记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

未来勒索软件的形态

2017-06-06 01:45

勒索软件不是一个新鲜事物,但是它却越来越流行,WannaCry5月中旬横扫全球,无论是从普通路人甲的角度,还是对安全行业的影响,这都是一次具有里程碑意义的事件。

勒索软件的概念很简单:感染你的电脑、加密你的文件,提醒你支付赎金,否则文件将被摧毁。网络犯罪分子会提供详细的信息,指示用户如何支付赎金,毕竟大多数勒索软件的目的是为了金钱。为了逃避追捕/增加追捕难度,犯罪分子更倾向于使用比特币等虚拟金币,有的甚至向用户提供详细的关于如何购买比特币的信息。

勒索软件支付赎金的价格设计颇能显现出犯罪分子的商业思维,一般而言,支付价格会设计的比较便宜,至少保证用户为了恢复文件而愿意支付。根据安全公司的相关统计报告,勒索软件的赎金价格一般在几百美元。聪明的设计者会比较准确的评估它们的价值。

WannaCry占据了几周的新闻热搜,影响了全球150多个国家,但是跟其他勒索软件相比,它不是最贵的,技术水平也并不是最高超的。它的背景和全球性的影响,增加了它的知名度。Wanna Cry最早是由美国国家安全局(NSA)网络安全工具库中泄露出来的,它利用了一个windows的系统漏洞,涉及多个版本。据称,这个漏洞利用工具被开发的时间长达几年甚至十几年,直到NSA的代码被盗,公众才有机会知晓了相关信息。窃取NSA代码的是一个被称为“Shadow Brokers”的黑客团伙,2014年4月,一个俄罗斯的安全社区向公众公布了这些消息。

微软在一个月前发布了漏洞补丁,大概是收到了NSA的警告,工具泄漏的威胁不可估量,修补行为迫在眉睫(WannaCry事件后,部分舆论声称NSA该为该事件承担相应的责任)。但由于漏洞影响到了window XP这类微软已经不再支持的旧版本系统,而且对用户而言,很多人或组织并不会及时更新补丁修补漏洞。这就使得任何人都可能成为Wanna Cry 的开发者,不管是个人还是一个有组织的犯罪集团。

这次事件,无疑是一次很好的安全意识普及教育,对用户而言,可以吸取的经验是显而易见的:保持您的系统及时更新补丁(尤其是安全补丁),定期备份重要数据。

但是说实话,这并不是好的抵御勒索软件的建议,所谓的“好建议”,一般都是过时的。

万物互联,这不是一个口号,而是正在演变中的现实,未来,任何事物都可能变成电脑。

    你的微波炉是一种可以加热食物的电脑;

你的冰箱是一个可以保持冷却/恒温的电脑;

你的汽车、电视、交通信号灯、国家电网。。。。。。都是电脑。

这就是被大肆宣传的物联网(IoT),它的到来比你想象的要快。

当这些设备连接到互联网,它们很容易成为勒索软件和其他网络威胁的目标。

未来人们可能会遇到以下场景:

    正在行驶中的汽车突然停止,汽车屏幕上显示说:“您的引擎已被禁用,想要重新启动,请按图示方法支付200美元比特币”。

家里的电子门锁失效,接到短信说:“如果想顺利进入你的房子,重新启用门锁,请先支付100美元”

更有可能:“想要您的嵌入式心脏除颤器继续工作,请支付XXX美元”

上述场景,不仅仅存在于理论中,它成为现实案例,只是一个时间问题。

研究人员已经验证了对智能恒温器的勒索攻击,猛一听觉得这只是一件令人讨厌的事情,但是如果外边足够冷,很可能会造成严重的财产损失。如果被攻击的设备没有屏幕,受害者会收到智能手机APP上控制端的消息通知。

黑客们甚至不必自己想出这些主意,那些政府机构的安全机关已经在做了,CIA泄漏的工具库中就有针对三星智能电视的攻击工具。

更糟糕的是,传统的针对勒索软件的攻击方案不能解决嵌入式系统的问题。

你没有办法备份你家里冰箱的软件,而且限制还不清楚备份的方案能否生效,因为如果攻击目标不是存储的数据,而是设备的功能,该怎么办?

这些设备会持续使用很长时间,与手机或电脑这些每隔几年就会更换的设备不同,汽车预计至少能持续十年,我们希望自己的家用电器运行的越久越好,温控器的使用时间更长。

想象一下,当我们的智能洗衣机(或者仅仅是电脑/软件部分)的生产商/运营商公司破产或决定不再支持旧型号时,会发生什么?

Wanna Cry影响到了windows XP版本,微软已经不再支持了,但是该公司打破了这一策略,并针对旧系统发布了补丁。但是微软是全球知名的大公司,它有优秀的技术人员和充足的资金支持。

考虑到物联网设备低成本的实际情况,这一问题值得认真对待。

物联网设备提供商,通常没有专门的安全工程师团队来研发和分发安全补丁,经济利益权衡也不允许这样做,更糟糕的是,许多物联网设备是不可修补的。

2016年发生过的几次著名的DDOS攻击事件,利用物联网设备的趋势越来越明显(Mirai僵尸网络、Dyn事件等等),想象一下,录像机、摄像机和其他设备被成千上万的僵尸程序感染,展开了大规模的拒绝服务攻击,攻击成本低廉、攻击成效显著,对于目标而言,无疑增加了安全防护的负担。对于普通的用户而言,一旦这些设备被攻击,你没有办法用新的软件来修复,想要更新你新买的DVR? 扔掉它大概是唯一的方式。

设计一个物联网安全解决方案并不容易,它们不是一个轻松的事情,而且市场不是唯一的影响因素。安全是一个难以评估的功能,特别是对于未来可能的威胁。

那些提供有显著特征的产品并快速上市的公司,更容易获得消费者的长期亲赖和利益回报。是时候,我们需要给那些写出不安全软件导致消费者利益受损的公司分配一些责任了。要求这些公司在软件系统整个生命周期内发布和执行一定的安全规范,民众需要符合最低安全标准的关键物联网设备。如果政府部门能够积极参与,将更有助于保护基础设施的信息安全。

    “虽然我知道这一切听起来是不可能的,但未来,我们不希望生活在一个从自己的设备到整个国际的基础设施都可能被犯罪分子一次又一次勒索的境地”———Bruce chneier

 

参考来源:schneier,转载请注明来自MottoIN

知识来源: www.mottoin.com/102508.html

阅读:93564 | 评论:0 | 标签:观点 WannaCry 勒索软件 物联网

想收藏或者和大家分享这篇好文章→复制链接地址

“未来勒索软件的形态”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词