新春假期不松懈｜《漏洞》第4讲：被利用的缺陷你知道有多可怕吗？

《漏洞》作者：360公司创始人、360企业安全集团董事长齐向东

编者按
我们为您重磅推出的连载内容取自2018年下半年新出版的《漏洞》，这本七大院士联袂推荐的著作是齐向东根据他过去十几年的从业经历，对网络安全产业的总结和思考。他用通俗的语言和大家熟知的案例，把网络安全的基本构成、关键要素和未来趋势进行了梳理，并提出了应对当前网络安全威胁的新对策。上期剖析了漏洞是如何炼成的，本期将用政治经济领域实际发生的漏洞案例，分析被利用的缺陷对我们的世界产生了何其重大的危害及影响。


第一章
善与恶：漏洞是造成危害，还是推动进步

第二节 一切漏洞皆被利用
（一）缺陷是怎么被利用的

下面我将列举政治、经济等领域中互联网漏洞的一些真实案例，重现缺陷被利用的过程，也就是重现一个漏洞是怎么影响国家机密信息安全、政治选举和商业交易的。

泄露国家重要机密的漏洞
——新加坡遭最大规模网络安全攻击，李显龙信息外泄

2018年7月20日，新加坡卫生部表示，新加坡一保健集团遭黑客攻击，150万人的个人信息被非法获取，其中包括新加坡总理李显龙本人和政府多名部长的配药记录、门诊信息也被黑客获取。这起事件被当地媒体称为“新加坡遭遇的最大规模网络安全攻击”。李显龙表示，此次网络攻击的目标是他本人，黑客为盗取他的门诊配药记录进行了多次尝试，希望找到一些国家机密或令他本人难堪的信息。

据新加坡《联合早报》报道，黑客以恶意软件入侵了新加坡保健服务集团的系统，从2018年6月27日至7月4日盗取了150万名病患的个人资料，其中16万人的开药记录也被盗窃。失窃的个人资料包括姓名、身份证号码、地址和出生日期等。

新加坡总理李显龙当天表示，此次网络攻击的目标是他本人，黑客为盗取他的门诊配药记录进行了多次尝试，希望找到一些国家机密或令他本人难堪的信息。

新加坡网络安全局负责人表示，黑客的攻击行动是蓄意和精密筹划的。他们先从新加坡某保健服务集团的电脑侵入，植入恶意软件后，有目标地攻击其数据库中的具体个人资料，不断试图盗取和复制总理李显龙的个人医疗记录并顺利得逞。

新加坡卫生部表示，将进行一次彻底的公共卫生保健系统检查，以提高防范网络攻击、侦查和响应的能力。对于在新加坡非法获取信息或泄露隐私的行为，政府将采取严肃态度对待，并针对此事成立调查委员会进行彻查。

——美国国家安全局（NSA）数字武器库遭黑客攻击

2017年3月，维基解密发布了近9000份美国中央情报局（CIA）的机密文件，显示其网络情报中心拥有超过5000名员工，利用硬件和软件系统的漏洞，总共设计了超过1000个黑客工具。利用这些工具可秘密侵入手机、电脑、智能电视等众多智能设备，比如三星智能电视被攻击后能变为可录音的窃听器。

维基解密表示，公布的这些文件只是第一部分，不到中情局文件的1%，这是中情局迄今为止最大规模的机密文件泄露事件。维基解密还披露，这些“黑客武器”面临着失控风险，最近中情局称“对其黑客武器库中的大部分工具失去控制”，这些工具“似乎正在美国前政府的黑客与承包商中传播”，存在“极大的扩散风险”。

不只是CIA，NSA也未幸免。

2016年8月13日，黑客组织“影子经纪人”声称攻破了为NSA开发网络武器的“方程式组织”的系统，获取了其用于网络攻击的网络武器库。从2001年开始，“方程式组织”就在帮助美国国家安全局开发网络武器，利用软件漏洞作为网络武器，协助美国政府在全球各地进行网络攻击。

为了证明自己确实黑掉了NSA旗下的全球最顶级的黑客部队，“影子经纪人”在网上释放出了一些“方程式组织”的武器库文件供安全界各路专家围观鉴定。他们将盗取的大量黑客工具和漏洞利用代码，以5.65亿美元的价格在网上打包出售。他们在宣布此消息的同时公布出了第一批工具，并在2017年1月13日、2017年4月9日、2017年4月14日分别再次公布出另外3批相关工具。

360威胁情报中心对这些网络武器进行了分析，第一批公布的工具主要是针对边界设备，也就是我们经常说的防火墙的漏洞利用工具。比如我国大量使用思科的路由器和防火墙，NSA曾经利用基于思科防火墙的漏洞工具，控制过运营商、高价值企事业单位的网络基础设施，通过重定向网络流量窃取秘密信息、提取重要情报，甚至可以通过篡改数据，实施毁灭性的破坏。

