亞利桑那州立大學(xué)(ASU)網絡安(ān)全和可(kě)信基金會中(zhōng)心主任亞當·杜佩(Adam Doupé)的問答(dá)采訪。
亞當•杜佩的網絡安(ān)全之旅始于一次惡作(zuò)劇。在他(tā)得知自己可(kě)以連接到電(diàn)子郵件服務(wù)器并僞造發件人地址後,高中(zhōng)時代的杜佩從santa@northpole.com 上給朋友們發送惡搞郵件來取樂。
在玩樂之餘,他(tā)意識到了一個問題:在線(xiàn)系統的設計并不總是安(ān)全的——這些安(ān)全漏洞讓人有(yǒu)機可(kě)乘。
如今,杜佩仍在尋找在線(xiàn)系統中(zhōng)的不安(ān)全因素,但不是為(wèi)了惡作(zuò)劇他(tā)的朋友們。他(tā)領導着ASU全球安(ān)全倡議的網絡安(ān)全和可(kě)信基礎中(zhōng)心(CTF),該中(zhōng)心負責尋找漏洞并創造保護人們上網的方法。他(tā)還是Ira A. 富爾頓工(gōng)程學(xué)院,計算與增強智能(néng)學(xué)院的副教授。
在網絡安(ān)全意識月的問答(dá)中(zhōng),杜佩讨論了網絡安(ān)全防範意識的重要性,分(fēn)享了他(tā)曾經遭受網絡釣魚攻擊的經曆,和他(tā)最喜歡同時也是最可(kě)怕的網絡安(ān)全“怪物(wù)”。
Q:當您剛剛踏足網絡安(ān)全領域時,您是否遇到過一些您認為(wèi)非常有(yǒu)挑戰性的網絡安(ān)全威脅,但最終卻相對容易地解決了?
A:是的,我剛進入這個領域時,主要的安(ān)全問題之一是“偷渡式下載”。也就是,當你訪問一個可(kě)疑網站時,這些攻擊病毒會利用(yòng)你的浏覽器或計算機系統中(zhōng)的漏洞,将惡意軟件下載到你的本地設備上。
如果你也遇到過這類情況,你可(kě)能(néng)還記得在一個并不精(jīng)通計算機技(jì )術的親戚的電(diàn)腦上看到過很(hěn)多(duō)彈窗,而且這個親戚的電(diàn)腦運行速度很(hěn)慢,這很(hěn)可(kě)能(néng)是因為(wèi)他(tā)的電(diàn)腦上被裝(zhuāng)滿了惡意軟件。
不過,現在幾乎已經解決了偷渡式下載的問題。浏覽器的安(ān)全性已經大大提高,主要浏覽器的漏洞已經非常罕見。雖然在黑市上價值數百萬的網絡威脅依然存在,但攻擊者可(kě)能(néng)不會再花(huā)費數百萬美元針對普通消費者進行偷渡式下載攻擊了。
Q:從大部分(fēn)已解決的問題來看,未來的網絡安(ān)全威脅會是怎樣的呢(ne)?您認為(wèi)人們應該注意哪些新(xīn)出現的威脅?
A:我們看到的是最近詐騙網站的轉變——這些網站不再試圖竊取你的用(yòng)戶名(míng)和密碼,而是假裝(zhuāng)出售不存在的東西。他(tā)們不是真正的企業,但他(tā)們會從你的信用(yòng)卡上扣款,然後永遠(yuǎn)不給你發貨。這是我們現在看到的一個新(xīn)出現的大威脅。
Q:ASU的CTF正在采取哪些措施來應對此類威脅?
