HanDs
管理员

advertiser-location-tracker.png

根据一份普林斯顿大学研究员的报告,电池状态已经在一些网站被用来跟踪你的在线活动。漏洞触发的原因是因为电池状态API。

又是电池?

去年的时候,斯坦福大学的研究员就曾发表研究,他们通过电池在特定时间内的消耗对手机用户的物理位置进行定位,他们把这种追踪方法命名为PowerSpy,准确度高达90%。PowerSpy利用了蜂窝传输服务塔消耗电量速度的不同这一点,速度很大程度上取决于用户与蜂窝电话塔的距离远近,以及地理条件上的一些障碍,通过测量电池使用情况,攻击者就可以得到你的位置信息。

在新揭露的漏洞中,被利用的是电池状态API。这个概念首先在HTML5中出现,到去年八月主流浏览器如Firefox, Chrome和Opera都开始使用了。API的目的是让站主看到笔记本、平板、手机上还有多少电,必要时网站会提供一份专门针对低电量用户的版本。但是研究人员去年警告称,API可能会把你的电量变成非常有特征的跟踪标识。

研究人员发现,每分钟耗掉的电量与电量百分比二者结合起来就能有1400万种不同的可能性,基本上就可以说是针对每个设备有唯一的标识了,这可以对他们访问的网站进行跟踪。

通过电池状态跟踪你

研究员Lukasz Olejnik上周发布了一篇博文,讲的就是很多公司现在就是在利用电量信息来挖掘一些潜在有用的信息。

“有些公司可能在分析把‘电量信息’变现的可能性”,博文写道,“当电量低的时候,用户可能就会有些别的决定。这种情况下,他们就可能愿意为了某个服务多付点钱。”

研究员Engelhard和Narayanan发现了网上大量出现的两段跟踪脚本,广告商们利用他们从电池状态API获取信息,并追踪用户。

无处不在的追踪脚本

小编查看论文后找到了文中提到的跟踪脚本,这些脚本在大量的网站都有出现,其中也不乏一些大公司:

js.PNG

domian.PNG

防御手段

这种攻击最为可怕的部分是:

基本上没有办法防御这种攻击。无论是删除浏览器cookies还是使用VPN和AdBlocker,你电池的属性还是不会变,因此仍然可以被跟踪。

唯一的办法可能就是把你的手机插到电源里去。

两周前,Uber的经济分析主管Keith Chen曾经说过,该公司一直在监控用户的电池状况,因为它知道,用户电量不足的时候很可能会愿意付更高的价格租辆车。

*参考来源:THN,FB小编Sphinx编译,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
2016-8-8 #1楼
HanDs
管理员

内部威胁那些事儿(五):案例分析 



*本文原创作者:木千之,本文属FreeBuf原创奖励计划,未经许可禁止转载

引言

经过前面四章的介绍,相信大家已经对内部威胁的基本概念有了一定的了解:

[1]不同于传统的外部攻击,内部威胁发生在安全边界之内,因此天然可以躲避专门检应对外部入侵攻击的安全设备的监测,具备一定的透明性;威胁行为的数据痕迹隐藏在极不平衡的大量数据流之中,增加了内部安全审计数据挖掘分析的难度与成本,具备较强的隐蔽性;内部人具备组织高价值信息的知识,因此可以直接威胁组织核心信息资产;

[2]依据内部威胁的目标可以将现有威胁大致分为系统破坏、信息窃取与内部欺诈三个基本类型,现实中还存在两种之上的混合威胁;

[3]系统破坏威胁的目标是组织业务运行或组织声誉;信息窃取的目标自然是组织中的核心资产,尤其以知识产权、组织信息与客户数据为重中之重;内部欺诈则大多为了谋求经济利益;

[4]应对内部威胁应当从主客观两方面同时入手,只有主观分析可以刻画内部人动机,而只有客观分析能够作为实际威胁的依据;

[5]内部威胁对组织危害极大,小到损害个人声誉、泄露企业秘密与知识产权,大到影响国计民生行业正常发展,甚至直接威胁国家安全,因此如何有效应对内部威胁应引起我们高度重视。

