- 学校和真实生活之间的一个重要区别在于:学校先教你知识然后考试,生活则是先考试再教你知识。
 就如我们一直所强调的,安全不是一个人能独自完成的工作。确保您的周边朋友/社区/团队/组织中所有人都具备足够的安全意识和防护能力,您才能做到安全。因为《一个人的疏忽将拖累所有人陷入危险》 于是基础知识培训是非常重要的。我们知道很多人在询问相关知识,并且很积极地向自己周围的朋友推荐,这非常好;敏感人士社区和组织内部也做了一些安全知识辅导。但我们也发现,其中有一些安全培训是不充分的甚至其建议是不恰当的,有可能起到相反作用。 IYP 菜单的“How To Win”部分有很多知识推荐,可以用来在所在社区中为周边人介绍。不过培训和介绍知识还不完全是一码事,培训需要的技巧更多,尤其是思考方式的训练,非常重要,详见《基本的防御性思考方式》。 曾经我们发布过的文章比较分散,本文将基本层面上的内容综合一下,介绍五个基础的培训课程,并介绍一些较为常见的错误建议。如果您还有遇到过其他错误建议、或者您在培训方面有更多经验,欢迎留言讨论。 根据前面我们发布过的诸多文章,您现在应该已经了解到了关于社交工程攻击和钓鱼的基本知识,关于您是如何中招的、攻击者是如何思考的、技术社区如何协助活动家增强安防……等等,现在是时候进行自我保护了。如果您还没能获得技术专家的协助,自己也可以完成基本部分。 本文更多是给普通人的。“专业”和“普通”之间有不小的差异。如果您身边没有专业全职的技术人员可以随叫随到,本文将适合您,不论您从事什么职业、持有什么政治观点、是否属于少数族裔或边缘群体,等等,都无所谓,只要您还在使用互联网,这些知识就是必需掌握的,否则就会变成众矢之的。 本文还会有一面绵羊墙 wall of sheep。如果您不是技术人士可能对这个词还不太熟悉,它来自于 DEF CON,全球最大的黑客会议之一。在每年的 DEF CON 上,运作绵羊墙的人都会把在会场上连接到未知网络的“绵羊”们的账号密码公布在上面。为什么要这样做?他们希望能借此提高人们的安全意识,告诉人们抓取这些信息有多么容易。 下面分别介绍5个防御课程。 
—— 第一课:批判性思维 ——很多时候人们会把批判性思维和逆反、缺乏信仰或者为了质疑而质疑,混淆在一起,但这不是批判性思维真正的定义。 在本文的主题里,批判性思维指的是:告诫自己不要事事都信以为真;不要以为没时间评估、压力太大来不及思考就将信息理解为真实。只需要稍稍停下来想一下,就能避免杏仁核劫持发生的决策错误。问自己下面这些问题: - 这封邮件/短信/留言真的来自我认识的人吗?
- 我预料到会收获这样一条信息吗?
- 信息中含带的请求合理吗?符合我认识的那个人的性格习惯吗?
- 这条消息是否在试图唤起某种情绪,比如恐惧、贪婪、强大的好奇心,或者最重要的 —— 它是否试图让我做点什么?