第二批公布的工具主要是NSA黑客组织使用的一些样本。第三批公布的工具主要是针对Unix类系统的远程漏洞利用工具及后门模块。

第四批公布的工具主要是针对Windows系统，包含了一套远程漏洞攻击的通用技术框架，通过这套框架可以对一台Windows主机进行远程攻击。2017年5月肆虐全球的“永恒之蓝”（WannaCry）安全事件，利用的就是该武器库中的一个漏洞利用工具，传播蠕虫病毒。“永恒之蓝”勒索蠕虫攻击了150多个国家和地区的政府、机构和各类组织，在短时间内造成了巨大损失。

从目前被曝光的美国网络武器库信息中我们可以看到，基于漏洞的网络武器制造已经是庞大的系统工程，这些武器都讲究先进性、通用性、易用性和隐蔽性。借由漏洞挖掘和利用能力，他们能打通网络隧道，每个攻击目标都可以成为一个网络节点，持久地控制被攻击目标。从事网络攻击的人员不需要非常强的技术功底，这些工具做得很易用，使用方式简单，并且有一整套的脚本来指导他们进行攻击。美国国家安全局和中情局的这些网络武器库的泄露，震惊了全世界。

这两个案例充分证明，漏洞带来的威胁无处不在。无论你是国家元首，还是NSA，在挖掘漏洞的黑客面前，都显得不堪一击。在万物互联的世界，大到国家和社会、小到机构和个人都面临着如何保护自身信息安全的问题。

影响美国总统竞选的漏洞
——利用脸书的漏洞盗取数据，挖掘数据，特朗普获得选举胜利

2018年3月16号，外媒曝光了著名社交平台脸书泄露用户隐私一事。美国一家名为“剑桥分析”的网络公司利用脸书开放平台的漏洞，获取到了5000万份的个人隐私数据。之后结合智能算法，这些用户就能被定向推送那些有利于支持己方候选人的消息和新闻，引导这部分人支持票数的走向。外媒称这间接地影响了2016年的美国总统大选。

事情的起因是“剑桥分析”网络公司在脸书平台上发表了一款“测试情绪”的小程序，用户只需完成测试便可获得5美元的奖励金。但没有天上掉馅饼的好事，一旦用户使用了这款小程序，系统就会获取测试用户的脸书个人信息，这些信息包括用户所在城市、工作内容、居住地址等。

2018年4月4日，脸书公司承认共有8700万用户隐私被泄露给了剑桥分析公司，大大超出了此前媒体报道的5000万人。脸书首席执行官马克·扎克伯格（Mark Zuckberg）在美国国会上作证时证实，这些数据被政治咨询公司“剑桥分析”不当利用，用于向用户投放定向广告，并在2016年美国选举时支持特朗普团队。听证会结束后，一些重量级投资者呼吁脸书任命一位独立董事长来取代扎克伯格。

然而，这并不是最大的麻烦。据国外媒体报道，美国联邦贸易委员会（FTC）理论上最高可向脸书开出7.1万亿美元的罚款。2011年，FTC就对脸书用户数据保护问题进行过调查，脸书在同FTC达成的用户隐私和解协议中对外承诺，限制对外分享用户的信息，并阻止外部不正当的获取信息，每个违反规定的个案可处以最高4万美元的罚款。

一个脸书客户信息泄露事件最终演变成重大的政治事件、经济事件、金融事件、大数据事件，事件的严重程度远远超过公众预期。之所以引起各界如此程度的讨论，不仅在于8700万客户信息被泄露，更在于这关乎脸书等拥有海量数据的超级平台上该如何使用这些数据，以及如何堵住大数据被滥用的漏洞。特别是，大数据成为政治选举的工具，这是令人吃惊的。

——希拉里遭遇“邮件门”，竞选失败

大选中利用互联网漏洞的案例还不止一个。同样是在2016年美国总体大选中，呼声一度很高的希拉里最终落败。对于失败的原因，外界普遍认为媒体热炒的“邮件门”事件最终对希拉里的落选造成了致命影响。某种程度上说，希拉里“邮件门”事件直接改变了美国的政治格局。

希拉里“邮件门”的过程可以说是一波三折：第一次风波发生在2015年3月。希拉里被曝担任国务卿期间，在自己家里架设了服务器，用私人邮箱处理公务邮件，包括机密邮件，这严重违反了美国《联邦档案法》。迫于压力，希拉里承认用私人邮箱处理了大约6万封邮件，其中3万封因涉及私人生活已被其团队删除，剩余约3万封公务邮件已于2014年底全部上交国务院，算是暂时平息了第一次风波。

