电脑疯子技术论坛|电脑极客社区

HW在即,那些被遗忘的物理安全还好吗?

[复制链接]
45 0
本帖最后由 zhaorong 于 2022-5-20 11:10 编辑

近段时间,一个网络攻击的段子在互联网上火了起来。

QQ截图20220520095840.png

某公司被黑客勒索,每20分钟断一次网,给公司带来了极其严重的影响但通过技术手段怎么也找不到问题
最后公司发现是黑客买通了保安,每20分钟拔一次网线。

看完后,网友不禁感叹,“最有效的攻击往往只需要使用最朴素的方式。”

诚然这个段子有点夸大的成分,却也点出了物理安全(这里指“物理设备安全”)对于企业网络安全体系
的重要性在绝大部分时间它都很不起眼,经常被大家遗忘在角落里,以至于出现问题后竟一时无法发现更
别提进行应急响应。

QQ截图20220520101849.png

其原因在于,企业在建设安全体系时会更侧重于防范网络性攻击风险。而且安全投入的资源和人力有限
自然无法面面俱到,自然也就会遗忘一些不起眼的角落。但在这些角落里,同样隐藏着致命的风险。
随着物联网技术的快速发展并广泛应用于生活之中,物理安全的重要性进一步凸显。此时,企业也需要开始重视物
理安全毕竟安全是一个整体,只要有一个地方出现了漏洞,攻击者就有可能顺着这个漏洞进行入侵。

随着一年一度的HW即将开始,那些被遗忘在角落里的物理安全还好吗?

物理安全是网络安全的基础

所谓物理安全,是指拒绝未经授权访问设施,设备和资源并保护人员和财产免受损害或伤害(如间谍活动盗
窃或恐怖袭击)的安全措施。 物理安全涉及使用多层互相依赖的系统,其中包括闭路电视监控、安全警卫
防护屏障、锁、访问控制协议以及许多其他技术。

物理安全主要涉及机房环境要求、设备安全和传输介质安全三个方面,每个方面都有不同的要求。其中,设备安全主
要包括设备的防盗、防毁坏、防设备故障、防电磁信息辐射泄漏、防止线路截获、抵抗电磁干扰及电源保护等方面的
内容其目标是防止组织遇到资产损坏、资产流失、敏感信息泄露或商业活动中断的风险。

QQ截图20220520102134.png

针对物理安全,此前颁布的等保2.0也有类似的明确要求。

例如,在机房的物理位置选择上,等保2.0就明确规定:1、机房和办公场地应选择在具有防震、防风和防雨等能
力的建筑内;2、机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

毕竟数据机房关乎企业的生命线,倘若出现断电、漏水等问题,导致数据机房无法工作那么将会给企
业业务连续性造成毁灭性打击,甚至导致企业无法运转。

而在物理访问控制上,等保2.0也指出:

1、机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
2、需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
3、应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
4、重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员等。

事实上,物理安全就在我们身边。例如我们常见的门禁系统就是一道物理安全措施,可以避免外部人员进出公司
但要注意其他进出渠道,如楼梯间;类似还有严格区分访客网络和内部员工网络,避免攻击者可直接访问员工网
络并以此发起网络攻击等。

QQ截图20220520102244.png

此外,还有一些敏感重要的地方应设置权限规则,尽可量减少非必要人员的靠近,包括数据机房
财务系统等,防止攻击者混入其中。

千万别以为没有人会去破坏数据机房或中心,这样的思维定势对于安全工作来说极为不利。2021年
美国德克萨斯州一名男子就曾策划,对亚马逊部署在弗吉尼亚州的网络服务(AWS)数据中心发动炸
弹袭击,目标是“毁坏约70%的互联网”。

所幸FBI的卧底给了该男子一枚哑弹,使得这一疯狂的举动并未成功。事后亚马逊表示,公司非常重视员工和客户数
据的安全保障,并不断审查各种载体,以应对任何潜在威胁,未来将继续保持对员工和客户的这种警惕性。

