l去年,黑客入侵了专门从事网络监控软件的软件公司SolarWinds,登上了新闻头条。包括五角大楼、美国国务院和一些情报机构在内的大约3.3万个组织使用了“猎户座”,这是太阳风公司的产品之一。“猎户座”的设计初衷是监控用户的网络,以确保它们正常运行,具有讽刺意味的是,确保它们的安全。
缺口似乎已经开始攻击微软产品,包括SolarWinds使用的微软Office 365服务器。Office 365除了处理其他事务外,还处理电子邮件。众所周知,电子邮件服务器很难防止恶意软件感染,因为它们必须处理来自互联网上所有电脑的数据。攻击者随后发起了供应链攻击,这意味着攻击者不是直接攻击政府机构,而是在这些机构使用的Orion软件真正投入使用之前就对其进行了攻击交付给他们。
复制数字签名已经非常困难了,黑客几乎从来没有尝试过。
软件制造商该如何应对这种攻击呢?最近,由Noeloikeau Charlot领导的俄亥俄州立大学和Potomac研究有限责任公司的研究人员发表了一份纸关于使用“物理不可克隆函数”的想法。物理不可克隆函数(puf)利用了这样一个事实,即在微观层面上,即使是大规模生产的计算机芯片也具有这种特性微小的差异从一个芯片到另一个芯片。PUFs利用这一点,让计算机、智能手机或其他设备中的每个芯片都能产生其他芯片无法产生的信号。就像银行在你打开保险箱前可能要检查你的指纹一样,网上银行也可以检查设备的PUF,以确保只有拥有正确设备的人在访问银行账户。puf可以是令人印象深刻的不同。“研究人员,”根据a新闻稿他说:“我相信,要测试每一种可能的组合,所花的时间要比宇宙的生命周期还要长。”
puf是一个伟大的技术理念,但它们存在一些缺陷。指纹识别一个人,PUF识别一个设备。如果你使用多台设备,就像很多人一样,要么你必须随时准备好正确的一台设备,要么银行必须知道所有设备的puf。而且,注册一个新的PUF需要你让银行相信你既有新设备也有旧设备,这个过程可能会给黑客另一个机会冒充你,进入你的账户。根据定义,备份PUF是不可能的,所以如果没有注册多个设备,那么丢失一个就意味着从头开始。如果有人偷了一台在银行注册的设备,你需要在黑客侵入设备并使用PUF之前,找到一种方法撤销注册。
虽然在某些情况下puf可能非常有用,但不幸的是,当涉及到黑客时,研究人员找错了对象。我们已经有技术工具来防止像SolarWinds这样的黑客。我们可以用数字签名来识别设备。我们只是没有正确地使用它们。
如果说PUF就像指纹,那么数字签名就像写有长得离谱的身份证号码的身份证。如果你有正确的信息,你可以将数字签名从一个设备复制到另一个设备,所以多个设备不是问题,就像你可以复制身份证,只要有足够的时间和资源。另一方面,你可以在不泄露关键信息的情况下证明你有正确的数字签名,就像有人只能简单地检查身份证,很难复制身份证一样。与puf不同,复制数字签名没有物理障碍。但事实是,复制数字签名已经非常困难,黑客几乎从来没有尝试过。
这些攻击来自一个已经被证实的系统内部。
破坏电子邮件服务器就像试图渗入邮局。指纹扫描仪和身份证将有助于抓获冒充邮政人员的人。那藏在包裹里的无人机呢?即使你能准确地确定它来自哪里,也不一定能告诉你它是否安全。相反,邮局可能不得不开始对每个足够大的包裹进行x光检查。这很快就变成了一场军备竞赛:攻击者试图伪装无人机,而防御者则试图更好地识别它们。这基本上是当前恶意软件的情况,特别是电子邮件服务器。
Office 365有单一登录功能,这意味着公司可以将所有电脑绑定到一个登录系统中。所以一旦攻击者侵入了太阳风的Office账户,他们显然就用这个账户访问了太阳风的其他系统,包括那个发布更新到猎户座软件。
最新和最受欢迎的文章投递到您的收件箱!
puf作为双因素身份验证系统的一部分可能会有所帮助,在这个系统中,用户不仅需要输入密码,还需要以另一种方式确认他们是他们所说的那个人。另一方面,许多组织不使用双因素身份验证,即使它是可用在他们的软件。也有证据攻击者可能利用了Office中的一个漏洞,从而绕过了双因素身份验证。
一旦攻击者进入了Orion更新系统,他们就能够修改SolarWinds定期发送给客户的软件更新。大多数组织出于两个原因自动安装这些更新。它们通常包括重要的安全升级,如bug修复,并且应该由制造商进行数字签名,以确保它们是合法的。在这种情况下,更新的签名是正确的,因为它们来自太阳风自己的电脑!puf在这里也帮不了忙。
对Orion软件的修改使得攻击者可以远程控制该软件。一旦攻击者控制了这个系统,他们可以间谍几乎所有发生的事情。这些攻击来自一个已经被证实的系统内部。
如果更好的识别工具不是解决问题的答案,那么什么才是?我最担心的是当这些入侵发生时,我们不断听到的一系列安全漏洞和编程错误。“针对美国政府的太阳风黑客攻击确实让人们开始思考我们将如何进行认证和加密,”俄亥俄州立大学的物理学家、该论文的资深作者丹尼尔·戈捷(Daniel Gauthier)说,说.“我们希望这能成为解决方案的一部分。”
PUFs解决了错误的问题。我们目前的情况是,用户希望软件有bug,而程序员被鼓励先把软件赶出去,然后再修复它。我们没有因为安全漏洞而惩罚制造商,而是几乎把它们视为自然灾害——不是任何人的错。通过Internet轻松分发和自动安装更新的方式鼓励了这一点,但这是安全方面的一个主要问题。在这种情况得到改变之前,尽管有puf和其他令人兴奋的新技术工具,我们仍然可以期待听到安全漏洞的消息。
约书亚·霍尔顿是罗斯-胡曼理工学院的数学教授,著有《秘密的数学:从凯撒密码到数字加密的密码学。