第二次风波发生在2016年7月22日，维基解密公开了美国民主党国家委员会内部绝密的近2万封邮件。泄露的账户来自民主党委员会7个重要人物，包括公关主任、国家财务总监、人事财务总监、数据和决策财务总监等。

维基解密公开的邮件揭露了希拉里涉及的多项“黑幕”。比如，勾结民主党高层，内定党内候选人，并参与“洗钱”和操控媒体；其公关部副主任在邮件中明确提议，冒充特朗普公司发布招聘“热辣女人”的帖子，给特朗普“泼脏水”；民主党委员会高管还列出了22个特朗普可以被攻击的主要黑点，利用一切营造特朗普“危险”形象等。

2016年10月8日，维基解密再次公开了希拉里竞选团队主席约翰·波德斯塔（John Podest）私人邮箱里的数千封邮件。据外媒报道，约翰·波德斯塔在半年前曾收到一封警告邮件，这封宣称来自谷歌官方的邮件称，波德斯塔需要立即更改密码，因为有人试图侵入他的账号。但所谓的警告邮件其实是黑客发送的一封钓鱼邮件，导致邮箱被成功入侵，大量邮件泄露。

这些泄露的邮件显示，希拉里及其团队为赢得大选曾暗中派人去特朗普演讲现场闹事，她自己的克林顿基金会还接受过卡塔尔和沙特捐助，数目达到上千万美金，占其竞选资金的20%。这一系列丑闻使希拉里的竞选活动受到重击，希拉里的支持率不断下跌。

第三次风波发生在大选前夕。2016年10月28日，距离大选还有10天左右，FBI局长詹姆斯·科米（James Comey）致信美国国会高层，宣布重启对希拉里担任国务卿期间使用私人服务器处理机密邮件的调查。原因是FBI在另一起与希拉里无关的调查中，发现了一些与希拉里“邮件门”调查相关的大量机密政务邮件，并且绝大多数都不在希拉里上交给国务院的邮件中。因此，FBI决定重启对邮件门事件的调查，这件事成为压垮希拉里的最后一根稻草。

“希拉里邮件门”事件是希拉里政治生涯里最大的一个转折点。一方面，希拉里通过私人邮箱处理公务的行为违反了规定；另一方面，维基解密公布的邮件曝光了她的多个丑闻，使得希拉里的人品和诚信度遭受质疑，选民对希拉里的支持也因此大幅度下降。

以上两个案例展现出，在政治竞选和政治营销过程中，对系统和人性漏洞的利用会影响政治选举，甚至会直接左右政治选举结果。当影响力能被更加直接、却更加隐秘地以大数据的形式营销给每一位选民，并影响他们的态度时，被隐瞒、欺骗和利用的选民怎么可能不愤怒。但这显然不会阻挡西方政治家们继续利用网络漏洞的步伐。

造成巨大经济损失的漏洞
——墨西哥银行支付系统遭黑客袭击，损失数千万美元

2018年5月，墨西哥中央银行表示，黑客通过国内银行间支付系统从五家公司窃取了大约3亿比索（1535万美元），并利用数百次转账分散到不同账号，在全国数十家银行取现。

攻击发生在4月下旬，黑客利用各个银行和支付系统之间的联系发送虚假指令，将钱转到受控账号。墨西哥中央银行花了数周时间调查事情经过，但尚未找出黑客利用的手法。

据外媒报道，三家银行4月27日在软件筛查过程中发现漏洞，其他银行继而马上进入安全检测模式，发现巨款“窟窿”。墨西哥官方电子支付系统SPEI没有受到破坏，可能是由其他机构或第三方提供的连接支付系统的软件出现了漏洞。

墨西哥中央银行的银行间支付系统SPEI和SWIFT（国际通用的银行间结算系统）系统类似，每天可以转出数百亿美元资金。过去数年里，黑客通过入侵SWIFT系统已经窃取了数亿美元资金，包括孟加拉中央银行、马来西亚中央银行、中国台湾远东国际商业银行、俄罗斯中央银行等均遭受过攻击。

——加拿大两家银行遭黑客攻击，9万名客户信息被盗

2018年5月，加拿大蒙特利尔银行(Bank of Montreal)和加拿大帝国商业银行（Canadian impertial Bank of Commerce）的网上银行金融系统被黑客入侵。黑客采集了总计9万名账户持有人的个人信息，并威胁索要价值100万美元的赎金，否则将公布被窃取的客户信息。

这两起攻击事件很相似，两家银行事先均未发觉自身已遭入侵，直到犯罪分子发送勒索邮件要求支付赎金，才知晓情况并采取补救措施。邮件里还附加了数条被盗客户信息，包括姓名、身份证号、生日、余额等，这令两家银行的客户担心不已。

据媒体报道，黑客要求银行支付价值100万美元的XRP币（XRP币是区块链初创公司瑞波开发的一种加密货币）赎金。黑客在邮件中表示：“我们使用了一种算法创建帐号，这些帐号可以冒充银行真正的帐户持有人，由于银行没有双重认证安全功能，我们可以获取到两家银行客户相关信息。”

