保密技術(shù)防范常識下

保密技術(shù)防范常識（下）肖穩(wěn)田國家863項目電子政務(wù)專家組專家四、互聯(lián)網(wǎng)時代保密與竊密的博弈與較量（二）智能手機的竊密技術(shù)與防范“互聯(lián)網(wǎng)+”時代，移動通信技術(shù)日新月異，以手機為核心的移動終端、跨界融合、加速創(chuàng)新，由于智能手機在網(wǎng)絡(luò)實時接入、多種通信手段融合等方面有著無可比擬的優(yōu)勢，更是由于以手機為代表的移動設(shè)備大有取代計算機而成為使用最廣泛的互聯(lián)網(wǎng)接入的終端。“互聯(lián)網(wǎng)+”時代手機作為通信終端、控制終端和存儲終端的功能日益強大，流經(jīng)手機的信息量爆炸式增長，手機面臨的安全威脅和泄密隱患呈現(xiàn)出全維化、復(fù)雜化、產(chǎn)業(yè)化的演變趨勢，滲透攻擊影響力和破壞力顯著增強，手機安全保密形勢更加嚴(yán)峻。.手機通信的發(fā)展趨勢手機已經(jīng)超越了通訊工具原始的概念，成為互聯(lián)網(wǎng)的資源、移動通信網(wǎng)絡(luò)的資源與環(huán)境交互資源的一個樞紐，極大的改變了人們的生活方式，成為人體功能器官功能的延伸和人類社會生活的一種依托。首先它是人體器官功能的一種延伸，同時也是個人社會身份的一個憑證，也是社會生活應(yīng)用服務(wù)的一個承載平臺，又是技術(shù)融合創(chuàng)新的一個展示的窗口。.手機安全保密面臨的新挑戰(zhàn)智能手機搜集信息是匯聚戰(zhàn)略資源的一個必要途徑。隨著手機存儲、處理、傳輸私密數(shù)據(jù)量的增加，這將成為竊密者、不法分子，乃至恐怖組織和敵對國家一個挖金的富礦。智能手機集成多條數(shù)據(jù)交互通道，背負著移動通信安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全等多重的安全責(zé)任，傳統(tǒng)計算機網(wǎng)絡(luò)的安全保密風(fēng)險在手機上可以說全部存在，且風(fēng)險更多，危害更大。.手機失竊密的途徑第一，手機軟硬件漏洞給竊密者可乘之機。漏洞影響范圍由上層應(yīng)用發(fā)展到操作系統(tǒng)內(nèi)核，全面覆蓋固件、硬件甚至無線協(xié)議層面，由應(yīng)用端漏洞發(fā)展到了后臺服務(wù)端的漏洞，由提權(quán)控制漏洞發(fā)展到了私密泄露漏洞等，危害極大。2015年，安卓操作系統(tǒng)發(fā)現(xiàn)漏洞增長了10倍，蘋果手機漏洞超過600個，同比上漲了128%；2016年8月，爆出高通公司的芯片級漏洞，影響到全球9億用戶的手機和平板電腦。第二，手機木馬病毒帶來泄密風(fēng)險。以短信攔截木馬、鎖屏勒索木馬、流氓推廣、竊密后門為代表的流氓軟件和病毒木馬技術(shù)不斷完善，攻擊形式日趨固定，傳播過程中普遍使用了偽基站、釣魚網(wǎng)站等多種誘騙手段，滲透流則向APT方向發(fā)展。間諜軟件和木馬可以繞過安全機制，顛覆了傳統(tǒng)的越獄破解模式。第三，手機竊密新技術(shù)不斷涌現(xiàn)。花樣翻新，層出不窮。2012年，日本研究者利用屏幕點觸輸入過程的顏色、顯示變化，接收變化中產(chǎn)生的電磁泄露信號，還原了輸入的內(nèi)容。