被问到那场骚乱,来自科罗拉多州的民主党众议员杰森,仍然心有余悸:“太难了,自打我结束在伊拉克和阿富汗当游骑兵后,就没再遇到过这种危急情况。”
杰森说的这场骚乱,发生在美国时间 2021 年 1 月 6 日,简称 1·6 美国国会暴乱。
这天,是美国国会清点选举人票、确定总统人选的日子。此前,从各州的投票情况来看,川建国同志连任希望渺茫,眼看大局将定,建国鸡贼发推,号召自己的支持者“进京勤王”。
图片来源于网络
这不,一大锅川粉果真前来应援。
他们冲破路障,暴力攻破美国国会大厦,造成 4 人死亡,选票清点也被迫中断。直到 1 月 7 日凌晨,被迫加班的参议院议长彭斯,才强打精神上台宣布:瞌睡乔正式当选美国下任总统。
图片来源于网络
尽管一路火花闪电,但四年前的“邮件门”没有重现江湖,着实令人松了口气。
是这届黑客嫌川普和拜登年纪太大,不屑于再搞一场邮箱钓鱼攻击吗?非也。
从多方报道来看,不是黑客没动手,而是没得手。
1、邮箱里的秘密
每个人的邮箱里,或多或少都藏着秘密,一旦泄露,经历过的人才懂,比如贝克汉姆。
我们都知道,英国人对邮箱非常依赖,除了工作,面向各种对象的私人谈话,也都会使用邮件。
2017 年,贝克汉姆的邮箱惨遭泄露,多年来苦心经营的人设,一夜碎裂。
邮件泄露之前,贝克汉姆是人们眼中帅气、谦逊的绅士,也是体育界中愿为慈善事业四处奔走的一大表率;邮件泄露之后,人们才发现,贝克汉姆出口成脏,擅长人前讨好、背后吐槽,就连做慈善都动机不纯,竟是为了“爵士”头衔而搞出的社会摆拍。
图片来源于网络
一般的教训,一顿火锅就消化得差不多,不行就再来一顿;只有殿堂级教训,才能引起全社会的警觉,比如四年前的“邮件门”事件。
2016 年,是美国第 58 届总统的大选之年,各个 竞选团队早早做起了准备,希拉里也不例外。
3 月 19 日,希拉里团队的竞选主席约翰·波德斯塔 (John Podesta),收到了一封看似来源于谷歌官方的邮件,内容很简单:
“有人正试图登录你的账号,请尽快登录并修改密码。”
出于谨慎,波德斯塔的助手第一时间把邮件转发给了技术人员德拉万。很快,德拉万的回复来了:这是一封合法邮件。
得到确认后,助手放心的点开邮件链接,输入账号密码,然而,就在按下回车的一刹那,数千封民主党机密邮件沿着网线,无一遗漏地出现在黑客面前,内容令人震惊:希拉里勾结民主党高层,洗钱,肆意操控媒体,表面温顺、暗地里却给对手疯狂下套。
图片来源于网络
没错,那是一封钓鱼邮件。黑客伪装成 Google 的官方客服,不费吹灰之力,就拿到账号密码、黑掉了民主党的竞选邮箱,进而扩大攻击,完全控制了邮件服务器。
被泄露的机密邮件,被揭露的隐秘真相,被曝光的权谋野心,黑暗程度远超《纸牌屋》。“邮件门”再次证明,现实远比影视剧狗血。
“邮件门”事件一出,大选局势迅速逆转,川普一跃登上总统之位,喜提四年推特治国。
事后,德拉万接受媒体采访时说,他已经看出那是一封钓鱼邮件,原本要回复的内容是“这是一封非法邮件”,却无意中漏掉了两个关键字母,将“非法”(illegitimate) 写成了“合法” (legitimate),最终引发了这场政治地震。
这再一次证明,在安全面前,人才是最大的漏洞。
2、来者何人?