QQ截图20220520102351.png

目前,企业与机构对于数据安全愈加重视,各种安全产品、安全策略安排得井井有条。但是与此同时
对于机房、数据中心等重要场地的物理安全也不容忽视。
美国FBI逮捕了一名德克萨斯州的男子,原因是据称该男子计划对弗吉尼亚州的一个亚马逊网络服
务(AWS)数据中心发动炸弹袭击,并且他的目标是“毁坏约70%的互联网。

当下,企业所面临的物理威胁形势越来越严峻。根据Ontic 保护情报中心发布的《2021 年年中展望保护情报报告》
大多数受访者表示企业应对物理威胁保持一定的警惕;半数以上受访者认为物理攻击活动正在逐渐增加;一半以上
的受访者认为,自己的企业在物理安全方面准备不足。

那些“神奇”的物理攻击

随着网络攻击的趋利性日渐明显,攻击者更倾向于使用较低的成本,获取更高的收益。某些时候
物理攻击往往成本更加低廉,以一种出人意料的方式来完成攻击行为,但效果有时却更直接 有效
让人不禁感叹“这样也可以。

这里简单列举几个代表性案例。

1、故意丢失的U盘

21世纪初,U盘攻击是一种十分常见的攻击手法,2007年,“U盘寄生虫”病毒更是登上了病毒排行榜榜首成
为互联网面临重大威胁之一。攻击者一般会将已经加载好木马的U盘故意丢在目标用户的必经之路一旦对方捡
起U盘并插入电脑之中,其木马病毒将会绕过电脑的防护系统,黑客可以轻而易举地入侵目标用户的系统。

除了U盘之外,MP3、MP4、移动硬盘、数码相机等移动储存设备无一例外地成为此类病毒的传播载体。2018年台
积电生产线感染了臭名昭著的WannaCry勒索病毒,导致多个厂区被迫停产,损失达到惊人的近10亿人民币 而这一
切的根源,很有可能是台积电员工使用了加载了勒索病毒的U盘。

2、利用电源窃取数据

以色列内盖夫本·古里安大学曾发布了一项研究报告揭露了一种“会说话”的恶意软件。它通过启动和停
止CPU工作负载,影响电源的开关频率,从而让电源中的变压器和电容器发出声音信号。
简单来说,恶意软件利用变化电流所对应的变化电磁场,将其转化为音频,以便窃取数据
而这种特殊的噪音一旦被声波接收设备捕获,稍加提取处理,就能复原成原始信息也就是
目标电脑设备上的高敏感数据。

这样的攻击方式听起来是不是和传统的网络攻击大相径庭,既不需要WiFi,也不需要蓝牙,黑客竟然可以
轻松获取目标的机密数据。另外,由于这样的攻击并不是以传统入侵的方式进行,因此极难被发现。

3、灾备不完善导致损失惨重

2020年,微盟就因程序员删库一事损失惨重。根据公开报告,程序员因个人原因深夜删除微盟数据库
导致微盟自2020年2月23日19时起瘫痪,300余万用户无法正常使用该公司SaaS产品,故障持续时间
长达8天14个小时。微盟一夜之间市值蒸发超10亿,300万商铺惨遭瘫痪,微盟支付恢复数据服务费
商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。

虽然删库不是一项真正意义上的物理攻击,但是从删库一事造成的严重影响来看,很明显微盟没有做好容灾
备份最起码每天的增量备份工作没有完成,还有可能没有对非机构化数据进行备份。而缺乏对物理安全的重
视最终让微盟付出了无比惨痛的代价。

类似的案例历史上已经出现过许多次,其中不乏无法恢复备份的情况但是总有企业心存
侥幸以至于事故出现时无能为力。

4、直接潜入公司获取登录凭证

很多人因为不愿意记账号和密码,就直接将其贴在了桌子上。在某次HW演练中,攻击方成员了解到这一情况后
就伪装成该公司的保洁人员,光明正大进入公司办公区域,并以打扫卫生,清理垃圾为由,悄悄查看员工的登录
凭证,最终凭借这些信息成功入侵企业内网。而目标公司对此则一脸懵逼,看着没有被攻击的安全体系始终弄不
明白为什么这么容易就被打破了内网。

