网络安全研究人员面临人身威胁

admin 2022年6月26日02:04:59评论29 views字数 4401阅读14分40秒阅读模式

网络安全研究人员面临人身威胁


网络安全研究人员努力维护数字世界安全,但他们的自己的人身安全却不时面临风险。只要在这个领域待的够久,总会听说几件信息安全专业人员受到威胁的事,或者自己就经历过人身威胁事件。


一位出于保护家人的目的而选择匿名的安全专家表示,过去几年里“专注网络犯罪的几个人都收到了死亡威胁”,其中一些人甚至决定低调保命或者转行。他们不想让自己的家人“因为爸爸是个会招来坏人的安全研究员”而陷入危险。


在信息安全会议和推特信息安全版块上,研究人员分享各种事件并谈论如何在这些情况下保护自身。他们表示,报警或者上报FBI压根儿没用。Citadel Lock Tools安全专家Matt Smith称:“我倒是想说你可以联系联邦执法部门,或者联系当地警局,但据我所知,这么做毫无用处。一起案子能花上好几个月的时间才能逮个人进来,更不用说那人可能早就作恶多端却长期逍遥法外了。”


虽然少数研究人员将这些威胁视为荣誉勋章,但其中大多数人会尽其所能地确保安全。他们会尽量减少自己的数字足迹,对社交媒体上接近自己的每个陌生人进行背景调查,使用邮政信箱而不是地址,并且避免在网上发布任何可能关联到家人的内容。 


近期勒索软件又现抬头趋势,俄罗斯、朝鲜等国和北约之间的地缘政治局势也愈趋紧张,有些信息安全专业人员的工作可能变得很危险。Cofense首席威胁顾问Ronnie Tokazowski表示:“我不知道情况是否变得更糟,但我可以说,情况根本没有好转。”


勒索软件团伙对研究人员形成的威胁加大


截至目前,网络犯罪团伙今年堪称风头无两。勒索软件攻击数量创下历史新高,平均赎金支付金额超过90万美元。更糟的是,自俄乌冲突爆发,西方对俄实施制裁之后,美国和俄罗斯之间羞羞怯怯合作遏制勒索软件的行动也停滞了。据俄罗斯报纸《生意人报》报道,几周前,指控REvil黑客团伙成员疑犯的案件“走到了死胡同”。


Recorded Future情报分析师Allan Liska称:“这些勒索软件团伙中的许多人都逍遥法外。只要他们不离开俄罗斯,他们的恶行实际上不会给他们带来什么后果。所以,他们会更加大胆和无耻,在俄罗斯政府的掩护下逍遥法外。”


正如Liska所言,多年来,网络犯罪团伙在这种保护下对安全专家做了“一些相当恶毒的事情”。虽然他个人没有受到任何直接威胁,但Liska听说过此类事件,尤其是信息安全专业人员在个人层面上与网络罪犯接触的情况下。他表示:“我知道至少在一起案件中,勒索软件团伙威胁了某位研究人员的孩子。”


有时候,网络犯罪团伙会查出安全专家的住所,收集其每个家庭成员的信息,然后将这些信息发布到黑市论坛上,请其他违法犯罪人员去威胁安全专家。


Liska指出,相比几年前,犯罪团伙更倾向于协作和分享信息。“他们搭建了敲诈网站;不仅可以发布有关受害者的信息,还可以说出他们想干什么。”


最近几个月,网络犯罪团伙也变得更加激进了,可能会对研究人员的人身安全造成影响。比如说,Conti黑客组织就对哥斯达黎加数十个部门机构下了黑手,促使哥总统查韦斯宣布全国进入紧急状态。这伙黑客宣称自己旨在颠覆哥斯达黎加政府,这可不是勒索软件团伙惯常的目标。


哈佛肯尼迪学院贝尔弗中心网络项目执行主任Lauren Zabierek表示,这种前所未有的攻击案例“标志着勒索软件活动的再次升级。如果他们看到自己能够劫持整个国家并勒索赎金还能逍遥法外,那这种事情就会越来越多。”