蒙特利尔银行是加拿大第四大银行，帝国商业银行是第五大银行。两家银行均表示，正在与警方合作，调查此次泄漏事件。

银行、支付巨头，这些与每个人密切相关的平台和场所，积累了每个人每天的支付和购买痕迹，更关键的是，支付信息这类隐私一旦泄露，就相当于将每一个人的财产安全置于公开的、危险的环境下。财产权在现代社会与每一个人息息相关，经济信息一旦大量流失，如果不及时弥补和解决，随之而来的将是一触即发的社会危机。

上述这几个案例，是近些年来中外互联网领域被黑客攻击的众多事件中的冰山一角。随着信息社会不断深化演进，网络安全已经和国家安全、经济稳定、人民的衣食住行融为一体，难分彼此。无论是对国家层面、部门层面、企业层面、还是个人层面而言，漏洞引发的实际利益损失正在成倍增长。


下期预告
本期主要用政治经济领域实际发生的案例列举了缺陷被利用所产生的巨大危害和影响，下期继续连载《漏洞》第一章第二节的后半部分，将深入探讨为何来自内部的威胁是最大的危害。敬请关注。

本期互动内容
您身边听过或经历过的印象最深的个人隐私信息泄露事件是什么？
欢迎在文章下留言，让我们一起探讨~~（互动彩蛋——留言得赞数最多者将获得《漏洞》一书，名额3）

附：《漏洞》目录（共十章，先透露前五章及细节）
前言

第一章 善与恶 漏洞是造成危害，还是推动进步
第一节 漏洞，源自人性的缺陷
天生缺陷，难免漏洞
漏洞不等同于缺陷
第二节 一切漏洞皆被利用
缺陷是怎么被利用的
内部威胁是最大的危害
第三节 左右互搏的自我革新
利用与反制，永无止境
博弈催生创新，矛盾推动进步

第二章 黑与白 是“黑产”魔高一尺，还是“白产”道高一丈
第一节 网络黑色产业
光明背后的阴影
传统犯罪网络化
网络犯罪花样化
“黑产”的四大趋势
第二节 网络白色产业
漏洞挖掘是“白产”发展的核心技术
漏洞防护是“白产”快反的高级手段
漏洞平台是“白产”打黑的基础设施
攻防大赛是“白产”聚智的重要平台
安全众测和实战攻防演习是“白产”推广的重要途径
“白产”的三大趋势
第三节 打造凝聚“白产”力量的平台
办法总比困难多，向安全从业者致敬
永不落幕的盛会，产业趋势的风向标

第三章 权杖之手 黑客是以武犯禁，还是侠之大者
第一节 黑客演化史
20世纪60—70年代：黑客诞生
20世纪80—90年代：黑客的分水岭
21世纪前十年：“新”黑客崭露头角
第二节 最牛的黑客传奇
世界上一“黑”成名的黑客
我身边的黑客
著名的黑客组织
第三节 黑客的宿命与使命
从幕后到台前
全民皆黑客
黑客精神与黑客使命

第四章 智能时代 新技术是漏洞帮凶，还是克星
第一节 “智能生活”的便利与威胁
当威胁就在身边
当科幻成为现实
第二节 智能时代的工业物联网安全
什么是工业物联网
工业物联网遭攻击的典型案例
工业物联网面临的安全挑战
工业物联网安全的四大趋势
第三节 云计算的安全困扰
云的传统安全威胁
云计算的新安全威胁
云建设需要形成三方制衡机制
第四节 人工智能技术在安全中的应用
什么是人工智能
人工智能在安全防护中的应用
智能时代解决安全问题的方法论

第五章 网络战场 漏洞是癣疥之疾，还是堪比核武器
第一节 网络战：愈发重要的战争类型
美国网络司令部升格获权“先发制人”
什么是网络战
曾经发生过的网络战
网络军备竞赛向全球蔓延
网络战的六大特点
第二节 APT攻击——网络战争最常用的攻击方法
针对性、持续性是APT的显著特点
我们所经历的APT
第三节 漏洞的储备与利用是军事现代化的必备能力
漏洞已经具备武器属性：网络武器仅次于核武器
漏洞的储备利用之战已经打响
实战与演练：网络安全靶场
军民融合：凝聚网络空间多元力量

再多透露一点点：
第六章 新战力 数据驱动安全
第七章 新战具 第三代网络安全技术
第八章 新战术 安全从0开始
第九章 新战法 人是安全的尺度
第十章 新方略 没有网络安全就没有国家安全
精彩持续，敬请关注！
看得不过瘾的小伙伴点击阅读原文直接下单也可以哦~~



阅读原文