补卡的糟糕经历引发的思考:一点黑客技术让我们不再泄露那么多数据

概述:

笔者因为孩子生病n次去医院输液,终于在最后一次打吊针的时候被人偷走了手机(医院果然是作案高发区),于是有了我补办手机卡的经历。一张电信手机卡在电信营业厅提供了身份证+照相人脸识别后顺利补办成功,另一张移动手机卡却遭遇了困境,移动要求身份证+服务密码+3个月内的任意5次拨出记录,但我的移动手机是备机+对外注册机(接收各种骚扰),3个月内也就拨出过极少的一两个电话,在丢失手机的情况下我根本不可能记得拨出的号码,而且如果想查通话记录必须手机的随机短信密码才可以,身份证+服务密码+本人也不行,这样我就陷入了死循环! 移动给的方案是:停机保号3个月,然后再补卡就不验证通话记录了,我就。。。。。,作为一名中国公民,我竟然没法证明我是我了!!!

此问题当前已解决,但作为搞安全的同学不得不多思考下这个经典的安全问题,移动为什么设置这个策略,他们是用什么逻辑证明这个关于我的问题:1、你是你 2、设备是你的3、你在用你的设备。

我们详细分析下这个问题:

商家的目的和解决方案

1、你要证明你是你:带着身份证来我就认为你是你,当然还要抬头看看你是不是你,高科技的方式就是加上人脸识别;

2、你要证明设备是你的:对于商家,sim卡就是他的设备,那提供服务密码就可以证明设备是你的了(电信是默认身份证后六位,存在安全隐患);

3、你要证明你在用你自己的设备:提供你最近3个月打过哪些电话,也就证明sim卡这个设备是你自己用的(这个电信没有这个步骤,估计是因为电信起步晚,起步的时候已经开始实名制),其实移动设置这个的目的是历史遗漏问题,以前没实名制的时候,很多卖卡的用自己的身份证注册并设置服务密码,然后卖给其他人,那其实他并没有在使用sim卡。如果仅仅验证1、2,则存在卖卡人代替使用人补卡的问题。但其实这里有个bug,证明你在用你的设备,只需要10086拨打使用者电话,然后回访姓名身份证对照注册信息即可(这个10086已经对笔者做过此操作,但10086没有用这个验证逻辑)。此外验证来电也是个很好的操作(为防止恶意拨打,建议仅验证补办一周前通话时长较长且频繁的来电,这样使用者有时间补办,也防止了冒用者),也可以解决我这种只用来当备机+对外注册机使用的用户了。

扩展下这个安全届的通用问题

1、身份认证,确定用户身份,一般来说pc都是采取系统登陆认证、web服务登陆认证等,账户密码就是用户的身份证

2、设备认证,确定设备所属,一般采集设备的id,这个id是通过购买和发放和用户关联起来的,你知道这个id就证明设备的合法性,设备是你的。这个id就相当于用户的服务密码了

3、行为认证,确定用户在用自己的身份在使用自己的设备,这就需要提取用户行为,如网络行为、文件操作行为、软件启动行为等,用户确认行为是否为自己所为,这也就是类似确认通话记录的过程了。但这里仅能类比不能等同,因为pc设备的行为过多,完全确认无法做到,而且总是让用户确认行为会造成用户抵触,无法取得安全和服务的平衡点,最终安全措施无法落地。黑客就是利用这个漏洞,潜伏在pc设备,实时破坏活动或信息窃取。那我们怎么才能解决这个问题发现黑客呢?

分析总结

带着这个疑问,首先我们分析下黑客的目的,我们聚焦下专业黑客,他们的目的是为了窃取数据,根据这些年互联网公布的入侵看,被窃取的数据主要包括:用户信息(包括名字、密码、住址、联系方式等),用于倒卖或登录获取更多有用数据;支付凭据(信用卡、社保信息等),用于直接获利;游戏数据(账号、密码、级别、资产等),用于直接获利;虚拟资产数据(充值卡号、充值卡密码等),用于直接获取。其次我们再分析下窃取渠道,从内网安全的角度窃取的通道是:内网服务器->pc终端->外网黑客接收端;pc终端->外网黑客接收端两种形式,当然如果合并看,仅仅认为只存在pc终端->外网黑客接收端一种形式也是合理的。最后,我们分析下被窃取的信息本身,信息的重要性不是由大小决定,而是由重要级别决定的,敏感数据1M > 低敏感度数据1G的道理每个人都懂,但大多数企业无法做到数据敏感度分级这也是不争的事实,那一般留给安全人员的就只有把控泄露数据大小这个点了,但多少泄露数据多?多少是少?这个唯一的决定权就是决策者(如领导)了,不过这里数据分析人员可提供下基本的数据给决策者,如平均外传大小等

此外,黑客入侵还有侦查、投递、漏洞利用、感染植入、控制C2、扩散等阶段,但我们只讨论最后的收割阶段,因为如果一木马病毒不外传数据,在没有人力的情况下,“养着”也未尝不可。

分析到这里,我们已经可以聚焦了,我们需要确认的是从pc传出去过量数据的行为是用户主动的还是非主动的?