美國NSA可通過預(yù)先植入手機的間諜軟件，在手機關(guān)機狀態(tài)保留或定期開啟監(jiān)聽、定位等功能。2015年，以色列防務(wù)系統(tǒng)與斯坦福大學(xué)研究成功，利用手機電量消耗獲取位置信息的技術(shù)。2016年，美國研究者實現(xiàn)利用手機振動馬達進行竊聽的技術(shù)手段。另外物聯(lián)網(wǎng)的普及也加大了手機泄密的風(fēng)險。第四，大數(shù)據(jù)、云計算安全問題加大手機泄密風(fēng)險。因為手機終端承載著網(wǎng)絡(luò)服務(wù)、實時處理信息過程需要大數(shù)據(jù)、云計算的支撐，而手機大數(shù)據(jù)、云計算的應(yīng)用在認證授權(quán)、傳輸加密、云端數(shù)據(jù)保護等方面，這個技術(shù)還不夠成熟，手段不能滿足保密的需求。所以數(shù)據(jù)源的偽造，數(shù)據(jù)篡改和數(shù)據(jù)竊取和數(shù)據(jù)失真，將造成數(shù)據(jù)安全性、完整性和保密性的降低。竊密者可借助大數(shù)據(jù)技術(shù)將從手機中獲取各種信息碎片，拼接成所需要的情報。第五，手機WI-FI讓竊密者有機可乘。智能手機識別WI-FI網(wǎng)絡(luò)只能通過SSID進行辨別，在面對SSID相同的WI-FI網(wǎng)絡(luò)時，手機會自動嘗試連接，如果該WI-FI網(wǎng)絡(luò)使用了PSK認證方式，則自動使用以前存儲的密碼進行認證，如果WI-FI網(wǎng)絡(luò)為開放網(wǎng)絡(luò)則會直接連入網(wǎng)絡(luò)。這就為竊密者以可乘之機，其可通過搭建同名免費的WI-FI來劫持目標(biāo)手機的流量，對未在應(yīng)用層加密，則可竊取帳號密碼、位置信息、通信記錄和存儲的圖像數(shù)據(jù)等等。第六，手機生態(tài)鏈復(fù)雜脆弱性為竊密者打開方便之門。首先是運營商生態(tài)鏈，運營商生態(tài)鏈由通信運營商、手機制造商、手機經(jīng)銷商和應(yīng)用服務(wù)商構(gòu)成。通信運營商是運營生態(tài)鏈的終端，因此，美國依靠網(wǎng)絡(luò)攻擊滲透各國的通信獲取大量的第一手數(shù)據(jù)情報，通過運營商的生態(tài)鏈來竊取情報，竊取秘密信息。第二是手機技術(shù)生態(tài)鏈，由軟硬件的研發(fā)方、開發(fā)環(huán)境提供方，固件運用設(shè)計方等。美國NSA在固件中預(yù)制了木馬后門以獲取大量的情報效益。手機的通話、上網(wǎng)、定位等功能，是基于基站和GPS衛(wèi)星系統(tǒng)實現(xiàn)的，基站是一個開放的信號系統(tǒng)，建立“偽基站”進而接收手機發(fā)送的文字、語音、圖片等數(shù)據(jù)，是竊密者最常用的一種手段。所以說電信運營商巨量的用戶信息泄露，也會造成一個嚴(yán)重的泄密風(fēng)險。據(jù)報告，國內(nèi)某電信運營商的第三方合作公司技術(shù)人員，在電信運營商處技術(shù)服務(wù)期間，因個人利益驅(qū)使，利用工作之便，勾結(jié)內(nèi)部員工，潛入電信運營商辦公內(nèi)網(wǎng)，獲取內(nèi)部核心數(shù)據(jù)幾百萬條，出售獲利；同樣，在今年年初，也出現(xiàn)過多家電信運營商內(nèi)鬼泄露公民個人信息牟利事件。