在Liska看来,此类事件证明勒索软件团伙与民族国家黑客组织之间的界限正变得越来越模糊。不过,民族国家黑客组织要足智多谋得多,包括针对安全研究人员时,他们的威胁可能更加隐蔽。例如,有时候,安全专家去外地参加会议,他们所住的房间遭到翻找,或者收到些小东西,暗示他们停止调查。


为民族国家黑客组织工作的人也会通过LinkedIn、Twitter、Telegram、Keybase、Discord、电子邮件或其他渠道盯上信息安全人员,有时会声称他们可以提供咨询工作机会,或者想与信息安全专家合作进行漏洞研究。


2021年1月,谷歌威胁分析小组发现朝鲜黑客冒充网络安全博主,向安全专家发送了一个Visual Studio项目。Adam Weidemann在谷歌博客上写道:“这个Visual Studio项目中多了一个通过Visual Studio生成事件执行的DLL。这个DLL是自定义的恶意软件,会立即开始与对方控制的C2域名通信。” Weidemann及其同事还发现,一些研究人员访问了这些朝鲜黑客发送的链接后遭到了入侵。


“如果你担心自己会被盯上,我们建议你使用单独的实体机或虚拟机划分你的研究活动,区分常规网页浏览、同行交互、第三方文件接收和你自己的安全研究。”Weidemann写道。


针对研究人员的威胁还不止如此。2021年11月,谷歌披露称,朝鲜黑客冒充三星招聘人员发送描述岗位详情的PDF文件,但其实际目的是在研究人员的计算机上安装后门木马。


挖掘漏洞收到法律威胁


不单单只有调查黑客国家队或勒索软件团伙的信息安全人员才会受到威胁。漏洞猎手和物理安全专家也可能面临威胁,有时候威胁甚至就来自于他们想要帮助的那些组织。Matt Smith专业撬锁,他就遇到好几次这种情况。“我第一次独立研究某款锁具的时候,那家公司知道了这件事情。”他说,“他们不遗余力地试图找到并起诉我,甚至威胁要向在线论坛发出传票,让论坛交出我的IP地址。”


第二次遇到这种事,情况就糟多了。Smith受到了人身威胁。他回忆道:“当时我正在研究Abloy Protec II,一位美国经销商对此恼怒非常,因为他手里最安全的锁有可能被破解。所以,他开始给我发送电子邮件大肆谩骂,要求我告诉他我在做什么。我没回复他想要的答案,于是他威胁说要‘不计代价做掉我’。”


Smith收到的一些电子邮件甚为暴戾。“他向我发送了从网络聊天中截取的我的面部图像,还有谷歌地图上他认为是我所住街道的照片。其实他找错了,但也够让人担心的。”Smith说道,并且此后再也没有回复这个人,还换了自己的电子邮件地址。


漏洞猎手也必须学会处理威胁。WithSecure首席技术和威胁研究员Tom Van de Wiele表示:“虽然你得到的反馈通常不怎么令人愉快,但在这个行业工作的时间越长,你就越习惯这些东西。”干这行让他“更加谨慎”,也教会了他“要准备好追查和发现更大的问题,针对目标人群选择合适的语言”,以及如何根据所面对的公司调整自己的期望。


通常,漏洞猎手会被威胁要起诉他们的组织吓到。避免这种情况的一种方法是构建详细的报告。描述漏洞影响时,研究人员应从技术风险开始,然后将之转化为业务风险,并附上可能受到影响的人员。Van de Wiele称,研究人员还应该表明整个过程没有违反任何法律。


“最重要的是:要确保你可以提供不同缓解路径和建议来纠正你所发现的问题。”Van de Wiele补充道,“我们很容易简单一句‘修复这个漏洞’就结束白皮书或报告,并在社交媒体上诉诸愤怒即服务。但最好站在受影响公司的角度,想想他们该如何在短期内减轻冲击,同时考虑长期解决方案,想想怎样将风险消弭于无形。”


