暗網潛航——黑客術概覽(五)──詭言浮說

  要判斷一個系統有否建立「蜜罐」陷阱,除了上周提及的「檢查系統內核」及「判斷系統結構是否協調合理」兩種方法外,也可以利用之前提及過的黑客術,進行全面剖析,判斷是否有人會在系統內安裝陷阱。

  第三種方法是「對存在漏洞的合理性判斷」。一個入侵目標必定存有多個系統漏洞,所以防守方設置密罐時,也會刻意加入不同等級的漏洞,作為誘餌哄騙黑客入侵。

  為了避免因漏洞太吸引,反而誤入蜜罐之中,當我們取得系統漏洞資料後,需要判斷這些漏洞的關聯性,與目標的軟硬體套件版本及功能比較,是否存在矛盾,尤其要清楚理解漏洞分類模型CVSS。如果漏洞的風險等級和分佈比率不合理,或前後矛盾,蜜罐存在的可能性會大大增加。

  第四種方法是「不應發生的錯誤,但只要有人存在,就一定發生」。著名黑客凱文‧米特尼克(Kevin David Mitnick)在他的著作《欺騙的藝術》第一章就表明,不論你怎樣保護你的訊息,只要有人參與,安全問題必然會出現,這是所有施行黑客術的人都明白的事。

  黑客術第一個步驟是「目標情報收集」,但老實說,情報除了針對目標的技術資料外,也可以是入侵目標的使用者或工程人員資料等。例如目標系統公司在招聘網站刊登廣告,我一定會細看他們招聘的IT人員、一般員工的電腦技能要求,通常會有大收穫。如果目標系統是上市公司,我會留意他們的年報,看看有否有購買特殊或昂貴IT系統,或者和其他科技公司、服務供應商合作,甚至曾經銷售過系統給他們的公司也一併調查。

  我更會對IT員工或採購經理的社交媒體帳號感到興趣,因為有可能會令我知道他們有否在公開論壇上,查詢過哪些技術問題。這些資料均有助判斷和目標的漏洞存在可能性及情報真實性,從而估算是否有蜜罐存在。

  蜜罐令防守方有機會「反客為主」,不過這個陷阱並不常出現,一是沒有一定的信心及技術,隨便設置陷阱是非常不理智及危險。二是設置密罐違反防守者責任,防守方目標是令系統「沒有事發生」,不想被人盯上,故意設置充滿漏洞的系統吸引攻擊者,顯然違反這個原則。

  但對攻擊者而言,則要小心檢查蜜罐是否存在。作為一個攻擊者,總不能攻擊不成還跌下陷阱吧,而且蜜罐的出現,代表你可能被鑑證調查專家或執法機構盯上了。

TOZ聯合創辦人

龐博文


hd