2014年12月25日，第三方漏洞報告平臺烏云爆出：12306網(wǎng)站發(fā)生用戶數(shù)據(jù)泄露，包括用戶賬號、明文密碼、身份證、郵箱。有消息稱這次泄露的賬戶超過了13萬。所以說電信運營商這個地方保存著大量的個人信息，這個信息的泄露也是存在著很大的風(fēng)險。在德國有一個人叫馬爾特.斯佩思，2007年德國通過了一部法律，人們智能手機的數(shù)據(jù)和來自網(wǎng)絡(luò)端口及郵件信息要被存儲6個月之久，斯佩思想知道能否取回這些數(shù)據(jù)，但是電信公司說不行。但是馬爾特.斯佩思經(jīng)過三年的法律交涉，最終使德國通信將他的通訊記錄送還給他，而電信公司保存了過去6個月的通話記錄、短信、郵件、網(wǎng)絡(luò)瀏覽記錄高達35830行，滾動鼠標(biāo)瀏覽這些數(shù)據(jù)信息，可以將一個人過去的行為清晰的描繪出來。如果你到過什么地方，它通過這些信息進行梳理，可以知道你過去這半年，這6個月你到過什么地方，你晚上睡在哪里，你什么時候起床，你晚上和誰打過電話，以及通話的具體時間，所以斯佩思的遭遇應(yīng)當(dāng)說是整個人類一個時代的遭遇。所以我們現(xiàn)在，就是我們對于手機使用也很方便，但是我們的信息全部在電信運營商的服務(wù)器里邊，一旦這個信息如果你成為目標(biāo)，那你可就慘了。英國倫敦政治經(jīng)濟學(xué)院教授理查德?桑內(nèi)特說，他講的運營商一方面他們是新時代智慧的巔峰，是人類史上普遍服務(wù)的開拓者，是全球優(yōu)秀青年向往就業(yè)的一個目的地，另一方面他們是人類歷史上最普遍的一個侵犯者，是訴訟臺上最頻繁的被告，他們是公眾愛恨的交點。他們唯一能夠賺錢的方式就是披露人們的個性，更多地挖掘人們的個人信息，及時找到與他們相關(guān)的郵件或者是短信息。什么意思呢？就是說運營商在保護個人隱私方面應(yīng)該是富有很重的責(zé)任。美國國安局利用蘋果產(chǎn)品竊取用戶信息，將竊聽器或竊聽程序植入手機及SIM卡里，名為“遺失吉普”的這么一個程序，情報人員可以遠程下載或者上傳所需要的文件，并通過手機網(wǎng)絡(luò)對使用者實施精準(zhǔn)定位。這個軟件植入你的iPhone以后，能夠抓取手機中的文件、短信、通話清單、語言郵件、地理位置、手機發(fā)射塔位置，甚至遠程激活手機的麥克風(fēng)和攝像頭。整個過程你根本察覺不到：命令、控制和數(shù)據(jù)外泄都通過短信或GPRS數(shù)據(jù)，所有與植入軟件的通信都被隱藏和加密，而且成功率達到100%。所以，我們經(jīng)過檢測進口手機里面80%以上都設(shè)這些后門，即使關(guān)機仍可以遠程遙控竊聽竊盜，美國就爆出虐囚案，它那里邊大部分照片都是從智能手機傳出去了。.智能手機安全保密的對策和方法第一，戰(zhàn)略層面。自主可控是國家網(wǎng)絡(luò)安全的核心要素，也是手機安全保密的根本措施，必須實現(xiàn)核心技術(shù)從通用型向自主可控型轉(zhuǎn)變。與此同時，逐步完善手機產(chǎn)品鏈、運營鏈和研發(fā)鏈的法律法規(guī)和標(biāo)準(zhǔn)體系，提升智能手機整體防護能力。我們還是要多用國產(chǎn)的手機，用華為的手機。