关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城积分兑换

360社区

360社区


        尊敬的各位同行,女士们,先生们,欢迎大家来参加第二天的互联网安全大会。我要感谢会议主办方组织了这次活动,这是跟大家分享知识和经验的好机会,让网络空间更加可靠、安全。

       我想跟大家分享的是我自己在互联网空间不同领域中的经验。从几个故事开始,第一个故事是蓝屏的案例。欧洲发生过一个ATM机蓝屏事件,我们成立了数字调查小组。ATM网络没办法重启,都是蓝屏。看上去不是大事,很多ATM机都是Windows XP的系统,出现蓝屏是比较普遍的。但是,在我们的小组调查过程中发现ATM的网络三年前就已经被攻破了。不仅是ATM机的网络被攻破,它的网域控制器也被攻破了。这个网络控制器通过ATM Admin安装了嗅探器,这个嗅探器收集用户的银行卡信息。它是通过第三方银行和服务进行现金取卡,而不是从发卡银行取款,这个过程用了三年时间,三年之后才被发现,这三年中已经有很多现金被取掉了。

       我们的调查小组在其他网络中找不到关于核心IP网络和边界被攻破的证据,这是非常难的。因为我们需要知道黑客到底是怎么样在三年前攻破ATM网络的。调查一直在进行之中。在做分析的时候,我们发现大概是几个月之前,有几个类似的嗅探器通过多个运营商的网络工具上传到VirusTotal,因为银行会通过运营商购买服务。我们发现其中一个运营商的网络被黑了。在此之后,他们的骨干网是没有被保护的,黑客能够直接攻到银行的网络,所以你没有办法在调查中找到边界被攻破的任何证据。这是一个现实中的案例。

       我想跟大家讲的道理是在现实生活中你不一定会成为攻击者的主要目标。黑客攻击者是要寻找到供应链最薄弱的一个环节。因为他最容易通过这个软弱的缺口去攻破你的系统,有可能你的合作伙伴、供应链被黑掉了,你也会成为受害的目标。

       再加上黑客会对基础设施发动进攻。在几年前,银行的网络不是直接被攻破,而是从供应链开始。三年之后,银行的核心网络也被攻破,客户的信息被窃取。

       黑客越来越聪明,他知道银行系统的工作原理,也知道计算程序,他们利用自己的知识,间接地在银行中窃取资金。

       给大家播放两段视频。第一段视频来自台湾,2016年7月。你可以看到一个人要取钱。第二段视频来自俄罗斯,他直接从ATM取钱,但并没有插入任何银行卡,是2015年2月份。黑客可以通过自己的技术在不同地点发起攻击。

       第二个案例是关于SWIFT攻击。几个月以前,孟加拉国的中央银行被攻破,从中央行直接发出汇款的指令。非常有意思的是2016年2月份已经看到了银行系统中有很多发送指令,都是通过攻击SWIFT系统实现的。

       我想强调的一点是威胁的速度越来越快。第一个ATM的攻击,2014年是俄罗斯,2015年是西欧,还有就是2016年的中国台湾。SWIFT攻击公众的信息是在2016年2月份。2016年2月份,有一个新的黑客组织,这个黑客组织不断壮大声势,技术越来越复杂,彼此之间的联系越来越密切。我们一定要确保财产不受到快速攻击的威胁。

       还有一个是关于加密盘的案例。一个电信公司的网络中有两个点被攻破。在调查中,我们发现不仅有这两个盘被攻破,可能有超过500个加密盘被控制了。第一次发现被攻破之后,6个月以前就发现了首次被攻破的情况,首先是在eNodeB界面注入SQL,它是一个移动站,你用4G网络电话都要使用eNodeB,这是一个基于Linux的软件,是嵌在硬件之上的。这样的控制权开始在黑市上进行兜售,大部分的设备都是由二手买家控制了,因为他们购买了企业远程访问的权限。

       从一个网络被控制到另外一个网络被控制。在这些案件当中,有什么类似的地方呢?首先是针对硬件设施的漏洞,每一个具体的设备都有可能成为攻击者发起攻击的目标,只要这个设备有网络界面,都需要考虑数据的安全性。