只需要两三秒钟想想上面这些问题,就能帮你更好地识别钓鱼攻击。将上述问题运用到下面的课程中,并且你会发现,在识别真正的威胁时,思考和不思考上述问题的区别非常大。 攻击者是如何绕过防御的 —— 攻击者不希望你思考,尤其不希望你进行批判性思考。他们会利用情绪阻止你进行批判性思考,唤起你的恐惧、忧伤、愤怒,迫使你采取不该采取的行动。这是社交工程的一个最基本的模式;民粹政客使用的就是这样的模式。 防御办法很简单,停下来几秒钟就可以做到,先放下它去读点别的东西,你的杏仁核就又属于你了。 —— 第二课:学会悬停 ——想象你坐在家里或办公室里,然后收到下面这样的邮件,你会是什么样的感觉?  你可能会开始想:“不能让我的UPS包裹出问题,最好检查一下”。或者,你并没有UPS账号,但也会惊慌:“谁用我的名字建立了一个UPS账户?” 不管是上述哪种情况,恐惧和好奇都会让你去点击那个链接。这封邮件有正确的标识,看起来很正式,甚至可能和你收到的任何USP邮件都十分相似。这些细节使得你相信这是一封真实的邮件。 幸运的是,只要您读过我们曾经发布的相关文章就能知道,这有可能是一个精心设计的恶意邮件,目的是让你下载恶意软件、泄露信息、悄悄控制你的设备。 你需要做的只是把鼠标悬停在链接上,只是悬停就可以,不要点击!看看会发生什么,类似于下图这样:  具体到人的情况也许不同,但是如果你在美国,你就会产生怀疑:“为什么USP会把我的账户信息存在一个南美的服务器里?” —— 后缀“.za”表明了这一点。 因为悬停就可以反应出URL地址,而这个地址并不像USP,所以这是钓鱼邮件。现在看内容。 这封邮件的意思很含糊,你甚至都无法如实回答第一个问题;你没有期望或请求这封邮件,而URL指向一个完全不同的网站。那就马上删除它。 但请记住,有些情况下,高明的攻击者可以阻止悬停,所以当你点击前要再次确定地址栏中的地址,以确保你访问的是一个合法地址。 点击了链接后才感觉到危险怎么办?—— 如果你当时任何人都联系不了那该怎么办?首先,回想一下当你点击链接后网站向你发出了什么请求;你被要提供账户信息吗?被要求输入账户名密码?或者被要求下载一个文件、安装一个程序? 如果你输入了账户名密码,那就要立刻确认是否在其他地方也使用了相同的账户名密码;找到同样的部分,立刻修改它们。 如果邮件中提到了某个公司的账户,而且你输入了网站,那么就给那家公司打电话,告诉他们你可能把你的账户信息告诉了某个恶意组织,让公司修改你的账户信息以保护你的安全。 如果你装了那封邮件中要求你安装的程序,就要立刻清理电脑,并在另一台安全的设备上修绝大多数账户名和密码。 我不可能知道你中了哪种病毒,所以无法说明接下来应该做什么;如果你不知道该如何处理病毒,所在社区也没有专业技术服务和联盟的话,就联系这篇文章中提到的组织。 不要惊慌,但并非不要紧张;要尽快采取行动才行;而惊慌会让事情变得更糟。深呼吸回想一切可以止损的方法。 攻击者是如何绕过防御的 —— 攻击者会意识到潜在的受害者受过一些训练,比如知道如何悬停以验证;很多邮件服务也会检查URL是否和文本中显示的不同。攻击者可能会购买相近的域名来掩饰他们用来攻击的真实域名。 比如这样 <secure-你的银行.com> 域名,而你在这个链接上悬停,你会看到“正确“的域名,也许就会信以为真。这个时候批判性思考就要起作用:想想看你的银行是从这个域名给你发邮件的吗?如果有所怀疑,那就要检查一下。 其他攻击者会用注册过的证书来使得网站看起来合法和安全,并且攻击者确实拥有这些证书。这些证书可能会以狡猾的方式命名,比如 trusted、secure 等等,让你以为它是安全的。 另外,攻击者会攻击全球范围内真实的服务器,并用合法服务器发送钓鱼邮件。通常攻击者会获取这些设备上的邮件地址,然后利用这些邮件地址来联系第一批受害人。 所以,始终记得要点击前三思 + 虚拟机 + 谨慎输入信息。  —— 第三课:URL解析 ——本节不是写给专业人士的,如果您有技术基础,那就跳过它。 URL 有几个组成部分:协议、子域名、域名、顶级域名、文件地址、资源。 为什么理解URL很重要?因为很多钓鱼攻击就是利用你的认识不足来欺骗你的。比如,我声称来自微软,并希望你下载一个名为 file.txt 的文件,那么你能识别下面这些网址中哪些属于微软,哪些是潜在的威胁吗? - http:// microsoft. com/ file. txt