第二，技術(shù)層面。密碼技術(shù)是手機安全保密的核心技術(shù)。手機終端流量中大量運用認證、授權(quán)等防護手段，其技術(shù)基礎(chǔ)也是密碼科學(xué)。美國RSA公司出售給我們中國三大運營商的密碼是降低了加密強度后出口的，這就為美國的情報機關(guān)滲透大開方便之門。因此，我們要逐步的應(yīng)當(dāng)使用我們國家自行研制的國產(chǎn)密碼，同時也要大力發(fā)展手機安全保密的檢測技術(shù)，包括：偽基站檢測技術(shù)、手機終端APP檢測技術(shù)和WI-FI安全檢測技術(shù)等等。第三，用戶層面。手機用戶是安全保密的關(guān)鍵，增強安全保密意識，掌握基本的防護技術(shù)，只有做到這兩點，手機泄密的安全風(fēng)險就會大大降低，主要把好以下幾個環(huán)節(jié)：一是手機更換。舊手機存儲的信息極易被泄露，必須經(jīng)過技術(shù)處理才能遺棄和處理；二是安裝軟件。如果這個軟件要獲取某種權(quán)限，一般會彈出詢問窗口，一旦點擊“允許”軟件就會將手機的短信信息，甚至?xí)孤妒謾C內(nèi)存存儲的信息，所以安裝軟件一定要慎重；三是加入免費的WI-FI，竊密者會通過免費的WI-FI吸引目標(biāo)誤入黑客布置好的陷阱。所以外出我們必須關(guān)閉智能終端“自動連接無密碼的WI-FI功能”，如果需要使用的時候你把它打開，用完以后就把它關(guān)掉，沒有免費的午餐；四是慎重參與網(wǎng)上的測試或體驗活動。遇有需要個人姓名、生日、手機號等身份信息的活動，這里邊很多都是有炸的；五是要選擇性的關(guān)閉手機等社交平臺中需要獲取隱私權(quán)限的功能，如通過微信中的“附近的人”的功能就能夠獲取你的位置信息；六是使用iPhone設(shè)備，應(yīng)按需要開啟位置記錄功能。IOS7以后的手機系統(tǒng)都加入了“常去地點”的位置記錄儀，容易暴露機主的行蹤，你的行蹤都記錄在這個手機里面了，所以為了保密你還是把它關(guān)掉；七是慎重分享和上傳文字、頭像或視頻信息。以免泄露單位或者個人的隱私；八是不要用手機傳送個人密碼、身份證和銀行卡等的圖像或者文字，現(xiàn)在有的人說你讓我給你訂個機票或者辦個什么事，你把身份證號給我，可是他把這個身份證就拍上照片給你發(fā)過去了，從手機上發(fā)過去了，所以你手機存儲卡里邊，這個圖片就很容易泄露你的身份信息；所以說英國《新聞周刊》的編輯丹尼爾.格羅斯說：如果說互聯(lián)網(wǎng)上的一些東西是免費的，真的是免費的嗎？免費的意思是不需要任何成本，因為商業(yè)的規(guī)則就是總是有人要支付這個費用的，是沒有免費的午餐，如果你不知道被誰賣了，那就是你被賣了，所以不要貪小便宜，沒有免費的午餐，這樣的話我們就不容易上當(dāng)。（三）計算機網(wǎng)絡(luò)竊密與防范.APT竊密與防范所謂APT竊密它是指高級的、持續(xù)的威脅。A就是采用先進的攻擊工具和攻擊方法，預(yù)先設(shè)定的明顯目標(biāo)，實施精準(zhǔn)打擊。持續(xù)就是制定周密的攻擊方案，龐大的攻擊團隊，連續(xù)不斷的檢測和偵查手段，長期的潛伏策略，以獲取長效的情報收益。威脅就是攻擊形式如一場持久戰(zhàn)，由組織者統(tǒng)一協(xié)調(diào)指揮，有足夠的資源保障，不達目的誓不罷休。