       黑市当中有一些被黑掉的网络都会在黑市进行兜售,远程访问权是最好卖的,不仅是犯罪分子,还包括内部人员,都有可能将他知道的信息在黑市上兜售。

       还有一个问题,不仅是用户使用互联网的问题,对公司来讲更是很大的挑战,你会收到勒索的软件。比如中东有一些小犯罪团伙经常发送勒索的邮件。当然,他们勒索的目标不一样。

       再给大家举一个例子,它是关于硬件。这张PPT是一个截屏,是物联网信息的一个网页。GGSN是一个硬件,它是很多移动数据界面的交换平台。这个交换平台被攻击了。因为黑客想通过GGSN攻击中国最大的一个运营商。中国现在已经解决了这个问题,这是非常重要的一个硬件,但它仍然存在被人轻而易举攻破的漏洞。

       接下来一个案例是关于BLOCKBUSTER。它看上去好像是要攻击不同政府部门、研究机构的系统。另外一方面,很多专业人士都觉得这是由一个犯罪团伙发起的攻击,主要是针对SWIFT的恶意攻击。

       下面是关于DROPPING黑客软件公开修补包的案例。通过改变签名,在中国和亚太地区重复使用率非常高的简单工具。最新的攻击是使用了Sandworm和BlackEnergy。现在很多攻击使用的是犯罪分子的工具。

       另外一个是DDos攻击,有85个活跃的C&C服务器。根据我们的数据显示,大概有20多个DDos攻击主要是针对中国的目标。这些DDoS都是由犯罪分子发起的,大部分是针对中国的国有企业和政府机构,一定要小心应对。

       有一个叫“索伦之眼”的攻击组织,最主要的是攻击政府和军队。“索伦之眼”自2011年开始攻击政府网络,使用了0day漏洞,以及当时没有被识别的恶意代码,你很难抓到这些线索。有两个安全公司都没办法找到“索伦之眼”的攻击者到底是如何黑进他们的系统中的。我们只能说没办法抓住这个攻击者,也不知道到底如何黑到这个系统当中,到现在还是不得而知。

       下一个案例是关于火灾探测器。在安保评估的过程中,我们可以通过互联网的连接进入到系统当中。我们希望可以进行安全评估来分析基础架构到底是否安全。这个案例最根本的问题不是在IT网络中,实际上是在火灾探测器当中。这个火灾探测器是非常智能的,本身存在FTP的Web服务器,有软件是可以切入的。为了能够进入到火灾探测器,我们需要看到火灾探测器和中央管理器以及中央管理器对其他建筑物的联系。

       我这里想强调的是在工业控制安全方面,现在已经成为了真正的问题。一些工业的控制器、建筑设备是很多年前建设的,当时的技术和软件水平很落后。比如在欧洲的英国已经发现了针对铁路的攻击,一年至少会发生4次以上。还有乌克兰,曾经有黑客攻击到媒体公司,导致了断电。这些都已经不再是科幻小说。这些案例有意思的是怎么对真正的工业控制系统发起攻击的呢?比如乌克兰的攻击不是使用恶意软件,只是通过黑入正常的控制系统,获得系统的控制权就可以了。现在的高速铁路、娱乐系统的连接性本身就会造成一些问题。

       根据一些实验室的研究,工业控制系统当中220558个在线设备中,其中有17000多个是非常脆弱的,因为它们之间都是互相连接的,每个人都有可能直接进入这些系统,从而控制工业流程。

       这里是中国的情况,工业控制系统是怎样的呢?超过几千个工厂的工控系统都是跟互联网互联的,实际上是可以被利用的。我们必须要改变当前的这种情况。

       为了能够证实这个情况的重要性,这是在互联网上可以找到的一个工厂的监控系统,所有的这些对象都可以成为黑客攻击的目标。这对中国来讲是特别重要的话题,为什么会这样?中国有超过1万个智能电网对象,比全世界其他国家加起来还要多,俄罗斯只有1千多个,中国却有1万多个,所以中国是很容易受到攻击的。同样的情况也出现在铁路当中。

