每个人都知道,或者应该知道被黑客攻击的风险。但是,如果你认为没有人是专门针对你的,那么你很容易陷入对无定形威胁的否认,并且变得粗心大意。
但如果有一群人想要抓你,而你知道他们是谁,因为你安排了他们去尝试,那该怎么办?这就是纽约大学教授和《PandoDaily》编辑Adam Penenberg与Trustwave的高级研究和道德黑客团队SpiderLabs所做的。他要求他们对他进行个人的“笔测试”。
答案是,至少在他的情况下,知道他们是来抓他的并没有阻止他们。他砍了。正如他所写的那样上个月关于这个项目的报告在纽约大学上课时,他说:“毫无预兆,我的电脑死机了。
我徒劳地敲打着键盘,我的笔记本电脑开始了自己的生命并重新启动。几秒钟后,屏幕上闪现出一条信息。要收到四位数的密码,我需要解锁它,我得拨一个312区号的号码。然后我的iPhone被设置成震动状态,无所事事地坐在桌子上,疯狂地哔哔作响。”
然而,这只是可见的和可听到的损害。潘恩伯格的电脑冻结的时候,网络团队,由尼古拉斯Percoco——当时SpiderLabs高级副总裁(他已经离开成为董事的信息实践毕马威(KPMG))——获得家人的w2(社会安全号码),信用卡和银行对账单的副本,他的支票和储蓄账户,公司债券账户,信用卡声明,在线账单,亚马逊,Facebook和Twitter账户和他的iCloud密码,他们把他的iPhone和笔记本电脑都设为窃取模式。
这个团队做了几件相对无害的事情来证明自己的成功,比如从亚马逊订购了100只塑料蜘蛛,然后把它们运回家,还发了一些假的推特。
但底线是,一旦这些数据进入他的笔记本电脑,“几乎没有防火墙保护我的数据,而且(它们)大多是密码和登录凭证的仿冒。”我很快意识到,这些并不安全。”
因此,“我不会欺骗自己,认为自己不会受到窥探——政府或其他人的,只要他们拥有合适的技能、资源和决心,”他写道。
不过,这个故事中似乎有一些让人稍感宽慰的消息,至少对那些没有名气或没有足够财富成为黑帽黑客攻击目标的人来说是这样。虽然SpiderLabs团队能够破解Penenberg,但这一过程耗时数周,非常困难、复杂而且非常昂贵。如果没有具体的协议,他可能不值得这么麻烦。
(由于Adobe数据泄露,Facebook迫使一些用户重新设置密码]
Trustwave的安全分析师、黑客团队成员加勒特?皮奇奥尼(Garret Picchioni)说,他“仅在整个项目的现场部分就工作了200多个小时,大约花了12天时间才完成。”后来我累极了;劳动节周末剩下的时间我都在睡觉。
他说:“其他工作在此之前也已经完成了,比如(数字取证专家)Josh (Grunzweig)编写了自定义恶意软件并对Adam进行了研究。”
皮奇奥尼没有提供该项目的总成本,佩尼伯格拒绝回答中央安全组织的问题,但利维坦安全集团(Leviathan security Group)的高级安全顾问、黑客专家詹姆斯·阿伦(James Arlen)估计,这需要“大约六个人周的努力加上费用”。估计是5万美元左右。如果说有什么区别的话,那就是这个数字很低。”
时间框架与Penenberg的描述相符。他写道,在他向SpiderLabs黑客团队挑战两个月后,他的电脑在课堂上死机了。
皮奇奥尼说球队把开支控制在最低限度。除了酒店、食品和机票费用,“我们几乎把所有的技术设备都带上了,不需要真正购买任何额外的东西,”他说。
但他承认,对一个人进行笔测要比对一家公司进行笔测难度更大,成本也更高,因为“有数十到数千名员工,而每个人很可能都有自己的电脑,可能的攻击载体数量会增加。”在这种情况下,我们仅限于亚当和他的妻子。”
这项任务还因为需要避免违反任何法律和引起纽约布鲁克林高地邻居的怀疑而变得复杂。当试图破坏Penenberg家的Wi-Fi网络时,团队面对的是一堆虚拟的网络;在他的褐石屋方圆十分之一英里内就有1200个。皮奇奥尼说:“我们不能随便开始破坏网络,然后检查它们是不是亚当的。”