A:在網絡安(ān)全和可(kě)信基金會中(zhōng)心,我們的工(gōng)作(zuò)重點是确保人們上網時的安(ān)全,因為(wèi)計算機是我們生活中(zhōng)如此重要的一部分(fēn)。我們正試圖通過多(duō)種不同的方式來實現這一目标。
其中(zhōng)一種方法是通過搶在壞人之前找到那些有(yǒu)影響的漏洞,從而解決超高價值的漏洞市場問題。
我們通過與DARPA和其他(tā)政府機構合作(zuò)開展研究,開發工(gōng)具(jù)和技(jì )術,幫助人們和公(gōng)司分(fēn)析軟件,識别安(ān)全漏洞并自動修複它們。
自動完成這些工(gōng)作(zuò)最令人興奮的地方在于,我們試圖主動預防這些安(ān)全漏洞。通過創建自動化系統,我們可(kě)以确保公(gōng)司每次修改代碼時,都能(néng)對其進行分(fēn)析,以确定是否會引入安(ān)全漏洞。
我們還非常關注網絡犯罪,以及如何在各個不同層面打擊網絡犯罪。我們做的一件大事就是仔細研究網絡安(ān)全社區(qū)創建的反釣魚生态系統。
從2018年左右開始,我們發現防禦措施并沒有(yǒu)想象的那麽好。一旦浏覽器檢測到釣魚網站,你就會收到一個吓人的大警告:“不要再往前走了”。
但我們注意到,從向谷歌或微軟提交釣魚網站到被阻止之間的延遲時間可(kě)能(néng)會被網絡犯罪分(fēn)子延長(cháng)數小(xiǎo)時或數天。
因此,我們一直在與這些公(gōng)司合作(zuò),改進他(tā)們的系統,以縮短這個時間框架,這樣一旦生态系統察覺到了問題,它就會被阻止。
Q:您提到了如何在攻擊者發現漏洞之前查找漏洞。這聽起來有(yǒu)點像萬聖節:你扮演成攻擊者的角色,并試圖像他(tā)們一樣思考。
A:這正是網絡安(ān)全,特别是網絡安(ān)全教育的關鍵概念之一。如果你不了解進攻,就無法進行防禦。
從根本上說,如果你不知道攻擊者的能(néng)力和他(tā)們使用(yòng)的伎倆,你就永遠(yuǎn)無法阻止他(tā)們。這其實與體(tǐ)育運動非常相似。分(fēn)析和了解防守的最佳人選是進攻方,反之亦然。
因此,這也是CTF和我們教育使命的核心所在:我們希望培訓ASU學(xué)生真正的精(jīng)通網絡防禦技(jì )術,同時也精(jīng)通進攻技(jì )術,因為(wèi)它們之間有(yǒu)很(hěn)多(duō)重疊之處,如果不了解進攻,就無法正确地進行防禦。
Q:說到萬聖節,你小(xiǎo)時候最難忘的服裝(zhuāng)是什麽,它是否最終将你引向了網絡安(ān)全領域?
A:我小(xiǎo)時候最難忘的萬聖節裝(zhuāng)扮之一是“謎語人”。很(hěn)明顯,吉姆•凱瑞(Jim Carrey)很(hěn)搞笑,他(tā)是一個很(hěn)棒的謎語人,所以我也想扮成他(tā)。
但回顧那個萬聖節,你會發現網絡安(ān)全和謎語人之間有(yǒu)很(hěn)多(duō)相似之處。當你試圖解決網絡安(ān)全問題時,會遇到很(hěn)多(duō)謎語和問題。
邏輯思維是解決謎題的方法。這也是我們試圖教給學(xué)習網絡安(ān)全的學(xué)生的。給他(tā)們提供技(jì )能(néng)、技(jì )巧和工(gōng)具(jù),讓他(tā)們能(néng)夠解決這些謎題。
Q:能(néng)談談你最害怕的一次網絡安(ān)全事件嗎?
A:有(yǒu)一次,我差點被網絡釣魚攻擊所迷惑。當時我在機場等着登機,我收到了一封看起來像是凱爾•斯凱爾斯(Kyle Squires)院長(cháng)發來的電(diàn)子郵件。他(tā)們使用(yòng)了他(tā)的姓名(míng)和電(diàn)子郵件頁(yè)腳,但我在手機上使用(yòng)的電(diàn)子郵件客戶端隐藏了确切的地址。所以它看起來是合法的。這封電(diàn)子郵件說:“嘿,我需要和你談點事情,但不是通過電(diàn)子郵件。”
現在,有(yǒu)些情況下你不想把事情寫進電(diàn)子郵件,所以我回複說:“哦,我現在正要登機。請打我的電(diàn)話。這是我的電(diàn)話号碼。” 我等着電(diàn)話,兩分(fēn)鍾後,我收到了一封回信:“我正在開會,但我需要你幫我去買10張iTunes禮品卡,然後把代碼發給我就好了。”這時我才意識到自己上當受騙了:我把我的電(diàn)話号碼給了騙子!
首先,我想,“我怎麽能(néng)這麽傻?但我接下來就想,“哦,這就是人們成為(wèi)受害者的方式。在這種情況下,我有(yǒu)時間壓力,科(kē)技(jì )也幫不上忙,攻擊者冒充可(kě)以掌控我職業生涯的人。因此,所有(yǒu)這些因素都聚集在一起,我就成為(wèi)了這次網絡釣魚攻擊的完美受害者。
這整個故事就是一個很(hěn)好的例子,說明為(wèi)什麽網絡安(ān)全意識月如此重要。歸根結底,我們都是人,我們都會犯錯。
但是,了解這些事情,了解常見的騙局是什麽樣子的,了解需要注意什麽,将有(yǒu)助于确保您的安(ān)全。同樣重要的是你在被騙後,要采取什麽樣的行動。
因為(wèi)在我上當受騙并識别出網絡釣魚攻擊後,我按照我們在ASU參加的網絡安(ān)全培訓進行了操作(zuò)。我将郵件轉發到ReportPhish@asu.edu,讓他(tā)們知道這封詐騙郵件正在四處傳播并洩露信息。
Q:今天的短信或電(diàn)子郵件感覺很(hěn)像“不給糖就搗蛋”。這是無辜的還是蓄意的?我們如何知道誰在給我們的收件箱發郵件?
