騰訊安全玄武實(shí)驗(yàn)室揭秘網(wǎng)絡(luò)攻擊新形勢(shì)

 　　激光作為20世紀(jì)以來(lái)，繼原子能、計(jì)算機(jī)、半導(dǎo)體之后，人類(lèi)的又一重大發(fā)明，被稱為“最快的刀”。但把激光作為攻擊手段，一直都存在于科幻電影和小說(shuō)中。而近日，由騰訊安全聯(lián)合實(shí)驗(yàn)室和騰訊視頻聯(lián)合出品的安全系列推理劇第6集《燒腦24小時(shí)之激光里的孫悟空》，就向公眾展示了安全研究人員利用條碼閱讀器漏洞，以激光為“武器”，從而控制某科技公司電腦，并成功入侵核心數(shù)據(jù)庫(kù)的真實(shí)場(chǎng)景。視頻上線數(shù)日，點(diǎn)擊量迅速接近200萬(wàn)，引發(fā)了網(wǎng)友和行業(yè)對(duì)這種新型入侵方式的討論。不少行業(yè)專(zhuān)家表示，“智能設(shè)備的漏洞一旦被不法分子利用，后果不僅僅是其本身被攻擊，與其相關(guān)聯(lián)的終端也不能幸免”。

　　激光攻破企業(yè)數(shù)據(jù)庫(kù) 迂回攻擊已成網(wǎng)絡(luò)安全新威脅

　　劇中，由騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的玄武實(shí)驗(yàn)室扮演的“藍(lán)軍”與某科技公司組成的“紅軍”，展開(kāi)了一場(chǎng)網(wǎng)絡(luò)安全的攻防演習(xí)。最終，騰訊安全玄武實(shí)驗(yàn)室研究員趁人事部員工離開(kāi)辦公室吃午飯的間隙，從對(duì)面的辦公樓發(fā)射出一束編碼了特殊攻擊數(shù)據(jù)的激光，通過(guò)辦公桌上的條碼閱讀器向“紅軍”人事部電腦植入木馬，成功獲取人事數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)并取得演習(xí)的勝利。

　　“原來(lái)這些安全部門(mén)平日里在做這樣的事，幕后英雄值得尊敬。”視頻的評(píng)論區(qū)有網(wǎng)友給實(shí)驗(yàn)室的研究員點(diǎn)贊。同時(shí)也有不少網(wǎng)友感嘆這種技術(shù)的可怕 ，“天啦，這就是黑科技的神秘之處，一束激光便可以入侵電腦，這樣的系統(tǒng)漏洞真讓人害怕”。事實(shí)上，此次騰訊安全玄武實(shí)驗(yàn)室所運(yùn)用的技術(shù)正是他們之前發(fā)現(xiàn)的條碼閱讀器“BadBarcode”漏洞。利用該漏洞，只要將編碼了特殊信息的激光束照射在條碼閱讀器附近，就能入侵連接該條碼閱讀器的電腦。據(jù)悉，該項(xiàng)研究揭示了影響整個(gè)條碼閱讀器行業(yè)存在了近二十年的重大安全隱患，騰訊安全玄武實(shí)驗(yàn)室也因此榮獲 WitAwards“年度最佳研究成果”獎(jiǎng)。

　　正如視頻中展現(xiàn)的那樣，隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，黑客的攻擊手段已不再是單純地只針對(duì)目標(biāo)進(jìn)行“兩點(diǎn)一線”的直線型攻擊，通過(guò)物聯(lián)網(wǎng)設(shè)備的迂回式攻擊，正成為一種新的作案手段。去年年底，美國(guó)DNS服務(wù)商Dyn遭遇了大規(guī)模DDoS攻擊，致使大半個(gè)國(guó)家網(wǎng)絡(luò)癱瘓。此次事件是因?yàn)楹诳筒倏財(cái)?shù)百萬(wàn)網(wǎng)絡(luò)攝像頭及相關(guān)DVR錄像機(jī)作為“肉雞”，進(jìn)而利用 Mirai僵尸網(wǎng)絡(luò)以DDoS劫持攻擊方式致使大半個(gè)美國(guó)網(wǎng)絡(luò)癱瘓。如何防御這種新形式的攻擊，將成為企業(yè)和安全廠商的新挑戰(zhàn)。

　　產(chǎn)業(yè)聯(lián)動(dòng) 持續(xù)完善智能設(shè)備安全

　　2016世界物聯(lián)網(wǎng)博覽會(huì)信息安全高峰論壇上，中國(guó)工程院院士倪光南指出，如今物聯(lián)網(wǎng)已經(jīng)成為網(wǎng)絡(luò)攻擊的新領(lǐng)地，也成了信息竊取的新戰(zhàn)場(chǎng)，大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)等新技術(shù)新應(yīng)用不斷融合，海量設(shè)備不斷接入互聯(lián)網(wǎng)，這些可能成為黑客攻擊的目標(biāo)，預(yù)計(jì)物聯(lián)網(wǎng)將是風(fēng)險(xiǎn)隱患的高發(fā)地、網(wǎng)絡(luò)安全治理的重點(diǎn)區(qū)。