然而,也许这个项目的另一个教训是,最终导致成功的并不是技术上的花哨,而是人类的弱点。计划包括试图妥协潘恩伯格家的wi - fi,留给USB驱动器加载恶意软件在战略地区,试图压倒他的无线路由器,企图吸引他恶意“博客”,他的办公室在纽约大学访问,试图找出他的设备通过MAC(介质访问控制)地址以确定哪些在家他连接到无线网络,并试图妥协潘恩伯格的妻子的业务——普拉提工作室。他们甚至派了一个假学生去上普拉提课。
然而,最终的成功还是来自于骗子的骗术。这个团队用一位普拉提教练的名字给佩内伯格的妻子发了一封电子邮件,里面有一个含有恶意软件的“视频剪辑”,只要她的笔记本电脑在互联网上,团队就可以完全访问它。通过这个,他们找到了Penenberg的笔记本电脑和手机。
皮奇奥尼说,通过另一个人进入目标的技术术语是“旋转”,或“用小鱼钓大鱼”。
但他补充说,这个项目的时间和费用不应该让“普通”用户认为他们没有太大风险。对普通用户来说,“双刃剑”的元素是,虽然单独攻击他们可能过于复杂和昂贵,但攻击一家他们进行在线购物的大公司可能是非常值得的。
“如果攻击者危及存有你信用卡号码或其他敏感信息的公司,使身份盗窃极其容易,怎么办?”Picchioni说。“虽然没有任何系统或公司能够100%防黑客,但对于你提供业务的公司来说,了解他们的安全措施是很重要的。”
IDT911咨询公司(IDT911 Consulting)首席执行官蒂娜•科夫曼(Deena Coffman)表示,恶意黑客向粗心大意的受害者撒网并不昂贵。“有效市场存在,入侵者可以购买恶意软件工具和广泛分发他们通过电子邮件、社交网站Facebook, Instagram和Pinterest是目前最喜欢的——或者劫持一个不受保护的网站和植物恶意软件网站上这样的人浏览甚至没有知道它将恶意软件,”她说。
Arlen同意这一观点,他说,虽然涉及到现代技术,但它是基于同样的,“人类尺度的问题使得骗子们有可能做他们已经做了一万年的事情。”
在这种情况下,人们如何才能在不完全从互联网上撤出的情况下保护自己的机密信息呢?对于初学者来说,他们应该把几十个网站或账户需要的复杂的、不可能记住的密码放在哪里?
(据报道,黑客从在线约会网站Cupid Media窃取了4200万份客户记录]
Arlen给出了Bruce Schneier八年前提出的建议,他是BT和security guru的首席技术官在一篇博文中把它们写下来,放在钱包里。他说:“现代版本当然是使用了KeyPass、LastPass、1Password等工具。”“这些工具可以很容易地为每个身份验证要求设置一个完全独特而复杂的密码。”
大多数专家建议加密,但皮奇奥尼也建议创建一个短语而不是一个单词。它们不仅容易记忆,而且很难破解。他说,一个简单的密码几乎没有任何保护作用。他说:“使用Hello1234作为家里的Wi-Fi密码,就相当于锁上前门,却把钥匙留在门外的锁里。”
那么如何保护那些敏感文件,比如Penenberg的W2s和银行对账单呢?
从加密开始,加密,加密。“强大的加密和妥善管理的密钥能让人们在电脑上保存敏感的电子文件,”密云高级副总裁兼首席营销官佩奇·莱迪格(Paige Leidig)说。
对于这一点,蒂娜·科夫曼建议再来一层。“把它们放在外置硬盘上加密,”她说。
皮奇奥尼和阿伦同意这种说法。Arlen说:“并不是所有的东西都需要存储在一台运行的电脑上。”“离线存储像这样的东西是完全合理的,在一个USB密匙或在一个加密的容器,不会自动挂载。”
皮奇奥尼建议使用多个带备份的闪存盘,并将其保存在一个保险箱或保险箱中。“想想数字时代之前我们存储敏感记录的方式,”他说。“在这种情况下,我们不需要打印它们;我们把它们储存在某种设备上。”
这个故事,“黑客迎接教授的挑战,笔测试他的网络世界”最初发表方案 。