網絡安全研究人員面臨人身威脅
網絡安全研究人員努力維護數字世界安全,但他們的自己的人身安全卻不時面臨風險。只要在這個領域待的夠久,總會聽說幾件信息安全專業人員受到威脅的事,或者自己就經歷過人身威脅事件。
一位出于保護家人的目的而選擇匿名的安全專家表示,過去幾年里“專注網絡犯罪的幾個人都收到了死亡威脅”,其中一些人甚至決定低調保命或者轉行。他們不想讓自己的家人“因為爸爸是個會招來壞人的安全研究員”而陷入危險。
在信息安全會議和推特信息安全版塊上,研究人員分享各種事件并談論如何在這些情況下保護自身。他們表示,報警或者上報FBI壓根兒沒用。Citadel Lock Tools安全專家Matt Smith稱:“我倒是想說你可以聯系聯邦執法部門,或者聯系當地警局,但據我所知,這么做毫無用處。一起案子能花上好幾個月的時間才能逮個人進來,更不用說那人可能早就作惡多端卻長期逍遙法外了。”
雖然少數研究人員將這些威脅視為榮譽勛章,但其中大多數人會盡其所能地確保安全。他們會盡量減少自己的數字足跡,對社交媒體上接近自己的每個陌生人進行背景調查,使用郵政信箱而不是地址,并且避免在網上發布任何可能關聯到家人的內容。
近期勒索軟件又現抬頭趨勢,俄羅斯、朝鮮等國和北約之間的地緣政治局勢也愈趨緊張,有些信息安全專業人員的工作可能變得很危險。Cofense首席威脅顧問Ronnie Tokazowski表示:“我不知道情況是否變得更糟,但我可以說,情況根本沒有好轉。”
勒索軟件團伙對研究人員形成的威脅加大
截至目前,網絡犯罪團伙今年堪稱風頭無兩。勒索軟件攻擊數量創下歷史新高,平均贖金支付金額超過90萬美元。更糟的是,自俄烏沖突爆發,西方對俄實施制裁之后,美國和俄羅斯之間羞羞怯怯合作遏制勒索軟件的行動也停滯了。據俄羅斯報紙《生意人報》報道,幾周前,指控REvil黑客團伙成員疑犯的案件“走到了死胡同”。
Recorded Future情報分析師Allan Liska稱:“這些勒索軟件團伙中的許多人都逍遙法外。只要他們不離開俄羅斯,他們的惡行實際上不會給他們帶來什么后果。所以,他們會更加大膽和無恥,在俄羅斯政府的掩護下逍遙法外。”
正如Liska所言,多年來,網絡犯罪團伙在這種保護下對安全專家做了“一些相當惡毒的事情”。雖然他個人沒有受到任何直接威脅,但Liska聽說過此類事件,尤其是信息安全專業人員在個人層面上與網絡罪犯接觸的情況下。他表示:“我知道至少在一起案件中,勒索軟件團伙威脅了某位研究人員的孩子。”
有時候,網絡犯罪團伙會查出安全專家的住所,收集其每個家庭成員的信息,然后將這些信息發布到黑市論壇上,請其他違法犯罪人員去威脅安全專家。
Liska指出,相比幾年前,犯罪團伙更傾向于協作和分享信息。“他們搭建了敲詐網站;不僅可以發布有關受害者的信息,還可以說出他們想干什么。”
最近幾個月,網絡犯罪團伙也變得更加激進了,可能會對研究人員的人身安全造成影響。比如說,Conti黑客組織就對哥斯達黎加數十個部門機構下了黑手,促使哥總統查韋斯宣布全國進入緊急狀態。這伙黑客宣稱自己旨在顛覆哥斯達黎加政府,這可不是勒索軟件團伙慣常的目標。
哈佛肯尼迪學院貝爾弗中心網絡項目執行主任Lauren Zabierek表示,這種前所未有的攻擊案例“標志著勒索軟件活動的再次升級。如果他們看到自己能夠劫持整個國家并勒索贖金還能逍遙法外,那這種事情就會越來越多。”