- http:// secure-microsoft. com/ file. txt
- https:// secure. microsoft. com/ file. txt
- http:// microsoft. com/ secure/ file. txt
- http:// rnicrosoft. com/ file. txt
第一个网址是合法的,虽然缺少了www,但它确实指向真实的微软网址。 要小心对付第二个,它可能不属于微软,secure-microsoft 中的“-” 表示它和微软域名完全不同。 第三个是安全的。它属于合法公司,而且位于https。secure 子域名隶属于微软的域名。而第二个网址则试图伪装成一个安全网址,但实际上使用了“-”而不是“.”来分割地址。“.”意味着该子域名属于主域名,而“-”指向一个全新的域名,因此第二个网址是不可信的。 第四个网址也是合法的,只是位于下一级域名。 第五个很有迷惑性,那不是 m 而是 rn,如果靠得足够紧,一马虎就容易看错。这类东西特别多,比如大写的“I”和数字“1”的混淆,等等。 当然,恶意攻击者还有很多诱使受害者点击链接的手段,这也是为什么学习URL很重要。即使是有经验的安全专家也有可能犯错,但是相关培训肯定能帮您和您的团队/组织减少风险。 攻击者是如何绕过防御的 —— 和前面描述的悬停一样的,攻击者可以购买一些看起来合法的域名。这些域名与真实域名越是相近,你就越容易相信它是真的。 再次强调,secure-DOMAIN.com 是一个完全不同于 DOMAIN.com 的新域名,但如果它是一个合法的名称结尾,很多人会误以为它是合法网址。 同样,攻击者会攻击全球服务器,然后利用这些合法服务器来发送钓鱼邮件。这类攻击是非常危险的,也很难检测。 运用批判性思维,点击之前停下来想一想,以及问自己一些分析性问题,都可以帮你从容应对。如果你不小心采取了错误的方法,请尽快联系这里列出的组织和本地技术团队。 —— 第四课:分析邮件头 ——由于有大量的邮件服务商存在,我无法告诉你如何定位每一家服务商的邮件头,但我可以告诉你它们是什么,以及你可以如何利用它们。 在选定的搜索引擎中输入 Email headers in <服务商名称>来弄清楚你自己的服务商的邮件头。 这就像是GPS。你来到我家,我可以查看你的行程历史记录来确定你走的是哪条路线。如果你告诉我你走的是第一条路线,但是GPS显示你花了大量时间在第二条路线上,那么我就知道你迷路了。 邮件头与此类次,它们可以告知你邮件是如何到达你的邮箱的。看下面这个例子。这封邮件声称来自达美航空公司(Delta Airlines),并说收件人的航空里程账户有异常情况。  如何你感到困惑,请尝试拆分邮件头,如下表所示,这样能看得清楚一些: 
- SPF是 Sender Policy Framework(发送方策略框架),是一种以 IP地址认证电子邮件发件人身份的技术,被用来识别垃圾邮件;“退订信息”是指服务器提供给用户用来快速退订邮件的按钮的字段。
可以清楚看到这封邮件被发往了正确的地址,回信地址和回复人都清楚地指向了 delta.com 我们也可以在域名签名和信息ID上看到 delta.com。这表明邮件是来自它所声称的合法地址,也意味着它是可信的。 如果检查邮件头中的域名和邮件中的域名毫不相干;回信地址和认证结果也与其声称的无关,那么就可以肯定不受信任。 攻击者是如何绕过防御的 —— 检查邮件头就可以确保安全吗?不会。有些钓鱼邮件攻击附带一个目的:对网络进行渗透,然后获取使用 SMTP 服务器的权限。为什么要这样做? 正如我们在上篇文章中所解释的,朋友是最容易对我们形成影响的人,在这里看到《如何将另一个人变成你想要的样子?》。攻击者当然非常清楚这个道理,让你信任一封邮件中的附件、链接或者文件,没有比伪装成你的朋友更好的办法了。 攻击者会使用任何方法获得你朋友的设备的访问权限,用所有好友和收件箱中的联系人随机分发恶意邮件。这种时候检查邮件头是没用的。 批判性思考非常必要,并且,你需要对自己的朋友(那个发件人真身)有足够的了解,尤其是,你应该和注重安全也懂安全技巧的人交朋友。