文/陈根
当前,网络安全已成为备受关注的一大热点话题。随着网络系统日益互联,网络引发的威胁激增。这些威胁包括主要针对关键基础设施的网络威胁,以及网络犯罪分子使用勒索软件敲诈个人或以阻断敏感信息相威胁等等,美国马里兰大学A.JamesClark工程学院的科学家们对网络攻击的研究显示,所有连接到网络的计算机平均起来大约每39秒就会受到一次攻击。
近来,黑客组织Lapsus$更是活跃在各大科技巨头的网站:窃取英伟达近1TB的数据、泄露三星近190GB的机密数据、公布微软Bing和Cortana源码等等。尽管世界各地的企业都在部署新的网络安全工具来抵御这些顽固的攻击者,但网络犯罪分子仍在夜以继日地寻找新的和改进的方法来绕过这些工具,感染软件和硬件。数字时代的幕布下,黑客攻击和网络安全是一场无尽的战争。
黑客组织Lapsus$
先来看看近日频繁出没的黑客组织Lapsus$。具体来看,Lapsus$是一个数据勒索黑客组织,他们不会在受害者的设备上安装勒索软件,但是他们通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据。然后,他们试图以赎金勒索受害者,要求不公开泄露数据。
在过去的几个月里,Lapsus$已经披露了大量针对大公司的网络攻击,其中就包括已证实的针对英伟达、三星、沃达丰(Vodafone)、知名游戏厂商育碧(Ubisoft)和在线商务平台Mercado Libre的网络攻击。
其中,英伟达则是Lapsus$成功攻击的第一家科技巨头。2月26日,英国《每日电讯报》最先报道了英伟达被黑的消息,之后英伟达承认在2月23日遭到了黑客攻击。黑客组织Lapsus$声称对此次攻击负责,还表示已拥有1TB的英伟达专有数据,并上传了员工的邮箱和密码。
随后,Lapsus$就在Telegram群里泄露了一个名为“integdev_gpu_drv.rar”的文件,接近20GB,不过下载地址已经被封。但是已经下载到数据的网友对内容进行分析,发现了许多重要数据。
比如,英伟达将发布的40系列显卡中的旗舰代号AD102,具有384位总线、显存24GB,二级缓存来到了96MB。英伟达的超分辨率技术DLSS的头文件也遭到泄露。Lapsus$还掌握了7.1万名英伟达员工的电子邮件和密码,这使得英伟达被迫在内部要求员工更新密码。
对于此,窃取英伟达1TB数据的Lapsus$则提出一项要求:必须在美国时间3月4日(北京时间5日下午4点)结束前,完全开源Windows、macOS、Linux系统的GPU驱动,否则就把机密数据公之于众。
同样遭遇数据盗窃的还有三星,据BleepingComputer报道,Lapsus$还公布了大量三星的机密数据。其中包括:三星TrustZone环境中安装的每个受信任小程序 (TA) 的源代码,用于硬件加密、二进制加密、访问控制等;所有生物特征解锁操作的算法;所有最新三星设备的引导加载程序源代码;来自高通的机密源代码;三星激活服务器的源代码;用于授权和验证三星账户的技术的完整源代码。
Lapsus$将窃取数据拆分为三个压缩文件,这些文件增加了近 190GB,并以torrent形式提供,其中包括400多项内容。Lapsus$还表示,将提供更多服务器以提高下载速度。
不仅如此,近日,彭博社爆出消息,2021年年中,Meta和苹果曾被黑客骗取用户数据,包括家庭住址、电话号码以及IP地址等信息。而骗取Meta和苹果用户数据的黑客,正是Lapsus$。
据悉,巨头们被骗,是因为黑客披上了执法人员的马甲。黑客先是攻击执法部门的电子邮件,向苹果、Meta、Snap等公司发出紧急数据请求,再配上让人无法拒绝的“等不了法官的命令,因为遇到了生死攸关的紧急问题”话术,顺利将用户数据骗到手。
通常来说,执法部门向科技公司索要数据用于刑事调查是常规操作,这需要法院的传票和搜查令,但涉及到严重人身伤害或死亡的紧急情况,则可以豁免。“紧急情况”由此成了黑客攻破科技巨头的一大漏洞。
更令人大跌眼镜的是,调查发现,黑客组织Lapsus$中,7名成员都是未成年人,其头目是英国一名16岁的少年,代号White,患有自闭症。据BBC,这名少年已经通过黑客行动积累了1400万美元财产。而当前,在Telegram上,Lapsus$的订阅人数更是超过45000人。
网络时代的安全风暴
面对黑客攻击,巨头们显得也有些无可奈何。