第一章传送门:内部威胁那些事儿(一) http://www.freebuf.com/news/special/104030.html

第二章传送门:内部威胁那些事儿(二)http://www.freebuf.com/articles/security-management/105166.html

第三章传送门:内部威胁那些事儿(三) http://www.freebuf.com/articles/network/105633.html

第四章传送门:内部威胁那些事儿(四)http://www.freebuf.com/articles/security-management/106792.html

前面几章大多从理论角度介绍内部威胁,为了避免“眼高手低”,所以在我们继续深入讨论如何有效应对内部威胁前,先来做些“接地气”的工作。今天我们将从已有新闻和CERT数据库中精选典型内部威胁案例,分析其具体攻击模式,探讨可能检测应对的着眼点。

系统破坏案例分析

系统破坏威胁(Insider System Sabotage)是指内部人使用信息技术(IT)方法直接对组织或个人造成损害的行为。系统破坏的直接目标是组织信息系统的关键服务或模块,造成组织业务运行中断或个人声誉受损。一般来说攻击类型有:

1. 埋放逻辑炸弹;

2. 向产品或系统中嵌入恶意代码;

3. 删除组织的关键信息(故意没有备份);

4. 公布组织中的敏感信息;

5. 切断组织的对外服务;

6. 丑化组织形象(上传色情图片或丑化网站)

案例一

小明是某家银行的人力资源部高级职员,由于工作上的失误给单位造成了较大损失,因此小明被开除了。之后小明心中十分不满,便远程入侵了单位的服务器(公共登录凭证未及时修改),删除了数据库中约1000个员工的工资、福利信息;在职时小明曾与上司小花有矛盾,于是顺手增加了小花的工资与福利等级,又伪造邮件,以小花的名义发送带有木马的恶意邮件给银行所有管理高层人员。不巧的是小明的新东家的内部监管人员发现了恶意邮件发自自己单位的主机,因此找到了小明的攻击痕迹。最终小明被处9万美元罚金,并处18个月监禁。

作为就职于掌握单位核心信息的人力部高级职员,小明利用自己的权限入侵了单位服务器,并删除数据,伪造数据陷害同事。我们可以简单描绘出小明的攻击链,如图:

小明的行为痕迹在信息系统中主要存在于三处,分别是:

远程登录服务器:小明使用的是原有部门账号密码,因此登录凭证未能随着人员流动及时改变是内部系统的一个重要漏洞;

数据库访问:小明删除了员工福利与工资数据,因此会留下数据库的操作记录,该记录的用户当然是小明登录系统的部门用户凭证;

邮件日志:邮件服务器会记录收到一封来自某端的邮件;

因此,严格审计服务器(远程)登录行为、数据库访问日志以及邮件收发日志,是监测发现此类威胁的重要技术点。

案例二

小花是政府某部门的数据库管理员兼某项目经理,但是实际工作中合作的小刚却经常在小花擅长的技术领域推翻小花的观点。小花感觉小刚是故意与自己作对,于是向人力部门递交了一封诉求书,表明小刚造成了敌对消极的工作环境,但是人力部门并未正面回复她;于是小花给上司写信表达诉求,但是上司不仅没有支持她,还将小花项目经理的职位给了小刚;小花心中十分不平,于是向州就业平等委员会提出申诉,认为自己作为女性受到了歧视。在等待回复期间,小花无法忍受这样的工作环境,辞职了。

就在小花辞职不久,偶然得知了就业平等委员会拒绝了其申诉,因此心中愤懑至极,从家中使用某同事的身份凭证远程登录了单位服务器,利用数据库管理员身份删除了系统中大量关键数据与最近的数据库备份。结果导致115名技术人员花费了1800个小时才恢复了公务系统数据库中的所有数据,公务对外网站暂停服务多天。最终远程登录、数据库访问以及ISP连接日志定位了小花的家。小花被捕,处罚金35000美元,5个月监禁。

小花工作在政务部门,但是依旧可以因为自己不满而破坏政府服务。小花的攻击链如图:

此例中最为显著的特征为;

多次申诉:小花向人力部门、上司以及公益机构多次申诉未果,如此明显的行为事件可以作为高风险员工的重要指示器;

