保密技術防范常識下

保密技術防范常識（下）肖穩(wěn)田國家863項目電子政務專家組專家四、互聯(lián)網時代保密與竊密的博弈與較量（二）智能手機的竊密技術與防范“互聯(lián)網+”時代，移動通信技術日新月異，以手機為核心的移動終端、跨界融合、加速創(chuàng)新，由于智能手機在網絡實時接入、多種通信手段融合等方面有著無可比擬的優(yōu)勢，更是由于以手機為代表的移動設備大有取代計算機而成為使用最廣泛的互聯(lián)網接入的終端?！盎ヂ?lián)網+”時代手機作為通信終端、控制終端和存儲終端的功能日益強大，流經手機的信息量爆炸式增長，手機面臨的安全威脅和泄密隱患呈現出全維化、復雜化、產業(yè)化的演變趨勢，滲透攻擊影響力和破壞力顯著增強，手機安全保密形勢更加嚴峻。.手機通信的發(fā)展趨勢手機已經超越了通訊工具原始的概念，成為互聯(lián)網的資源、移動通信網絡的資源與環(huán)境交互資源的一個樞紐，極大的改變了人們的生活方式，成為人體功能器官功能的延伸和人類社會生活的一種依托。首先它是人體器官功能的一種延伸，同時也是個人社會身份的一個憑證，也是社會生活應用服務的一個承載平臺，又是技術融合創(chuàng)新的一個展示的窗口。.手機安全保密面臨的新挑戰(zhàn)智能手機搜集信息是匯聚戰(zhàn)略資源的一個必要途徑。隨著手機存儲、處理、傳輸私密數據量的增加，這將成為竊密者、不法分子，乃至恐怖組織和敵對國家一個挖金的富礦。智能手機集成多條數據交互通道，背負著移動通信安全、網絡安全、操作系統(tǒng)安全等多重的安全責任，傳統(tǒng)計算機網絡的安全保密風險在手機上可以說全部存在，且風險更多，危害更大。.手機失竊密的途徑第一，手機軟硬件漏洞給竊密者可乘之機。漏洞影響范圍由上層應用發(fā)展到操作系統(tǒng)內核，全面覆蓋固件、硬件甚至無線協(xié)議層面，由應用端漏洞發(fā)展到了后臺服務端的漏洞，由提權控制漏洞發(fā)展到了私密泄露漏洞等，危害極大。2015年，安卓操作系統(tǒng)發(fā)現漏洞增長了10倍，蘋果手機漏洞超過600個，同比上漲了128%；2016年8月，爆出高通公司的芯片級漏洞，影響到全球9億用戶的手機和平板電腦。第二，手機木馬病毒帶來泄密風險。以短信攔截木馬、鎖屏勒索木馬、流氓推廣、竊密后門為代表的流氓軟件和病毒木馬技術不斷完善，攻擊形式日趨固定，傳播過程中普遍使用了偽基站、釣魚網站等多種誘騙手段，滲透流則向APT方向發(fā)展。間諜軟件和木馬可以繞過安全機制，顛覆了傳統(tǒng)的越獄破解模式。第三，手機竊密新技術不斷涌現?；臃?，層出不窮。2012年，日本研究者利用屏幕點觸輸入過程的顏色、顯示變化，接收變化中產生的電磁泄露信號，還原了輸入的內容。美國NSA可通過預先植入手機的間諜軟件，在手機關機狀態(tài)保留或定期開啟監(jiān)聽、定位等功能。2015年，以色列防務系統(tǒng)與斯坦福大學研究成功，利用手機電量消耗獲取位置信息的技術。2016年，美國研究者實現利用手機振動馬達進行竊聽的技術手段。另外物聯(lián)網的普及也加大了手機泄密的風險。第四，大數據、云計算安全問題加大手機泄密風險。