否则,*一个*疏忽大意的人就有可能会害了你们关系网中的*一大群人*。 —— 第五课:沙盒 ——沙盒就是指创建一个可以运行未经测试或者不受信任的代码的环境,这些代码可以包括病毒和恶意软件。用户想要在自己的系统或网络中使用它们之前,可以拥有的一个几乎对主机没有任何影响的环境,在这里测试这些代码。这个概念非常简单,就像下面这样:  沙盒是技术问题,单纯的技术无法解决基于人性弱点的社交工程攻击。 攻击者是如何绕过防御的 —— 曾经有一个这样的案例,关于附件中附带某种来源于一个叫 Quarian 的组织的恶意软件,这种恶意软件能伪装成PDF、DOC或者XLS文件,而且此后该恶意软件还升级了,新版本包含了一些需要被注意的功能: - 它自动安装称成一个 Windows 服务,不再只是一个运行程序;
- 它通过运行一系列命令连接到国外服务器下载有效荷载;
- 尤其是,
 它依赖 AppleID 或者命令行交互,因此它不会被沙盒检测到。
并且不止这些。通过虚拟机直接感染主机的恶意软件也不是没有。(所以,显然 Whonix 的思路是更好的,即便恶意软件穿透了一个虚拟机,它也透不过第二个) 没错,攻击者一直在变得更加聪明,因为他们整天琢磨这些事;安全防御技术需要不断更新才能跟上这一进度。作为培训师你应该首先和你的服务对象讲清楚 —— 昨天提供的方案今天失效了并不意味着昨天在骗人、更不意味着安全防御是令人焦虑的和无用的,正相反,这只是在提醒人们持续保持警惕的必要性,学习不是几堂课的任务。 谨记一条规则:仅仅依靠技术并不能让你免于社交工程攻击。  —— 坏主意陷阱:移除你的绵羊墙 ——鉴于威胁的无处不在,人们一直在纷纷想办法解决问题,不断向自己所属的组织、社区和合作团队推荐方法。其中有一些甚至有希望成功,但是应该被归为“坏主意”。 下面是一些曾经被很多使用过的坏主意,分析下他们为什么弊大于利。 1、“复制粘贴,解决麻烦” 这甚至是来自一场正规的安全培训中传授的方法;当时讲师表示:“如果你不确定你接收到的链接是否安全,那么复制粘贴到浏览器的地址栏中”…… 这是史上最糟糕的建议。如果你收到一封钓鱼邮件,里面附有一个链接 www. superbadhackingsitethatwillruinyourlife. com,你选中它,然后复制、粘贴,那么你猜你会进入哪个页面?没错 — — 你仍然访问的是 www. superbadhackingsitethatwillruinyourlife. com。 是的,技术上来说,如果你让你的用户只是复制那段文本,那么他们将会访问的就是那个文本所示的网站。但是如果用户误点了那个链接而不是复制,或者错误的选择了右键复制而不是选中复制,或者两者全做了,他们仍然会访问一个恶意网站,并且可能直接被感染。 所以,培训师应该告诉用户,不要碰那个链接,离它远一点;除非你非常熟悉如何解码URL,否则不要试着分析它。 2、“分享也是关照” 另外一个馊主意是这样的:“我刚收到了一封钓鱼邮件,我认为可能是钓鱼邮件,我把它转发给最懂电脑的五个朋友,这样他们就能告诉我这是不是钓鱼邮件了”…… 如果你这么做了,其结果就是你把一个带有潜在危险的恶意邮件转发给了五个人。如果这些朋友和你在同一家公司/同一个组织工作,那么你就是在该组织/公司内部扩散了潜在威胁;如果这些朋友在其他公司/组织工作,那么你的做法就是在传播病毒,是在帮助社交工程攻击者完成目标。 或者更形象一些,换个说法:“如果我怀疑自己感冒了,那就找五个朋友去他们面前咳嗽,如果他们也感冒了,那么我就可以确定我感冒了”。 有一个渗透测试是这样的,USB密钥遗失测试。在USB密钥中放置一个PDF文件,这个文件的功能是“给家里打电话”。它连接到测试者服务器后会连接到一个 Metasploit4,并给测试者一个远程shell。这个PDF文件被命名为“员工奖金” EmployeeBonuses。 测试者将这个USB放置在预先约定好的地方。等他们返回办公室的时候已经有7个shell的。这7个shell来自人事部门、IT部门、以及同一个部门的其他地方。很惊人吧。究竟发生了什么? 其实很简单。第一个人试着打开 EmployeeBonuses.PDF 文件时文件崩溃了。