实现思路:

1、记录进程实时流量大小,并做归并统计,主要统计上传数据量,用于计算是否超过阈值;

2、分析外传流量,获取外传目的和外传时间区间,用于和用户确认;

3、设置阈值(可结合进程黑白灰检测进一步缩小范围)

a) 同一终端单个进程>1G,对抗黑客利用单一进程外传的场景,此为最常见的场景; b) 同一终端同一目的>1G,对抗黑客利用多个进程同时外传的场景,目的是加快外传速度或多进程躲避检测等; c) 多个终端同一目的>1G,对抗黑客入侵多台终端外传的场景,多台机器被控制同时外传,从几率分析此场景较少; d) 多个终端单一进程>1G,对抗黑客入侵多台终端外传的场景,多为正常程序操作,仅作为参考,相关机器可作为重点关注对象;

4、根据黑客利用几率设置预警级别:高级、中级、低级、待观察

5、最终用户确认,如非本人行为则触发事件

a) 高级风险5分钟确认 b) 中级风险4小时确认 c) 低级风险24小时确认

实现验证:

1、 通过网络数据分析或软件记录流量并分析

A方法:网络数据分析

1) 开启主机防火墙日志,可获取时间+进程名+源ip+源端口+目的ip+目的端口

2) 通过网络记录设备,如snort等,记录session,可获取获取时间+源ip+源端口+目的ip+目的端口+session大小,我们这里用wirshark演示

3) 利用主机日志+网络日志,最终确定每个进程的外传流量(源为本机则为外传, 不区分是否主动外传,包括正反向木马)大小

例如:

2017/10/18 12:00:01 liveupdate360.exe 192.168.187.143 54267112.65.68.41 80 2048MB

B方案:独立开发软件记录

火绒剑演示:

全代理演示:

2、归并计算分析是否达到阈值

a) 同一终端单个进程>1G:yes b) 同一终端同一目的>1G:no c) 多个终端同一目的>1G:no d) 多个终端单一进程>1G:no

3、判定报警级别,并相应确认

a) 高风险,5分钟相应并确认,非本人操作则为事件

综上,实验证明方案可行,通过此方案可监控终端进程的外传情况,解决大量泄露问题,避免被窃取大量数据而不自知的场景(最近确实发生了太多了泄露事件),也可及时阻断泄露过程,有效控制损失量。当主机被入侵窃取大量数据时,我们可通过监控看到某未知进程(或已知进程被注入未知模块)在一段时间外传了过量数据,我们可及时发现并预警阻断;当员工主动泄露敏感数据时,我们可监控到某已知进程(如百度云盘、微盘等)在一段时间外传了过量数据,及时发现并要求其确认,达到震慑和确认目的。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IT大咖说

中国首位IoT领域的GDE:Android Things全解析及展望

23220
来自专栏FreeBuf

黑客可以通过电源线从计算机窃取数据

来自以色列内盖夫本古里安大学的研究人员一直致力于通过旁路攻击从计算机窃取数据。最新的研究成果是通过电源线传播的电流波动隐蔽地窃取高度敏感的数据。

11720
来自专栏FreeBuf

钓鱼攻防对抗战的今日现状:防守方完全落后挨打

网络钓鱼主要用来骗取个人敏感信息,从而用于一些恶意目的。今天主要谈钓鱼用来做金融欺诈和身份盗窃的行为,包括对网银、购物等欺诈行为。随着上网人群的增多,钓鱼潜在...

23850
来自专栏黑白安全

四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二,微软通过自家 Windows Update 更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修...

9430
来自专栏SAP最佳业务实践

SAP最佳业务实践:MM–消耗品采购(129)-2消耗品采购

一、ME21N 为消费品创建采购订单 此活动为消费品创建采购订单。 现在你可以通过保存常用的采购订单的数据作为模板。保存采购订单数据,选择另存为模板, 加载数据...

36850
来自专栏即时通讯技术

解密“达达-京东到家”的订单即时派发技术原理和实践

达达-京东到家作为优秀的即时配送物流平台,实现了多渠道的订单配送,包括外卖平台的餐饮订单、新零售的生鲜订单、知名商户的优质订单等。为了提升平台的用户粘性,我们需...

23210
来自专栏腾讯移动品质中心TMQ的专栏

canvas / webgl 测试数据稳定性专项优化优秀实践

Canvas / webgl测试的是浏览器内核的渲染能力。通常会选取一些业界常用的测试页面作为测试用例,本文主要讲述canvas / webgl 测试数据稳定性...

69410
来自专栏钱塘大数据

【干货】一篇文章读懂物联网具体架构,推荐收藏!

导读:本文将为你分析物联网的架构方法,全文分为两部分,第一部分从一个抽象的角度了解IoT的参考架构,将涵盖更具体与完整的架构中的各种定义,而第二篇文章将通过实际...

50060
来自专栏AI科技评论

AI研习社「求翻译」功能上线啦~快来上传文章和视频吧!

当你埋头苦学的日日夜夜,一定有啃过艰深枯燥的学术论文,却苦于自己的英语不够好而不得不比旁人多花几倍时间。当你面对国外最新发布的研究成果,一定也想过第一时间获取资...

8930
来自专栏梁源的专栏

iOS10凌晨1点发布,小源带你一起升级体验过程

11430

扫码关注云+社区

领取腾讯云代金券