因為手機終端承載著網絡服務、實時處理信息過程需要大數據、云計算的支撐，而手機大數據、云計算的應用在認證授權、傳輸加密、云端數據保護等方面，這個技術還不夠成熟，手段不能滿足保密的需求。所以數據源的偽造，數據篡改和數據竊取和數據失真，將造成數據安全性、完整性和保密性的降低。竊密者可借助大數據技術將從手機中獲取各種信息碎片，拼接成所需要的情報。第五，手機WI-FI讓竊密者有機可乘。智能手機識別WI-FI網絡只能通過SSID進行辨別，在面對SSID相同的WI-FI網絡時，手機會自動嘗試連接，如果該WI-FI網絡使用了PSK認證方式，則自動使用以前存儲的密碼進行認證，如果WI-FI網絡為開放網絡則會直接連入網絡。這就為竊密者以可乘之機，其可通過搭建同名免費的WI-FI來劫持目標手機的流量，對未在應用層加密，則可竊取帳號密碼、位置信息、通信記錄和存儲的圖像數據等等。第六，手機生態(tài)鏈復雜脆弱性為竊密者打開方便之門。首先是運營商生態(tài)鏈，運營商生態(tài)鏈由通信運營商、手機制造商、手機經銷商和應用服務商構成。通信運營商是運營生態(tài)鏈的終端，因此，美國依靠網絡攻擊滲透各國的通信獲取大量的第一手數據情報，通過運營商的生態(tài)鏈來竊取情報，竊取秘密信息。第二是手機技術生態(tài)鏈，由軟硬件的研發(fā)方、開發(fā)環(huán)境提供方，固件運用設計方等。美國NSA在固件中預制了木馬后門以獲取大量的情報效益。手機的通話、上網、定位等功能，是基于基站和GPS衛(wèi)星系統(tǒng)實現的，基站是一個開放的信號系統(tǒng)，建立“偽基站”進而接收手機發(fā)送的文字、語音、圖片等數據，是竊密者最常用的一種手段。所以說電信運營商巨量的用戶信息泄露，也會造成一個嚴重的泄密風險。據報告，國內某電信運營商的第三方合作公司技術人員，在電信運營商處技術服務期間，因個人利益驅使，利用工作之便，勾結內部員工，潛入電信運營商辦公內網，獲取內部核心數據幾百萬條，出售獲利；同樣，在今年年初，也出現過多家電信運營商內鬼泄露公民個人信息牟利事件。2014年12月25日，第三方漏洞報告平臺烏云爆出：12306網站發(fā)生用戶數據泄露，包括用戶賬號、明文密碼、身份證、郵箱。有消息稱這次泄露的賬戶超過了13萬。所以說電信運營商這個地方保存著大量的個人信息，這個信息的泄露也是存在著很大的風險。在德國有一個人叫馬爾特.斯佩思，2007年德國通過了一部法律，人們智能手機的數據和來自網絡端口及郵件信息要被存儲6個月之久，斯佩思想知道能否取回這些數據，但是電信公司說不行。但是馬爾特.斯佩思經過三年的法律交涉，最終使德國通信將他的通訊記錄送還給他，而電信公司保存了過去6個月的通話記錄、短信、郵件、網絡瀏覽記錄高達35830行，滾動鼠標瀏覽這些數據信息，可以將一個人過去的行為清晰的描繪出來。如果你到過什么地方，它通過這些信息進行梳理，可以知道你過去這半年，這6個月你到過什么地方，你晚上睡在哪里，你什么時候起床，你晚上和誰打過電話，以及通話的具體時間，所以斯佩思的遭遇應當說是整個人類一個時代的遭遇。所以我們現在，就是我們對于手機使用也很方便，但是我們的信息全部在電信運營商的服務器里邊，一旦這個信息如果你成為目標，那你可就慘了。英國倫敦政治經濟學院教授理查德?