中國IDC圈6月6日報道，來自以色列SafeBreach公司的研究人員對隱蔽數(shù)據(jù)外泄方法進(jìn)行了廣泛的分析，并且發(fā)明了他們心目中“完美” 的方法。

SafeBreach的研究人員從2015年就開始尋找高度安全的組織中竊取少量機(jī)密信息的完美方法。惡意攻擊者經(jīng)常會從公司竊取GB級的文件，但是少量的關(guān)鍵信息同樣可以非常有價值，例如，加密密鑰、密碼、甚至是一些可以暴露公司的一些戰(zhàn)略決策的只言片語。

專家分析發(fā)明的數(shù)據(jù)滲透方法針對的情景是外部攻擊者已經(jīng)在某個目標(biāo)組織內(nèi)植入了惡意軟件，或者內(nèi)部人員希望在不被發(fā)現(xiàn)的情況下泄露機(jī)密信息。

完美方法的要求和條件

上周在阿姆斯特丹舉行的HITB大會上，SafeBreach公司CTO、聯(lián)合創(chuàng)始人ItzikKotler和公司安全研究副總裁AmitKlein向大家 展示 了完美的數(shù)據(jù)外泄方法和其中的因素。

專家詳細(xì)解釋了他們的“十誡”，就是要完成完美的數(shù)據(jù)外泄需要滿足的要求和條件。

第一條，也是最重要的規(guī)則是，技術(shù)必須要可測量的、并且是安全的。 專家稱，數(shù)據(jù)滲透應(yīng)當(dāng)遵守柯克霍夫原則：即使密碼系統(tǒng)的任何細(xì)節(jié)已為人悉知，只要密匙(key，又稱密鑰或密鑰)未泄漏，它也應(yīng)是安全的。這樣的密碼系統(tǒng)就足夠安全，因?yàn)橄嗤乃惴梢苑磸?fù)使用不同的密鑰。

其他的要求包括僅使用普通的流量類型(如 HTTP, DNS 或者 TLS)，還有不要利用任何可能被認(rèn)為能夠傳輸信息的方式(如郵件、論壇發(fā)帖、加密文字、文件分享服務(wù))，以免引起懷疑。

攻擊者在進(jìn)行數(shù)據(jù)泄露的時候應(yīng)當(dāng)假設(shè)企業(yè)有相當(dāng)完善的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，包括異常檢測、各協(xié)議的數(shù)據(jù)包分析和基于信譽(yù)的機(jī)制。如果這些分析系統(tǒng)被用于檢測向可疑IP和主機(jī)傳輸?shù)牧髁康脑?，發(fā)送者和接受被盜數(shù)據(jù)就不應(yīng)該有直接的通信。攻擊者要假設(shè)TLS通信會在網(wǎng)關(guān)被解密并且審查。

Kotler 和 Klein所描述的攻擊情景中，接收方?jīng)]有限制，它的行為活動不受監(jiān)控。

另外一個條件是，發(fā)送者和接收方的時間得要幾乎完全同步。

幾乎完美的數(shù)據(jù)外泄

過去幾年，研究人員描述了幾種可以被用來泄露幾比特(bits)數(shù)據(jù)而不會引起注意的方法。這些方法只對小規(guī)模數(shù)據(jù)有效，比如密碼或者加密密鑰，因?yàn)樗麄円雮鬏斠粋€字符就要用到8比特。

比如，IPv4 header中的ToS(type of service)可以被用來泄露1比特。但是Windows工作站上的ToS值會被設(shè)置為0，改成1會有警報。另外，公司企業(yè)可以通過防火墻把ToS改成0輕易阻止這種攻擊。

更加高效的方法就是使用web計(jì)數(shù)器。舉個例子，Bit.ly這種短網(wǎng)址服務(wù)會統(tǒng)計(jì)一個URL被訪問過幾次。攻擊者可以利用這個來傳遞0或者1比特。攻擊者在特定時間訪問特定網(wǎng)址，接收者檢查URL計(jì)數(shù)器，通過在特定時間網(wǎng)址被訪問過(1)或者沒有被訪問過(0)來接收數(shù)據(jù)。

這個方法不會引起注意，但是卻能輕易被干擾：對方可以攔截Bit.ly的請求，然后在連接后面加上個“+”(這樣計(jì)數(shù)器就不會計(jì)數(shù))，或者直接把用戶重定向到完整網(wǎng)址，這樣的話計(jì)數(shù)器就不會技術(shù)，數(shù)據(jù)就無法泄露。

YouTube 和 StackOverflow也有計(jì)數(shù)器可以用來技術(shù)，但是專家注意到Y(jié)ouTube可能會被某些企業(yè)屏蔽。

完美的數(shù)據(jù)泄漏

SafeBreach找到了他們認(rèn)為的完美方法。他們把它稱作HTTP服務(wù)器端緩存。

攻擊者首先得要找個流行的網(wǎng)站，網(wǎng)站內(nèi)有很多網(wǎng)頁被緩存。電子商務(wù)網(wǎng)站應(yīng)該可以，但是最好是跟目標(biāo)企業(yè)相關(guān)的電商網(wǎng)站以免引起懷疑。

很多網(wǎng)站會對html網(wǎng)頁做緩存，從而提高網(wǎng)站體驗(yàn)，而網(wǎng)頁的緩存時間一般可以從HTTP響應(yīng)頭獲得。Kotler和Klein所描述的攻擊情景中，機(jī)密信息的發(fā)送方和接收方確定一個網(wǎng)頁和一個特定時間，這個網(wǎng)頁的訪問量不能特別大，防止正常的訪客造成干擾。如果發(fā)送方?jīng)]有在這個特定時間訪問這個特定網(wǎng)頁，則代表發(fā)送”0”，反之，則發(fā)送1。

接收者可以通過檢查網(wǎng)頁是否在最近被緩存來判斷發(fā)送者有沒有訪問網(wǎng)頁。如果在特定時間的10秒鐘后訪問了網(wǎng)頁，就可以知道網(wǎng)頁是最近被緩存(記為1)還是沒被緩存(記為0).

很多網(wǎng)站都可以被用來執(zhí)行這種攻擊。研究人員提供了宜家、EasyJet、Zap.co.il(以色列電商網(wǎng)站)的例子。

 1/2    1 2 下一頁 尾頁