远程登录:数据库管理员登录凭证未修改,远程登录;

数据库访问:删除大量数据库关键数据;

小结

由上述两个案例就可以看出,现实中的内部破坏威胁可以是埋放逻辑炸弹、删除关键数据等多种方式,而攻击所利用的漏洞可能仅仅就是因为人力部门的不作为导致,人员离职,相应手续不完善,人走权限留,是现实中的一大险患,因此,组织应加强管理,完善人员进出手续;此外,远程登录,应用操作日志(如数据库等)是尤为重要的审计对象。

信息窃取案例分析

信息窃取可以说是现实中较为常见的内部威胁,其窃取的目标是组织内的高价值数据,如知识产权(技术方案、产品设计、程序源码等)、客户数据(大客户联系方式、财产说明及个人喜好等)和组织数据(如组织职能结构、高层管理人员联系方式、内部安全审计机制、防火墙等安全设备型号、版本及参数等)。上述高价值数据中,知识产权与客户数据可以通过售卖直接获取经济利益,也可以作为跳槽、创业的初始知识资本;组织数据则可以作为社工的基础,也可以作为外部入侵与内部攻击的前置侦查环节 。因此信息窃取的直接动机不再主要是不满引发的报复,而是一种不满状态下谋求改变的尝试。作为本节的典型案例,我们先从今年4月份国内真实故事说起。

案例一

黄某大学计算机专业毕业后,进入某涉密科研单位工作,该单位负责我国党政军部门的密码设计、研发。实际工作中,黄某工作态度不认真,做事不踏实,事业上没有追求,虚荣上却争强好胜;五年时间黄某换了3个部门,但是业绩始终靠后,最终按照单位末位淘汰制规定,黄某将被解职。

黄某心生不满,开始计划报复单位。由于黄某平时喜欢把自己经手的东西备份,因此2002年开始(离职前两年),黄某联系上了国外间谍机关,出售军用短波保密机技术参数与工作原理等保密资料,以此获取高额外汇报酬。

很快黄某自己的”存活“告罄,于是打上了同事的歪脑筋。他先是试图策反老同事W,不过遭到拒绝;遗憾的是W没有及时汇报上级,而是选择了明哲保身。

黄某的妻子T在另一家涉密单位工作,作为资料管理员,可以经常接触涉密材料。黄某说服T用光盘备份重要数据,并趁机在家复制光盘数据。

黄某的姐夫Tan与黄某在同一单位供职,任总工程师,由于Tan习惯将单位的资料拷贝到笔记本上带回家,留作备份,因此当Tan的电脑损坏,叫黄某维修时,黄某趁其不备,用间谍U盘偷偷拷贝了电脑里的保密文档;该间谍U盘可以自动搜索电脑中感兴趣的文档,以加密方式发送到U盘隐藏区域。

此外黄某还利用原单位关系,窃取同事电脑上资料,向好友Z等人打探科研所动态消息,窃取科研所内部刊物,将这些资料统统卖个境外间谍机关,21次共获利70万美元。

最终在2011年,黄某被国安秘密逮捕,最终被判处死刑,而其妻子T与姐夫Tan也因过失泄露国家机密罪,被分别判处五年、三年有期徒刑。

黄某的案例中,窃取信息的技术手段除了使用了间谍U盘为,并未有其他高技术手段,更多地则是利用亲人、同事、朋友间的信任实施欺骗,窃取信息。本案例中检测关键点有:

1. 黄某常备份经手材料:审计数据备份行为;

2. T用光盘备份经手材料:审计光盘刻录行为;

3. Tan用笔记本备份工作资料:审计数据传输行为;

由上述可以看出,涉密信息的管理漏洞导致了机密信息泄露,其关键在于缺乏机密信息传输、移动的严格审计。所以严格、全面地内部安全审计与控制机制是杜绝泄密的一道有力门槛。