桑內特說，他講的運營商一方面他們是新時代智慧的巔峰，是人類史上普遍服務的開拓者，是全球優(yōu)秀青年向往就業(yè)的一個目的地，另一方面他們是人類歷史上最普遍的一個侵犯者，是訴訟臺上最頻繁的被告，他們是公眾愛恨的交點。他們唯一能夠賺錢的方式就是披露人們的個性，更多地挖掘人們的個人信息，及時找到與他們相關的郵件或者是短信息。什么意思呢？就是說運營商在保護個人隱私方面應該是富有很重的責任。美國國安局利用蘋果產品竊取用戶信息，將竊聽器或竊聽程序植入手機及SIM卡里，名為“遺失吉普”的這么一個程序，情報人員可以遠程下載或者上傳所需要的文件，并通過手機網絡對使用者實施精準定位。這個軟件植入你的iPhone以后，能夠抓取手機中的文件、短信、通話清單、語言郵件、地理位置、手機發(fā)射塔位置，甚至遠程激活手機的麥克風和攝像頭。整個過程你根本察覺不到：命令、控制和數據外泄都通過短信或GPRS數據，所有與植入軟件的通信都被隱藏和加密，而且成功率達到100%。所以，我們經過檢測進口手機里面80%以上都設這些后門，即使關機仍可以遠程遙控竊聽竊盜，美國就爆出虐囚案，它那里邊大部分照片都是從智能手機傳出去了。.智能手機安全保密的對策和方法第一，戰(zhàn)略層面。自主可控是國家網絡安全的核心要素，也是手機安全保密的根本措施，必須實現核心技術從通用型向自主可控型轉變。與此同時，逐步完善手機產品鏈、運營鏈和研發(fā)鏈的法律法規(guī)和標準體系，提升智能手機整體防護能力。我們還是要多用國產的手機，用華為的手機。第二，技術層面。密碼技術是手機安全保密的核心技術。手機終端流量中大量運用認證、授權等防護手段，其技術基礎也是密碼科學。美國RSA公司出售給我們中國三大運營商的密碼是降低了加密強度后出口的，這就為美國的情報機關滲透大開方便之門。因此，我們要逐步的應當使用我們國家自行研制的國產密碼，同時也要大力發(fā)展手機安全保密的檢測技術，包括：偽基站檢測技術、手機終端APP檢測技術和WI-FI安全檢測技術等等。第三，用戶層面。手機用戶是安全保密的關鍵，增強安全保密意識，掌握基本的防護技術，只有做到這兩點，手機泄密的安全風險就會大大降低，主要把好以下幾個環(huán)節(jié)：一是手機更換。舊手機存儲的信息極易被泄露，必須經過技術處理才能遺棄和處理；二是安裝軟件。如果這個軟件要獲取某種權限，一般會彈出詢問窗口，一旦點擊“允許”軟件就會將手機的短信信息，甚至會泄露手機內存存儲的信息，所以安裝軟件一定要慎重；三是加入免費的WI-FI，竊密者會通過免費的WI-FI吸引目標誤入黑客布置好的陷阱。所以外出我們必須關閉智能終端“自動連接無密碼的WI-FI功能”，如果需要使用的時候你把它打開，用完以后就把它關掉，沒有免費的午餐；四是慎重參與網上的測試或體驗活動。遇有需要個人姓名、生日、手機號等身份信息的活動，這里邊很多都是有炸的；五是要選擇性的關閉手機等社交平臺中需要獲取隱私權限的功能，如通過微信中的“附近的人”的功能就能夠獲取你的位置信息；六是使用iPhone設備，應按需要開啟位置記錄功能。IOS7以后的手機系統(tǒng)都加入了“常去地點”的位置記錄儀，容易暴露機主的行蹤，你的行蹤都記錄在這個手機里面了，所以為了保密你還是把它關掉；七是慎重分享和上傳文字、頭像或視頻信息。