于是他就拿着这个USB去了人事部门,找一位更高明的朋友帮忙;当然,在第二个人那里也崩溃了,于是他俩就跑去IT部门找人帮忙。IT部门在第三台电脑上试着打开它…… 这些人在试图打开一个文件,看看他们的奖金发生了什么,就这么一个简单的过程结果是把这个东西传到了整个公司。 在这种情况下,分享并非是一种“关照”,而是伤害。可疑的钓鱼邮件也是如此。 3、“好的反病毒软件能拯救你” 反病毒软件是为阻止病毒的。病毒有自己的签名 —— 这是病毒内存在的一系列指纹作用的代码。就像你的指纹可以用来识别你的身份那样,病毒的指纹也可以用来识别病毒。 这些病毒的指纹被放进了反病毒软件的数据库中,然后反病毒软件就可以对你的电脑进行扫描;如果发现了某个网页、文件、文件夹或者程序有这些指纹,就会清除它,以确保它不做进一步破坏。 听起来很棒。但是,反病毒软件是管理软件,而不是安全软件。反病毒软件可以帮你识别出*已知*签名的病毒;但是如果病毒是新的,还没有登记指纹呢?如果病毒使用多态 shellcode 呢?(shellcode 会在每次载入时改变自己的签名)根本无法检测对吧? 这是否意味着反病毒软件根本没用,不需要购买安装了?并不是。你应该继续使用好的反病毒软件,它们可以抓住那些已经流行了一阵子的病毒;但是你不应该把它当成救世主,它无法帮你抵御特别有目的的攻击者。 —— 总结 ——说到 shellcode 想起一个编码工具:一个人们可以通过对 shellcode 进行编码来给它一个全新签名的小工具 —— Shikata Ga Nai。这是一个多态编码工具,名字来源于日文,意思是“无事可做”,或者“没有希望”。本文的内容并不是让你感觉“shikata ga nai”,正相反是为了找到一些希望。 下面是阅读本文后您应该知道的: - 坏人更高明、更加坚定和努力。他们似乎一直领先于你,并依靠你的弱点获胜;
- 仅仅依靠技术是救不了你的,技术也不应该被视为社交工程攻击的唯一解决方案;
- 钓鱼攻击是真正的威胁,也是最经常出现的和最容易得逞的威胁;
- 如果你的工作是确保组织和团队安全,那么需要找到那些给你出坏主意的人,并清除那些坏主意。
教育是解决问题的关键。你必须和你所在组织团队/社交圈子一起努力,进行持久的、定期的、基于真实案例的教育,让你的周边人形成一种安全意识文化,否则一两个人的努力是不会让你获得安全的。 你可能会说你试过这些方法,但是“周围人对此不感兴趣”。没错,我们在中国的活动家、记者和人权维护者群体中也看到了同样的状况。理论上我们认为这些敏感人士应该是最注重安全保护的人群,而事实上并非如此,人们对安全知识表现淡漠。这是为什么呢? 正如我们在这篇文章中所分析的《重要性需要被感知而不是被介绍》。这需要技术社区做好渗透测试服务,以及组织团队的管理者与技术社区的紧密合作。社会工作一直比技术工作更复杂,需要很多技巧。更多相关知识参见IYP类目“公民社会和反抗”、“行动派- 社会反抗的思考”中推荐的内容。 我们一直在撰写各种保护知识和技巧的文章,向敏感人群解释加密的消息服务、安全电子邮件的重要性、社交工程学的攻防技巧、如何保护社交媒体的帐户和宣传能力等等,这些都是必不可少的。但事实却是,有关如何使用 Signal 、保护数字隐私的大量指南、以及诸如“使用 Tor”的多项须知等等广泛声明,可能难以被非技术人士理解,更不用说采取行动了。这就形成了一个根本性的错位。 与此同时,慈善组织也很难了解究竟什么样的技术专家才是活动家、边缘社区、记者和人权维护者最需要的。 这些差距显而易见。但是没有人应该为这个差距负责。现有的数字安全资源通常是旨在帮助个人确保他们的数字足迹避免被识别所需的工具,或者在发生紧急情况和关键威胁时做出的响应。教授整个组织及其资助者 —— 如何深入了解数字态度和习惯,如何分析敏感用户、组织和以任务为中心的数据使用、保留和共享,将更加困难。 我们要的并不是亲自动手帮助敏感人士安装一个 Whonix 就完工了,而是最终能让人们知道遇到紧急状况时应该怎么办,尤其是如何形成结盟网络,让求助变得更容易。也就是,形成能够让自己变得更强大的思考方式。 这就是为什么在这个对民间社会数字基础设施的攻击日益复杂的时代,我们需要支持在组织层面进行更大的能力建设。
| 
发表于 2020-3-19 14:35
