内容简介:APT前传:杜鹃动了谁的蛋?
夏日林间,阳光从树叶的缝隙里洒下来,微风吹拂着树叶,影子在地上摇曳。鸟儿们在树梢上唱歌,有独唱,有对唱;啄木鸟在敲打树木,幼鸟们在喳喳喊着妈妈。
突然,一只鸟掠过树顶,低空盘旋,不时拍打翅膀,发出响声。正在孵蛋的画眉,受到惊吓,以为天敌将至,顾不上窝里的鸟蛋,立刻逃命。等画眉飞远了,这只鸟停在画眉的鸟巢上,推下窝里的一只鸟蛋,并产下一枚自己的蛋。颜色,大小与鸟窝里的相差无几。危险过后,画眉回来继续孵蛋。等到小鸟破壳而出,画眉做起了养母,本能的尽职尽责喂养这只外来户。
这是杜鹃鸟,自己不筑巢,不孵蛋,不哺育雏鸟,全部交由义父母代劳。杜鹃鸟还有很多有趣的秘密。首先,杜鹃前期会选择未来的义父母;如前文描述,杜鹃伪装成猛禽,吓唬目标。杜鹃的蛋很小,与其身形非常不匹配,也是为了欺骗义父母小鸟。杜鹃的行为,在我们人类看来不可思议,社会主义价值观缺乏的令人发指,甚至有些残忍。比如,杜鹃的幼鸟会提前出生,自己扯着嗓子让义父母喂食,而且会把原来的鸟蛋都拱下去。当然,物竞天择,这是自然进化和选择的结果,这里不做评判。
下图中,杜鹃幼鸟,接受比它小得多的义母喂食。
为什么先讲杜鹃呢?
因为这个故事,来自于一本书, 《The Cuckoo’s Egg》 ,直译书名是杜鹃的蛋。当然,这并不是讲述杜鹃本性的生物读本,而是一个检测和调查,追踪和溯源黑客入侵的真实故事。书的作者,Clifford Stoll,正是这个事情的亲历者。
那还是在1986年(90后的小伙伴,彼时还是游离态的细胞,我也才换下开裆裤),互联网规模很小。如果把现在的互联网比作青年,那时候则是襁褓中的婴儿,只有ARPANET,MILNET等数个小型网络,美国和欧洲之间已经联通。须知,万维网(WWW)是在1990年,也就是4年之后才被发明。 劳伦斯伯克利实验室(Lawrence Berkeley Laboratory,LBL),是ARPANET的一个节点,用户以大学教授为主。
我们的主角,本书作者,天文学博士Cliff,在这里负责维护网络和系统。用户通过Modem拨号连接后,使用主机需要计费。
一天,经理告诉Cliff,有个用户计费有错误,差了0.75美元。Cliff检查这个问题,发现了主机入侵。这吊起了Cliff极大的好奇心,他持续跟踪,用打印机打印所有黑客入侵后的活动,敲击的命令,日志等。由此发现黑客对军事机密感兴趣,并以LBL为跳板,持续向400多台机器进行渗透,成功30多台。
黑客使用的攻击手段,简单和复杂兼而有之。UNIX有很多内置用户,猜口令是其中之一,登录成功后,用w/who查看 登录 用户,如果一旦发现有人,立即退出。还有,黑客搜索邮件文本,或者本地文件,也能找到 登录 名和密码的内容。高级攻击技术,黑客用到了Emacs的漏洞,可以本地提权。(Emacs是UNIX上的文字编辑器,作者是后来大名鼎鼎 的 自由软件斗士Stallman) 登录 成功后,黑客拿到/etc/passwd文件后破解。再次 登录 时,黑客会以新的破解之后的用户名 登录 系统。
需要解释一下Cliff为什么用打印机记录黑客的所有行踪。黑客很狡猾,会清除所有 登录 和操作的痕迹。事后检查,比如用last命令查看 登录 日志,已经看不到线索。Cliff先在黑客可能连入的所有主机上,全都连接打印机,打印所有远程 登录 的会话,锁定到其中一台主机。之后就打印这一台的 登录 和操作的信息。其中一个细节,Cliff为了“照顾”这些打印机,直接睡在机房里。
调查过程持续了一年,多个部门参与协作,包括CIA,FBI,德国的情报部门等。最终锁定了黑客来自于西德,查明黑客为一个4人团伙,其中一名成员,与苏联克格勃特工有瓜葛,并且,一名成员在几个月前死于非命。多行不义,出来混,总是要还的。其他三个人,也被判有罪,不免牢狱之苦。
如今,美国总统川普竞选团队成员,竞选时期,私下与俄方人员接触,正在接受FBI的调查,据说前FBI局长科米即将出庭对证。过去是窃取军事情报,今天是操作大选结果。时光荏苒,猫鼠游戏还在持续上演。
“
Cliff不仅把整个经过写成一本书,还拍成了纪录片。影片的名字是《The KGB, the Computer, and Me》(KGB就是克格勃),有兴趣的读者可以在油管找来看看。另外,1988年,Cliff在ACM学报上发表了一篇论文,讲述这次事件的经过和启示,论文的标题为《Stalking The Wily Hacker》。
遗憾的是,Cliff并没有在安全领域持续研究。事实上,他兴趣广泛,对很多事情充满好奇。在教育领域也有他的身影,面向高中生教授大学物理知识。Cliff在TED上有两段演讲,其中一个是我觉得最为有趣的演讲之一。Cliff在台上不拘小节,跳着走路,提纲写在手指上,尤其哥们那飘逸的,爱因斯坦式的头发,随风舞动,神采飞扬。
对于安全从业者的启示:
1. 不放过任何线索,留意系统,尤其是业务系统的异常;
2. 持续跟踪;
3. 设置蜜罐;有这样的细节,黑客很警觉,登录后搜索完即刻下线,不能追踪黑客来源。Cliff的朋友帮他想了办法,主机上放置了虚假文档,包含敏感军事信息。黑客如获至宝,停留的时间,足够追踪到拨号来源;
4. 利用资源;
5. 隐秘行动,不打草惊蛇。消除内部的谣言,告诫同事们不要讨论此事,更不要在电子邮件中留下痕迹。
6. 黑客画像,大胆假设,小心求证。黑客用hunter作为用户名,还有一个Jaeger, 是德语的hunter,还有Benson,是一个香烟的品牌。通过显示器回显的速度,Cliff判断入侵者应该在6000公里之外。Cliff对屏幕那端的对手进行画像,成年男性,德国人,吸烟的男性等。最后的结果得到验证。
以杜鹃为隐喻,黑客入侵他人的系统格,留下木马程序,恰似杜鹃的行为。
APT,高级持续性威胁(Advanced Persistent Threat),这种提法,在2010年左右才出现。这个故事,告诉我们,互联网的早期,就出现过网络间谍活动,持续一年多时间。变化的是,网络的规模,攻击手段等,不变的是攻方始终虎视眈眈,觊觎敏感信息。安全守方,也需要时刻警觉,杜鹃正在观察。
 |
请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:Mcbang_com 了解更多精彩,关注:chayuqing_com 娱乐资讯早知道!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Inside Larry's and Sergey's Brain
Richard Brandt / Portfolio / 17 Sep 2009 / USD 24.95
You’ve used their products. You’ve heard about their skyrocketing wealth and “don’t be evil” business motto. But how much do you really know about Google’s founders, Larry Page and Sergey Brin? Inside......一起来看看 《Inside Larry's and Sergey's Brain》 这本书的介绍吧!