以免泄露單位或者個人的隱私；八是不要用手機傳送個人密碼、身份證和銀行卡等的圖像或者文字，現在有的人說你讓我給你訂個機票或者辦個什么事，你把身份證號給我，可是他把這個身份證就拍上照片給你發(fā)過去了，從手機上發(fā)過去了，所以你手機存儲卡里邊，這個圖片就很容易泄露你的身份信息；所以說英國《新聞周刊》的編輯丹尼爾.格羅斯說：如果說互聯(lián)網上的一些東西是免費的，真的是免費的嗎？免費的意思是不需要任何成本，因為商業(yè)的規(guī)則就是總是有人要支付這個費用的，是沒有免費的午餐，如果你不知道被誰賣了，那就是你被賣了，所以不要貪小便宜，沒有免費的午餐，這樣的話我們就不容易上當。（三）計算機網絡竊密與防范.APT竊密與防范所謂APT竊密它是指高級的、持續(xù)的威脅。A就是采用先進的攻擊工具和攻擊方法，預先設定的明顯目標，實施精準打擊。持續(xù)就是制定周密的攻擊方案，龐大的攻擊團隊，連續(xù)不斷的檢測和偵查手段，長期的潛伏策略，以獲取長效的情報收益。威脅就是攻擊形式如一場持久戰(zhàn)，由組織者統(tǒng)一協(xié)調指揮，有足夠的資源保障，不達目的誓不罷休。所以APT攻擊一般應當是國家級或者是政府級，或者是某一個黑客組織，就是一個龐大的這么一個集團來實施的一種攻擊。APT攻擊它有針對特定的目標，采用復合型的攻擊手段，秘密的進入隱蔽的進行潛伏，具有強大的資源支持，這是APT攻擊的特點。APT入侵的方式包括外部入侵和內部入侵。外部入侵主要是基于互聯(lián)網的這種惡意軟件，物理惡意軟件的感染，包括外部黑客的威脅來對你的系統(tǒng)進行攻擊。內部的入侵就是內部惡意的員工、惡意的承包商、社會工程專家、資金的存放位置、非法入侵、多用途軟件安裝等等，所以這是內部這種途徑入侵的這么一種方式。還有就是信任的鏈接，入侵的這些人都是有合法的身份，合法的賬戶來實施的內部作案。APT攻擊的流程包括搜索階段、進入階段、滲透階段、獲取階段。像2016年，烏克蘭電力系統(tǒng)遭到黑客的攻擊，讓數百家家庭供電中斷就是一起典型的APT攻擊，這個攻擊來自俄羅斯黑客，使用的工具叫做“暗力量”攻擊者利用這套黑客軟件建立僵尸網絡，只需在C&C服務器下達指令，僵尸網絡受害主機便統(tǒng)一執(zhí)行其指令，然后通過僵尸網絡進行DDoS攻擊，然后讓你整個電力系統(tǒng)癱瘓，這就是一個很明顯的案例。對于APT攻擊的防范，當然你是要建立一個非常有效的安全防護系統(tǒng)，但是原有的一些防護工具，對APT攻擊可能就是失效的，所以這塊的話原則性的建議，一個是我們要增強安全保密意識，強化對用戶的網絡安全保密教育和培訓，提高員工的網絡風險意識、安全保密意識、網絡安全意識。第二，提高網絡安全保密的知識積累，提升對非法入侵者的識別能力和控制能力。第三，異常傳出流量的檢測。傳入流量通常被用于防止和攔截攻擊者進入網絡，監(jiān)控傳出流量是檢測異常行為的一個有效途徑。第四，掌握APT攻擊一些新的動向和新的一些發(fā)展趨勢，及時采取防范的技術措施，定期對網絡進行檢測和檢查，構建規(guī)范有效的安全保密體系。第五，強化終端管理。有效控制風險，控制和鎖定終端。.利用系統(tǒng)漏洞竊密與防范漏洞是信息技術、產品、系統(tǒng)在設計、實現、配置和運行過程中產生的一種缺陷。