“邮件门”事件,开启了一场全民安全养成游戏:美国在过去的四年里,不论是商英政客,还是互联网大厂,都开始使用 USB 安全密钥,以此来替代传统的二次验证。
图片来源于网络
2020 年美国大选,在联邦选举委员会的授权下,非营利机构 Defending Digital Campaigns 向竞选活动免费发放了数以万计的 USB 安全密钥,拜登也要求团队成员必须使用,以免误触钓鱼攻击,节外生枝。
据前安全研究员杰里米称:“(大选期间) 并不是没人试图进行账户钓鱼,但现在有工具可以阻止。小东西 (USB 安全密钥) 起效了,类似的邮件泄露事件才没有再次发生。”
从以往的鲜活教训来看,在「黑掉目标账户」这件事上,黑客可不是说说而已,什么刀枪剑戟、锅碗瓢盆,哪个好用用哪个,根本不在乎工具 low 不 low。
账户登录作为网络信息安全的第一关卡,准确判断“来者何人”就变得至关重要。
就目前来看,主流的用户身份验证方法分为三种:
1、你知道什么 (what you know),也就是“用户名+密码”。
静态密码登陆,是最为流行的身份识别方法,好处是简单易上手,但缺点也很明显,比如容易忘记,安全性也不高,一旦遭遇弱口令攻击、撞库、网络钓鱼等,分分钟沦陷。
2018 年 9 月,乌克兰独立新闻社曝出,乌克兰“第聂伯罗”武装军队所使用的自动化控制系统,不仅用户名是默认的“admin”,就连密码也是小学生知识水平的“123456”。
这个漏洞,“让敌人直到 2018 年夏天,都可以随意扫描乌克兰军队信息,就算你没有任何特殊知识,你也可以自由访问军队交换机、路由器、工作站等,随便分析大量军队的机密信息”。
图片来源于网络
2、你有什么 (what you have),也就是“二次验证”。
二次验证,指在账号密码之外,借助用户才可能拥有的东西,额外增加一个验证环节,比如短信验证码、手机令牌、USB 安全密钥等。
图片来源于网络
二次验证看似万无一失,但在骨感的现实中,仍难敌攻击。
今年 2 月,家住江西的黄某遇到了一件糟心事。那天傍晚,黄某突然发现,自己的手机号被莫名挂失,很快,黄某又发现,自己在“雷达网”账户中所拥有的比特币被人转走,被盗虚拟货币折合人民币约 1450 万元。
报警后,南昌市公安局迅速立案侦查。由于“雷达网”是国外网站,被盗的又是虚拟货币,这给侦查带来了很大难度。
经过大量的线下摸排和技术分析,警方发现,6 名罪犯通过伪造受害人身份证,进而挂失、补办受害人手机卡,再用补办的手机卡登录“雷达网”,成功接收平台发送的登录验证码,最终完成盗窃。
图片来源于网络
瞧,就算你保护好了自己的账号密码,也难免不被“猪队友”出卖。
3、你是谁 (who you are)。
这是一种新型、快捷的验证方式,利用每个人所独有的生物特征来证明身份,比如指纹、面容、声音等。
在追求效率的今天,生物特征验证正变得流行起来,但相应的攻击技术却没打算缺席。
前段时间,魔性短视频“吗咿呀嘿”获得了病毒式的疯狂传播,洗脑的旋律,夸张的表情,让人忍不住跟着大佬一起抖动摇摆。
图片来源于网络
要说参与方法,实在是简单无奇,上传一张照片就行,但就是这样一款娱乐软件,只火了不到 7 天,就遭到苹果应用商店的下架处理。
很多人不理解,娱乐而已,为何要这么严肃?
事实上,这种“照片活化”,本质上是一种人脸识别攻击手法,尽管各大主流平台早已具备活体检测技术,但“照片活化”的滥用,很可能在某个被轻视的角落,正暗戳戳地谋划着一场攻击。
互联网之大,竟没有一种身份验证技术是万全的。
3、只凭实力论英雄
加密技术的应用,实打实给身份验证筑起了一道安全城墙。
密码学中,有两种加密技术:对称加密,非对称加密。
对称加密,是指在加密和解密时,都用同一个密钥。
比如我想寄一封信给你,内容略微敏感,为了不被第三者看见,需要加密处理,于是我打开一本辞海,把信中的每一个字都转换成词典中的页码和行数,完成加密才交给你。而你收到信后,只需打开手边的辞海,通过页码和行数完成还原,自然能明白信的内容。
图片来源于网络
对称加密最大的问题,是如何安全的传递密钥。
比如刚才故事中作为密钥的辞海,很多人都有,你能用它解密,别人也能,所以要想安全,就不能用辞海,而必须用一个只有我才有的密钥。
但与此同时,问题来了:很难找到一个办法,把我加密使用的密钥安全地传递给你,供你解密。
为了解决密钥的传递问题,就有了非对称加密。
在非对称加密中,有两把钥匙:一个是用来加密的公钥,另一个是用来解密的私钥。
假设我又要给你寄一封信,这时,你需要先把你的公钥发给我,我用这把公钥对内容进行加密后,将信发给你,你收到后,用手里的私钥进行解密,就能知道信中的内容。
图片来源于网络
这里要知道几点:
1、公钥和私钥之所以成对,是因为它们之间存在一种非常复杂的数学联系,即使公钥是公开的,但通过公钥几乎不可能推断出私钥;
2、公钥可以分享给任何人,但私钥一定要做好保密;
3、密码学领域中的研究者非常严谨的认为,世界上没有绝对不会被破解出的密码,只能退而求其次:如果一个密码的破解,需要很长很长的时间,就可以认为它是安全的。非对称加密,就是这样一种安全。
保障 2020 美国大选免受钓鱼攻击的 USB 安全密钥,原理就是非对称加密。它的外形酷似一枚 U 盘,内部有个可以处理加密密钥的芯片,初次注册时,用户就会拥有一对安全密钥,公钥发送给服务提供商,私钥则会存储在 USB 安全密钥中。
这枚实体密钥,几乎可以阻挡任何钓鱼攻击、中间人攻击、按键记录攻击等。
知名网络安全网站 Krebs on Security 曾在报告中称,谷歌自 2017 年初开始使用 USB 安全密钥后,8 万余名员工的工作账户,再也没有遭受过钓鱼攻击,实力可见一斑。
图片来源于网络
也许你也曾收到过钓鱼短信或邮件,甚至还中过招,但有足够数据证明,政府机构和企业才是黑客们的主要目标,只要成功一票,单车立马变宇宙飞船。
正是这种超高收益,才引得黑客们不断升级网络钓鱼技术,令人防不胜防。
在钓鱼攻击面前,比起自修网络安全知识、冥思苦想反人类的无规律密码,一枚小小的 USB 安全密钥,倒是更能为你保驾护航。
图片来源于网络
文 | 木子Yanni
嗨,这里是浅黑科技,在未来面前,我们都是孩子。
想看更多科技故事,欢迎戳→微信公众号:浅黑科技:qianheikeji
