是把自己缠起来，清扫、隐藏痕迹。而聪明的黑客往往是会使用跳板来混淆视听抹乱行迹的。所谓的跳板就是如字面所理解的，黑客通过先访问一台电脑，再通过这台电脑进行入侵操作，中间这台电脑就是跳板。理论上跳板是可以多级的，意思就是我先访问跳板，然后跳板再去访问其他跳板，依次类推。理论上是不限跳板的层数，但因网络延迟等因素，跳板超过一定的数量就容易导致网路通畅问题，易因信息传输的延迟时间太久而无法顺利进行想要的操作。但一般说来，3-4层的跳板数总还是可以达到的。
就索尼这次事件来说，目前FBI也没调查清楚黑客的真实来源，而之前很多指向朝鲜的言论也大多来自基于事件背景的猜测而非技术手段。根据趋势科技安全专家的分析，这次黑客使用了所谓的格盘病毒，索尼员工桌面显示的图片就是由格盘病毒生成的，并且在公布索尼数据的时候，黑客聪明地使用了索尼自己的游戏平台服务器，故此，又有人猜测这是索尼自己设置的蜜罐，而所谓的蜜罐就是构造一个目标，让黑客攻击，从而捕捉黑客的ip或者窃听黑客手段等等——好比插了奶酪的捕鼠夹。当然，老鼠可能成功吃到美食而逃脱，蜜罐也是可能被攻破的。根据种种情况，这次入侵的黑客明显是比较聪明和高手段的，所以这一次黑索尼的真凶到底是谁，还是要看FBI的手段了。

这里分两类讨论。

首先是加强安全意识问题，引起足够重视。其次是做好防护，包括加强对员工安全意识的培训。以及，要制定完整的安全策略部署。就像前面说的，短板原理，所以安全部署一定需要完整，并且能及时地关注到一些安全事件，对公司使用的一些组件等在出现漏洞的第一时间内进行修补，在对企业的内部系统、服务器等，做好权限分离和单元控制。这样，即使被黑客攻破了一台服务器，也许其他服务器还能保证安全不被侵犯。

这里举个例子：在blackhat，也就是黑帽大会，展示了一种叫badUSB的威胁。这是一种USB攻击，将恶意代码写在了固件，将usb设备插到电脑上，就可以触发攻击行为，而这与传统的U盘病毒是不同的，因为是改写了固件，所以无法被安全软件所检测到。当企业遇到类似这样的攻击，如果事先有安全策略控制非可信来源的USB设备直接插入到办公网络的pc等，就可以有效地规避可能的攻击和损失。

最后，就是人的问题，在APT攻击里有一个重要的组成部分就是社工，APT经常是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，进行蓄谋已久的“恶意商业间谍威胁”。企业应该重视这种攻击方式，而社工是开展这种攻击的一个重要组成部分。社工全称是社会工程学，比如，前段时间360的播报平台上发了一篇文章，讲到通过一些手段可以冒充别人的手机号码给任何人拨打电话，假如A通过这样的方式冒充了B的领导给B打电话，当B接到电话时显示的是领导的号码，A再冒充是领导没空，拿B手机拨打，这时候要求B去做些事，比如传个资料，是不是也许B就会很容易地把公司资料传给了A？像这样就是一次完整的社工。同样就刚才的例子来说，如果员工安全意识足够高，可能就会想到是冒充的电话而去用其他方式与领导确认，这样就可以避免一次入侵。企业的整个安全体系是尤为重要的，特别是对于一些大公司来说，在没有自己的安全团队的情况，寻求一些专业的安全团队的帮助是极有必要的。

由于黑客技术不断地推陈出新日新月异，昔日电影里才有的情形也在逐渐照入现实。比如前文提到过的基于固件（硬件）的黑客手段，其实施形式可能就是通过在你不留意间插入一个usb，甚至，在公共场所，你用别人的充电器/电源线给手机充了下电。与这些相比，通过公共wifi截取连接wifi的个人的手机信息（微博账号等），简直太寻常了。

但是，作为普通人也没有必要过分担心。因为任何攻击的产生都是利益驱使的，一定有其动机。虽然实际上只要连上了网络就可以说没有隐私可言，但对黑客来说，本本分分的平头百姓因为缺乏利用动机和攻击价值，在可能获得的有价值数据和攻击成本的判断权衡下，往往不会对其进行定向攻击。当然，这完全不意味着我们普通大众就可以掉以轻心全无安全意识。一些基本的，良好的个人安全意识、习惯是必须要有的。比如，重要文件及时备份处理、 不要完全不假思索地依赖机器/电子产品/软件/”云“等、一些隐私信息尽量保存到实体盘、公共场所中需要进行一些涉密操作时不使用wifi而走流量……还有两条金科玉律：低调做人，低调处事；不做亏心事，不怕鬼敲门。

如此，魔高一尺道高一丈，技术与信念始终是伴随、激励我们成长的终极宝典。