大量的網絡泄密竊密案件及其他的信息安全問題均與漏洞的存在相關。這是信息系統(tǒng)自身的一種缺陷，一種生理方面的缺陷，凡是這種系統(tǒng)，凡是這種軟件它一般都有漏洞，但是漏洞就會被入侵者、竊密者有機可乘。漏洞竊密的流程可以分為三步：第一步是啟動漏洞掃描工具；第二步是啟動漏洞攻擊工具；第三步就是獲得用戶的用戶名或者口令，登陸目標計算機，然后竊取里邊的信息。防止漏洞竊密的措施主要有四點：第一，嚴禁將涉密計算機接入互聯(lián)網；第二，及時對操作系統(tǒng)應用程序打補??；第三，安裝防火墻和防病毒的軟件；第四，要關閉不必要的端口和服務。.“木馬”竊密與防范“木馬”竊密就是在正常文件的偽裝下，對目標計算機實施遠程控制的一個間諜軟件。像臺灣軍情局的特工李芳榮，利用黑客技術控制我黨政軍和軍工單位各個服務器，將木馬植入目標電腦，竊取絕密文件15份、機密文件42份，這就是利用木馬程序來進行竊密的。木馬竊密的流程也分為三步：首先是攻擊者啟動郵件系統(tǒng)，以合法身份給目標用戶發(fā)一份郵件；第二，目標機發(fā)現并打開了附件，“木馬”就在目標機中隱秘激活并回聯(lián)；第三，攻擊者通過監(jiān)控程序，看到目標電腦的文檔目錄，成功下載竊密文件。關于木馬竊密的防范一個是不要打開不明的郵件和附件，第二是不要瀏覽色情的或者境外的可疑網站，第三是安裝殺毒軟件并及時升級。.利用擺渡技術竊密和防范擺渡是利用移動存儲設備竊密的一種技術。竊密者搜集目標網址或者郵箱，當目標聯(lián)網使用移動U盤時，擺渡木馬就會悄然植入。一旦目標違規(guī)在內網電腦上插入U盤時，擺渡木馬立刻就感染內網，把涉密信息下載到U盤上，完成了擺渡，等目標再次把U盤接入到聯(lián)網電腦，秘密信息則會自動的傳到控制端的網絡間諜。所以以色列為了把這個病毒植入到伊朗的核設施里面去，那個工業(yè)控制系統(tǒng)里面去，他專門在廠區(qū)外邊的停車場，就是撒那么一些，把這個U盤，里邊帶有木馬病毒的U盤撒到停車場，很多人上車的時候，或者下車的時候看到路邊有個U盤，不知道是怎么回事，然后把U盤就拿回去放到電腦上試一下，看看U盤里面有什么東西，結果這么一插壞了，上當了，上鉤了，就容易成為擺渡的這么一個介質了。擺渡的防范主要是要嚴禁在互聯(lián)網和神秘網絡之間混用U盤等移動介質，安裝針對擺渡程序的殺毒軟件要及時升級，安裝介質管理系統(tǒng)，介質入網必須經過認證，非涉密的介質不得進入到涉密網進行使用。.利用嗅探技術竊密與防范嗅探技術它竊密的這么一個程序主要是目標計算機被植入鍵盤記錄程序，然后它記錄鍵盤信息并生成文件，然后在目標機上進行文檔編輯，內容即被嗅探程序存儲在這個文件里邊，攻擊者啟動遠程監(jiān)控程序，從目標計算機上下載鍵盤記錄文件，成功還原。這實際上就是通過嗅探鍵盤輸入的這個文檔內容，然后把它記錄下來，把這個數據記錄下來，然后再傳回去，所以說對嗅探這種竊密手段的防范也是有三點：第一，接入互聯(lián)網的電腦不得處理涉密信息;定期對上網電腦操作系統(tǒng)進行重裝；要安裝防木馬病毒的軟件并及時升級。.利用數據恢復技術竊密與防范磁存儲技術就是通過改變磁粒子的極性在磁介質上記錄數據。讀取數據時，依靠操作系統(tǒng)提供的文件系統(tǒng)功能