       在不同的会议中,我们也进行了网络攻防大赛,希望可以发现工业设施中的漏洞。虽然这只是一个测试台,但在现实的设备中,这是完全一样的情况。很多年轻人也许只需要用2天时间就能找到工业系统中的漏洞,他们可以利用这些漏洞发起针对这类设施的攻击,造成非常严重的危机。如果有人发现工业系统中存在的漏洞,就非常容易对它发起攻击。通过网络的连接,他们非常容易发起针对工业控制系统的攻击。

       列车自动控制系统也是同样的。我们在评估过程中看到一些非常愚蠢的漏洞。比如弱密码、软件版本过于陈旧。虽然有些新的系统验证,但我们想强调的是可以Windows NT4.0版本中进行运转的。1996年设计的这个系统,现在竟然还在使用,在软件中进行列车自动控制。这个软件有20多年的历史,攻击者有几千种方法可以黑进这个系统。

       下面一个问题是关于GSM,它跟GSM通信网络是类似的。在东京的一次会议上,有黑客展示了通过短信的方式就可以发现SIM卡漏洞。在GSM网络中,有些攻击可以直接上传恶意软件,从而进行控制。

       可以看一下演示,可以攻击列车自动控制系统的GSM。这里可以通过笔记本接入,识别出网络设备。里面有一些特别的MMS。在几秒钟以后,这样的模型就变成了键盘,有了键盘就可以输入。我们看到有人利用这个键盘进行输入,但这里并没有手。这样一个隐形人就可以对计算机进行重启。在重启的过程中,所有的攻击只需要通过短信实现。这个设备还是很先进的,它不光出现在笔记本上,也可能出现在一些数字电站、高速铁路的工控系统当中。
        
       我刚才展示了工业控制系统中的漏洞,有人跟我说中国有这么多的厂商,他们也生产工业控制系统和设备,有些情况下没有人关心这样的漏洞。当然,现在这个情况有所变化。现在我们开始关注中国厂商的设备漏洞,因为这些设备已经进入西方市场。我们使用类似基础设施的时候肯定要进行漏洞的检查。我们也在中国厂商的设备中找到了漏洞,后来对它们打了补丁。

       我最想给大家传达的主要信息就是不要害怕。我相信大家都是专业人士,也是有自己的知识和经验的。我这里提出的信息是只有通过政府、监管部门、工业控制系统、ICS供应商和关键基础设施操作员的共同合作才能改变当前的情况。大家要共同努力合作才能保障国家基础设施的安全和全球基础设施的安全。

       可以给大家举一个类似合作的例子。在2014年,SCADA SOS团队发起了一个项目,这个项目叫SCADA SOS项目。它是通过智能网络的方式去除网络中的不安全因素。从2014年到2015年,我们的联合团队找到了非常多的网络漏洞,将6万多个智能网装置与互联网脱离。有的时候是通过重新配置,有的时候是通过厂商的修改,这些装置就不会再受到黑客的攻击。

       我想感谢来自韩国、日本、美国、香港、俄罗斯、中国的团队在安全领域做出的贡献。希望大家可以帮助我们进一步取得发展。

       谢谢大家!

共 9 个关于Sergey Gordeychik:ATM取款机、火灾探测器等关键基础设施的网络攻击的回复 最后回复于 2016-8-19 19:41

评论

直达楼层

tan7177 LV14.上将 发表于 2016-8-18 22:03 | 显示全部楼层 | 私信
谢谢分享!!!
毅_气 VIP认证 LV11.大校 发表于 2016-8-19 19:41 | 显示全部楼层 | 私信
ATM机的安全认知啦
感谢分享
来自大神F2移动版(360社区3.0.6版)
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
您需要登录后才可以回帖 登录 | 注册

本版积分规则

360管家-熊二 VIP认证 LV8.少校

粉丝:347 关注:1 积分:14417

精华:19 金币:19475 经验:12053

最后登录时间:2020-8-28

360可视门铃 深圳超级粉丝趴 官方人员 奇酷手机青春版(移动联通双4G) 安全卫士10周年纪念 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

线上活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表