所以APT攻擊一般應(yīng)當(dāng)是國家級或者是政府級，或者是某一個黑客組織，就是一個龐大的這么一個集團來實施的一種攻擊。APT攻擊它有針對特定的目標(biāo)，采用復(fù)合型的攻擊手段，秘密的進入隱蔽的進行潛伏，具有強大的資源支持，這是APT攻擊的特點。APT入侵的方式包括外部入侵和內(nèi)部入侵。外部入侵主要是基于互聯(lián)網(wǎng)的這種惡意軟件，物理惡意軟件的感染，包括外部黑客的威脅來對你的系統(tǒng)進行攻擊。內(nèi)部的入侵就是內(nèi)部惡意的員工、惡意的承包商、社會工程專家、資金的存放位置、非法入侵、多用途軟件安裝等等，所以這是內(nèi)部這種途徑入侵的這么一種方式。還有就是信任的鏈接，入侵的這些人都是有合法的身份，合法的賬戶來實施的內(nèi)部作案。APT攻擊的流程包括搜索階段、進入階段、滲透階段、獲取階段。像2016年，烏克蘭電力系統(tǒng)遭到黑客的攻擊，讓數(shù)百家家庭供電中斷就是一起典型的APT攻擊，這個攻擊來自俄羅斯黑客，使用的工具叫做“暗力量”攻擊者利用這套黑客軟件建立僵尸網(wǎng)絡(luò)，只需在C&C服務(wù)器下達指令，僵尸網(wǎng)絡(luò)受害主機便統(tǒng)一執(zhí)行其指令，然后通過僵尸網(wǎng)絡(luò)進行DDoS攻擊，然后讓你整個電力系統(tǒng)癱瘓，這就是一個很明顯的案例。對于APT攻擊的防范，當(dāng)然你是要建立一個非常有效的安全防護系統(tǒng)，但是原有的一些防護工具，對APT攻擊可能就是失效的，所以這塊的話原則性的建議，一個是我們要增強安全保密意識，強化對用戶的網(wǎng)絡(luò)安全保密教育和培訓(xùn)，提高員工的網(wǎng)絡(luò)風(fēng)險意識、安全保密意識、網(wǎng)絡(luò)安全意識。第二，提高網(wǎng)絡(luò)安全保密的知識積累，提升對非法入侵者的識別能力和控制能力。第三，異常傳出流量的檢測。傳入流量通常被用于防止和攔截攻擊者進入網(wǎng)絡(luò)，監(jiān)控傳出流量是檢測異常行為的一個有效途徑。第四，掌握APT攻擊一些新的動向和新的一些發(fā)展趨勢，及時采取防范的技術(shù)措施，定期對網(wǎng)絡(luò)進行檢測和檢查，構(gòu)建規(guī)范有效的安全保密體系。第五，強化終端管理。有效控制風(fēng)險，控制和鎖定終端。.利用系統(tǒng)漏洞竊密與防范漏洞是信息技術(shù)、產(chǎn)品、系統(tǒng)在設(shè)計、實現(xiàn)、配置和運行過程中產(chǎn)生的一種缺陷。大量的網(wǎng)絡(luò)泄密竊密案件及其他的信息安全問題均與漏洞的存在相關(guān)。這是信息系統(tǒng)自身的一種缺陷，一種生理方面的缺陷，凡是這種系統(tǒng)，凡是這種軟件它一般都有漏洞，但是漏洞就會被入侵者、竊密者有機可乘。漏洞竊密的流程可以分為三步：第一步是啟動漏洞掃描工具；第二步是啟動漏洞攻擊工具；第三步就是獲得用戶的用戶名或者口令，登陸目標(biāo)計算機，然后竊取里邊的信息。防止漏洞竊密的措施主要有四點：第一，嚴(yán)禁將涉密計算機接入互聯(lián)網(wǎng)；第二，及時對操作系統(tǒng)應(yīng)用程序打補丁；第三，安裝防火墻和防病毒的軟件；第四，要關(guān)閉不必要的端口和服務(wù)。.