在Liska看來,此類事件證明勒索軟件團伙與民族國家黑客組織之間的界限正變得越來越模糊。不過,民族國家黑客組織要足智多謀得多,包括針對安全研究人員時,他們的威脅可能更加隱蔽。例如,有時候,安全專家去外地參加會議,他們所住的房間遭到翻找,或者收到些小東西,暗示他們停止調查。
為民族國家黑客組織工作的人也會通過LinkedIn、Twitter、Telegram、Keybase、Discord、電子郵件或其他渠道盯上信息安全人員,有時會聲稱他們可以提供咨詢工作機會,或者想與信息安全專家合作進行漏洞研究。
2021年1月,谷歌威脅分析小組發現朝鮮黑客冒充網絡安全博主,向安全專家發送了一個Visual Studio項目。Adam Weidemann在谷歌博客上寫道:“這個Visual Studio項目中多了一個通過Visual Studio生成事件執行的DLL。這個DLL是自定義的惡意軟件,會立即開始與對方控制的C2域名通信。” Weidemann及其同事還發現,一些研究人員訪問了這些朝鮮黑客發送的鏈接后遭到了入侵。
“如果你擔心自己會被盯上,我們建議你使用單獨的實體機或虛擬機劃分你的研究活動,區分常規網頁瀏覽、同行交互、第三方文件接收和你自己的安全研究。”Weidemann寫道。
針對研究人員的威脅還不止如此。2021年11月,谷歌披露稱,朝鮮黑客冒充三星招聘人員發送描述崗位詳情的PDF文件,但其實際目的是在研究人員的計算機上安裝后門木馬。
挖掘漏洞收到法律威脅
不單單只有調查黑客國家隊或勒索軟件團伙的信息安全人員才會受到威脅。漏洞獵手和物理安全專家也可能面臨威脅,有時候威脅甚至就來自于他們想要幫助的那些組織。Matt Smith專業撬鎖,他就遇到好幾次這種情況。“我第一次獨立研究某款鎖具的時候,那家公司知道了這件事情。”他說,“他們不遺余力地試圖找到并起訴我,甚至威脅要向在線論壇發出傳票,讓論壇交出我的IP地址。”
第二次遇到這種事,情況就糟多了。Smith受到了人身威脅。他回憶道:“當時我正在研究Abloy Protec II,一位美國經銷商對此惱怒非常,因為他手里最安全的鎖有可能被破解。所以,他開始給我發送電子郵件大肆謾罵,要求我告訴他我在做什么。我沒回復他想要的答案,于是他威脅說要‘不計代價做掉我’。”
Smith收到的一些電子郵件甚為暴戾。“他向我發送了從網絡聊天中截取的我的面部圖像,還有谷歌地圖上他認為是我所住街道的照片。其實他找錯了,但也夠讓人擔心的。”Smith說道,并且此后再也沒有回復這個人,還換了自己的電子郵件地址。
漏洞獵手也必須學會處理威脅。WithSecure首席技術和威脅研究員Tom Van de Wiele表示:“雖然你得到的反饋通常不怎么令人愉快,但在這個行業工作的時間越長,你就越習慣這些東西。”干這行讓他“更加謹慎”,也教會了他“要準備好追查和發現更大的問題,針對目標人群選擇合適的語言”,以及如何根據所面對的公司調整自己的期望。
通常,漏洞獵手會被威脅要起訴他們的組織嚇到。避免這種情況的一種方法是構建詳細的報告。描述漏洞影響時,研究人員應從技術風險開始,然后將之轉化為業務風險,并附上可能受到影響的人員。Van de Wiele稱,研究人員還應該表明整個過程沒有違反任何法律。
“最重要的是:要確保你可以提供不同緩解路徑和建議來糾正你所發現的問題。”Van de Wiele補充道,“我們很容易簡單一句‘修復這個漏洞’就結束白皮書或報告,并在社交媒體上訴諸憤怒即服務。但最好站在受影響公司的角度,想想他們該如何在短期內減輕沖擊,同時考慮長期解決方案,想想怎樣將風險消弭于無形。”
