以色列破解數據安全噩夢揭密以色列安全公司設計出“完美”數據滲漏方法

文 / 彭 華

以色列破解數據安全噩夢揭密以色列安全公司設計出“完美”數據滲漏方法

文 / 彭 華

SafeBreach對業界提出了挑戰，能不能找到可被用于大量數據的完美滲漏方法呢？能不能找出抵御該公司的完美滲漏提案的有效辦法呢？

進攻的技術遠遠領先于防守，數據滲漏(Data Exfiltration)是黑客將已經在目標網絡中獲取的信息傳遞出來的一系列高級技術。核心就是對欲滲出的數據進行加密、混淆，然后通過一些隱蔽的手段傳遞出來而不被察覺或者引起警覺。是一種比普通的信息泄漏更加隱蔽和高明的手法。以色列安全公司SafeBreach的研究人員對隱秘數據滲漏技術進行了深入研究，設計出“完美”的數據滲漏方法。

完美滲漏的要求和條件

SafeBreach公司的研究人員，在2015年就開始尋找從安全性高的組織中隱秘偷取少量敏感數據的完美方法。前不久，在阿姆斯特丹舉行的 Hack in the Box (HITB)黑客安全大會上，SafeBreach共同創始人兼CEO伊特茲克·科特勒，該公司安全研究副總裁阿密特·克萊恩，詳細解釋了他們命名為“十誡”的完美滲漏產生條件。

其中最重要的一條就是，必須可擴展且安全。完美滲漏技術必須符合柯克霍夫原則——即使密碼系統的任何細節已為人悉知，只要密匙未泄漏，它也應是安全的。這就既保證了安全，又提供了可擴展性，因為相同的算法可重復使用在不同的密鑰上。其他要求還包括：只使用常見Web流量(例如：HTTP、DNS、TLS)，不利用任何可能被分類為傳輸信息的資源(例如：電子郵件、論壇帖子、加密文本、文件共享服務)等，以免引起懷疑。

開發數據滲漏方法時，攻擊者應該假設目標企業擁有很好的網絡監測系統，包括異常檢測、所有協議層級的包分析，以及基于信譽的機制。如果信譽和統計系統被用于檢測流向惡意IP和主機的出站流量，就應當避免在發送方和被盜數據接收方之間使用直接通信。攻擊者還必須假設企業會在網關解密TLS通信并進行審查。

幾近完美的滲漏

SafeBreach的研究人員已經找到了他們認為的完美滲漏方式。并描述了這種依賴于HTTP服務器端緩存過程的方法：

攻擊者首先需找到一個有很多頁面被動態緩存的流行網站。電商網站是理想選擇，很多網站都會為了提高性能而緩存HTML頁面，而頁面的緩存時間通常可以從HTTP響應包頭獲取到。在科特勒和克萊恩描述的攻擊場景里，發送者和接收者協商好一個頁面（必須是不熱門，以免被該網站的普通用戶干擾）和時間點。如果發送者沒有在特定時間點訪問特定頁面，一個比特“0”就被發送了，如果特定時間點上確實有對該頁面的HTTP請求，那么比特“1”被發送。

接收者可以通過檢查該頁面是否剛剛被緩存，來判斷發送者有沒有訪問過此頁面。如果接收者在特定時間點后10秒去訪問該頁面，他們就可以判斷頁面是不是剛剛被緩存了(發送者借訪問動作發了個“1”)，或者該頁面不過是被接收者自己的訪問給緩存了(發送者借無訪問動作而發了個“0”)。能被用作此類攻擊的網頁簡直多如繁星。研究人員列舉出了宜家官網、英國易捷廉價航空官網、以色列電子商務網站Zap.co.il等。

SafeBreach發布了一個自動化此類攻擊的概念驗證(PoC)工具，包含了獲取緩存時間信息，在特定時間點訪問預定義的URL來判斷發送者是在發“0”還是“1”等動作。當然，該方法也可以被惡意內部人士手動執行。這種滲漏方法還十分高效，因為它只使用正常的Web流量，不需要額外的軟件。如果請求是以不規則的長間隔發送，而且發送者不與接受者直接通信，網絡監測系統還不太可能找到什么可疑的東西。為確保滲漏數據的完整性，避免掉線和其他因素造成的干擾，發送者可以用“01”序列代表比特“0”，用“10”序列代表比特“1”。

盡管可以將這種方法認為是完美滲漏，研究人員指出，需要考慮的因素還有幾個。例如，網站總是在改變，因此，如果能有個更新URL的機制，會比較理想。發送者和接受者的時鐘同步也對該方法能否有效實現起著非常重要的作用。攻擊者還必須確保所利用的網站和發送時間點要能混雜在目標公司的正常流量中。研究人員強調，如果網站采用多個緩存服務器，或者依賴于地理IP分發，這種攻擊可能失效。

·在阿姆斯特丹舉行的 Hack in the Box(HITB)黑客安全大會上，SafeBreach共同創始人兼CEO伊特茲克·科特勒，該公司安全研究副總裁阿密特·克萊恩，詳細解釋了他們命名為“十誡”的完美滲漏產生條件。

檢測和挫敗此類攻擊的一種可能方法，就是攔截所有HTTP請求，延遲幾秒鐘，查看目標頁面是否被接收者訪問。但是，這么干會對用戶體驗造成負面影響，因為每個請求都被延遲了(舉個例子：如果接收者在10秒后訪問頁面，每個請求就得被延遲至少11秒)。

如今該方法細節已被披露，甚至PoC工具都發布了，會不會被惡意行為人濫用呢？科特勒和克萊恩解釋道，他們的目的是幫助防御者找到檢測和封鎖滲漏的技術。畢竟，即使沒有他倆，攻擊者自己也可能想出此類滲漏方法。SafeBreach對業界提出了挑戰，能不能找到可被用于大量數據的完美滲漏方法呢？能不能找出抵御該公司的完美滲漏提案的有效辦法呢？

數據滲漏，該如何防范？

數據滲漏的方法比比皆是，這意味著根本沒有辦法可以阻止數據滲漏。對于網絡防護者而言，對公司的內部網關實施SSL檢查可以幫助識別可疑數據傳輸。還可以配置Web/電子郵件內容過濾器來阻止加密文件傳輸。Amit建議首先加強防御控制以解決人為因素，然后再加入技術。

除進行用戶培訓外，企業必須解決數據庫存儲位置和如何存儲的問題。如果用戶被允許在可移動載體上存儲數據，請確保他們具有數據加密工具并知道如何使用。更好的是，使用自動自我加密的閃存驅動器。同時，加強對傳真機和多功能設備的控制，防止網絡中的任何機器連接到這些設備，并防止個人在沒有密碼的情況下走過去使用它們。

部署好這些控制后，再對公司資產進行監控，弄清楚哪些屬于重要資產以及它們的存儲位置。Amit指出，沒有理由羞于監控自己的資產，然后，“測試，進行更多的測試。”執行定期測試，讓內部員工和外部滲透測試者參與進來，可以幫助IT部門確定哪些控制沒有正確執行，以及哪些地方需要額外的培訓。只有你了解企業的數據流和網絡中的資產，才可能抵御數據滲漏。