案例二

某汽车配件制造企业的工程师小明,销售部副总监小花与小刚是朋友,小明与小花是夫妻。某天小花从单位辞职,想运用掌握的客户资源创建一家公司,于是鼓动小明与小刚参与计划窃取企业的知识产权等价值数据,部分出售获得创业资本,部分用于创业。小明担任工程师,因此可以轻易拷贝产品的设计图等材料,小刚负责生产线,因此拷贝了生产线设计等资料,二人将资料传递给小花,然后出售给境外公司。最终此事被公司驻境外办事处发觉,小刚、小花与小明均被判刑。

小花是整个攻击的主谋,因为自己创业无法获得产片专利与生产线设计资料,于是分别拉拢了小明与小刚参与信息窃取行为。

 小结

内部信息窃取攻击的攻击者一定是可以接触到目标信息的用户,即便不是攻击Leader,也是整个攻击中具体的实施者。因此针对此类攻击可以重点监测具备重要信息访问权限的员工,即先对组织内信息进行风险评估,确定高风险资产;针对高风险资产,确定其访问允许列表中的诸多用户,作为高风险用户重点监测,即当多人异常上报时,首先分析高风险员工的异常。

内部欺诈案例分析

内部电子欺诈是指:内部人出于个人利益,利用信息系统非法修改、添加、删除组织数据(不含程序与系统数据),或窃取信息导致身份欺诈的行为。

从上述定义中我们可以看出,内部欺诈有两类:一是非法篡改组织数据,从而直接牟利,如金融数据、用户驾照、犯罪历史、信用卡逾期记录、消费账单记录等;二是与外部犯罪团伙苟合,窃取内部数据用作身份欺诈,如信用卡欺诈等。通常内部欺诈威胁会导致的严重的经济损失与巨大的潜在个人威胁。我们今天首先以一个团伙欺诈案例开场:

案例一

小明、小给、小沃、小辊、小初、小趣六人结成了欺诈团伙,其中小沃是老大,小明在银行负责信贷放款,小给工作在托管公司,小辊负责伪造驾照,小趣出售;小初负责利用窃得身份申办信用卡盗刷。

所有欺诈的起点是小明与小给分别从银行和托管公司中将客户的信用、金融信息泄露给了小沃;然后小沃分发信息给小辊和小初,由小辊执行伪造驾照,小趣出售;小初伪造信用卡盗刷,最终获利分成。

最终六人被依法逮捕,小明作为银行人员明知故犯,被处20000美元罚金与18个月监禁。

上述案例可以看出,内部人泄露信息往往是身份欺诈的起点,也是至关重要的一环。因此从内部人监测入手,可以有效防范欺诈威胁。

案例二

美国移民局工作的Bob生活奢侈,利用自己的职权修改移民局对于拒绝入境人员的决定,以此获得报酬。Bob本身负责人员入境审批,因此可以直接签发某人的入境批准,或更改其它人员的拒绝入境为准许入境,每单可以获得几千美元报酬。最终Bob被内部监察发现时,已经违法批准入境20多人,获得50000美元酬金。Bob最终被判21个月监禁,没收个人全部所得。

与案例一不同,Bob并未泄露任何信息,而是利用自己的职权批准或修改已经拒绝入境的决定,从而为非法入境团伙服务,获取报酬。对于美国这样一个高风险国家而言,批准高危种族主义者入境无非增加了国内恐怖事件风险,危害到国家安全。

小结

从上述两个案例中,我们可以看出内部欺诈与系统破坏与信息窃取典型的不同之处,内部欺诈的操作对象是内部信息数据,而主要操作是泄露和篡改,目的都是直接为了经济利益。信息泄露部分可以和信息窃取一起监测,注意审查监测员工的经济状况与个人生活状态,严格审计数据的拷贝、修改等操作。

复合案例分析

上面说了系统破坏、信息窃取、内部欺诈三类典型内部威胁案例,实际中还有许多是多种基本类型混合的复合内部威胁案例。不信?今天我们就来看一个最平常的案例:偷改成绩。

案例一

小明是某高校计算机专业学生,平时爱好黑客技术,但是因为平时偏科严重,因此期末考试多门不及格,面临重修处罚。想起黑客杂志上的入侵教务系统案例,小明也萌发了黑进教务系统修改成绩的想法。