　　騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸也曾在2016年CSS安全領(lǐng)袖峰會(huì)中指出，我們今天面對(duì)的信息安全，已經(jīng)不再是某一行代碼的問(wèn)題，或者說(shuō)某幾處代碼之間的問(wèn)題，而是一個(gè)協(xié)議和一個(gè)協(xié)議之間的問(wèn)題，或者是某些協(xié)議共同作用發(fā)生的問(wèn)題，甚至是一個(gè)設(shè)備和一堆設(shè)備之間的問(wèn)題、一個(gè)系統(tǒng)和一個(gè)系統(tǒng)之間的問(wèn)題。這種形態(tài)的安全問(wèn)題用傳統(tǒng)的方法是難以進(jìn)行發(fā)現(xiàn)、分析和防御的。

　　而最大限度的控制安全隱患的關(guān)鍵是智能產(chǎn)品廠家一定要建立一套完善的加密保護(hù)體系和漏洞修復(fù)機(jī)制，從源頭上堵住安全威脅。但僅僅依靠智能產(chǎn)品廠家自身的漏洞修復(fù)很難做到盡善盡美，據(jù)安全數(shù)據(jù)庫(kù)網(wǎng)站CVE Details的報(bào)告顯示，在2016年的漏洞排行榜上，Adobe旗下軟件的漏洞最多，高達(dá)1383個(gè);微軟以1325個(gè)緊隨其后;谷歌以695個(gè)漏洞位居第三。像微軟、谷歌、Adobe這樣擁有專(zhuān)業(yè)安全團(tuán)隊(duì)的國(guó)際知名廠商，每年有大量的漏洞被安全廠商揭漏，中小企業(yè)在缺乏專(zhuān)業(yè)安全團(tuán)隊(duì)支撐的情況下，其智能產(chǎn)品的安全性更加難以保障。

　　一直以來(lái)，以騰訊安全為代表的國(guó)內(nèi)安全廠商積極致力于助力廠商修復(fù)其產(chǎn)品的安全性。視頻中的騰訊安全玄武實(shí)驗(yàn)室，專(zhuān)注于針對(duì)各類(lèi)型漏洞的挖掘、利用、檢測(cè)、防御，以及涉及硬件、無(wú)線等方面的復(fù)合安全風(fēng)險(xiǎn)。與科恩實(shí)驗(yàn)室、湛瀘實(shí)驗(yàn)室、云鼎實(shí)驗(yàn)室、反病毒實(shí)驗(yàn)室、反詐騙實(shí)驗(yàn)室、移動(dòng)安全實(shí)驗(yàn)室六大實(shí)驗(yàn)室協(xié)同合作組建而成的騰訊安全聯(lián)合實(shí)驗(yàn)室，在成為騰訊安全技術(shù)保障和升級(jí)利器的同時(shí)，也不遺余力向產(chǎn)業(yè)鏈能力輸出安全技術(shù)能力。

　　據(jù)了解，騰訊安全玄武實(shí)驗(yàn)室在發(fā)現(xiàn)條碼閱讀器存在這個(gè)漏洞之后，已經(jīng)及時(shí)反饋并幫助一些廠商修復(fù)了這個(gè)問(wèn)題。目前，騰訊安全玄武實(shí)驗(yàn)室已先后幫助 Google、Microsoft、Apple 、HP、Lenovo等企業(yè)修復(fù)了 223個(gè)嚴(yán)重安全問(wèn)題。騰訊安全負(fù)責(zé)人指出，通過(guò)主動(dòng)、及時(shí)地漏洞挖掘，并將漏洞報(bào)告給廠商，有助于這些企業(yè)改進(jìn)其產(chǎn)品的安全，保障廣大用戶的網(wǎng)絡(luò)安全。而針對(duì)安全力量薄弱的中小型企業(yè)，騰訊安全聯(lián)合實(shí)驗(yàn)室也主動(dòng)開(kāi)放技術(shù)、數(shù)據(jù)和能力，聯(lián)動(dòng)產(chǎn)業(yè)鏈各方共筑網(wǎng)絡(luò)安全生態(tài)。

　　然而網(wǎng)絡(luò)安全環(huán)境的建立僅僅依靠產(chǎn)業(yè)鏈的維護(hù)很難做到面面俱到，加強(qiáng)用戶和企業(yè)的安全意識(shí)，提升其安全防范能力，也是其中不可或缺的一環(huán)。事實(shí)上，《燒腦24小時(shí)》正是承擔(dān)著普及安全知識(shí)的重要職責(zé)。圍繞網(wǎng)絡(luò)安全團(tuán)隊(duì)與詐騙、黑客等犯罪分子之間的科技戰(zhàn)、技術(shù)戰(zhàn)的劇情，以電影藝術(shù)的形式巧妙地展現(xiàn)常見(jiàn)的作案手段和高端的反黑技術(shù)，對(duì)用戶和企業(yè)來(lái)說(shuō)無(wú)疑是一種更易理解和接受的方式。