面对Lapsus$的数据盗窃,英伟达尝试过远程加密数据,切断Lapsus$内网等自救方式,只是最后因为Lapsus$有备份,并没成功。几天后,Lapsus$转移阵地,跟粉丝说:“别看英伟达了,进来看三星”。他们黑了三星的源代码,甚至连和三星合作的高通都没能躲过去。
苹果则表示,在接到紧急数据请求后,他们可能会联系提出请求的执法人员,要求他们证明这个请求是合法的,“前提是它是从请求机构的官方电子邮件发送的。”Meta也在其官网写道:“根据情况,我们可以自愿向执法部门披露信息,如果我们有善意的理由相信该事项涉及严重人身伤害或死亡的紧迫风险的话。”
然而,黑客组织Lapsus$伪造的紧急请求看起来却是相当合规。据彭博社获悉,黑客通过破坏执法部门的电子邮件系统,可能找到了一些合法的请求文件,并照着样式伪造了假文件和假签名。规范的文件、从官方邮箱发送、配上紧急的口吻,这次苹果和Meta就这样进入了Lapsus$的圈套。
实际上,Lapsus$黑客组织的数据勒索也只是众多黑客组织发起的网络攻击之一。近年来,随着网络系统日益互联,网络引发的威胁激增,并造成众大的损失。比如,2007年,熊猫烧香病毒肆虐中国网络;2008年,Conficker蠕虫病毒感染数千万台电脑;2010年,百度遭史上最严重的黑客袭击;2014年,索尼影业遭袭导致董事长下台;2015年,美国政府遭袭,雇员资料外泄。
美国马里兰大学A.JamesClark工程学院的科学家们对网络攻击的研究显示,所有连接到网络的计算机平均起来大约每39秒就会受到一次攻击。
据美国媒体报道,美国国会、政府大多数部门、企业和大学等,是黑客攻击的主要目标。事实上,任何与互联网有联系、有值得破坏和窃取的信息的组织,都可能成为黑客攻击的对象,而这将对国家政治安全带来严重威胁。
此外,欧洲和美国一系列网络主权的宣言和行动,也凸显了网络安全挑战在全球范围内正在发生的深刻变化。
显然,通过互联网进行的信息窃取和信息破坏活动,已成为网络时代网络安全面临的一个新威胁。可以说,对于网络安全的攻防已经成为互联网战场的持久战。而发动网络攻击的主体,除了黑客个人或组织,还有属于国家的间谍机构,网络攻击的对象,则包括政府部门、军事单位等权力要害部门,以及重要企业、科研机构、社会组织等民间性质的单位。
守住网络安全
与频繁受到网络攻击相反,现阶段,我们的网络系统依旧脆弱,大数据安全依旧是全球性问题,并且是接下来长期存在着的一种挑战。
一方面,数据经济发展特性使得数据在不同主体间的流通和加工成为不可避免的趋势,由此也打破了数据安全管理边界,弱化了管理主体风险控制能力。
另一方面,随着数据资源商业价值的凸显,针对数据的攻击、窃取、滥用、劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家的数据生态治理水平和组织的数据安全管理能力提出全新挑战。
网络安全是一个庞大的系统工程,构建这个系统则需要以全球的深度连接为基础。面对网络时代的安全风暴,从技术角度来看,只有在综合的技术运用下,理解信息泄露及其中的关联,弄清黑客如何入侵系统,攻击的路径是什么,又是哪个环节出现了问题。找出这些关联,或者从因果关系图谱角度进行分析,增加分析端的可解释性,才有可能做到安全系统的突破。
对抗网络安全的风险还需要拥有智慧的动态防御能力,网络安全的本质是攻防之间的对抗。在传统的攻防模式中,主动权往往掌握在网络攻击一方的手中,安全防御力量只能被动接招。
但在未来的安全生态之下,各成员之间通过数据与技术互通、信息共享,实现彼此激发,自动升级安全防御能力甚至一定程度的预判威胁能力。
此外,面对网络安全的风暴,还需要全社会参与和协作。随着信息技术的创新发展,互联网已经从简单的娱乐、消费与信息交换工具,转向具有更复杂的思想表达与政治参与功能,网络已经渗入社会和生产的方方面面,而网络安全自然也涉及到社会生活和生产的方方面面。
“网络安全人人有责”并非一句口号,而是应对网络安全防线过长、网络安全威胁主体多样化的有力保障。政府、企业、技术社群、公民、组织等既担负应尽的责任,更要形成合力,相互配合。
最后,还应完善国际治理。面对网络安全这一复杂的全球性挑战,国际社会既要坚持联合国框架下基于规则的国际治理体系,秉承尊重主权、和平解决争端等《联合国宪章》的精神,通过共商实现共治;同时还要积极创新,通过协商处置一些新出现的具体事件,探索国际法原则在网络空间的落地实施,探索真正适应技术发展、利于享受技术红利的新国际治理框架。
守住网络安全,就是网络时代下的胜利。