A:當你收到一條随機号碼發來的短信時,我們真的不知道他(tā)們要幹什麽。它可(kě)能(néng)是我們的朋友用(yòng)一個新(xīn)号碼給我們發的短信,也可(kě)能(néng)是一個試圖讓我們點擊鏈接并詐騙我們的罪犯。對這些短信運用(yòng)一些常識會有(yǒu)很(hěn)大幫助。
比如說,這些人會怎麽聯系我?國(guó)稅局會給我發短信說我欠稅了,要對我進行審計嗎?不會的,國(guó)稅局隻會給你寄一封證明信。
我認為(wèi)另一種有(yǒu)用(yòng)的保護自己安(ān)全的方法就是記住這些攻擊不僅僅是針對你的。它們是非常廣泛的攻擊,試圖欺騙很(hěn)多(duō)人,因此互聯網上會有(yǒu)關于它的讨論。
如果你不确定,請不要點擊鏈接或參與,而是複制一些文(wén)本并在互聯網上搜索帶有(yǒu)“騙局”一詞的内容。通常情況下,你會看到與你收到的相同的文(wén)本,然後你就會知道不要參與。
Q:就像樹林裏的孤立小(xiǎo)屋或黑暗的地下室一樣,網上是否應該有(yǒu)某些設置促使人們格外警惕?
A:在現實世界中(zhōng),我們已經對什麽是安(ān)全的,什麽是不安(ān)全形成了直覺。如果你在一個居民(mín)區(qū),走在人行道上,汽車(chē)以每小(xiǎo)時25英裏的速度行駛,你會感到非常安(ān)全。但是,如果你在高速公(gōng)路邊,汽車(chē)以每小(xiǎo)時65到80英裏的速度駛過,即使技(jì )術上的情況相同,你也會感到不安(ān)全。
但當你使用(yòng)電(diàn)腦或手機時,真的很(hěn)難有(yǒu)類似的直覺。關鍵是要提高警惕。如果你收到電(diàn)子郵件,内容是關于你意想不到的郵件和消息,那就一定要提高警惕。
使用(yòng)我們所說的帶外信道總是安(ān)全的——這是另一種通信方式。舉個例子,如果你收到老闆發來的一封電(diàn)子郵件,上面寫着“嘿,我需要你檢查我們部門每個人的工(gōng)資報告”,并且那裏有(yǒu)一個鏈接或附件,你的本能(néng)反應是點進去看一下。但也許你應該給老闆發一條短信或留個言,确認是他(tā)們發送了這條信息。
Q:看看我們的網絡安(ān)全“怪物(wù)”——部落、吸血鬼、狼人、網絡釣魚者和搶奪者——你最喜歡戰勝誰?
A:我最喜歡的可(kě)能(néng)是網絡釣魚者,因為(wèi)這類騙局由來已久。這一直是人類本性的一部分(fēn):冒充可(kě)信賴的實體(tǐ)來欺騙他(tā)人。
例如,有(yǒu)一個故事說,在19世紀末,有(yǒu)一個人冒充一個實體(tǐ),賣了布魯克林大橋10或20次,賣給了許多(duō)不同的人。
所以我很(hěn)佩服它,因為(wèi)這是一個非常古老的騙局,永遠(yuǎn)不會完全消失。這是一場永無休止的鬥争,這讓它變得有(yǒu)趣,但也正因為(wèi)它與人性有(yǒu)關,所以讓它變得如此難以消除。
Q:最可(kě)怕的呢(ne)?對你來說,最可(kě)怕的網絡安(ān)全威脅是哪種形式?
A:“搶奪者”,也就是勒索軟件操作(zuò)員。他(tā)們進入你的系統,加密你的所有(yǒu)數據,讓你無法訪問。你要麽交出所有(yǒu)數據,要麽付錢給他(tā)們。這就是網民(mín)的遭遇。
因為(wèi)他(tā)們已經非常成功地将這種類型的攻擊貨币化,這意味着他(tā)們有(yǒu)更大的動力繼續下去。金錢的誘惑讓他(tā)們變得更有(yǒu)組織、更有(yǒu)效率。
因此,他(tā)們已經能(néng)夠從詐騙普通人一到兩個比特币,到利用(yòng)組織獲得數百萬美元。現在,對我來說,這很(hěn)可(kě)怕,因為(wèi)它似乎不是一個馬上就能(néng)解決的問題。
關閉