保护安全研究团队


做网络安全这一行通常意味着要冒些风险。如Cofense的Tokazowski所言,“这事儿在所难免”。一些安全专家必须在保护家人和署名发表研究之间仔细斟酌。为什么任务性质敏感(例如追踪恐怖组织)的公司会决定不在发布的报告中包含研究人员的姓名?这就是原因。


安全研究人员会相互学习,不断升级自身防御。但实际上,他们能做的真没多少。哈佛肯尼迪学院的Zabierek说道:“这事儿很难,因为对于个人来说,除了去警察局或FBI报案,似乎也没什么依靠了。有些组织,比如网络犯罪支持网络,旨在帮助网络犯罪受害者,如果这些组织能够获得机构支持,扩大其帮助全美民众的活动,那就真的太好了。”


想要保护自家员工的公司应该经常查验自己的内部安全措施,确保紧跟形势发展。他们还应该为最坏情况做好计划,为自家员工遭到威胁的情况设置相应的规程。


这些规程都应该基于多个威胁模型,将每个内部团队所做的工作考虑进去。可以给各个团队发送关于此类情况的检查表,其中列出要做和不做的事情,以及可以联系的人。当然,这些规程必须不时修订,并尽可能进行测试。


保护办公室和家


信息安全专业人员精通数字安全及相关设备。有些还更进一步,避免在网上泄露任何个人信息。其他人,例如Smith,连自己的社交媒体资料都只填写虚假信息。Liska称:“你得确保采取了恰当的预防措施来保护你的房子和家人。”


除了在线安全之外,信息安全专业人员还必须注意保护人身安全。Smith建议设置几个安全防护圈:栅栏、墙壁、坚固的门,甚至是可以从内部上锁的门。“我用我自己撬不开的锁、绕不开的门,还有难以复制的钥匙。”他说,“即使有人可以拿到我的钥匙,坯件也受限,因此难以复制。”他推荐的锁具包括ASSA Twin、EVVA MCS和Abloy Protec II,他认为这些锁具是最安全的。然而,这些锁都可能被撬开。“如果你的对手能够在没有钥匙的情况下破开这些,那你就面临大麻烦了。”


门本身也得十分坚固,必须有坚固的框架,且底部或圆角没有间隙,要能防止家里被塞进什么东西。“门的铰链是个弱点,所以最好放在里面。”Smith补充道。他还建议在外面立个信箱,而不采用门上内嵌邮件投递口的方式,因为这种方式能让攻击者摸到门后。


除了坚固的多点锁门,家和办公室还应该安装闭路电视监控系统(CCTV)。“用有线,别用无线,因为无线信号干扰,或者仅仅是向设备狂扔Deauth数据包,就能搞瘫这些设备。”Smith称,“警报系统也一样,总是用有线方式。要正确安装警报传感器,因为许多报警器厂商留有盲点。”


CCTV和报警器的布线要阻断外部访问的可能性,而且CCTV录制盒应将所有内容都备份到云端。“可能的话,多个人掌握CCTV权限,防止出事时没有冗余。”最好的系统会定期检查通信,只要通信中断就发出警报。


还有其他一些事项需要考虑:注意安全照明,这些应该是传感器驱动的。使用邮政信箱,这样一来你的地址就更难被追踪到了;出门时改变地址,让自己的行踪不那么可预测;此外,搞好邻里关系,这样在你家进来不速之客时邻居会提醒你。


研究人员在保护自身和家人方面要做到何种程度,取决于他们的工作和能够接受的风险水平。“每个人都必须衡量自己的风险并采取适当的预防措施。”


尽管如此,在支持信息安全专业人员,让他们继续开展工作方面,还有很多事情要做。Zabierek表示,他们“需要相信政府能帮助保护他们,或者帮他们从这些威胁中恢复过来。”



参考阅读

全球经济的威胁 海运供应链易遭网络攻击

新的攻击面浮出水面——来自NFT的威胁

外部攻击面管理(EASM)实践——暗网威胁可视性报告

原文始发于微信公众号(数世咨询):网络安全研究人员面临人身威胁

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月26日02:04:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全研究人员面临人身威胁https://cn-sec.com/archives/1144067.html

发表评论

匿名网友 填写信息