5、利用激光和LED突破物理隔离

众所周知,LED常用语打印机等设备内,用以显示设备状态,而这种LED是可以接受光信号。利用这一特性
攻击者将激光定向发送到事先安装好的LED,并记录LED灯的响应情况,建立了一个可以双向使用的长达25
米的隐蔽通信通道。

根据测试情况,这个隐蔽通信通道的数据输入速率可以达到每秒18KB以上,数据输出速率可以达到每秒100KB
已经足够支持一般文字文件的实时传输。这就意味着,利用激光和LED,攻击者不仅可以读取物理隔离系统中的
数据 还可以写入数据;并在不添加额外硬件的情况下,在被攻击的设备中检索数据。

类似的物理攻击案例还有很多。而面对这些物理攻击,企业的安全体系往往显的捉襟见肘传统应对网络
的各种方法无法奏效,甚至短时间内都无法找到问题出现的原因。

物理攻击广泛存在于商业犯罪之中

除了利用物理攻击突破企业安全体系外,物理攻击还广泛被用于商业犯罪和间谍窃听中其过程更加隐蔽且具有高威胁性。
例如在上世纪四十年代,苏联曾经利用一种名为“金唇”的窃听器窃听了美国驻苏联大使馆长达七年的时间期
间历任数届大使,大使馆还进行了翻新和装修,但是这个窃听器就一直安安稳稳放在了大使馆的墙上。
该窃听器藏在一枚苏联赠送的木制美国国徽之中,拿到该礼物后,大使馆技术人员对此进行了细致的检查
由于没有发现电池,因此断定绝不可能是窃听器。

但实际上,“金唇”窃听器所使用的是射频识别技术。这是一种无线电通信技术,最大的特点就是自身无需
电源即可工作金唇”内部有一个线圈组件,收到外部发射过来的无线电信号后, 通过电磁感应就会自动产生
电流实现无需电池就可以驱动设备工作。而没有外部的无线电信号时,这个设备就不会工作,也不会发送任
何无线电信号,非常隐蔽,不容易被发现。

此外,在商业环境中还有另外一种神奇的窃听技术——激光窃听。

其原理是用激光发生器产生一束极细的激光,发射到被窃听房间的玻璃上。当房间里有人谈话的时候玻璃
因受室内声音变化的影响而发生轻微的振动,从玻璃上反射回的激光包含了室内声波的振动信息人们在室
外一定的位置上,用专门的激光接收器接收,就能解调出声音信号,从而监听室内人的谈话。

由于激光窃听设备并不需要放置到被监听者的房间内,所以很难被排查发现。较早的激光窃听器需要极大的稳定性往
往会在一个较为固定的地方实施。据称海湾战争期间,美国情报人员在伊拉克使用激光窃听技术,从行驶的汽车反光
镜上捕捉到了车内伊拉克高级将领说话的声音,通过技术处理掌握了车内谈话的全部信息。

除窃听外,其他被用于商业犯罪的攻击手段还有很多,包括利用针孔摄像头摄像,在车上或身上安装定位设备
在键盘上安装记录器,安放无线干扰器干扰对手投标答辩等等。随着经济的不断发展,当下商业犯罪手段出现
的频率越来越高,值得引起企业的重视。

结语

随着网络安全产业的发展和融合,网络攻击的复杂性正在快速上升,一次成功的网络攻击往往包含多个步骤
在这个过程中,物理攻击往往以网络攻击的跳板或后门出现,并且同样呈现出快速上升的趋势。
究其原因,网络安全体系的整体能力正在逐步提升,拉高了单次网络攻击的成本,迫使攻击者选择成本更低
的攻击路径,而此时不怎么显眼的物理安全就成为了新的突破点。尤其是当下很多企业的物理安全和网络安
全存在割裂感,给了攻击者可趁之机。

当下,全国HW行动即将启动,相信针对物理安全部分的攻击也将逐渐增加毕竟网络安
全是一个整体性的工程,短板效应十分明显。

此时,企业也应适当回过头,看看那些被遗忘在角落里的物理安全。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

8598

主题
精彩推荐
热门资讯
网友晒图
图文推荐
Pcgho! X3.4

© 2020 Comsenz Inc.