若何找到收集攻打的幕后乌脚?
撰文:Leonid Bershidsky
翻译:孟净冰
起源:贸易周刊中文版
米国当局正式发布朝鲜是WannaCry讹诈硬件袭击的幕后乌脚
然而,这个指控并没有公开几多证据
米国政府正式宣告朝鲜是WannaCry勒索软件攻击的幕后黑手,这款软件在2017年5月包括全球,对数十万台电脑禁止了文件减稀。但是,正如一系列其他备受存眷的网络攻击溯源一样,这个指控并没有公开若干证据。当初,网络安全界应当依照兰德公司(Rand Corporation)的倡议,树立公平的外洋同盟,依据一套独特的规矩去寻觅攻击源头。
“这个指控不是轻率做出的,”米国总统唐纳德·特朗普(Donald Trump)的领土安齐和反恐助理托马斯·专塞特(Thomas Bossert)在 12月19日《华尔街日报》(Street Journal)的专栏作品中写道,“是有据可依的。咱们的考察成果并不是个例。其他政府和私家企业也批准这个观念,英国将此次攻击归罪于朝鲜,微软也逃踪到此次攻击的源头是朝鲜政府的网络部分。”
这多是现实,然而他并没有出示证据。英国担任安全的国务大臣本·华莱士(Ben Wallace)和微软总裁布拉德·史女士(Brad Smith)也没有拿出证据。和平常的类似案件一样,有些网络安全研讨人士对这种道法提出贰言。
技巧溯源
平日情况下,技术溯源判定基于两个身分:与其他攻击(使用类似软件或雷同的攻击办事器,恶意软件的时间戳注解在特准时区的畸形运转时间)的类似水平,和商业或地缘政治动机的基础认知。比方,2014年索尼影业遭逢黑客攻击与朝鲜有闭,由于局部代码和攻击东西类似于此前对韩国银行发起攻命中出现的特色,而朝鲜对索僧有明白的抨击动机,应公司其时打算上映一部讥嘲金正恩(Kim Jong Un)的笑剧片。异样,根据恶意软件来看,2016年民主党全国委员会遭受的攻击与俄罗斯的“高级持续性威胁”或黑客组织有关,此次使用的效劳器此前用于对德国议会发动攻击,跋嫌黑客团伙的攻击目的与俄罗斯的地缘政治利益相符合。
德国奥斯纳布吕克大教(Osnabrueck University)的克劳斯·彼得-萨我巴赫(Klaus-Peter Saalbach)对比来追究泉源的案例和方式做了很好的总结,他以为假冒“高等连续性威胁”的虚伪攻击是个艰难的义务。“即便个性黑客构造使用的恶意软件在暗盘上呈现,也很易模拟下级持绝性威逼的攻击,” 萨尔巴赫写讲,“攻击者须要知道,网络平安公司没有背大众流露他们的全体情形,一个国家的谍报机构也可能晓得更多的使用情况,固然,本来的黑客组织比其余人更懂得本人的歹意软件。”
只管如斯,也不成能完全消除这类模仿止为。正如兰德公司在2017年的讲演中写的如许:
足智多谋的对手想要躲免被找到源头,他们会警惕利用姿势,留下实假的标志,激起对其他各方的猜忌。好比,与Cloud Atlas高级持续性威胁相关的参与者讲俄语,他却使用西班牙语外文人士的电脑编写的文件,而且包括了阿推伯文、印地语字符和轮换的IP地点,可能会让追查源头更庞杂。不可思议,源头使用的每一个技术目标(时光戳、字符串、代码重用等)可以用相似的伎俩来改动,以迁延或完全防止追查到源头。
对攻击介入者来讲,制作费事有很年夜的引诱,因为各个年夜国参加到“凉战”中,他们应用的对象会按期泄漏进来。WannaCry便应用了米国国度保险局(U.S. National Security Agency)在Windows草拟体系中发明的破绽。在技术要素和天缘政治身分没有完整婚配的时辰,要念找到真实的攻击泉源尤其艰苦。比方,俄罗斯是受WannaCry勒索软件硬套最重大的国家,乌克兰、印量和台湾也遭遇了很大的丧失。但是,朝鲜最弗成能做的事件就是攻击俄罗斯:俄罗斯是对朝鲜政权立场最平和的大国,乃至是抗衡米国要挟“炮水跟肝火”的政治盟友。朝鲜也没有取印度或黑克兰收死抵触。
战役与和仄
好国能够很轻易责备敌手动员了收集攻打。不人信任对付圆的否定,那些指控常常皆是出于海内政治目标。以控告嘲笑陈为例,这类做法夸大特朗普当局的政事劣前事变,以俄罗斯为例,俄罗斯是米国的合作敌手。
凡是来说,追查黑客攻击源头的独一方法是使用传统的谍报或调查方法。米国联邦调查局(Federal Bureau of Investigation)对着名游戏《我的天下》(Minecraft)办事器的运行情况进行了调查,从而掀开了2016年Dyn网络攻击的奥秘里纱,这次攻击造成了米国大部门互联网基本举措措施的瓦解,事先有人疑惑是俄罗斯发起了攻击。犯法怀疑人是三名大学年纪段的年青人,标明非国家攻击行为可能制成重大损掉。但是情报部门对经由过程间谍网络和调查任务取得的证据却极其小气。
风趣的是,平易近主党天下委员会黑宾事宜产生正在告状书指控梅斯里的行动之前,却没人被告状,以是这起案件现有的证据可能出到达那些有趣无聊文明的公然尺度。
因而,贪图公寡看到的证据都是网络安全公司有根据的猜想。不外,这些证据存在一个问题。“公人企业在调查事情和追查攻击源头的过程当中有自己的经济利益,他们有念头尽快颁布调查结果,用高调的方法对将来的客户进行营销,”兰德公司报告指出,“假如没有标准的办法,甚至全部行业都没有遵守包含自力检查在内的严厉方法,这可能会让非专业人士的受众觉得迷惑不解。”
这仍是守旧说法。2017年早些时候,背责调查平易近主党全国委员会黑客攻击源头的CrowdStrike自愿誊录了报告,宣称俄罗斯对乌克兰火炮运用法式的攻击形成了严重的军事缺掉。
不难设想,在极其情况下,查找攻击源头可能象征着战斗与战争的差别。即使在不那末极真个情况下,也可能会影响国家之间的关联。这是件严正的事情,现在却成为政府谈话人和网络安全公司的发地,讲话人冀望被大众信赖,网络安全公司却存在好处矛盾和无奈履行的题目。在这份呈文中,兰德公司提议创立自力的国际机构,或者由顶尖科技公司供给本钱,制订追查攻击源头的规则,并将其利用于著名攻击案件的剖析,然落后行同业评断。如许的溯源断定不会百分之百牢靠,特务依然对非技术证据宽守失密,当心是至多公家可以更确定地知道,政治成见和商业斟酌是有起因的。这是我对2018年的盼望:高调的网络攻击将持续涌现,追查正确的源头将变得加倍主要。