由于学校的教务系统采用较为落后的框架搭建,未能及时修补已知漏洞,导致小明轻易SQL注入得到了教务系统的万能登陆密码;然后进入教务系统,查看自己全班的成绩,并进行修改。

成绩修改完毕,小明还”逛“到了年级教务系统,找到了心仪的隔壁班小花的学籍信息,获知了其生日、家乡、手机号、邮箱等多个信息,然后开始主动联系并不认识的小花,讨好力求建立恋爱关系。

小明的好友小刚得知小明能够修改成绩,遂在校园BBS上隐晦地广告可以修改考试成绩服务,遂为10多名学生修改了成绩,获利4.8万元。

最终多位老师发现成绩异常,报告系统管理员后警方介入调查,小明与小刚被分别抓获。

上面的案例是否听着有些玄乎?大学生怎么可能这样?不信,请看:

大学生从校园网入侵教务系统,修改自己成绩,属于明显的欺诈攻击;而查阅其它同学信息,则属于信息窃取攻击,所以说上述是一次复合的内部威胁案例。

其实除了修改成绩以为,入侵教务系统后还可以做许多事,知乎上就给出了实际攻击者的备选答案:

修改旷课信息;

修改迟到信息;

查看所有学校人员的通讯录;

查看心仪MM的所有信息(生日、家庭住址、个人手机、宿舍号、课程表、各科成绩)

调整自己/哥们/GF的课程(前提课程开设,尚有空位)

查看全校课程信息与全校学生信息;

等等。。

其实,如果按照我们介绍的内部威胁观念,可以发现生活中,身边也许就有内部威胁在发生,内部人的威胁,从来离我们就不远。

小结

在分别介绍了内部威胁的基本概念后,我们分别从系统破坏、信息窃取以及内部欺诈三个基本威胁类型展开论述,详细分析了每种基本威胁类型的内涵、行为模式与特征,并提出了初步针对性建议。

今天我们基于前述理论基础,整理分析了内部威胁各个类型的典型案例,从而对于内部威胁产生实际的认识,一方面避免”眼高手低“空有理论;另一方面也是使大家意识到内部威胁从未就未曾远离我们,身边人、平凡事,均有可能是正在发生的内部攻击,因此我们必须高度重视内部威胁,提高防范警惕。

参考文献

1 科研人员偷卖90项国家绝密情报 挣了70万美元被判死刑:http://www.ce.cn/xwzx/gnsz/gdxw/201604/19/t20160419_10598204.shtml

2 百度百科:http://baike.baidu.com/link?url=V-roBHUt4AaFz2BbTkSDBcklw3mUD0fbRHY6DqUglDVMDdUjv7qdmdLqSsTTxBfidvaCbZ7ZPTPSj3XqPmpxjK

3 Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, and Robert Richardson. CSI/FBI computer crime and security survey, 2006

4 Kroll and Economist Intelligence Unit, “Annual Global Fraud Survey, 2011/2012,” 2012

5 The Seven Largest Insider-Caused Data Breaches of 2014, C Preimesberger, , 2014

6 2014 US State of Cybercrime Survey, US CERT, Camegie Mellon University, 2014

7 The CERT Guide to Insider Threats, 2012

8 A Survey of Insider Attack Detection Research, Malek Ben Salem, Shlomo Hershkop, Salvatore J.Stolfo, 2008

9 Detecting Insider Threats in a Real Corporate Database of Computer Usage Activity, Ted E.Senator, Henry G. Goldberg, Alex Memory etc. KDD’13

10 Understanding the Insider Threat: Proceeding of a March 2004 Workshop, Technical report, RAND Corporation, SantaMonica, CA, March 2004, Richard P. Brackney and Rober Helms Anderson.

11 知乎问题:黑到学校教务系统里改成绩,这个需要什么水平?https://www.zhihu.com/question/30585788

12 两大学生雇黑客偷改成绩 偷师创业后牟利6万多元落网 http://www.qlmoney.com/content/20160406-172100.html

*本文原创作者:木千之,本文属FreeBuf原创奖励计划,未经许可禁止转载


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
内部 威胁 那些 事儿
#2楼
发帖时间:2016-8-8   |   查看数:0   |   回复数:0
游客组
快速回复