20世纪以来,激光是继原子能、计算机和半导体之后,人类的又一项重要发明,被称为“最快的刀”。然而,使用激光作为攻击手段在科幻电影和小说中一直存在。近日,由腾讯安全联合实验室、腾讯视频联合出品的安全系列悬疑剧《烧脑24小时之激光里的孙悟空》第六集,向公众展示了安全研究人员利用条码阅读器漏洞,以激光为“武器”,控制某科技公司电脑,成功入侵核心数据库的真实场景。视频上线几天后,点击率迅速逼近200万,引发了网友和行业对这种新入侵方式的讨论。多位行业专家表示,“智能设备的漏洞一旦被标致单车利用,后果不仅是被攻击,与之相关的终端也无法幸免”。
对企业数据库的激光攻击已经成为网络安全的新威胁。
剧中,由腾讯安全联合实验室子公司宣武实验室扮演的“蓝军”与某科技公司组成的“红军”展开了网络安全攻防演练。最终,腾讯安全宣武实验室的研究员利用人事部门员工离开办公室吃午饭的间隙,从对面办公楼发射出带有特殊攻击数据的激光束,通过办公桌上的条形码阅读器,将一个木马植入“红军”人事部门的电脑,成功获取了对人事数据库的访问权限,赢得了演习。
“原来这些安保部门平日里也在做这样的事情,幕后英雄值得尊敬。”视频评论区有网友对实验室的研究人员大加赞赏。同时,很多网友感叹这项技术的恐怖。“上帝,这就是黑科技的奥秘。激光束可以侵入计算机。这样的制度漏洞真的很吓人。”事实上,腾讯安全宣武实验室使用的技术就是他们之前发现的条码阅读器的“BadBarcode”漏洞。利用此漏洞,只要编码特殊信息的激光束照射到条形码阅读器附近,连接到条形码阅读器的计算机就可能被入侵。据悉,该研究揭示了影响整个条码阅读器行业近20年的重大安全隐患,腾讯安全宣武实验室因此获得WitAwards“年度最佳研究成果”奖。
视频显示,随着万物互联时代的到来,黑客的攻击手段不再只是对目标的“两点一线”直线攻击,而是物联网设备的迂回攻击正在成为一种新的犯罪手段。去年年底,美国DNS服务提供商Dyn遭遇大规模DDoS攻击,导致大多数国家的网络瘫痪。这起事件是由黑客操纵数百万个网络摄像头和相关的DVR录像机作为“肉鸡”,然后利用Mirai未来组合僵尸网络通过DDoS劫持攻击来瘫痪大部分美国网络造成的。如何防御这种新形式的攻击,将成为企业和安全厂商面临的新挑战。
行业联动持续提升智能设备安全性。
在2016世界物联网博览会信息安全高峰论坛上,等待中国工程院院士的滑板指出,物联网已成为网络攻击的新领地、信息窃取的新战场。大数据、云计算、移动互联网等新技术、新应用不断融合,海量设备不断接入互联网,可能成为黑客攻击的目标。预计物联网将是网络安全治理的高风险领域和重点领域。
腾讯宣武实验室负责人强热狗也在2016年CSS安全领袖峰会上指出,我们今天面临的信息安全,已经不再是某一行代码的问题,或者某几个代码之间的问题,而是某个协议和某个协议之间的问题,或者某些协议之间的交互导致的问题,甚至是一个设备和一堆设备之间的问题,系统和系统之间的问题。这种形式的安全问题很难用传统的方法发现、分析和防御。
最大限度控制安全风险的关键在于,智能产品厂商必须建立完善的加密保护体系和漏洞修复机制,从源头上阻断安全威胁。然而,仅仅依靠智能产品厂商自身的漏洞修复,很难做到尽善尽美。根据安全数据库网站CVE细节的报告,Adobe的软件在2016年的漏洞列表中漏洞最多,达到1383个。微软紧随其后,推出了1325;谷歌以695个漏洞排名第三。拥有专业安全团队的微软、谷歌、Adobe等国际知名厂商,每年都有大量安全厂商暴露的漏洞。没有专业安全团队的支持,中小企业更难保证其智能产品的安全性。
一直以来,以腾讯安全为代表的国内安全厂商,都在积极致力于帮助厂商修复产品的安全性。视频中的腾讯安全宣武实验室重点介绍了各类漏洞的挖掘、利用、检测和防御,以及涉及硬件、无线等方面的复杂安全风险。与科恩实验室、湛卢实验室、云顶实验室、反病毒实验室、反欺诈实验室、移动安全实验室合作成立的腾讯安全联合实验室,成为腾讯安全技术支撑和升级的利器,不遗余力地将安全技术能力向产业链能力输出。
据了解,腾讯安全宣武实验室在条码阅读器中发现此缺陷后,已及时给出反馈,并帮助部分厂商修复此问题。目前,腾讯安全宣武实验室已帮助谷歌、微软、苹果、惠普、联想等企业修复223个严重安全问题。腾讯安全负责人指出,这些企业通过积极、及时地利用漏洞,向厂商报告漏洞,可以提高产品的安全性,保证用户的网络安全。对于安全力量薄弱的中小企业,腾讯安全联合实验室还积极开放技术、数据和能力,链接产业链各方,构建网络安全生态。
然而,仅仅依靠产业链的维护,网络安全环境的建立很难是全面的。加强用户和企业的安全意识,提高他们的安全能力也是不可或缺的。其实《烧脑24小时》是负责普及安全知识的。聚焦网络安全团队与诈骗、黑客等犯罪分子之间的技术战、技术战的剧情,以电影艺术的形式巧妙地展示常见的犯罪手段和高端的反团伙技术,无疑是用户和企业更容易理解和接受的方式。