“木馬”竊密與防范“木馬”竊密就是在正常文件的偽裝下，對目標(biāo)計算機實施遠程控制的一個間諜軟件。像臺灣軍情局的特工李芳榮，利用黑客技術(shù)控制我黨政軍和軍工單位各個服務(wù)器，將木馬植入目標(biāo)電腦，竊取絕密文件15份、機密文件42份，這就是利用木馬程序來進行竊密的。木馬竊密的流程也分為三步：首先是攻擊者啟動郵件系統(tǒng)，以合法身份給目標(biāo)用戶發(fā)一份郵件；第二，目標(biāo)機發(fā)現(xiàn)并打開了附件，“木馬”就在目標(biāo)機中隱秘激活并回聯(lián)；第三，攻擊者通過監(jiān)控程序，看到目標(biāo)電腦的文檔目錄，成功下載竊密文件。關(guān)于木馬竊密的防范一個是不要打開不明的郵件和附件，第二是不要瀏覽色情的或者境外的可疑網(wǎng)站，第三是安裝殺毒軟件并及時升級。.利用擺渡技術(shù)竊密和防范擺渡是利用移動存儲設(shè)備竊密的一種技術(shù)。竊密者搜集目標(biāo)網(wǎng)址或者郵箱，當(dāng)目標(biāo)聯(lián)網(wǎng)使用移動U盤時，擺渡木馬就會悄然植入。一旦目標(biāo)違規(guī)在內(nèi)網(wǎng)電腦上插入U盤時，擺渡木馬立刻就感染內(nèi)網(wǎng)，把涉密信息下載到U盤上，完成了擺渡，等目標(biāo)再次把U盤接入到聯(lián)網(wǎng)電腦，秘密信息則會自動的傳到控制端的網(wǎng)絡(luò)間諜。所以以色列為了把這個病毒植入到伊朗的核設(shè)施里面去，那個工業(yè)控制系統(tǒng)里面去，他專門在廠區(qū)外邊的停車場，就是撒那么一些，把這個U盤，里邊帶有木馬病毒的U盤撒到停車場，很多人上車的時候，或者下車的時候看到路邊有個U盤，不知道是怎么回事，然后把U盤就拿回去放到電腦上試一下，看看U盤里面有什么東西，結(jié)果這么一插壞了，上當(dāng)了，上鉤了，就容易成為擺渡的這么一個介質(zhì)了。擺渡的防范主要是要嚴(yán)禁在互聯(lián)網(wǎng)和神秘網(wǎng)絡(luò)之間混用U盤等移動介質(zhì)，安裝針對擺渡程序的殺毒軟件要及時升級，安裝介質(zhì)管理系統(tǒng)，介質(zhì)入網(wǎng)必須經(jīng)過認證，非涉密的介質(zhì)不得進入到涉密網(wǎng)進行使用。.利用嗅探技術(shù)竊密與防范嗅探技術(shù)它竊密的這么一個程序主要是目標(biāo)計算機被植入鍵盤記錄程序，然后它記錄鍵盤信息并生成文件，然后在目標(biāo)機上進行文檔編輯，內(nèi)容即被嗅探程序存儲在這個文件里邊，攻擊者啟動遠程監(jiān)控程序，從目標(biāo)計算機上下載鍵盤記錄文件，成功還原。這實際上就是通過嗅探鍵盤輸入的這個文檔內(nèi)容，然后把它記錄下來，把這個數(shù)據(jù)記錄下來，然后再傳回去，所以說對嗅探這種竊密手段的防范也是有三點：第一，接入互聯(lián)網(wǎng)的電腦不得處理涉密信息;定期對上網(wǎng)電腦操作系統(tǒng)進行重裝；要安裝防木馬病毒的軟件并及時升級。.利用數(shù)據(jù)恢復(fù)技術(shù)竊密與防范磁存儲技術(shù)就是通過改變磁粒子的極性在磁介質(zhì)上記錄數(shù)據(jù)。讀取數(shù)據(jù)時，依靠操作系統(tǒng)提供的文件系統(tǒng)功能