保護安全研究團隊
做網絡安全這一行通常意味著要冒些風險。如Cofense的Tokazowski所言,“這事兒在所難免”。一些安全專家必須在保護家人和署名發表研究之間仔細斟酌。為什么任務性質敏感(例如追蹤恐怖組織)的公司會決定不在發布的報告中包含研究人員的姓名?這就是原因。
安全研究人員會相互學習,不斷升級自身防御。但實際上,他們能做的真沒多少。哈佛肯尼迪學院的Zabierek說道:“這事兒很難,因為對于個人來說,除了去警察局或FBI報案,似乎也沒什么依靠了。有些組織,比如網絡犯罪支持網絡,旨在幫助網絡犯罪受害者,如果這些組織能夠獲得機構支持,擴大其幫助全美民眾的活動,那就真的太好了。”
想要保護自家員工的公司應該經常查驗自己的內部安全措施,確保緊跟形勢發展。他們還應該為最壞情況做好計劃,為自家員工遭到威脅的情況設置相應的規程。
這些規程都應該基于多個威脅模型,將每個內部團隊所做的工作考慮進去。可以給各個團隊發送關于此類情況的檢查表,其中列出要做和不做的事情,以及可以聯系的人。當然,這些規程必須不時修訂,并盡可能進行測試。
保護辦公室和家
信息安全專業人員精通數字安全及相關設備。有些還更進一步,避免在網上泄露任何個人信息。其他人,例如Smith,連自己的社交媒體資料都只填寫虛假信息。Liska稱:“你得確保采取了恰當的預防措施來保護你的房子和家人。”
除了在線安全之外,信息安全專業人員還必須注意保護人身安全。Smith建議設置幾個安全防護圈:柵欄、墻壁、堅固的門,甚至是可以從內部上鎖的門。“我用我自己撬不開的鎖、繞不開的門,還有難以復制的鑰匙。”他說,“即使有人可以拿到我的鑰匙,坯件也受限,因此難以復制。”他推薦的鎖具包括ASSA Twin、EVVA MCS和Abloy Protec II,他認為這些鎖具是最安全的。然而,這些鎖都可能被撬開。“如果你的對手能夠在沒有鑰匙的情況下破開這些,那你就面臨大麻煩了。”
門本身也得十分堅固,必須有堅固的框架,且底部或圓角沒有間隙,要能防止家里被塞進什么東西。“門的鉸鏈是個弱點,所以最好放在里面。”Smith補充道。他還建議在外面立個信箱,而不采用門上內嵌郵件投遞口的方式,因為這種方式能讓攻擊者摸到門后。
除了堅固的多點鎖門,家和辦公室還應該安裝閉路電視監控系統(CCTV)。“用有線,別用無線,因為無線信號干擾,或者僅僅是向設備狂扔Deauth數據包,就能搞癱這些設備。”Smith稱,“警報系統也一樣,總是用有線方式。要正確安裝警報傳感器,因為許多報警器廠商留有盲點。”
CCTV和報警器的布線要阻斷外部訪問的可能性,而且CCTV錄制盒應將所有內容都備份到云端。“可能的話,多個人掌握CCTV權限,防止出事時沒有冗余。”最好的系統會定期檢查通信,只要通信中斷就發出警報。
還有其他一些事項需要考慮:注意安全照明,這些應該是傳感器驅動的。使用郵政信箱,這樣一來你的地址就更難被追蹤到了;出門時改變地址,讓自己的行蹤不那么可預測;此外,搞好鄰里關系,這樣在你家進來不速之客時鄰居會提醒你。
研究人員在保護自身和家人方面要做到何種程度,取決于他們的工作和能夠接受的風險水平。“每個人都必須衡量自己的風險并采取適當的預防措施。”
盡管如此,在支持信息安全專業人員,讓他們繼續開展工作方面,還有很多事情要做。Zabierek表示,他們“需要相信政府能幫助保護他們,或者幫他們從這些威脅中恢復過來。”
